Partner Çerçeve Sözleşmesi

Son güncelleme: Versiyon 1.0 · Yasal Dayanak: 6698 Sayılı KVKK Madde 8, Madde 12

Bu sözleşme, VerifyBlind partner portalına kayıt olmanızla birlikte elektronik ortamda akdedilmiş ve tarafları bağlayıcı nitelik kazanmaktadır (5070 Sayılı Elektronik İmza Kanunu).
Hukuki Yapı Hakkında:VerifyBlind ve Partner, kendi kullanıcılarına karşı bağımsız birer Veri Sorumlusu'dur (KVKK Md.3/1-ı). VerifyBlind, son kullanıcının kimlik verilerini kendi gizlilik politikası ve altyapısı kapsamında işler; Partner ise VerifyBlind'nin ilettiği minimum doğrulama sonucunu (true/false + nonce) kendi amaçları ve sorumluluğuyla işler. Bu sözleşme, iki bağımsız veri sorumlusu arasındaki veri aktarım çerçevesini ve karşılıklı yükümlülükleri düzenler.

1. Taraflar

Hizmet Sağlayıcı / Veri Sorumlusu (Son Kullanıcı Nezdinde)

VerifyBlind LLC

VerifyBlind

[email protected]

Partner / Bağımsız Veri Sorumlusu (Kendi Kullanıcıları Nezdinde)

Kayıt formundaki şirket adı ve iletişim bilgileri

2. VerifyBlind'nin Partner'a İlettiği Veriler

VerifyBlind, Partner'a yalnızca aşağıdaki verileri iletir:

AlanFormatAçıklama
verifiedbooleanDoğrulamanın başarılı olup olmadığı
scope_results{kapsam: boolean}Kapsam bazında sonuçlar (örn. age: true)
user_id, nsbd_id, doc_idHMAC hexAçık rıza ile talep edilirse: partner'a özel, geri döndürülemez tanıma kodları (TCKN'ye döndürülemez, partner'lar arası eşleştirilemez)
nonceUUIDİşlem tekil kimliği
timestampISO 8601İşlem zaman damgası
Kesinlikle iletilmeyen veriler: TC Kimlik No (TCKN), Ad-Soyad, Doğum tarihi, Gerçek yaş değeri, Biyometrik veri, Yüz görüntüsü, NFC içeriği.

3. Partner'ın Yükümlülükleri

Bağımsız KVKK Yükümlülüğü

Partner, bağımsız bir veri sorumlusu sıfatıyla kendi kullanıcılarına karşı KVKK'nın tüm yükümlülüklerini (Md.10 aydınlatma, Md.11 haklar, Md.12 güvenlik, VERBİS kaydı) yerine getirmekle sorumludur. Bu yükümlülükler VerifyBlind'ye devredilemez.

Veri Minimizasyonu

Doğrulama sonucunu yalnızca amacıyla orantılı biçimde kullanır. Kullanıcıyı yeniden tanımlamaya (re-identification) teşebbüs edemez.

Aydınlatma Yükümlülüğü

Kendi kullanıcılarına KVKK Madde 10 kapsamında aydınlatma metni sunmakla yükümlüdür. Aydınlatma metninde "VerifyBlind aracılığıyla biyometrik doğrulama yapıldığı" açıkça belirtilmelidir. Bu yükümlülük Partner'a aittir.

Revoke (Rıza Geri Çekme) Bildirimleri

VerifyBlind'nin gönderdiği revoke bildirimini aldığında söz konusu işlem kaydını kendi sisteminde derhal geçersiz kılmak veya işaretlemekle yükümlüdür. callback_url adresinin çalışır durumda olması Partner'ın sorumluluğundadır.

Güvenlik Önlemleri

Doğrulama sonuçlarını yetkisiz erişime karşı uygun teknik tedbirlerle (en az TLS 1.2, erişim denetimi) korur. Doğrulama sonuçlarını gereksiz süre saklamaz.

İhlal Bildirimi

Kendi sistemlerinde VerifyBlind verisiyle ilgili güvenlik ihlali tespit ederse VerifyBlind'yi 48 saat içinde bildirir ([email protected]).

4. VerifyBlind'nin Yükümlülükleri

  • Kullanıcı kimlik verilerini AWS Nitro Enclave içinde şifrelenmiş bellekte işler
  • Partner'a yalnızca Bölüm 2'de tanımlanan minimum veriyi iletir
  • API trafiğini TLS ile şifreler
  • Revoke bildirimlerini 72 saat içinde Partner'ın callback_url adresine gönderir ve kaydeder
  • Bu Sözleşme'nin kapsamını etkileyen değişiklikleri 30 gün önceden bildirir

5. Sözleşmenin Sona Ermesi

Sözleşme; Partner hesabının kapatılması, VerifyBlind tarafından feshedilmesi veya yazılı mutabakat ile sona erer. Sona ermeden sonra Partner, VerifyBlind doğrulama sonuçlarını içeren tüm verileri imha eder veya anonimleştirir.

6. Elektronik Kabul

Kayıt sırasındaki onay kutusu işareti, 5070 Sayılı Elektronik İmza Kanunu kapsamında bu Sözleşme'nin kabulü anlamına gelir. Kabul kaydı (tarih, IP, e-posta) sistemde saklanır.

Uygulanacak hukuk: Türk Hukuku · Yetkili mahkeme: İstanbul Mahkemeleri ve İcra Daireleri