Veri Koruma Politikası

Veri Koruma Politikası (“VKP”), Amazon Services API’si (Pazaryeri Web Hizmeti API’si dahil) ile sağlanan ve alınan veriler dahil bilgileri alma, saklama, kullanma, aktarma ve imha işlemlerini yönetir. Bu politika, Amazon Services API’leri ile sağlanan ve alınan verileri saklayan, işleyen veya bu verilerle çalışan tüm sistemler için geçerlidir. Bu Politika, Amazon Services API’si Geliştirici Sözleşmesi ve Kullanım Şartları Politikasının ekidir. Bu politikalara uyulmaması, Amazon Services API’si erişiminin askıya alınmasına veya sonlandırılmasına neden olabilir. Bu yüzden TEY Bilişim bu politikaya uygun hareket etmek zorundadır ve hareket etmektedir. 

1. Genel Güvenlik Gereklilikleri

Geliştiriciler, sektörde öncelikle uygulanan güvenlik standartlarına uygun olarak (i) geliştiricilerin erişim sağladığı, topladığı, kullandığı, sakladığı veya ilettiği bilgilerin güvenliği ve gizliliğini sağlamak ve (ii) bu bilgileri bilinen veya makul şekilde öngörülen güvenlik ve bütünlük, kaza sonucu kayıp, değişiklik, ifşa ve diğer yasal olmayan işleme yöntemlerine ilişkin tehdit veya tehlikelere karşı korumak için fiziksel, idari ve teknik önlemleri ve diğer güvenlik önlemlerini uygulayacaktır. Geliştirici, hiçbir sınırlandırma olmadan aşağıdaki gerekliliklere uyum sağlayacaktır: 

1.1 Ağın Korunması. Geliştiriciler, yetkisiz IP adresleri erişimini engellemek için ağ güvenlik duvarları ve ağ erişim kontrol listeleri gibi ağ koruma kontrolleri uygulamalıdır. Geliştiriciler, son kullanıcı cihazlarına ağ segmentasyonu, antivirüs ve kötü amaçlı yazılımdan koruma yazılımı yüklemelidir. Geliştiriciler, herkese açık erişimi yalnızca onaylı kullanıcılarla sınırlandırmalı ve sisteme erişimi olan herkes için veri koruma ve BT güvenliği eğitimi sağlamalıdır. Bu kapsamda TEY Bilişim olarak bünyemizde kullanılan Firewall cihazı, antivirüs yazılımları ve kullanıcı takip yazılımları ile tüm kontrolü elimizde tutmaktayız. Tüm varsayılan portların yönlendirmeleri devre dışı bırakılmış ve dışarıdan erişim için de VPN kullanıma sokulmuştur.

1.2 Erişim Yönetimi. Geliştiriciler, bilgilere bilgisayar erişimi olan her kişiye benzersiz bir kimlik atayarak tüm kullanıcı türlerine ve hizmetlere erişim hakları vermek için resmi bir kullanıcı erişim kaydı süreci oluşturmalıdır. Geliştiriciler; genel, paylaşılan veya varsayılan giriş bilgileri ya da kullanıcı hesapları oluşturmamalı ve kullanmamalıdır. Ayrıca kullanıcı hesaplarının paylaşılmasını engelleme sorumluluğu da geliştiricilere aittir. Geliştiriciler, her zaman yalnızca gerekli kullanıcı hesaplarının bilgilere erişmesini sağlayan temel mekanizmalar uygulamalıdır. Geliştiriciler, çalışanların ve sözleşmelilerin bilgileri kişisel cihazlarında saklama yetkisini kısıtlamalıdır. Geliştiriciler, uygunsuz kullanım biçimleri ve oturum açma girişimlerini tespit ederek ve bilgilere erişimi olan hesapları devre dışı bırakarak “hesap kilitleme” özelliğinin kullanımını sürdürmeli ve zorunlu kılmalıdır. Geliştiriciler, bilgilere erişim hakkı bulunan kişiler ve hizmetlerin listesini en az üç ayda bir gözden geçirmelidir. Geliştiriciler, işle ilişkisini sonlandıran çalışanların 24 saat içinde erişiminin devre dışı bırakıldığından ve/veya kaldırıldığından emin olmalıdır. Bu kapsamda veriler hiçbir şekilde yetkisiz personellerin erişebileceği bir yerde tutulmamaktadır. Personeller de hizmet içi ve farkındalık eğitimleriyle bu konuda bilgilendirilmektedir. 

1.3 En Düşük Erişim Hakkı İlkesi. Geliştiriciler, uygulamayı kullanan taraflara ve uygulamanın yetkili operatörlerine en düşük erişim hakkı ilkesine uygun olarak erişim izni verilmesine olanak sağlayan ayrıntılı erişim denetimi mekanizmaları uygulamalıdır. Bilgiye erişim, “bilmesi gerekiyor” temelinde verilmelidir. Bu yüzden kullanılacak bilgi hakkında herhangi bir bilgisi olmayan kullanıcının bu bilgiye erişim hakkı yoktur. 

1.4 Kimlik Bilgileri Yönetimi. Geliştiriciler, bilgilere erişimi olan personel ve sistemler için minimum parola gereksinimleri belirlemelidir. Parola gereksinimleri; kullanıcının adının hiçbir bölümünün geçmediği minimum on iki (12) karakter, büyük ve küçük harf, sayı ve özel karakterdir. Geliştiriciler, tüm kullanıcılar için minimum 1 günlük parola yaşı ve maksimum 365 günlük parola geçerlilik süresi belirlemelidir. Geliştiriciler, tüm kullanıcı hesaplarının Çok Faktörlü Kimlik Doğrulama (MFA) gerektirdiğinden, Amazon tarafından sağlanan API anahtarlarının şifrelendiğinden ve yalnızca gerekli çalışanların bu anahtarlara erişimi olduğundan emin olmalıdır. Bu yüzden bilgisayarlarımızın tüm şifreleri belirli aralıklarla güncellenmekte ve ek olarak özel dosya ve programlar için anti virüs yazılımlarının şifre araçları kullanılmaktadır. Veritabanlarımız üzerinde yapılan tüm işlemler kullanıcı bazlı olarak kayıt altına alınmaktadır.

1.5 Aktarım Sırasında Şifreleme. Geliştiriciler, aktarılan tüm Bilgileri TLS 1.2+, SFTP ve SSH-2 gibi güvenlik protokolleriyle şifrelemelidir. Geliştiriciler, tüm geçerli iç ve dış uç noktalarda bu güvenlik denetimini zorunlu tutmalıdır. Geliştiriciler, kanal şifrelemesinin (ör. TLS kullanılarak) güvenilir olmayan çok kullanıcılı donanımlarda (ör. güvenilir olmayan proxy’ler) son bulması halinde veri mesaj düzeyinde şifreleme kullanmak zorundadır. TEY bilişim ile istemciler arasında sadece lisans sorgusu sırasında bir iletişim söz konusudur ve TEY Bilişim sunucularında bu sorguyu karşılayan tüm erişimlerde SSL sertifikası kullanılmaktadır.

1.6 Risk Yönetimi ve Olay Müdahale Planı. Geliştiriciler, üst yönetim tarafından her yıl gözden geçirilen bir risk değerlendirmesi ve yönetim sürecine tabi tutulmalıdır. Bu sürece bilinen riskleri takip etmek için potansiyel tehditler ve güvenlik açıklarının yanı sıra bunların gerçekleşme ihtimali ve potansiyel etkilerinin değerlendirmeleri dahildir. Geliştiriciler, güvenlik olaylarını tespit etmek ve ele almak için bir plan ve/veya işletim kitabı oluşturmalı ve güncel tutmalıdır. Söz konusu planlarda olay müdahale rolleri ve sorumlulukları açıklanmalı, Amazon’u etkileyebilecek olay türleri tanımlanmalı, tanımlanan olay türleri için olay müdahale prosedürleri tanımlanmalı ve güvenlik olaylarının Amazon’a bildirileceği bildirim yolu ve prosedürleri belirlenmelidir. Geliştiriciler; her altı (6) ayda bir ve sistem, kontrol, operasyonel ortam, risk düzeyi ve tedarik zinciri değişiklikleri de dahil tüm önemli altyapı veya sistem değişikliklerinden sonra planı gözden geçirip doğrulamalıdır. Geliştiriciler, herhangi bir güvenlik olayını tespit ettikten sonraki 24 saat içinde 3p-security@amazon.com adresine e-posta göndererek Amazon’u bilgilendirmelidir. Yürürlükteki yerel yasaların gerektirdiği her durumda ilgili devlet kurumları ile düzenleyici kurumları bilgilendirmek yalnızca geliştiricinin sorumluluğundadır. Geliştiriciler, her bir güvenlik olayını araştırıp olay açıklamasını, düzeltme işlemlerini ve benzer olayların gelecekte yaşanmasını önlemek için uygulanan ilişkili düzeltici süreçleri/sistem kurallarını belgelemelidir. Geliştiriciler, toplanan tüm kanıtlar veya kayıtlar için bir delil zinciri oluşturmalı ve bu belgeleri talep etmesi halinde (uygun olduğunda) Amazon’a iletmelidir. Bir güvenlik olayı meydana geldiğinde, Amazon kendilerinden özellikle yazılı olarak talep etmedikçe geliştiriciler bir düzenleyici kuruma veya müşteriye Amazon adına açıklama yapamaz veya bildirimde bulunamaz. 

TEY Bilişim kendi sunucuları üzerinde periyodik olarak kontrollerini yapar. Herhangi bir güvenlik açığı olması durumunda en geç 24 saat içerisinde acil durum eylem planını devreye sokar. 6331 sayılı iş sağlığı ve güvenliği kanunu kapsamında, yazılımsal anlamda risk olarak teşkil edebilecek durumların raporlandığı ve planlandığı prosedürler uygulamaya sokulur. Herhangi bir olgu ya da bulgunun tespiti sonrasında, müşterilerin zarar görmemeleri adına direkt olarak Amazon’a raporlama yapılır.  

1.7 Silme Talebi. Geliştiriciler, vergi veya mevzuat gereklilikleri de dahil tüm yasal gerekliliklerin karşılanması için gerekli olmadıkça Amazon’un veri silme talebinin yer aldığı bildiriminden sonraki 30 gün içinde ve bu bildirime uygun olarak bilgileri sonsuza dek ve güvenli bir şekilde silmelidir. Güvenli silme, NIST 800-88 gibi sektör standardı temizlik süreçlerine uygun olarak yapılmalıdır. Geliştiriciler, ayrıca tüm aktif (çevrimiçi veya ağ üzerinden erişilebilir) bilgileri Amazon’un bildirimde bulunmasından 90 gün sonra sonsuza dek ve güvenli bir şekilde silmek zorundadır. Geliştirici, Amazon tarafından talep edilmesi halinde tüm bilgilerin güvenli bir şekilde imha edildiğini yazılı olarak teyit edecektir. Bu işlem için TEY Bilişim tarafından veri silme ve imha prosedürü hazırlanmıştır. Silme talebi ile ilgili olarak bilgi@teybilisim.com adresine e-posta yollanır ya da https://magaza.teybilisim.com adresinden veri silme talebinde bulunulur. Talep üzerine veriler kalıcı olarak silinir. Eğer talep edilen verilerde Amazon verileri varsa bu bilgilerin silindiğine dair Amazon’a bilgi verilir.  

1.8 Veri İlişkilendirme. Geliştiriciler, bilgileri ayrı bir veri tabanında saklamalı veya bilgileri içeren tüm veri tabanlarındaki verilerin kaynağını etiketleyip tanımlayacak bir mekanizma uygulamalıdır. Bu kapsamda her müşteriye ait veri etiketlenmiştir ve herhangi bir CRM talebi gelmesi durumunda buna ilişkin erişim bilgisine bu etiketle ulaşılmaktadır.

2. Kişileri Tanımlayan Bilgilere İlişkin Ek Güvenlik Gereklilikleri

Kişileri Tanımlayan Bilgiler (“KTB”) için aşağıdaki ek güvenlik gerekliliklerinin karşılanması gerekmektedir. KTB’ler, geliştiricilerle “sahip olması gerek” ilkesine uygun olarak belirli vergi ve satıcı tarafından gönderim amaçlarıyla paylaşılır. Amazon Services API’sinde KTB’nin yer alması ya da KTB’nin KTB olmayan bilgilerle birlikte kullanılması halinde, bütün veri ambarının aşağıdaki gerekliliklere uyması gerekmektedir: 

2.1 Veri Saklama. Geliştiriciler, KTB’yi sipariş teslimatından sonra en fazla 30 gün boyunca yalnızca (i) siparişleri gönderme, (ii) vergileri hesaplama ve ödeme, (iii) vergi faturaları ile yasal olarak gerekli diğer belgeleri oluşturma ve (iv) vergi ile diğer düzenleyici gereksinimler dahil yasal gereksinimleri yerine getirme amaçlarıyla ve bu amaçlar için gerekli olduğu sürece saklayacaktır. Geliştiriciler, verileri sipariş teslimatından sonraki 30 günün ardından sadece yasaların gerektirdiği durumlarda ve yasalara uyma amacıyla saklayabilir. 1.5 (“Aktarım Sırasında Şifreleme”) ve 2.4 (“Bekleyen Verilerin Şifrelenmesi”) bölümleri uyarınca KTB, hiçbir şekilde korumasız olarak iletilmemeli ve saklanmamalıdır. Bu kapsamda sipariş ve müşteri verileri sadece yasal olarak belirtilen zaman sınırında dijital olarak saklanmaktadır. E-Fatura üzerinden işlem yapan müşterilerde bu süreç GIB (Gelir İdaresi Başkanlığı) ya da ara entegratörler üzerinden yapılmatadır. 

2.2 Veri Yönetişimi. Geliştiriciler, uygulamaları veya hizmetleri için bilgi varlıklarının yönetilmesi ve korunması amacıyla uygulanacak, uygun davranış kontrolleri ve teknik kontrolleri düzenleyen bir gizlilik ve veri kullanma/sınıflandırma politikası oluşturmalı, belgelemeli ve bu politikaya uymalıdır. Tüm KTB’ye yönelik özel veri alanları ve bunların toplanma, işlenme, saklanma, kullanım, paylaşılma ve imha edilme biçimlerine ilişkin veri işleme faaliyet kayıtları, hesap verilebilirlik ve düzenlemelere uyum sağlama amaçlarıyla saklanmalıdır. Geliştiriciler, işletmeleri için geçerli olan gizlilik ve güvenlik yasaları ile ilgili düzenleyici gereklilikleri tespit etmek ve bunlara uymak ve uygunluğuna dair belgelenmiş kanıtları saklamak için bir süreç oluşturmalıdır. Geliştiriciler, uygun durumlarda veya veri gizliliği düzenlemelerince gerekli kılındığında bilgilere erişim sağlamak, bilgileri düzenlemek, silmek veya paylaşımını/işlenmesini durdurmak için alınan müşteri izinlerine ve veri haklarına yönelik bir gizlilik politikası oluşturmalı ve bu politikaya uygun hareket etmelidir. Geliştiriciler, yetkili kullanıcılara veri sahibi erişim isteklerinde yardımcı olmak için teknik ve organizasyonel süreç ve sistemlere sahip olmalıdır. Geliştiriciler, KTB’nin gizliliğini korumak için KTB’yi işleyen çalışanlarla yapılan iş sözleşmelerine gizlilik hükümleri eklemelidir. Bu yüzden de ülkemizde geçerli olan KVKK kapsamında, tüm çalışanlarımız bu konuda bilgilendirilir ve sertifikalandırılır. Tüm personele gizlilik taahhütnamesi imzalatılır.

2.3 Varlık Yönetimi. Geliştiriciler, bilgi sistemi için bir temel standart yapılandırma sürdürmeli ve ayrıca KTB erişimi bulunan yazılım ve fiziksel varlıkların (ör. bilgisayar, mobil cihazlar) envanterini tutup bu envanteri üç ayda bir güncellemelidir. KTB’yi saklayan, işleyen veya bu verilerle çalışan fiziksel varlıklar, bu politikada belirtilen tüm gerekliliklere uygun olmalıdır. Geliştiriciler, en az AES-128 veya RSA-2048 bit anahtar veya üzeri kullanılarak şifrelenmediği sürece KTB’yi çıkarılabilir ortamlarda, kişisel cihazlarda veya güvenli olmayan genel bulut uygulamalarında (örneğin, Google Drive ile paylaşılan herkese açık bağlantılar) saklamamalıdır. Geliştiriciler, KTB içeren basılı belgeleri güvenli şekilde imha etmelidir. Geliştiriciler, verilerin yetkisiz hareketini izleyip tespit etmek için veri kaybını önleme (DLP) kontrolleri uygulamalıdır. Tüm kullanıcı bilgisayarlarında kullanıcı takip yazılımı mevcuttur ve ek olarak da sunucu üzerinde yapılan tüm süreçler kayıt altına alınmaktadır. 

2.4 Bekleyen Verilerin Şifrelenmesi. Geliştiriciler, bekleyen tüm KTB’leri en az 2048 bit veya üzeri boyutta anahtara sahip AES-128 veya RSA kullanarak şifrelemelidir. Beklemedeki KTB’lerin şifrelenmesi için kullanılan şifreleme materyalleri (ör. şifreleme/şifre çözme anahtarları) ve şifreleme yetkinlikleri (ör. sanal Güvenilir Platformu Modülleri uygulayan ve şifreleme/şifre çözme API’leri sağlayan hayalet programlar), yalnızca geliştiricinin süreçleri ve hizmetleri için erişilebilir nitelikte olmalıdır. TEY Bilişim olarak AES-128 şifreleme yöntemi kullanılmaktadır. 

2.5 Güvenli Kodlama Uygulamaları. Geliştiriciler; şifreleme anahtarları, gizli erişim anahtarları veya parolalar gibi hassas kimlik bilgilerini kodların içine gömmemelidir. Hassas kimlik bilgileri genel kod depolarında ifşa edilmemelidir. Geliştiriciler ayrı test ve üretim ortamlarına sahip olmalıdır. Tüm bu bilgiler veritabanında şifrelenerek tutulmakta ve ön yüzde maskelenerek gösterilmektedir. Yetkisi olmayan geliştiriciler de bu bilgilere veritabanı üzerinden erişim sağlayamamaktadır. 

2.6 Günlüğe Kaydetme ve İzleme. Geliştiriciler, uygulamaları ve sistemlerinde güvenlikle ilgili olayları tespit etmek için olayın başarı veya başarısızlıkla sonuçlanması, tarih ve saati, erişim girişimleri, veri değişiklikleri ve sistem hatalarının yer aldığı günlükler toplamalıdır. Geliştiriciler, bu günlüğe kaydetme mekanizmasını bilgilere erişim sağlayan tüm kanallarda (ör. hizmet API’leri, saklama katmanı API’leri, idari panolar) uygulamalıdır. Geliştiriciler, günlükleri gerçek zamanlı olarak (ör. SIEM aracı ile) veya iki haftada bir gözden geçirmelidir. Tüm günlük kayıtlarının yaşam döngüleri boyunca yetkisiz erişimi ve onaysız değişiklikleri engelleyebilecek erişim kontrolleri bulunmalıdır. KTB vergi gereksinimleri veya düzenleyici gereksinimler gibi yasal gereksinimleri karşılamak için gerekli olmadığı sürece günlüklerde KTB kullanılmamalıdır. Yürürlükteki yasalar aksini gerektirmedikçe günlükler, güvenlik olayları durumunda referans olarak kullanılabilmeleri için en az 90 gün süreyle saklanmalıdır. Geliştiriciler, şüpheli işlemlerde (ör. birden fazla yetkisiz çağrı, beklenmeyen talep oranı, veri alma hacmi ve Canary veri kayıtlarına erişim) inceleme gerektiren alarmlar tetiklemek için kayıtları ve tüm sistem faaliyetlerini izleyen mekanizmalar geliştirmelidir. Geliştiriciler, bilgilerin korumalı sınırlarından çıkarılıp çıkarılmadığını veya bu sınırların dışında erişilip erişilmediğini tespit etmek için izleme alarmları ve süreçleri uygulamalıdır. Geliştiriciler, izleme alarmları tetiklendiğinde olayı araştırmalı ve tüm süreci Geliştirici Olay Müdahale Planında belgelemelidir. Tüm erişim kayıtları, hata kayıtları, işletim sistemi olay kayıtları periyodik olarak takip edilmekte ve herhangi bir hata ya da kritik uyarı olması durumunda e-posta veya sms ile bilgilendirme yapılmaktadır. 

2.7 Güvenlik Açığı Yönetimi. Geliştiriciler, güvenlik açıklarını tespit etmek ve düzeltmek için bir plan ve/veya işletim kitabı oluşturmalı ve sürdürmelidir. Geliştiriciler, güvenlik açığı taramaları gerçekleştirip uygun düzeltmeleri yaparak KTB içeren fiziksel donanımları teknik güvenlik açıklarından korumalıdır. Geliştiriciler en az 180 günde bir güvenlik açığı taraması, en az 365 günde bir sızma testi ve her sürümden önce güvenlik açıkları için kod taraması yapmalıdır. Geliştiriciler ayrıca depolama donanımındaki değişiklikleri testlerle, değişiklikleri doğrulayarak, onaylayarak ve bu işlemleri gerçekleştirebilecek kişilerin erişimini kısıtlayarak kontrol etmelidir. Geliştiricilerin fiziksel veya teknik bir olay durumunda KTB kullanılabilirliği ve erişimini vakitlice geri getirmek için uygun prosedürlere ve planlara sahip olması gerekir. KVKK kapsamında da sızma testleri planlanmış ve yıl içerisinde uygulanacaktır. 

3. Denetim ve Değerlendirme

Geliştiriciler, işbu sözleşmenin süresi ve sürenin sona ermesinin ardından 12 ay boyunca Kullanım Şartları Politikası, Veri Koruma Politikası ve Amazon Services API’si Geliştirici Sözleşmesine uyduğunu doğrulamak için makul düzeyde gerekli ve uygun kayıtlar tutmak zorundadır. Geliştiriciler, Amazon’un yazılı talebi üzerine bu politikalara uygun hareket ettiklerini yazılı olarak Amazon’a teyit etmek zorundadır. 

Amazon, talep üzerine geliştiricinin uygulamasında bilgileri almak, saklamak veya işlemek için kullanılan tüm sistemlere ilişkin kayıtları, tesisleri, operasyonları ve bu sistemlerin güvenliğini denetleyebilir, değerlendirebilir ve inceleyebilir ya da kendi seçtiği bir yeminli mali müşavirlik firması tarafından denetlenmesini ve incelenmesini sağlayabilir. Amazon; bu denetim, değerlendirme veya incelemenin bir parçası olarak geliştirici tarafından ifşa edilen veya bilgilerin niteliği veya açıklanmasını etkileyen koşullar göz önüne alındığında makul ölçüde gizli olarak kabul edilmesi gereken ve kamuya açık olmayan bilgileri gizli tutacaktır. Geliştiriciler, kendilerinin ve/veya alt yüklenicilerinin tesislerinde gerçekleştirilebilecek denetimlere ve değerlendirmelere ilişkin olarak Amazon veya Amazon’un denetçisiyle işbirliği yapmak zorundadır. Gerçekleştirilen denetim veya değerlendirme sonucunda eksiklik, ihlal ve/veya hüküm, şart veya politikalarımıza uyumsuzlukların tespit edilmesi halinde geliştirici masraf ve giderleri kendisine ait olmak üzere, tespit edilen eksiklikleri üzerinde mutabık kalınan bir süre içinde gidermek adına gereken tüm işlemleri yapacaktır. Geliştirici, istendiğinde Amazon tarafından talep edilen şekilde düzeltme kanıtı sağlamalı (bu kanıt politika, belge, ekran görüntüleri veya uygulama veya altyapı değişikliklerinin ekran paylaşımını içerebilir) ve denetim bitmeden önce gönderilen kanıtlar hakkında Amazon’dan yazılı onay almalıdır. 

4. Tanımlar

“Amazon Services API’si”, Amazon yetkili kullanıcılarının programlı veri alışverişi yapmasına yardımcı olma amacıyla Amazon tarafından sunulan tüm uygulama programlama arayüzlerini (API) ifade eder. 

“API Materyalleri”; biçiminden bağımsız olarak API’ler, belgeler, özellikler, yazılım kitaplıkları, yazılım geliştirme kitleri ve diğer destekleyici materyaller gibi Amazon Services API’siyle bağlantılı olarak kullanıma sunduğumuz Materyalleri ifade eder.

“Uygulama”, Amazon Services API’si veya API Materyalleri ile arayüzü olan bir yazılım uygulaması veya web sitesini ifade eder.

“Yetkili Kullanıcı”, Amazon tarafından ilgili sistemleri veya hizmetleri kullanması için özel olarak yetkilendirilmiş olan Amazon sistem veya hizmetlerinin kullanıcısını ifade eder.

“Müşteri”, Amazon’un herkesin kullanımına açık web siteleri aracılığıyla ürün veya hizmet satın alan kişi veya kurumları ifade eder.

“Geliştirici”, yetkili kullanıcı adına izin verilen kullanım için Amazon Services API’sini veya API Materyallerini kullanan herhangi bir kişiyi veya tüzel kişiliği (uygunsa siz de dahil olmak üzere) ifade eder.

“Bilgiler”; Amazon Services API’leri, Amazon Portalları ve Amazon’un herkesin erişimine açık web siteleri aracılığıyla yayımlanan bilgileri ifade eder. Bu veriler, Amazon müşterileri hakkındaki Kişileri Tanımlayan Bilgiler dahil herkesin kullanımına açık olan veya gizli veriler olabilir.

“Kişileri Tanımlayan Bilgiler” (“KTB”); bir Amazon müşterisi veya yetkili kullanıcısını belirlemek, bu kişiyle iletişim kurmak, kişiyi bağlam dahilinde tespit etmek veya kişinin konumunu bulmak için tek başına veya diğer bilgilerle birlikte kullanılabilecek bilgileri ifade eder. Bu bilgiler; müşteri veya yetkili kullanıcının adı, adresi, e-posta adresi, telefon numarası, hediye mesajı içeriği, anket yanıtları, ödeme bilgileri, satın alımları, çerezleri, dijital parmak izleri (ör. tarayıcı, kullanıcı cihazı), IP adresi, coğrafi konumu, dokuz haneli posta kodu veya internete bağlanan cihaz ürün tanımlayıcısını içermekle birlikte bunlarla sınırlı değildir.

“Güvenlik Olayı”, bilgileri içeren herhangi bir ortamda ortaya çıkan gerçek veya şüpheli erişim, toplama, edinme, kullanma, açıklama, yolsuzluk, bilgi kaybı veya ihlali ifade eder.