Gizlilik Sözleşmesi

Bu gizlilik sözleşmesi Vultkey beta uygulamasında hesap oluşturduğunda, kasana key veya kod eklediğinde, public link oluşturduğunda ya da public link üzerinden kod aldığında hangi verilerin işlendiğini açıklar. Vultkey, dijital key, lisans, API anahtarı, kupon, oyun kodu ve benzeri kayıtları düzenlemek ve gerektiğinde kontrollü şekilde paylaşmak için tasarlanmıştır.

Vultkey beta aşamasındadır. Bu nedenle güvenlik, claim limitleri, log ekranları ve veri modeli zaman içinde değişebilir. Değişiklikler özellikle public link güvenliği, hesap silme ve self-host kullanımını daha net hale getirmek için yapılabilir.

Hesap açtığında e-posta adresin, Supabase Auth tarafından yönetilen oturum bilgilerin ve profil kaydın tutulur. E-posta adresi giriş yapmak, hesap sahibini ayırt etmek, üye whitelist kurallarını uygulamak ve hesap ayarlarını göstermek için kullanılır.

Google veya Discord gibi OAuth sağlayıcıları etkinse, bu sağlayıcılardan dönen temel hesap bilgileri Supabase oturumu oluşturmak için kullanılabilir. Vultkey bu sağlayıcıların kendi gizlilik uygulamalarını yönetmez.

Kasaya eklediğin başlık, platform, kategori, etiket, kaynak, not, durum, son kullanım tarihi ve benzeri metadatalar uygulamanın çalışması için saklanır. Bu bilgiler sana listeleme, filtreleme, arşivleme, audit kaydı ve public link oluşturma özelliklerini sunmak için kullanılır.

Raw key veya kod değeri doğrudan açık metin olarak saklanmaz. Key materyali server tarafında AES-GCM ile şifrelenir. Aynı keyin tekrar eklenmesini anlamak için normalize edilmiş değerden HMAC-SHA256 fingerprint üretilir. Bu fingerprint raw keyi geri üretmek için kullanılmaz, duplicate kontrolü ve güvenlik amacıyla tutulur.

Bir public link oluşturduğunda link tipi, hedef key veya kategori, maksimum alma limiti, kişi/cihaz/oturum başına limit, görünür alanlar, raw key gösterme izni, kopyala butonu görünürlüğü ve son kullanma tarihi gibi ayarlar saklanır. Public link tokenı arama için HMAC hash olarak tutulur; owner linki tekrar kopyalayabilsin diye token materyali ayrıca şifrelenmiş şekilde saklanır.

Alıcı public link üzerinden kod aldığında claim kaydı oluşur. Alıcı e-posta veya not yazdıysa bu bilgiler claim kaydında tutulur. Link Vultkey üye whitelist modundaysa, alıcının giriş yaptığı Vultkey hesabının e-postası link sahibine gösterilebilir. Link sahibi raw key gösterimini kapattıysa alıcıya raw key gösterilmez; açıksa raw key yalnızca claim sonrası aktif oturumda gösterilir.

Aynı bağlantıdan tekrar kod alınmasını azaltmak için server-set cihaz çerezi, browser fingerprint, request header fingerprint, user-agent hash, IP hash ve varsa Vultkey üye hesabı birlikte değerlendirilir. Bu sinyaller claim limitlerini uygulamak ve kötüye kullanımı azaltmak için kullanılır.

Raw IP adresi, raw user-agent fingerprinti veya ham browser fingerprint değeri claim geçmişinde açık metin olarak saklanmaz. Bu sinyaller HMAC hash değerlerine dönüştürülür ve karşılaştırma amacıyla tutulur. Buna rağmen cihaz/oturum sinyalleri mutlak kimlik doğrulama değildir; VPN, tarayıcı ayarları, farklı cihazlar veya hosting ortamı sonucu etkileyebilir.

Link sahibi, public linkten kod alan kişileri audit ekranında görebilir. Bu ekranda key başlığı, platform, maske snapshotı, claim zamanı, kullanım onay zamanı, alıcının yazdığı e-posta, alıcı notu, Vultkey üye e-postası, ülke kodu, cihaz tipi, işletim sistemi, tarayıcı, dil ve saat dilimi gibi bilgiler gösterilebilir.

Ülke bilgisi production ortamında hosting sağlayıcısının gönderdiği geo headerlara bağlıdır. Local geliştirme ortamında veya geo header göndermeyen altyapılarda boş kalabilir. VPN kullanıldığında görünen ülke gerçek konum yerine VPN çıkış konumu olabilir. Tarayıcı ve işletim sistemi bilgileri browserın sağladığı user-agent ve client hint sinyallerine göre yorumlanır; örneğin bazı Windows 11 cihazları uyumluluk nedeniyle Windows 10/11 olarak görünebilir.

Vultkey oturum yönetimi için Supabase çerezlerini kullanır. Public claim tekrar alma koruması için ayrıca httpOnly bir cihaz çerezi kullanılabilir. Bu çerez raw key içermez; aynı linkte aynı cihaz veya oturumu tanımaya yardımcı olan rastgele bir değerin hashlenmiş kullanımına dayanır.

Public claim sayfası sessionStorage içinde raw kod saklamaz. Aynı tarayıcı oturumunda yalnızca claim metadata tutulabilir; alıcı raw kodu kopyalamadan sayfayı kapatırsa ve owner tekrar gösterimi kapattıysa raw kod tekrar gösterilmeyebilir.

Kod oluşturma, güncelleme, silme, gösterme, kopyalama, public link oluşturma, public claim, public redeem, oturum açma ve benzeri önemli işlemler audit kaydı oluşturabilir. Audit kayıtları owner tarafında görünürlük, hata analizi ve güvenlik takibi için kullanılır.

Audit metadata içinde raw key, token, secret, password gibi hassas alanlar yazılmamaya çalışılır. Buna rağmen kullanıcıların not ve başlık alanlarına hassas veri koymaması gerekir; bu alanlar uygulama işlevleri için metin olarak saklanabilir ve owner ekranlarında görünebilir.

Vultkey kimlik doğrulama ve veritabanı için Supabase kullanır. Rate limit ve kısa süreli abuse koruması için Upstash Redis kullanılabilir. Production kurulumunda gizli anahtarlar yalnızca server-side ortam değişkenlerinde tutulmalıdır ve hiçbir gizli anahtar `NEXT_PUBLIC_` prefixiyle yayınlanmamalıdır.

Self-host kurulumlarında Supabase, Upstash, hosting sağlayıcısı, domain, yedekleme, log saklama ve erişim politikaları kurulumu yapan kişinin sorumluluğundadır. Vultkey açık kaynak kodunu sağlayabilir, ancak self-host ortamındaki verinin nasıl işlendiği o ortamın sahibine bağlıdır.

Kasa kayıtları ve claim geçmişi uygulama özellikleri için saklanır. Public claim geçmişi, key sonradan silinse bile tekrar alma korumasının çalışabilmesi için korunabilir; bu durumda silinen keyin raw değeri değil, claim geçmişi ve snapshot metadata kalabilir.

Hesap silme işlemi uygulama verilerini kaldırmak için tasarlanmıştır. Bazı güvenlik, audit veya altyapı kayıtları teknik olarak kısa süre daha kalabilir. Self-host kullanıyorsan yedekler, migration geçmişi ve veritabanı retention politikaları senin ortamında ayrıca yönetilmelidir.

Vultkey raw keyleri açık metin olarak saklamamaya, public linklerde claim limitlerini sıkı uygulamaya ve hassas işlemleri server tarafında yürütmeye odaklanır. Yine de beta bir ürün olduğu için kritik şirket sırları, yüksek değerli production credentialları veya regülasyon gerektiren veriler için kendi risk değerlendirmeni yapman gerekir.

Güçlü parola kullanmak, OAuth hesaplarını korumak, public linkleri doğru kişilerle paylaşmak, raw key görünürlüğünü dikkatli ayarlamak ve self-host ortamındaki environment variable güvenliğini sağlamak kullanıcı sorumluluğundadır.