CycleOps Mobile — Gizlilik Politikası
CycleOps Mobile uygulaması ("Uygulama"), CycleOps Bilişim Teknolojileri tarafından geliştirilmiştir ve kurumsal müşterilerin Bilgi Teknolojileri (BT) personelinin sahada yönetim operasyonlarını gerçekleştirmesi için tasarlanmıştır. Bu Gizlilik Politikası, Uygulama'yı kullanırken hangi verilerin işlendiğini, hangi amaçlarla kullanıldığını, kimlerle paylaşıldığını ve haklarınızı açıklar.
Bu politika, Kişisel Verilerin Korunması Kanunu (KVKK — Kanun No: 6698) ile Apple App Store Review Guidelines Privacy Disclosure gereksinimlerine uygun olarak hazırlanmıştır.
1. Veri Sorumlusu
CycleOps Mobile, çok kiracılı (multi-tenant) mimaride çalışır. Her kurumsal müşteri (kiracı) kendi sunucu altyapısında bağımsız bir kurulum işletir. Bu nedenle veri sorumlusu kullanıcının çalıştığı kurumdur (Uygulama'da girdiği "firma kodu" ile bağlandığı kuruluş). CycleOps Bilişim Teknolojileri yalnızca yazılım sağlayıcısı konumundadır ve kullanıcı verilerini doğrudan toplamaz, depolamaz veya işlemez.
İstisna: Apple Push Notification Service (APNs) için gerekli push token, CycleOps'un Expo Push altyapısından geçer (aşağıda detaylandırılmıştır).
İletişim:
- E-posta: support@cycleops.ai
- Web: https://cycleops.ai
2. Toplanan Veriler
2.1. Kimlik ve Kullanım Verileri
| Veri | Açıklama | İşleme Amacı |
|---|---|---|
| Kullanıcı Adı | Active Directory (AD) hesap adı | Kurumsal sisteme oturum açma |
| Görünen Ad | AD displayName alanı | Arayüzde kullanıcıyı tanımlama |
| Profil Fotoğrafı | AD thumbnailPhoto alanı | Arayüzde avatar gösterimi |
| Unvan / Departman | AD title / department | Arayüzde kullanıcı bilgisi |
2.2. Cihaz ve Bağlantı Verileri
| Veri | Açıklama | İşleme Amacı |
|---|---|---|
| Push Token | Apple Push Notification Service token | Bildirim gönderimi |
| Cihaz Modeli | iPhone / iPad model adı | Yönetici panelinde envanter |
| iOS Sürümü | İşletim sistemi sürümü | Uyumluluk kontrolü |
| Uygulama Sürümü | CycleOps Mobile sürümü | Sürüm bazlı destek |
| Cihaz Adı | Kullanıcının cihazına verdiği ad | Yönetici panelinde tanımlama |
| Jailbreak Durumu | Cihazın jailbreak'li olup olmadığı | Güvenlik politikası uygulaması |
| Son Görülme Zamanı | Uygulamanın son açılış zamanı | Aktif cihaz takibi |
| Dil Tercihi | TR / EN | Bildirim dili ayarlama |
2.3. İşlem ve Onay Verileri
| Veri | Açıklama | İşleme Amacı |
|---|---|---|
| MFA Onay Talepleri | RDP/şifre sıfırlama/sunucu erişimi onayları | Çok faktörlü kimlik doğrulama |
| Talep Onayları | Kurumsal iş akışı onayları | Yetkilendirme süreçleri |
| Destek Talepleri | Açılan/yorum yapılan ticket'lar | Destek yönetimi |
| IP Adresi (kaynak) | Onaylanan işlemin geldiği IP | Audit log + güvenlik takibi |
2.4. Biyometrik Veri
Uygulama, hassas işlem onayları için cihazınızın Touch ID / Face ID sistemini kullanır. Biyometrik veri cihazınızdan dışarı çıkmaz, CycleOps sunucularına gönderilmez. Yalnızca yerel doğrulama sonucu (başarılı/başarısız) işleme alınır.
2.5. Kamera
Uygulama, "QR Tara" özelliği için kameranızı kullanır. Çekilen görüntüler kaydedilmez ve sunucuya gönderilmez. Yalnızca QR kod içeriği yerel olarak işlenir.
3. Veri İşleme Amaçları
- Kurumsal sistemlere güvenli oturum açma (kimlik doğrulama)
- Çok faktörlü kimlik doğrulama (MFA) — RDP, şifre sıfırlama gibi hassas işlemlerin onaylanması
- Push bildirimleri ile onay isteklerinin iletilmesi
- Kurumsal iş akışı onayları (talep yönetimi)
- Destek talebi açma ve takibi
- Cihaz envanter yönetimi
- Audit log (denetim izi) tutma — KVKK Madde 12 uyumluluğu
4. Veri Saklama Süresi
- Push token, cihaz meta verileri: Kullanıcı uygulamayı sildiği veya hesabı kapatıldığı sürece korunur.
- MFA onay kayıtları: Audit log içinde 2 yıl saklanır.
- Destek talepleri: Kapatıldıktan sonra 5 yıl saklanır (yasal yükümlülük).
- Oturum (JWT) token: Cihaz hafızasında saklanır, çıkış yapıldığında silinir.
- AD profil fotoğrafı / display_name: Cihaz yerel önbelleğinde (AsyncStorage) şifrelenmiş olarak tutulur, kullanıcı çıkış yaptığında silinir.
5. Üçüncü Taraflarla Paylaşım
CycleOps Mobile, kullanıcı verilerini ticari amaçla üçüncü taraflarla paylaşmaz. Aşağıdaki teknik servisler kullanılır:
| Servis | Amaç | Veri |
|---|---|---|
| Apple Inc. | Push Notification Service (APNs) | Push token, bildirim içeriği |
| Expo Inc. | Push gönderim altyapısı | Push token, bildirim metadata |
| Cloudflare Inc. | Tunnel + TLS sertifikası | HTTPS bağlantı şifreleme |
Bu servislerin gizlilik politikaları:
- Apple: https://www.apple.com/legal/privacy/
- Expo: https://expo.dev/privacy
- Cloudflare: https://www.cloudflare.com/privacypolicy/
6. Veri Güvenliği
- Tüm sunucu iletişimi TLS 1.2+ ile şifrelenir
- Şifreler bcrypt ile hashlenir, asla düz metin saklanmaz
- JWT token'lar HS256/RS256 ile imzalanır
- Hassas işlemler için biyometrik onay zorunludur
- AD profil fotoğrafı erişimi için hash tabanlı opak URL kullanılır (enumeration koruması)
- Cihaz jailbreak tespit edildiğinde kurumsal politika gereği erişim kısıtlanabilir
- DMZ topolojisi: Mobil uygulama internet → DMZ Portal → İç ağ (tek yönlü güven)
7. Kullanıcı Hakları (KVKK Madde 11)
- Bilgi alma hakkı — Kişisel verilerinizin işlenip işlenmediğini öğrenme
- Erişim hakkı — İşlenmişse hangi verilerinizin işlendiğine dair bilgi talep etme
- Düzeltme hakkı — Eksik veya yanlış işlenmiş verilerinizin düzeltilmesini isteme
- Silme hakkı (Right to be Forgotten) — Verilerinizin silinmesini talep etme
- Aktarımı engelleme hakkı — Üçüncü taraflara aktarılmasına itiraz etme
- Otomatik karar verme süreçlerine itiraz — Otomatik analiz ile alınan kararlara itiraz
Bu haklarınızı kullanmak için:
- Çalıştığınız kurum: Kurumsal IT departmanınızla iletişime geçin
- CycleOps yazılım kaynaklı: support@cycleops.ai
8. Hesap Silme (Account Deletion)
Apple App Store Guidelines 5.1.1(v) gereği:
Uygulama içinden hesap silme: Profile → "Hesabımı Sil" yolundan silme talebi oluşturabilirsiniz. Bu talep:
- Uygulamadan otomatik olarak çıkış yapar
- Cihaz yerel verilerinizi siler (token + cache)
- Kurumunuzun IT departmanına bir support talebi oluşturur
Doğrudan kurumsal kanal: Çalıştığınız kurumun IT departmanına başvurarak Active Directory hesabınızla birlikte CycleOps sistemindeki tüm verilerinizin silinmesini talep edebilirsiniz.
CycleOps yazılım sağlayıcısı kanalı: support@cycleops.ai adresine yazarak destek alabilirsiniz.
Silme işlemi 30 gün içinde tamamlanır.
9. Çocukların Verileri
CycleOps Mobile, 13 yaş altı çocuklara yönelik bir uygulama değildir. Kurumsal IT personeli içindir. 13 yaş altı kullanıcı verilerini bilerek toplamayız.
10. Uluslararası Veri Transferi
Veriler Türkiye'deki müşteri sunucularında işlenir. Apple Push Notification Service ve Expo Push altyapısı uluslararası sunucular kullanır (AB ve ABD). Bu transferler KVKK Madde 9 ve GDPR Madde 46 (Standard Contractual Clauses) uyumludur.
11. Politika Değişiklikleri
- Uygulama içinde bildirim ile duyurulur
- https://cycleops.ai/privacy.html adresinde güncel sürüm tutulur
- Yürürlük tarihi her güncellemeyle birlikte değişir
12. İletişim
- E-posta: support@cycleops.ai
- Web: https://cycleops.ai
CycleOps Mobile — Privacy Policy
The CycleOps Mobile application ("App"), developed by CycleOps Bilişim Teknolojileri, is designed for IT personnel of corporate customers to perform management operations in the field. This Privacy Policy explains what data is processed when you use the App, for what purposes, with whom it is shared, and your rights.
This policy is prepared in compliance with Turkish Personal Data Protection Law (KVKK — Law No: 6698), EU General Data Protection Regulation (GDPR), and Apple App Store Review Guidelines Privacy Disclosure requirements.
1. Data Controller
CycleOps Mobile operates in a multi-tenant architecture. Each corporate customer (tenant) runs an independent installation on their own server infrastructure. Therefore, the data controller is the organization the user works for. CycleOps Bilişim Teknolojileri is only a software provider and does not directly collect, store, or process user data.
Exception: Push tokens for Apple Push Notification Service (APNs) pass through CycleOps's Expo Push infrastructure.
Contact:
- Email: support@cycleops.ai
- Web: https://cycleops.ai
2. Data Collected
2.1. Identity and Usage Data
| Data | Description | Purpose |
|---|---|---|
| Username | Active Directory (AD) account name | Login to corporate system |
| Display Name | AD displayName field | User identification in UI |
| Profile Photo | AD thumbnailPhoto field | Avatar display in UI |
| Title / Department | AD title / department | User info in UI |
2.2. Device and Connection Data
| Data | Description | Purpose |
|---|---|---|
| Push Token | Apple Push Notification Service token | Notification delivery |
| Device Model | iPhone / iPad model name | Device inventory in admin panel |
| iOS Version | Operating system version | Compatibility check |
| App Version | CycleOps Mobile version | Version-based support |
| Device Name | User-assigned device name | Identification in admin panel |
| Jailbreak Status | Whether device is jailbroken | Security policy enforcement |
| Last Seen | Last app open time | Active device tracking |
| Language Preference | TR / EN | Notification language setting |
2.3. Transaction and Approval Data
| Data | Description | Purpose |
|---|---|---|
| MFA Approval Requests | RDP / password reset / server access approvals | Multi-factor authentication |
| Request Approvals | Corporate workflow approvals | Authorization processes |
| Support Tickets | Opened/commented tickets | Support management |
| Source IP Address | IP of the approved operation | Audit log + security tracking |
2.4. Biometric Data
The App uses your device's Touch ID / Face ID system for sensitive operation approvals. Biometric data never leaves your device, is never sent to CycleOps servers. Only the local verification result (success/failure) is processed.
2.5. Camera
The App uses your camera for the "QR Scan" feature. Captured images are not stored or sent to servers. Only the QR code content is processed locally.
3. Data Processing Purposes
- Secure login to corporate systems (authentication)
- Multi-factor authentication (MFA)
- Delivery of approval requests via push notifications
- Corporate workflow approvals (request management)
- Support ticket creation and tracking
- Device inventory management
- Audit log keeping — KVKK Article 12 / GDPR Article 30 compliance
4. Data Retention Period
- Push token, device metadata: Retained as long as the user keeps the app installed.
- MFA approval records: Retained for 2 years in audit log.
- Support tickets: Retained for 5 years after closure (legal obligation).
- Session (JWT) token: Stored in device memory, deleted on logout.
- AD profile photo / display_name: Encrypted in device local cache, deleted on logout.
5. Third-Party Sharing
CycleOps Mobile does not share user data with third parties for commercial purposes. The following technical services are used:
| Service | Purpose | Data |
|---|---|---|
| Apple Inc. | Push Notification Service (APNs) | Push token, notification content |
| Expo Inc. | Push delivery infrastructure | Push token, notification metadata |
| Cloudflare Inc. | Tunnel + TLS certificate | HTTPS connection encryption |
6. Data Security
- All server communication encrypted with TLS 1.2+
- Passwords hashed with bcrypt
- JWT tokens signed with HS256/RS256
- Biometric approval mandatory for sensitive operations
- Hash-based opaque URLs for AD profile photo access (enumeration protection)
- Access restricted on jailbroken devices per corporate policy
- DMZ topology: Mobile internet → DMZ Portal → Internal network
7. User Rights (KVKK Article 11 / GDPR Articles 15-22)
- Right to information
- Right of access
- Right to rectification
- Right to erasure (Right to be Forgotten)
- Right to restrict processing
- Right to object to automated decision-making
To exercise these rights:
- Your organization: Contact your corporate IT department
- CycleOps software-related: support@cycleops.ai
8. Account Deletion
Per Apple App Store Guidelines 5.1.1(v):
In-app account deletion: Profile → "Delete My Account":
- Automatically logs you out
- Deletes local device data
- Creates support ticket with your organization's IT
Corporate channel: Contact your IT department to delete your AD account + all CycleOps data.
CycleOps channel: support@cycleops.ai
Deletion completed within 30 days.
9. Children's Data
CycleOps Mobile is not intended for children under 13. It is for corporate IT personnel.
10. International Data Transfer
Data processed on customer servers in Turkey. APNs and Expo Push use international servers (EU/US) compliant with KVKK Article 9 and GDPR Article 46.
11. Policy Changes
- Announced via in-app notification
- Current version at https://cycleops.ai/privacy.html
12. Contact
- Email: support@cycleops.ai
- Web: https://cycleops.ai