Gizlilik Politikası

ModSigner – Chrome Uzantısı
Son güncelleme: 2025-08-25

1) Kapsam

Bu politika, PKCS#11 Signer Chrome uzantısının (bundan sonra “Uzantı”) hangi verileri nasıl işlediğini açıklar. Uzantı; PKCS#11 uyumlu akıllı kart/USB e-imza tokenlarını bulur ve listeler, sertifika bilgilerini gösterir ve yalnızca izin verdiğiniz alan adlarından (whitelist) gelen kullanıcı onaylı taleple belge imzalama işlemi yapar.

Sorumlu taraf: Modsoft Bilişim Teknolojileri ve Arge San.Tic.Ltd.Şti (“Biz”).
İletişim: [email protected] (gizlilik/ihlal bildirimleri için).

2) Topladığımız veriler

  • Sunucularımıza KİŞİSEL VERİ göndermeyiz.
  • Uzantı herhangi bir analitik, reklam, parmak izi çıkarma (fingerprinting) veya izleme mekanizması kullanmaz.
  • Uzaktan kod çalıştırma (remotely hosted JS/Wasm) yoktur.

3) Cihazda/yerelde işlenen veriler

Uzantı, aşağıdaki verileri yalnızca cihazınızda işler/görüntüler:

  • Token & Sertifika bilgileri: Sertifika öznesi (CN/Ad-Soyad), geçerlilik başlangıç/bitiş, TCKN (varsa sertifika alanlarından), Sertifika seri no, üretici/sağlayıcı adı.
  • Belge/özet (hash): İmzalama akışında belge ya da belge özeti, yerelde Uzantı ↔ yerel köprü (nativeMessaging ile .exe) ↔ token arasında işlenir. Özel anahtar cihazı terk etmez.
  • Bu bilgiler harici bir sunucuya gönderilmez; yalnızca akışı başlatan web sayfasına (aynı cihazda) imzalama sonucu geri iletilir.

Not: İmzayı tetikleyen web sitesi kendi gizlilik politikasına tabidir; söz konusu siteye verdiğiniz veriler üzerinde Uzantı kontrol sahibi değildir.

4) Saklanan veriler (Chrome Storage)

Aşağıdaki tercihler Chrome’un sağladığı depolamada saklanır:

  • Varsayılan token indeksi (default_token_idx)
  • Tema tercihi (theme)
  • Diğer küçük arayüz ayarları

Bu tercihler siz silene kadar saklanır. Chrome Sync açıksa, tercihler Google hesabınızla cihazlarınız arasında senkronize edilebilir (Google’ın şifreleme/hesap ayarlarına tabidir). Belge içerikleri, sertifika içeriği veya hassas veriler saklanmaz.

5) Verilerin paylaşımı/aktarımlar

  • Biz veya Uzantı, kişisel verileri üçüncü taraflarla paylaşmaz.
  • Uluslararası aktarım yapılmaz; tüm işlem cihazınızdadır.

6) Güvenlik

  • İmza üretimi yereldir; özel anahtar kart/cihaz dışına çıkmaz.
  • Uzantı yalnızca whitelist’e eklediğiniz kökenlerden gelen istekleri kabul eder ve kullanıcı onayı ister.
  • Yerel köprü uygulaması (.exe) ile iletişim nativeMessaging/stdio üzerinden yapılır.
  • Cihazınızdaki kart sürücüleri/PKCS#11 kütüphaneleri üçüncü taraf yazılımlardır; güvenlik ve güncelliklerinden siz sorumlusunuz.

7) İzinler ve amaçları

  • storage – Kullanıcı tercihlerini (varsayılan token, tema vb.) saklamak için.
  • externally_connectableSadece sizin tanımladığınız güvenilir alan adlarından gelen mesajlarla imzalama akışını başlatmak için.
  • nativeMessaging – Yerel köprü uygulamasıyla konuşarak imza işlemini cihazda gerçekleştirmek için.

Host izinleri (site erişimi) istemiyorsak sayfaya betik enjekte edilmez. Eğer belirli alan adlarına host izni veriyorsanız, bu yalnızca imzalama akışını yönetmek içindir; <all_urls> kullanılmaz.

8) Yasal dayanak ve haklar (KVKK/GDPR bilgilendirmesi)

Uzantı sunucularımıza veri göndermediği için veri sorumlusu olarak işlediğimiz kişisel veri yoktur.
Yerelde tutulan tercihler, hizmeti sunmak ve kullanım deneyimini geliştirmek için meşru menfaat kapsamında cihazınızda saklanır.
Her zaman:

  • Uzantıyı kaldırabilir,
  • Chrome ayarlarından eklenti verilerini temizleyebilir,
  • Bize [e-posta] üzerinden ulaşabilirsiniz.

9) Çocukların gizliliği

Uzantı çocukları hedeflemez ve 13/16 yaş altına yönelik değildir.

10) Değişiklikler

Bu politika güncellenebilir. “Son güncelleme” tarihi yukarıdadır. Önemli değişiklikleri yayın notlarında belirtiriz.

11) İletişim

Sorularınız için: Modsoft Bilişim Teknolojileri ve Arge San.Tic.Ltd.Şti – [email protected].