1) Tek Amaç

Jalre Time Tracker'ın tek amacı, Jira issue sayfalarında geçen süreyi ölçmek ve bu süreyi Jira worklog olarak kaydetmektir. Tüm ek özellikler (haftalık takvim, raporlar, çalışma günleri, resmi tatil göstergesi, günlük özet bildirimi) bu tek amacı desteklemek için vardır.

2) Hangi Verileri İşliyoruz

• Kullanıcının girdiği veriler: Worklog yorumu (opsiyonel), kaydettiğiniz JQL preset'leri, takvim ayarları (çalışma günleri, günlük hedef, otomatik kayıt aralığı, maks. zamanlayıcı süresi, resmi tatil için ülke), rapor sütun seçimi, dil tercihi.
• Jira issue bağlamı: Issue anahtarı, özeti, üst görev özeti, statü, issue type'ı, proje adı, transitions — gerektiğinde Jira REST API'sinden anlık olarak çekilir. Yalnızca kendi kullanıcınızın worklog'ları sorgulanır (worklogAuthor = currentUser() filtresi).
• Zamanlayıcı durumu: Issue anahtarı, domain, çalışıyor/duruyor durumu, başlangıç zaman damgası, biriken saniyeler, opsiyonel yorum, opsiyonel canlı-worklog ID'si ve çoklu cihazda çift kayıt önlemek için kullanılan oturum-içi UUID.
• Hesap tanımlayıcı: /rest/api/3/myself üzerinden Atlassian accountId ve görünen ad. Yalnızca kendi worklog'larınıza filtre uygulamak ve kendi Jira user property'lerinizi okumak/yazmak için kullanılır. Bellekte en fazla 5 dakika önbelleklenir.
• Avatar URL'si: Jira'dan döner; yalnızca *.atlassian.net, *.atlassian.com veya *.gravatar.com hostname'lerine uyarsa gösterilir.
• Yerel tanılama: En fazla 500 log girişi (zamanlayıcı olayları, sync sonuçları, hatalar). Bearer-style token'lar, Atlassian PAT'leri (ATATT…) ve e-mail adresleri yazılmadan önce otomatik olarak gizlenir. HTTP request/response gövdeleri yayınlanmış sürümde loglanmaz; yalnızca paketlenmemiş geliştirici sürümünde Verbose mod açılırsa kaydedilir.
• Toplamadığımız veriler: Parola, API token, OAuth token, analytics olayları, telemetri, tracking piksel, üçüncü taraf çerez, reklam tanımlayıcısı veya tarama geçmişi yok.

3) Verileri Nasıl Kullanıyoruz

• Zamanlayıcıyı başlatmak, duraklatmak, bitirmek ve issue bazında süre tutmak için.
• Jira worklog oluşturmak veya güncellemek için (mevcut tarayıcı oturumunuz kullanılır).
• Sizin talebinizle, seçilen tarih veya tarih aralığındaki worklog'larınızı listelemek için.
• Haftalık takvim görünümü ve CSV / JSON / HTML raporları üretmek için — tamamen istemci tarafında.
• Kendi cihazlarınız arasında ayarlarınızı Jira User Property üzerinden eşitlemek için (aşağıda anlatılıyor).
• Tarayıcı izin verirse her gün 17:00'da günlük özet bildirimi göstermek için.
• Uzantı sorunlarını tanılamak amacıyla yerel log yazmak için (en fazla 500 giriş).

Veriler; reklam, profilleme, makine öğrenmesi eğitimi veya açıklanan amaç dışı analytics için kullanılmaz.

4) Veriler Nerede Tutulur

Jalre, verileri tamamen sizin kontrolünüzde olan üç yerde saklar:

Geçiş notu: Önceki sürümler chrome.storage.sync (Google hesap senkronizasyonu) kullanıyordu. v1.1.1 itibarıyla bu tamamen kaldırıldı; böylece projeye ait veriler Google'ın sync altyapısından geçmiyor. Geniş kapsamlı tabs izni de v1.1.2'de kaldırıldı.

5) Verileri Kimlerle Paylaşıyoruz

Uzantı, verileri yalnızca işlevini gerçekleştirmek için gereken taraflarla paylaşır:

• Atlassian (sizin Jira ortamınız): Tüm worklog okuma / yazma, statü transition'ları ve user-property okuma / yazma işlemleri, mevcut tarayıcı oturum çerezinizi kullanarak https://*.atlassian.net'e gider.
• date.nager.at (opsiyonel): Yalnızca "Resmi Tatil" anahtarını açıp bir ülke seçerseniz, takvim o ülkenin resmi tatil listesini https://date.nager.at/api/v3/PublicHolidays/<yıl>/<ISO-ülke> adresinden çeker. Kişisel veri gönderilmez; yalnızca yıl ve iki harfli ülke kodu gider. Anahtar varsayılan olarak kapalıdır. Agresif önbellekleme: Yanıtlar chrome.storage.local içinde tek bir jalre_holiday_cache girişi altında, ülke + yıl anahtarlı ve her giriş için bağımsız 30 gün TTL ile saklanır. A ülkesinden B'ye geçip tekrar A'ya dönerseniz A için önbelleğe alınan veriler yeniden kullanılır (ekstra API çağrısı yok). Cache HIT/MISS olayları yerel log'a düşer, böylece hangi ülke/yıl için API'ye gidildiği görülebilir.
• Chrome / Google: Yalnızca cihazınızda çalışan Chrome Extension API'leri (storage, alarms, notifications, i18n) aracılığıyla. Google'a Jalre'ye özel veri gönderilmez.

Hiçbir veri satılmaz, veri brokerlarına aktarılmaz, kişiye özel reklam veya kredi değerlendirmesi için kullanılmaz. Jalre'ye ait bir sunucu yoktur. Not: Geniş kapsamlı tabs izni v1.1.2'de kaldırıldı — Jalre artık yalnızca *.atlassian.net için tanımlı host_permissions ile çalışır, dolayısıyla Jira dışı sekmelerin URL veya başlıklarını görme yetkisi yoktur.

6) İzinler ve Gerekçeleri

7) Kimlik Doğrulama

• Jalre OAuth, parola saklama veya API-token saklama uygulamaz.
• Tüm Jira API çağrıları, sizin zaten Jira'ya giriş yaptığınız bir sekmedeki content script içinde çalışır ve standart fetch(..., { credentials: 'include' }) ile o sekmenin oturum çerezini kullanır.
• Tarayıcıda Jira'dan çıkış yaptığınız anda, tekrar giriş yapana kadar uzantı erişimi kaybeder.

8) Veri Saklama Süreleri

• Yerel depolama girişleri; uzantıyı kaldırana, chrome://extensions üzerinden uzantı verisini temizleyene veya uygulama içi "Jira Konfigürasyonunu Sil" / "Logları Temizle" eylemlerini kullanana kadar saklanır.
• Yerel loglar en fazla 500 giriş ile sınırlıdır; eski girişler otomatik düşer.
• chrome.storage.session önbelleği tarayıcı kapanınca silinir.
• Jira tarafındaki worklog verisi ve user property'ler, Atlassian politikalarına ve kuruluşunuzun konfigürasyonuna göre saklanır. Jalre, Jira tarafındaki saklama sürelerini kontrol etmez.

9) Uzak Kod Politikası

Uzantı uzaktan kod yükleyip çalıştırmaz (uzaktan JavaScript, uzaktan WebAssembly veya kod olarak enjekte edilen uzak stil yok). Tüm çalıştırılabilir kod uzantı paketinin içindedir ve Chrome Web Store tarafından incelenir. Content Security Policy script-src 'self', object-src 'none' ve connect-src yalnızca yukarıdaki iki host kalıbı ile sınırlıdır.

10) Güvenlik Önlemleri

• Girdi doğrulama: Issue anahtarları, Jira domain'leri, worklog ID'leri, JQL sorguları ve içe aktarılan ayar dosyaları, herhangi bir API çağrısından önce katı regex / şema doğrulayıcılarından geçer.
• Prototype-pollution savunması: JSON dosyalarından içe aktarılan ayarlar, anahtar whitelist'i ve null-prototype hedef objesi üzerinden filtrelenir; tehlikeli anahtarlar (__proto__, constructor, prototype) doğrudan reddedilir.
• JQL injection savunması: Tüm arama çağrılarından önce uzunluk sınırı ve blacklist kontrolü uygulanır.
• API allow-list: Jira'ya yalnızca /rest/api/2/ veya /rest/api/3/ ile başlayan path'lere izin verilir.
• Log temizleme: Bearer token'lar, Atlassian PAT'leri (ATATT…) ve e-mail adresleri, log girişlerine yazılmadan önce maskelenir. Yayınlanan sürümlerde request / response gövdeleri loglanmaz. Logları dışa aktarmadan önce içerik hassasiyeti hakkında uyarılırsınız.
• Origin kontrolleri: Content script yalnızca bu uzantıdan gelen mesajları kabul eder; background service worker yalnızca aynı uzantı kimliğinden gelen mesajları kabul eder.
• Avatar URL whitelist: Yalnızca *.atlassian.net, *.atlassian.com veya *.gravatar.com üzerindeki HTTPS avatar URL'leri görüntülenir.
• Bağımsız audit: Tam statik-analiz güvenlik denetimi gerçekleştirilmiştir; rapor kaynak kodla birlikte docs/SECURITY_AUDIT_REPORT.md dosyasında yayınlanmıştır.

11) Kullanıcı Hakları ve Seçimler

İstediğiniz zaman şunları yapabilirsiniz:

• Uzantıyı kaldırın; bu, chrome.storage.local verisini siler.
• Uygulama içindeki Jira Konfigürasyonunu Sil butonu ile Jira user-property tarafını temizleyin.
• Loglar sayfasından yerel tanılama loglarını temizleyin.
• date.nager.at ile herhangi bir iletişimi durdurmak için "Resmi Tatil" anahtarını kapatın.
• Tarayıcı düzeyinde bildirim iznini istediğiniz an iptal edin.

Sorularınız veya itirazlarınız için: mustafa@onderyazilim.com.

12) Politika Değişiklikleri

Bu politika, uzantı geliştikçe güncellenebilir. Geçerli sürüm yukarıdaki "Son güncelleme" ve "Sürüm" alanlarında gösterilir.

13) Chrome Web Store User Data Policy Beyanı

Jalre Time Tracker, Chrome Web Store Limited Use of User Data gereksinimlerine uygundur. Uzantının işlediği tüm veriler, yalnızca 1. bölümde belirtilen tek amacı yerine getirmek için kullanılır, kullanıcının kendi tarayıcısında işlenir ve kullanıcının giriş yaptığı Atlassian ortamı dışında hiçbir üçüncü tarafa aktarılmaz. Uzantı, Chrome Web Store'da bu sayfada yayınlanmaktadır.