Kurumsal Düzeyde Güvenlik

Veri güvenliğiniz en önemli önceliğimizdir. Kapsamlı güvenlik önlemlerimiz, uyumluluk standartlarımız ve hassas bilgilerinizi nasıl koruduğumuz hakkında bilgi edinin.

AES-256 Şifreleme

Bekleyen ve aktarılan tüm veriler için askeri düzeyde şifreleme

SOC 2 Uyumlu

Denetlenmiş güvenlik kontrolleri ve uyumluluk standartları

99.9% Çalışma Süresi SLA

Otomatik yük devretme ve yedeklemelerle güvenilir altyapı

Veri Şifreleme

Askeri düzeyde şifreleme, verilerinizi her seviyede korur

Bekleyen Veri Şifrelemesi

  • AES-256 Şifreleme: Veritabanlarımızda saklanan tüm veriler, 256-bit anahtarlarla Gelişmiş Şifreleme Standardı kullanılarak şifrelenir
  • Veritabanı Şifrelemesi: Firebase Firestore, saklanan tüm veriler için otomatik bekleyen veri şifrelemesi sağlar
  • Biyometrik Veriler: Parmak izi verileri SHA-256 kullanılarak hash'lenir ve şifreli formatta saklanır, bu da tersine mühendisliği imkansız hale getirir
  • Yedek Şifrelemesi: Tüm yedeklemeler aynı AES-256 standardıyla şifrelenir
  • Dosya Depolama: Yüklenen dosyalar (raporlar, belgeler) depolamadan önce şifrelenir

Aktarımda Şifreleme

  • TLS 1.3: Tarayıcınız ve sunucularımız arasında aktarılan tüm veriler Aktarım Katmanı Güvenliği 1.3 kullanır
  • Her Yerde HTTPS: Tüm platformumuz HSTS etkin HTTPS üzerinden çalışır
  • API Güvenliği: Tüm API çağrıları güvenli tokenlar kullanılarak şifrelenir ve doğrulanır
  • Sertifika Sabitleme: Mobil uygulamalarımız ortadaki adam saldırılarını önlemek için sertifika sabitleme kullanır

Anahtar Yönetimi

  • Google Cloud KMS: Şifreleme anahtarları Google Cloud Key Management Service tarafından yönetilir
  • Anahtar Rotasyonu: Şifreleme anahtarları her 90 günde bir otomatik olarak döndürülür
  • Erişim Kontrolleri: Yalnızca yetkili sistemler tam denetim kayıt tutma ile şifreleme anahtarlarına erişebilir
  • Donanım Güvenlik Modülleri (HSM): Anahtarlar FIPS 140-2 Seviye 3 sertifikalı HSM'lerde saklanır

Kimlik Doğrulama ve Erişim Kontrolü

Hesap erişimini korumak için çok katmanlı güvenlik

İki Faktörlü Kimlik Doğrulama (2FA)

  • TOTP Desteği: Google Authenticator, Authy veya benzer uygulamalar aracılığıyla Zamana Dayalı Tek Kullanımlık Şifreler
  • E-posta 2FA: E-posta doğrulama kodları aracılığıyla alternatif 2FA
  • Zorunlu 2FA: Kuruluşlar tüm kullanıcılar için 2FA'yı zorunlu kılabilir
  • Yedek Kodlar: Kimlik doğrulayıcı cihaz kaybı durumunda kurtarma kodları sağlanır

Şifre Güvenliği

  • Bcrypt Hash'leme: Tüm şifreler tuzlu bcrypt kullanılarak hash'lenir
  • Şifre Politikaları: Minimum 8 karakter, karmaşıklık gereksinimleri uygulanır
  • İhlal Tespiti: Şifreler bilinen ihlal veritabanlarına (Have I Been Pwned) karşı kontrol edilir
  • Hız Sınırlama: Başarısız giriş denemeleri kaba kuvvet saldırılarını önlemek için hız sınırlaması yapılır
  • Oturum Yönetimi: Hareketsizlikten sonra otomatik oturum kapatma, yapılandırılabilir zaman aşımı süreleri

Rol Tabanlı Erişim Kontrolü (RBAC)

  • Ayrıntılı İzinler: Farklı kullanıcı rolleri (Yönetici, Müdür, Çalışan) için ince taneli erişim kontrolleri
  • En Az Ayrıcalık İlkesi: Kullanıcılar yalnızca rolleri için gerekli verilere erişebilir
  • Organizasyon İzolasyonu: Çok kiracılı mimari, kuruluşlar arasında tam veri izolasyonu sağlar
  • Denetim Kayıtları: Tüm erişim ve izin değişiklikleri kaydedilir ve izlenir

Firebase Kimlik Doğrulama

  • Endüstri Standardı: Google'ın Firebase Authentication platformu tarafından desteklenir
  • OAuth 2.0: OAuth 2.0 ile sosyal giriş sağlayıcıları (Google, Microsoft) desteği
  • E-posta Doğrulama: Tüm yeni hesaplar için zorunlu e-posta doğrulaması
  • Hesap Kurtarma: Süre sınırlı tokenlarla e-posta yoluyla güvenli şifre sıfırlama

Altyapı Güvenliği

Küresel yedeklilikle kurumsal düzeyde bulut altyapısı

Bulut Altyapısı

  • Google Cloud Platform: ISO 27001, SOC 2 ve SOC 3 sertifikalarına sahip Google Cloud üzerinde barındırılır
  • Çok Bölgeli Dağıtım: Yedeklilik için birden fazla coğrafi bölgeye yayılmış veri replikasyonu
  • Otomatik Ölçekleme: Altyapı, trafik artışlarını işlemek için otomatik olarak ölçeklenir
  • DDoS Koruması: Google Cloud Armor otomatik DDoS azaltma sağlar
  • Ağ İzolasyonu: Güvenlik duvarı kuralları ve ağ segmentasyonu ile özel VPC ağları

Kullanılabilirlik ve Güvenilirlik

  • 99.9% Çalışma Süresi SLA: Kesinti için mali kredilerle garantili hizmet kullanılabilirliği
  • Otomatik Yük Devretme: Yedek sistemler arıza durumunda otomatik olarak devreye girer
  • Yük Dengeleme: Optimal performans için birden fazla sunucuya dağıtılan trafik
  • Sağlık İzleme: Anında uyarı ile 7/24 otomatik izleme
  • Olay Müdahalesi: Özel ekip olaylara 15 dakika içinde yanıt verir

Yedekleme ve Felaket Kurtarma

  • Sürekli Yedeklemeler: Firebase otomatik, sürekli veri yedeklemeleri sağlar
  • Zaman Noktası Kurtarma: Son 35 gün içindeki herhangi bir noktaya veriyi geri yükleyin
  • Coğrafi Yedeklilik: Birden fazla coğrafi konumda saklanan yedeklemeler
  • Felaket Kurtarma Planı: 4 saatlik Kurtarma Zamanı Hedefi (RTO) ile kapsamlı DR planı
  • Yedek Testi: Veri bütünlüğünü sağlamak için düzenli yedek geri yükleme testleri

Fiziksel Güvenlik

  • Google Veri Merkezleri: 7/24 güvenlik personeliyle son teknoloji tesisler
  • Biyometrik Erişim: Biyometrik kimlik doğrulama ile kontrol edilen veri merkezi erişimi
  • Video Gözetim: Video kaydı ile sürekli izleme
  • Çevre Kontrolleri: Yangın söndürme, iklim kontrolü ve güç yedekliliği

Uygulama Güvenliği

Güvenli kodlama uygulamaları ve güvenlik açığı yönetimi

Güvenli Geliştirme

  • Güvenli SDLC: Yazılım geliştirme yaşam döngüsünün her aşamasına entegre güvenlik
  • Kod İncelemeleri: Dağıtımdan önce birden fazla geliştirici tarafından tüm kod değişiklikleri incelenir
  • Statik Analiz: Güvenlik açıkları için otomatik kod taraması (SAST)
  • Bağımlılık Taraması: Bilinen güvenlik açıkları için üçüncü taraf kütüphaneler taranır
  • Güvenlik Eğitimi: Tüm geliştirme ekibi üyeleri için düzenli güvenlik eğitimi

Güvenlik Açığı Yönetimi

  • Penetrasyon Testleri: Sertifikalı güvenlik firmaları tarafından yıllık üçüncü taraf penetrasyon testleri
  • Hata Ödül Programı: Güvenlik araştırmacıları için ödüllerle sorumlu açıklama programı
  • Güvenlik Açığı Taraması: Güvenlik açıkları için haftalık otomatik taramalar
  • Yama Yönetimi: 24 saat içinde dağıtılan kritik güvenlik yamaları
  • CVE İzleme: Yaygın Güvenlik Açıkları ve Maruziyetlerin sürekli izlenmesi

OWASP İlk 10 Koruma

  • SQL Enjeksiyonu: Parametreli sorgular ve ORM, SQL enjeksiyon saldırılarını önler
  • XSS Önleme: Girdi temizleme ve İçerik Güvenlik Politikası (CSP) başlıkları
  • CSRF Koruması: Tüm durum değiştirme işlemlerinde Anti-CSRF tokenları
  • Kimlik Doğrulama Kusurları: Firebase Auth aracılığıyla endüstri standardı kimlik doğrulama
  • Güvenlik Yanlış Yapılandırması: Otomatik yapılandırma kontrolleri ve sertleştirme
  • Hassas Veri Maruziyeti: Tüm hassas verilerin şifrelenmesi ve güvenli depolanması

API Güvenliği

  • JWT Tokenları: Son kullanma tarihi olan JSON Web Tokenları kullanarak API kimlik doğrulaması
  • Hız Sınırlama: API hız limitleri kötüye kullanım ve DDoS saldırılarını önler
  • Girdi Doğrulama: Tüm API girdileri doğrulanır ve temizlenir
  • OAuth 2.0: OAuth 2.0 protokolü ile güvenli üçüncü taraf API erişimi

Uyumluluk ve Sertifikalar

Küresel güvenlik ve gizlilik standartlarını karşılama

SOC 2 Type II

Bağımsız üçüncü taraf denetçiler tarafından güvenlik, kullanılabilirlik ve gizlilik kontrollerimizin yıllık denetimleri.

GDPR Uyumluluğu

Veri sahibi hakları ve ihlal bildirimi dahil olmak üzere AB Genel Veri Koruma Yönetmeliği'ne tam uyumluluk.

CCPA Uyumluluğu

Kapsamlı gizlilik kontrolleriyle ABD merkezli müşteriler için Kaliforniya Tüketici Gizlilik Yasası uyumluluğu.

ISO 27001 (GCP)

Altyapı sağlayıcımız (Google Cloud) bilgi güvenliği yönetimi için ISO 27001 sertifikasını sürdürür.

PCI DSS

PCI DSS Seviye 1 uyumlu ödeme işlemcileri aracılığıyla ödeme işleme. Kredi kartı ayrıntılarını asla saklamayız.

HIPAA Hazır

Altyapı, sağlık kuruluşları için HIPAA uyumluluk gereksinimlerini destekler (talep üzerine BAA mevcuttur).

Gizlilik ve Veri Koruma

Şeffaf veri uygulamaları ve kullanıcı gizlilik kontrolleri

Veri Minimizasyonu

  • Yalnızca hizmet işlevselliği için gerekli verileri topluyoruz
  • Pazarlama amaçları için izleme çerezleri yok
  • Biyometrik veriler hash'lenmiş, geri döndürülemez formatta saklanır
  • İsteğe bağlı özellikler belirli veri toplamayı devre dışı bırakmanıza izin verir

Kullanıcı Hakları

  • Erişim Hakkı: Tüm verilerinizi standart formatlarda (CSV, JSON, Excel) dışa aktarın
  • Silme Hakkı: Verilerinizin kalıcı olarak silinmesini talep edin
  • Düzeltme Hakkı: Yanlış veya eksik verileri düzeltin
  • Taşınabilirlik Hakkı: Verileri başka bir hizmet sağlayıcıya aktarın
  • İtiraz Hakkı: Pazarlama iletişimlerinden ve analizlerden çıkın

Veri İşleme Anlaşmaları

  • Standart Sözleşme Maddeleri: Uluslararası veri aktarımları için AB onaylı SCC'ler
  • GDPR Uyumluluğu: GDPR Madde 28 işlemci yükümlülüklerine tam uyumluluk
  • Alt İşlemci Şeffaflığı: Değişiklik bildirimi ile tüm alt işlemcilerin kamuya açık listesi
  • Veri İhlali Bildirimi: Herhangi bir veri ihlalinden 72 saat içinde bildirim

Güvenlik İzleme ve Olay Müdahalesi

7/24 izleme ve hızlı olay müdahalesi

Sürekli İzleme

  • 7/24 İzleme: Altyapı ve uygulamaların 24 saat izlenmesi
  • SIEM Entegrasyonu: Tehdit tespiti için Güvenlik Bilgi ve Olay Yönetimi
  • Anomali Tespiti: Olağandışı aktivite tespiti için makine öğrenimi tabanlı
  • Gerçek Zamanlı Uyarılar: Güvenlik olayları için anında bildirimler
  • Günlük Toplama: Adli analiz için saklama ile merkezi günlük kaydı

Olay Müdahalesi

  • Özel Ekip: 7/24 kullanılabilir güvenlik olay müdahale ekibi
  • Yanıt Süresi: Kritik olay tespitinden 15 dakika içinde ilk yanıt
  • İletişim: Olaylar sırasında etkilenen müşterilerle şeffaf iletişim
  • Olay Sonrası İnceleme: Olaylardan sonra ayrıntılı analiz ve düzeltici eylemler
  • Düzenleyici Bildirim: İhlal bildirim gereksinimlerine (GDPR, CCPA) uyumluluk

Denetim Günlüğü

  • Kapsamlı Günlükler: Tüm kullanıcı eylemleri, sistem olayları ve güvenlik olayları günlüğe kaydedilir
  • Değişmez Günlükler: Günlükler değiştirilemez veya silinemez, denetim izi bütünlüğü sağlanır
  • Günlük Saklama: Uyumluluk ve adli analiz için 2 yıl boyunca güvenlik günlükleri saklanır
  • Kullanıcı Etkinliği: Müşteriler organizasyonel aktivitelerinin denetim günlüklerini görüntüleyebilir

Çalışan Erişimi ve Eğitimi

Müşteri verilerine çalışan erişimi üzerinde sıkı kontroller

Erişim Kontrolleri

  • En Az Ayrıcalık: Çalışanlar yalnızca iş işlevleri için gerekli verilere erişebilir
  • Geçmiş Kontrolleri: Tüm çalışanlar işe alınmadan önce geçmiş kontrollerinden geçer
  • NDA ve Gizlilik: Tüm çalışanlar gizlilik sözleşmeleri imzalar
  • Erişim İncelemeleri: Çalışan erişim izinlerinin üç aylık incelemeleri
  • Anında İptal: İşten çıkarmadan hemen sonra erişim iptal edilir

Güvenlik Eğitimi

  • İşe Alım Eğitimi: Tüm yeni çalışanlar için zorunlu güvenlik eğitimi
  • Yıllık Eğitim: Güncellenmiş tehditlerle yıllık güvenlik farkındalık eğitimi
  • Kimlik Avı Simülasyonları: Uyanık kalmak için düzenli kimlik avı testleri
  • Olay Müdahale Tatbikatları: Üç aylık güvenlik olay müdahale alıştırmaları
  • Uyumluluk Eğitimi: GDPR, SOC 2 ve veri koruma eğitimi

Müşteri Veri Erişimi

  • Varsayılan Erişim Yok: Çalışanlar varsayılan olarak müşteri verilerine erişemez
  • Destek Erişimi: Müşteri desteği yalnızca açık izinle verilere erişebilir
  • Denetim İzi: Müşteri verilerine tüm çalışan erişimleri kaydedilir ve izlenir
  • Veri Anonimleştirme: Mühendisler hata ayıklama için anonimleştirilmiş verilerle çalışır

Müşteriler için Güvenlik En İyi Uygulamaları

Hesap güvenliğinizi artırmak için aşağıdaki uygulamaları öneriyoruz:

  • Tüm kullanıcılar için iki faktörlü kimlik doğrulamayı (2FA) etkinleştirin
  • Güçlü, benzersiz şifreler kullanın (minimum 12 karakter)
  • Kullanıcı erişim izinlerini düzenli olarak gözden geçirin ve gereksiz erişimi kaldırın
  • Çalışanları kimlik avı farkındalığı ve sosyal mühendislik konusunda eğitin
  • Kendi iç erişim kontrollerinizi ve politikalarınızı uygulayın
  • Verilerinizi düzenli olarak dışa aktarın ve yedekleyin
  • Şüpheli aktivite için denetim günlüklerini izleyin
  • Herhangi bir güvenlik endişesini derhal [email protected] adresine bildirin

Sorumlu Açıklama Programı

Güvenlik topluluğunu değerli buluyoruz ve güvenlik açıklarının raporlarını memnuniyetle karşılıyoruz. Bir güvenlik sorunu keşfederseniz, lütfen sorumlu bir şekilde bildirin:

Güvenlik E-postası: [email protected]

PGP Anahtarı: Şifreli iletişimler için talep üzerine mevcuttur

Yanıt Süresi: Raporları 24 saat içinde onaylıyoruz

Hata Ödülü: Nitelikli güvenlik açıkları için ödüller mevcuttur

Yönergeler

  • Yetki olmadan müşteri verilerine erişmeyin veya değiştirmeyin
  • Hizmet reddi saldırıları veya yıkıcı testler yapmayın
  • Kamuya açıklamadan önce sorunu çözmemiz için makul süre tanıyın
  • Ayrıntılı yeniden üretme adımları ve etki değerlendirmesi sağlayın
  • İyi niyetle hareket eden araştırmacılara karşı yasal işlem başlatmayacağız

Güvenlik Hakkında Sorularınız mı Var?

Güvenlik ekibimiz sorularınızı yanıtlamak için burada

Güvenlik Ekibiyle İletişime Geçin Gizlilik Politikasını Görüntüle