Güvenlik Politikası
Kuyumculuk verileriniz hassastır. Sarraf.io olarak verilerinizi korumak için endüstri standardı güvenlik önlemleri uyguluyoruz.
Son güncelleme: 1 Haziran 2025
1. Altyapı Güvenliği
Sarraf.io tüm hizmetlerini ISO 27001 sertifikalı veri merkezlerinde barındırmaktadır. Altyapı güvenliğine yönelik temel önlemler şunlardır:
- Güvenlik Duvarları (Firewall): Tüm gelen ve giden trafik, ağ düzeyinde güvenlik duvarları ve Web Application Firewall (WAF) ile filtrelenir.
- DDoS Koruması: Dağıtık hizmet dışı bırakma saldırılarına karşı otomatik trafik analizi ve azaltma katmanı aktiftir.
- Ağ İzolasyonu: Uygulama, veritabanı ve yönetim katmanları birbirinden izole ağ segmentlerinde çalışır; aralarında yalnızca gerekli portlar açıktır.
- Uptime Garantisi: %99.9 SLA (Service Level Agreement) ile kesintisiz hizmet sunulmaktadır.
2. Veri Şifreleme
2.1 İletim Sırasında (In-Transit)
Platform ile tarayıcınız veya uygulamanız arasındaki tüm trafik TLS 1.2 / TLS 1.3 protokolleriyle şifrelenir. HTTP üzerinden erişim otomatik olarak HTTPS'e yönlendirilir. Tüm alan adlarımız HSTS (HTTP Strict Transport Security) ile korunmaktadır.
2.2 Depolama Sırasında (At-Rest)
Disk düzeyinde AES-256 şifreleme uygulanmaktadır. Veritabanı yedekleri de şifrelenmiş biçimde saklanır. Şifre ve hassas kimlik bilgileri bcrypt algoritması ile tek yönlü hash olarak tutulur; düz metin asla saklanmaz.
2.3 Ödeme Verileri
Kredi/banka kartı bilgileri Sarraf.io sistemlerinde hiçbir zaman saklanmaz. Tüm ödemeler PCI-DSS uyumlu ödeme altyapı sağlayıcıları üzerinden işlenir.
3. Erişim Kontrolü
3.1 Kullanıcı Yetkilendirmesi
- Platform, rol tabanlı erişim kontrolü (RBAC) modeliyle çalışır.
- Her kullanıcıya yalnızca göreviyle orantılı minimum yetki atanır (en az ayrıcalık ilkesi).
- Oturumlar belirli bir süre hareketsizliğin ardından otomatik olarak sonlandırılır.
3.2 İki Faktörlü Kimlik Doğrulama (2FA)
Yönetici ve kritik işlem yetkisine sahip hesaplar için iki faktörlü kimlik doğrulama desteği sunulmaktadır. Hesap sahiplerine 2FA etkinleştirmeleri güçlü biçimde tavsiye edilir.
3.3 Sarraf.io Personeli Erişimi
Sarraf.io çalışanları müşteri verilerine yalnızca onaylı destek talebi ve belgelenmiş teknik gereklilik kapsamında, birden fazla kişinin onayıyla (four-eyes principle) erişebilir. Tüm erişimler kayıt altına alınır.
4. Yedekleme ve Felaket Kurtarma
4.1 Otomatik Yedekleme
- Günlük yedek: Tüm veriler her gece tam yedekleme ile korunur.
- Saatlik anlık görüntü (snapshot): Kritik veritabanları için saatlik artımlı yedekleme yapılır.
- Coğrafi yedeklilik: Yedekler birden fazla veri merkezi lokasyonunda saklanır.
- Saklama süresi: Günlük yedekler 30 gün, aylık yedekler 12 ay saklanır.
4.2 Kurtarma Hedefleri
- RPO (Recovery Point Objective): Maksimum 1 saatlik veri kaybı hedeflenir.
- RTO (Recovery Time Objective): Kritik sistemler 4 saat içinde devreye alınır.
5. İzleme ve Olay Müdahale
5.1 Sürekli İzleme
- Platform altyapısı 7/24 otomatik izleme sistemleriyle takip edilir.
- Anormal trafik, başarısız giriş denemeleri ve şüpheli aktiviteler anlık olarak uyarı üretir.
- Tüm yönetici ve sistem işlemleri denetim loglarına (audit log) kaydedilir.
5.2 Güvenlik Olaylarına Müdahale
Güvenlik ihlali tespit edildiğinde aşağıdaki süreç işletilir:
- Tespit ve Sınırlama: Olay derhal izole edilir, etkilenen sistemlere erişim kısıtlanır.
- Analiz: Olayın kapsamı ve etkisi belirlenir.
- Bildirim: Kişisel verilerin etkilendiği durumlarda KVKK gereği 72 saat içinde ilgili kişiler ve Kişisel Verileri Koruma Kurumu bilgilendirilir.
- İyileştirme: Olay sonrası güvenlik açığı kapatılır ve süreç iyileştirilir.
6. Fiziksel Güvenlik
Verilerimizin barındırıldığı veri merkezleri aşağıdaki fiziksel güvenlik önlemlerine sahiptir:
- 7/24 güvenlik personeli ve kamera sistemleri
- Biyometrik ve çok faktörlü fiziksel erişim kontrolü
- Sunucu rafları için kilitli kafes sistemi
- UPS (kesintisiz güç kaynağı) ve jeneratör yedekliliği
- Yangın söndürme ve çevre kontrol sistemleri
7. Personel Güvenliği
- Sarraf.io çalışanları işe alım sürecinde güvenlik geçmiş araştırmasından geçer.
- Tüm çalışanlara işe başlangıçta ve yıllık olarak güvenlik ve veri gizliliği eğitimi verilir.
- Müşteri verilerine erişim gerektiren roller gizlilik taahhütnamesi imzalar.
- Ayrılan personelin erişim hakları derhal sonlandırılır.
8. Uyumluluk ve Denetim
- KVKK (6698 Sayılı Kanun): Türkiye Kişisel Verilerin Korunması Kanunu'nun gerektirdiği teknik ve idari tedbirler eksiksiz uygulanmaktadır.
- PCI-DSS: Ödeme verilerinin işlenmesinde PCI-DSS uyumlu altyapı kullanılmaktadır.
- Penetrasyon Testleri: Platform, yılda en az bir kez bağımsız güvenlik firmaları tarafından penetrasyon testine tabi tutulmaktadır.
- Güvenlik Açığı Taraması: Otomatik zafiyet tarama araçları haftalık çalıştırılmaktadır.
9. Güvenlik Açığı Bildirimi (Responsible Disclosure)
Sarraf.io platformunda bir güvenlik açığı keşfettiğinizi düşünüyorsanız, lütfen bunu doğrudan bize bildirin. Açığı kötüye kullanmadan ve kamuoyuyla paylaşmadan önce bize haber vermenizi rica ederiz.
Bildirimi [email protected] adresine iletebilirsiniz. Raporunuzu aldıktan sonra:
- 48 saat içinde ilk yanıtı alırsınız.
- Doğrulanan açıklar öncelikli olarak kapatılır.
- Sorumlu bildirimde bulunanlar, kamuoyuna duyuru yapılmadan önce bilgilendirilir.
İyi niyetli güvenlik araştırmacılarına yasal yaptırım uygulamayacağımızı taahhüt ederiz.
10. Kullanıcı Sorumlulukları
Platform güvenliği iki taraflı bir sorumluluktur. Güvenliğinizi artırmak için aşağıdakileri yapmanızı öneririz:
- Güçlü ve benzersiz şifreler kullanın; şifrenizi düzenli olarak güncelleyin.
- İki faktörlü kimlik doğrulamayı (2FA) etkinleştirin.
- Hesabınıza tanımadığınız kişilerin erişmesine izin vermeyin.
- Kullanmayan personel hesaplarını devre dışı bırakın.
- Şüpheli e-posta veya bağlantılara tıklamaktan kaçının (phishing).
- Hesabınızda şüpheli bir işlem gördüğünüzde derhal [email protected] adresine bildirin.