Sosyal KöprüVeri Güvenliği

1. TEKNİK GÜVENLİK ALTYAPISI

Sosyal Köprü platformu, modern güvenlik standartlarına uygun olarak tasarlanmış güçlü bir teknik altyapıya sahiptir. NextJS, React, TypeScript ve Supabase teknolojileri kullanılarak oluşturulan platformumuz, çok katmanlı güvenlik yaklaşımı benimser.

1.1. Uçtan Uca Şifreleme

Tüm veri iletişimleri TLS 1.3 protokolü ile şifrelenmektedir. Web sitemizdeki tüm sayfalar HTTPS üzerinden sunulmakta ve veri transferleri AES-256 şifreleme standardı ile korunmaktadır. Veritabanında saklanan hassas veriler, rest durumunda da şifrelenmektedir.

1.2. Güvenli Veri Saklama

Supabase altyapısı üzerinde çalışan veritabanımız, PostgreSQL'in güvenlik özelliklerini kullanarak verilerinizi korumaktadır. Tüm veriler coğrafi olarak dağıtılmış veri merkezlerinde yedeklenmekte ve felaket kurtarma planları ile korunmaktadır.

1.3. Hosting ve CDN Güvenliği

Vercel hosting altyapısı üzerinde çalışan platformumuz, global CDN ağı ve DDoS koruması ile güvence altındadır. Otomatik ölçeklendirme ve yük dağılımı sayesinde yüksek erişilebilirlik sağlanmaktadır.

2. ERİŞİM KONTROLÜ VE KİMLİK DOĞRULAMA

2.1. Çok Faktörlü Kimlik Doğrulama

Hesap güvenliğinizi artırmak için çok faktörlü kimlik doğrulama (2FA) seçeneği sunulmaktadır. SMS, e-posta veya authenticator uygulamaları aracılığıyla ek güvenlik katmanı sağlanabilir.

2.2. Güçlü Şifre Politikaları

Kullanıcı şifreleri bcrypt algoritması ile hash'lenerek saklanmaktadır. Minimum 8 karakter uzunluğunda, büyük-küçük harf, rakam ve özel karakter içeren güçlü şifre kullanımı önerilmektedir.

2.3. Oturum Yönetimi

Güvenli oturum tokenları kullanılarak kullanıcı oturumları yönetilmektedir. İnaktivite durumunda otomatik oturum sonlandırma ve şüpheli aktivite tespitinde güvenlik önlemleri devreye girmektedir.

2.4. IP Tabanlı Erişim Kontrolü

Anormal giriş denemeleri, farklı coğrafi konumlardan erişimler ve şüpheli aktiviteler sürekli izlenmektedir. Risk skorlama algoritmaları ile potansiyel güvenlik tehditleri tespit edilmektedir.

3. SOSYAL MEDYA API GÜVENLİĞİ

Instagram, Facebook, LinkedIn, X (Twitter), YouTube ve TikTok gibi sosyal medya platformları ile entegrasyonlarımız, bu platformların resmi API'leri ve güvenlik standartları çerçevesinde gerçekleştirilmektedir.

3.1. OAuth 2.0 Güvenlik Protokolü

Tüm sosyal medya entegrasyonları OAuth 2.0 protokolü kullanılarak güvenli şekilde gerçekleştirilmektedir. Kullanıcı kimlik bilgileri hiçbir zaman bizim sistemimizde saklanmaz, yalnızca geçici erişim tokenları kullanılır.

3.2. Token Yönetimi ve Yenileme

Sosyal medya erişim tokenları güvenli şekilde şifrelenerek saklanmakta ve düzenli olarak yenilenmektedir. Kullanılmayan veya süresi dolan tokenlar otomatik olarak silinmektedir.

3.3. Minimum Yetki İlkesi

Her sosyal medya platformu için yalnızca gerekli olan minimum yetkiler talep edilmektedir. Kullanıcılar hangi yetkilerin verildiğini görebilir ve istedikleri zaman erişimi iptal edebilirler.

3.4. API Rate Limit Yönetimi

Sosyal medya platformlarının API limitlerini aşmamak için akıllı rate limiting sistemi kullanılmaktadır. Bu sayede hem güvenlik sağlanmakta hem de hizmet kalitesi korunmaktadır.

4. ÖDEME GÜVENLİĞİ

4.1. PCI DSS Uyumluluk

İyzico ödeme sistemi entegrasyonumuz, PCI DSS (Payment Card Industry Data Security Standard) Level 1 uyumludur. Kredi kartı bilgileriniz en yüksek güvenlik standartlarında işlenmekte ve saklanmaktadır.

4.2. Tokenizasyon Sistemi

Kredi kartı bilgileriniz tokenizasyon teknolojisi ile korunmaktadır. Gerçek kart numaraları hiçbir zaman sistemimizde saklanmaz, yerine güvenli tokenlar kullanılır.

4.3. 3D Secure Doğrulama

Tüm kart işlemleri 3D Secure protokolü ile güvence altına alınmıştır. Bu sayede yetkisiz kullanımlara karşı ek bir güvenlik katmanı sağlanmaktadır.

4.4. Dolandırıcılık Tespiti

Gelişmiş makine öğrenmesi algoritmaları ile şüpheli işlemler tespit edilmekte ve dolandırıcılık girişimleri engellenektedir. Risk skorlama sistemi ile güvenlik seviyeleri belirlenmektedir.

5. VERİ YEDEKLEME VE KURTARMA

5.1. Otomatik Yedekleme Sistemi

Tüm verileriniz günlük olarak otomatik yedeklenmekte ve coğrafi olarak farklı lokasyonlarda saklanmaktadır. Yedekleme işlemleri şifrelenmiş kanallar üzerinden gerçekleştirilmektedir.

5.2. Point-in-Time Recovery

Point-in-time recovery özelliği sayesinde verileriniz belirli bir zaman noktasına geri yüklenebilmektedir. Bu özellik, veri kaybı durumlarında hızlı kurtarma sağlamaktadır.

5.3. Felaket Kurtarma Planı

Kapsamlı felaket kurtarma planımız sayesinde doğal afetler, sistem arızaları veya siber saldırılar durumunda hizmet sürekliliği sağlanmaktadır. RTO (Recovery Time Objective) hedefimiz 4 saattir.

6. GÜVENLİK İZLEME VE DENETIM

6.1. 7/24 Güvenlik İzleme

SOC (Security Operations Center) ekibimiz 7 gün 24 saat sistemlerimizi izlemektedir. Gerçek zamanlı tehdit tespiti ve olay müdahale süreçleri ile güvenlik olayları anında tespit edilip müdahale edilmektedir.

6.2. Log Yönetimi ve Analizi

Tüm sistem aktiviteleri detaylı olarak loglanmakta ve güvenlik analiz araçları ile sürekli analiz edilmektedir. Anormal aktiviteler otomatik olarak tespit edilmekte ve alarm üretilmektedir.

6.3. Düzenli Güvenlik Testleri

Aylık penetrasyon testleri, çeyreklik güvenlik değerlendirmeleri ve yıllık kapsamlı güvenlik denetimleri gerçekleştirilmektedir. Tespit edilen güvenlik açıkları derhal kapatılmaktadır.

6.4. Güvenlik Olayı Müdahale Süreci

SIEM (Security Information and Event Management) sistemi ile güvenlik olayları kategorize edilmekte ve önem derecesine göre müdahale süreci başlatılmaktadır. Kritik olaylar için 15 dakika içinde müdahale hedeflenmektedir.

7. UYUMLULUK VE SERTİFİKASYONLAR

7.1. KVKK Uyumluluk

6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) gerekliliklerine tam uyum sağlanmaktadır. Veri işleme envanteri tutulmakta ve düzenli olarak güncellenmektedir.

7.2. GDPR Uyumluluk

Avrupa Birliği Genel Veri Koruma Tüzüğü (GDPR) gerekliliklerine uygun olarak veri işleme faaliyetleri yürütülmektedir. DPO (Data Protection Officer) atanmış ve veri koruma etki değerlendirmeleri yapılmaktadır.

7.3. ISO 27001 Süreçleri

Bilgi güvenliği yönetim sistemi ISO 27001 standartları doğrultusunda oluşturulmakta ve sürekli iyileştirme yaklaşımı benimsenmektedir.

7.4. SOC 2 Type II Uyumluluğu

SOC 2 Type II kontrolleri çerçevesinde güvenlik, kullanılabilirlik, işlem bütünlüğü, gizlilik ve veri korunması alanlarında sürekli iyileştirme çalışmaları yürütülmektedir.

8. ÇALIŞAN GÜVENLİĞİ VE EĞİTİM

8.1. Güvenlik Farkındalık Eğitimleri

Tüm çalışanlarımız düzenli güvenlik farkındalık eğitimleri almaktadır. Sosyal mühendislik saldırıları, phishing, veri sızıntısı önleme ve güvenli kodlama pratikleri konularında eğitim verilmektedir.

8.2. Erişim Yetki Yönetimi

Çalışan erişim yetkileri "need-to-know" ve "least privilege" ilkeleri doğrultusunda belirlenmektedir. Rol tabanlı erişim kontrolü ile yalnızca gerekli verilere erişim sağlanmaktadır.

8.3. Güvenli Geliştirme Süreci

Yazılım geliştirme sürecimiz DevSecOps metodolojisi ile güvenlik odaklı olarak yürütülmektedir. Kod inceleme, güvenlik testleri ve zafiyet taramaları geliştirme sürecine entegre edilmiştir.

9. KULLANICI GÜVENLİK ÖNERİLERİ

Platformumuzun güvenliğini en üst düzeyde tutabilmek için kullanıcılarımızın da güvenlik konusunda bilinçli olması önemlidir.

9.1. Güçlü Şifre Kullanımı

Hesabınız için güçlü ve benzersiz bir şifre kullanın. Şifreniz en az 8 karakter uzunluğunda olmalı, büyük-küçük harf, rakam ve özel karakter içermelidir. Şifrenizi düzenli olarak değiştirin ve başka hiçbir yerde kullanmayın.

9.2. İki Faktörlü Doğrulama

Hesap güvenliğinizi artırmak için iki faktörlü doğrulamayı (2FA) mutlaka aktif edin. SMS, e-posta veya authenticator uygulaması seçeneklerinden birini kullanabilirsiniz.

9.3. Düzenli Oturum Kontrolü

Hesabınızdaki aktif oturumları düzenli olarak kontrol edin. Tanımadığınız bir cihaz veya lokasyondan erişim görürseniz derhal şifrenizi değiştirin ve bizimle iletişime geçin.

9.4. Phishing Saldırılarına Dikkat

Sosyal Köprü adına gelen şüpheli e-postalar, SMS'ler veya telefon aramalarına dikkat edin. Şifrenizi veya kişisel bilgilerinizi hiçbir zaman e-posta veya telefon yoluyla paylaşmayın.

10. OLAY MÜDAHALE VE BİLDİRİM

10.1. Güvenlik Olayı Sınıflandırması

Güvenlik olayları kritiklik seviyelerine göre sınıflandırılmaktadır:

• Kritik: Veri ihlali, sistem tamamen erişilemez (Müdahale: 15 dakika)
• Yüksek: Kısmi veri erişimi, önemli sistem fonksiyonları etkilenmiş (Müdahale: 1 saat)
• Orta: Sınırlı etki, alternatif yollar mevcut (Müdahale: 4 saat)
• Düşük: Minimal etki, normal operasyonlar devam ediyor (Müdahale: 24 saat)

10.2. Veri İhlali Bildirimi

Kişisel veri ihlali durumunda KVKK ve GDPR gerekliliklerine uygun olarak 72 saat içinde ilgili makamlara bildirim yapılmaktadır. Etkilenen kullanıcılar da derhal bilgilendirilmektedir.

10.3. Şeffaflık Raporu

Yıllık şeffaflık raporumuzda güvenlik olayları, müdahale süreleri, alınan önlemler ve iyileştirme çalışmaları hakkında detaylı bilgi paylaşılmaktadır.

11. GÜVENLİK İLETİŞİM KANALLARI

Güvenlik konularında bizimle iletişime geçebileceğiniz kanallar:

Sorumlu Güvenlik Açığı Bildirimi

Güvenlik araştırmacıları ve beyaz şapkalı hackerlar, keşfettikleri güvenlik açıklarını sorumlu bir şekilde bildirmeleri halinde tanınma programımızdan yararlanabilirler. Güvenlik açığı bildirimi kurallarımız web sitemizde detaylı olarak açıklanmaktadır.

12. SÜREKLİ İYİLEŞTİRME

12.1. Güvenlik Roadmap

Güvenlik altyapımızı sürekli geliştirmek için bir roadmap'e sahibiz. Yeni tehdit türlerine karşı önlemler, teknoloji güncellemeleri ve güvenlik standartlarındaki değişiklikler düzenli olarak takip edilmektedir.

12.2. Topluluk Geri Bildirimi

Kullanıcılarımızdan gelen güvenlik önerileri ve geri bildirimler değerlendirilerek güvenlik iyileştirmelerine katkı sağlanmaktadır. Güvenlik konularındaki görüşlerinizi bizimle paylaşabilirsiniz.

12.3. Teknoloji Takibi

Siber güvenlik alanındaki en son gelişmeler takip edilmekte ve yeni güvenlik teknolojileri değerlendirilerek platforma entegre edilmektedir. Zero-trust architecture, AI destekli tehdit tespiti gibi yenilikçi yaklaşımlar araştırılmaktadır.