Veri Güvenliği

Güvenlik; sonradan eklenen bir katman değil, ürünün ilk satırından itibaren göz önünde bulundurulan bir tasarım kararıdır. End.STP'de teknik ve organizasyonel önlemler birlikte çalışır; bu denge, riski sürekli olarak yönetilebilir kılar.

Hiçbir sistemin %100 güvenli olamayacağı gerçeğini kabul ederiz. Bu nedenle güvenlik; statik bir hedef değil, sürekli izlenen ve iyileştirilen bir süreçtir.

2.1 Şifreleme

• Aktarım sırasında: Tüm trafik TLS 1.2 ve üzeri (HTTPS) ile şifrelenir; modası geçmiş protokoller (SSL, TLS 1.0/1.1) devre dışıdır. Sertifikalar düzenli olarak yenilenir.
• Saklama sırasında: Veritabanı ve yedekler endüstri standardı şifreleme algoritmaları (AES-256 ve eşdeğerleri) ile korunur.
• Hassas alanlar: Şifreler; tek yönlü ve adaptif kriptografik özet algoritmaları (örn. bcrypt, Argon2) ile saklanır. Düz metin şifre hiçbir yerde tutulmaz.

2.2 Erişim Kontrolü ve Kimlik Doğrulama

• En az yetki (least privilege) prensibi: kullanıcılar ve servisler yalnızca işleri için gereken en düşük yetkiye sahiptir.
• Yetkili (administrative) erişim için çok faktörlü kimlik doğrulama (MFA) zorunludur.
• Üretim sistemlerine doğrudan erişim sınırlı kişilere kısıtlıdır ve oturumlar belirli süre sonunda otomatik sonlandırılır.
• Tüm yetkili erişimler denetim kayıtlarıyla (audit log) izlenir; kayıtlar ileriye dönük müdahale edilemeyecek biçimde saklanır.

2.3 Altyapı, İzleme ve Yama Yönetimi

• Sistem bileşenleri düzenli olarak güncellenir; bilinen güvenlik yamaları zamanında uygulanır.
• Anormal davranış tespiti için izleme ve uyarı mekanizmaları aktif tutulur.
• Üretim ortamı; geliştirme ve test ortamlarından izole edilmiştir.
• Ağ trafiği güvenlik duvarları ve izinsiz giriş tespit sistemleriyle korunur.

2.4 Bağımlılık ve Tedarik Zinciri Güvenliği

• Açık kaynak kütüphaneler ve üçüncü taraf bağımlılıklar, otomatik güvenlik açığı taraması (SCA) ile sürekli kontrol edilir.
• Kritik açıklar tespit edildiğinde, ciddiyetine göre öncelik sırasıyla giderilir.
• Yazılım imzalama ve sürüm doğrulama uygulamaları kullanılır.

3.1 Rol ve Sorumluluklar

Ekipte; bilgi güvenliğine ilişkin sorumlulukların kim tarafından üstlenildiği açıkça tanımlanmıştır. Her ekip üyesinin erişebileceği sistemler ve veriler dokümante edilmiştir.

3.2 Gizlilik Yükümlülükleri

Tüm ekip üyeleri ve iş ortakları, sözleşme bazlı gizlilik yükümlülüklerine tabidir. Bu yükümlülük, görev sona erdikten sonra da geçerliliğini korur.

3.3 Güvenlik Eğitimi ve Farkındalık

Ekip üyeleri; güvenli kodlama, kimlik avı (phishing) tespiti, parola hijyeni ve sosyal mühendislik saldırılarına karşı düzenli olarak bilgilendirilir.

3.4 Tedarikçi Yönetimi

Çalışılan üçüncü taraf hizmet sağlayıcıları; veri işleme, güvenlik standartları ve uyum belgeleri açısından değerlendirilir. Sözleşmelerde veri koruma maddeleri (DPA) uygulanır.

Veri kaybını önlemek için düzenli ve şifreli yedekleme yapılır. Yedekler farklı bir konumda tutulur ve yetkisiz erişime karşı korunur.

Felaket kurtarma senaryoları için tanımlı kurtarma noktası hedefleri (RPO) ve kurtarma süresi hedefleri (RTO) belirlenmiştir. Bu hedefler periyodik olarak gözden geçirilir.

Yedeklerin yalnızca yetkili kişilerce, denetlenebilir biçimde kullanılması sağlanır.

Olası bir güvenlik olayı durumunda; etkinin sınırlandırılması, nedenin tespiti, etkilenen tarafların bilgilendirilmesi ve gerekli iyileştirmelerin yapılması için tanımlı bir süreç işletilir.

KVKK kapsamında ortaya çıkan veri ihlalleri en kısa sürede ve en geç 72 (yetmiş iki) saat içinde Kişisel Verileri Koruma Kurulu'na bildirilir; etkilenen veri sahiplerine de uygun biçimde bilgi verilir.

Olay sonrası; kök neden analizi yapılır ve benzer olayların önlenmesi için sistemler ve süreçler güncellenir.

Güvenlik yaklaşımımız; düzenli iç denetimler ve dış değerlendirmeler ile test edilir. Bunlar arasında kod incelemesi, mimari değerlendirmesi ve gerektiğinde sızma testleri (penetration testing) yer alır.

Test sonuçlarına göre tespit edilen bulgular ciddiyet sırasına göre giderilir. Düzenli denetim, güvenliğin yalnızca tasarımda değil, uygulamada da işlediğinin teyididir.

Güvenlik bir hedef değil, süreçtir. Mimari kararlar, kullanılan kütüphaneler, erişim politikaları ve operasyonel adımlar düzenli olarak gözden geçirilir; tehdit ortamındaki değişikliklere göre güncellenir.

Standartlara uyum yaklaşımımız hakkında daha fazla bilgi için ISO 27001 Uyum sayfasını inceleyebilirsiniz.

Güvenlikle ilgili sorularınız, açık (vulnerability) bildirimleriniz veya endişeleriniz için bize iletisim@endstp.com adresinden ulaşabilirsiniz.

Sorumlu ifşa (responsible disclosure) prensibine inanıyoruz. Bir güvenlik açığı tespit ettiyseniz, kamuya açık paylaşımdan önce bizimle iletişime geçmeniz, hem kullanıcılarımızı hem de sizin bulgunuzu korumamızı sağlar.