Güvenlik Politikası
1. Altyapı ve Veri İletişim Güvenliği
- SSL/TLS Şifreleme: Tüm veri trafiği kurumsal düzeyde SSL sertifikası ve 256-bit modern şifreleme ile korunur.
- URL Kimlik Maskeleme (IDOR Koruması): Fiyat teklifi, servis kayıtları, araç ve müşteri ID'leri gibi kritik veritabanı anahtarları AES-128-ECB yöntemiyle kriptolanarak URL'de maskelenir. Dışarıdan sayısal tahmin yöntemiyle veri sızıntısı engellenmiştir.
- DDoS Koruması: Dağıtılmış saldırılara karşı 24/7 aktif güvenlik duvarı mevcuttur.
- Sunucu Yedekliliği: Veritabanı ve sunucu yedekleri düzenli aralıklarla coğrafi olarak ayrılmış güvenli sunucularda saklanır.
2. Hesap ve Erişim Güvenliği
- Kaba Kuvvet (Brute-Force) Koruması: Giriş sayfalarında şüpheli denemeler IP ve E-posta kombinasyonu üzerinden takip edilerek 5 hatalı denemeden sonra 15 dakika boyunca kilitlenir.
- Oturum Güvenliği: Başarılı her girişte session (oturum) anahtarı sıfırdan oluşturulur (Session Fixation koruması) ve session çerezleri tarayıcı tarafında çalınmaya karşı HttpOnly, Secure ve SameSite=Lax bayrakları ile korunur.
- Rol Tabanlı Erişim Yetkilendirmesi: Firma kullanıcıları ve yöneticiler (Zeus) farklı güvenlik katmanları ile ayrılmıştır; firma kullanıcıları yönetici paneline erişemez.
3. Yazılım Güvenliği ve İstismar Koruması
- CSRF (İstek Sahteciliği) Koruması: Platform üzerindeki tüm veri gönderimleri (POST) benzersiz güvenlik token'ları ile korunur ve dış sitelerden yetkisiz işlem yapılması engellenir.
- XSS (Zararlı Kod Enjeksiyonu) Koruması: Kullanıcı girişleri ve veritabanı çıktıları ekrana yazdırılmadan önce XSS filtrelerinden geçirilerek temizlenir.
- Hata Gizleme (Production Mode): Canlı ortamda tüm PHP hata çıktıları gizlenerek olası bilgi sızıntılarının önüne geçilmiştir.
4. İzleme ve Audit
- Aktivite Logları: Tüm giriş, çıkış ve veri değişiklikleri kaydedilir
- Olaylar İzlemesi: Şüpheli aktivitelerin gerçek zamanlı tespiti
- Denetim İzleri: 90 gün boyunca tüm operasyonlar saklanır
- Anomali Algılama: Olağandışı davranışlar otomatik bildirilir
5. Uyum ve Sertifikalar
- KVKK (Kişisel Verilerin Korunması Kanunu) uyumlu
- ISO/IEC 27001 Bilgi Güvenliği Yönetim Sistemi standartlarına uyar
- OWASP Top 10 güvenlik best practices uygulanır
- Düzenli güvenlik denetimleri ve penetrasyon testleri yapılır
6. İncident Yönetimi
Güvenlik olayı tespit edilmesi durumunda:
- Acil yanıt ekibi 15 dakika içinde harekete geçer
- Etkilenen kullanıcılar 24 saat içinde bilgilendirilir
- Olay soruşturması ve rapor hazırlanır
- Düzeltici önlemler alınır ve iş sürekliliği sağlanır
7. Güvenlik Tavsiyesi
Kullanıcı tarafından alınacak güvenlik önlemleri:
- Güçlü, benzersiz şifreler kullanın ve saklayın
- İşletme cihazlarının güncellemelerini düzenli yapın
- Genel ağlarda platform'a girmemekten kaçının
- Şüpheli e-postalar ve bağlantılara tıklamayın
- Hesabınızda düzenli aktivite kontrolleri yapın
8. Güvenlik Açığını Bildirim
Bir güvenlik açığı bulduysanız, bunu public'te yayınlamadan önce güvenli bir şekilde bize bildirin: security@aractamirim.com
Son Güncelleme: 2026 Mayıs