BİLGİ GÜVENLİĞİ BİLDİRİMİ
Güvenlik, varsayılan olarak
TapuGezgini'nin uygulamaya koyduğu bilgi güvenliği kontrolleri. Bu sayfa, üretimde çalışan sistemin gerçek davranışını anlatır — pazarlama değildir. Yeni kontroller eklendikçe aynı gün güncellenir.
Bir güvenlik açığı bildirmek istiyorsanız: sorumlu açıklama yönergesi
Kimlik + erişim
Kim, ne yapabilir + nasıl doğrulanıyor
Çok faktörlü kimlik doğrulama (MFA)
Sistem rolü olan tüm hesaplar için TOTP tabanlı MFA zorunludur. WebAuthn desteklenir; SMS yedek kodları operatör tercihine bağlıdır. Yedek kodlar bcrypt ile saklanır.
Parola politikası
Minimum 12 karakter; HIBP k-anonymity API ile sızmış parola kontrolü; son 5 parolanın yeniden kullanılması engellenir; isteğe bağlı süreli rotasyon.
İzin bazlı erişim (RBAC)
~52 izin, 10 sistem rolü + organizasyon özel rolleri. Kaynak kapsamlı izinler (own / organization / global). İzin kümesi oturumda önbelleğe alınır; rol değişikliklerinde anında geçersizleşir.
Oturum yönetimi
32 byte opaque token (tg_sid cookie). 30 gün yuvarlanan TTL, 90 gün sert kapak. Kullanıcı tüm oturumlarını anında iptal edebilir.
Brute-force kilidi
IP + e-posta başına sliding-window hız sınırı (Redis). 5 başarısız denemede 1 dakika; 10'da 15 dakika; 20'de 24 saat + e-posta uyarısı.
Veri koruma
Verinin yaşam döngüsü boyunca şifreleme
Hassas alan şifreleme (envelope, v2)
T.C. kimlik, sağlayıcı erişim belirteçleri, MFA sırları AES-256-GCM ile şifrelenir. Wire format: v2:keyId:iv:tag:ct — anahtar rotasyonu süreklidir; eski keyId'lerle şifrelenmiş satırlar arka plan iş hizmetiyle güncel anahtara taşınır.
Depolama şifrelemesi
AWS RDS şifrelenmiş (KMS); S3 nesneleri sunucu-tarafı şifrelenmiş (SSE-S3); özel dosyalar için private bucket + signed URL erişimi.
Aktarım şifrelemesi
Tüm HTTP trafiği TLS 1.2+ üzerinden zorunludur. HSTS aktif. Iç hizmet-hizmet trafiği özel ağda + IAM authentication.
Secrets yönetimi
Tüm üretim sırları AWS Secrets Manager'da. In-memory önbellek 5 dk TTL ile; rotasyon runbook'u dökümante edilmiştir.
Denetim + bütünlük
Olanları kim gördü, nasıl ispatlanır
Tamper-evident denetim zinciri (EG-34)
Tüm AuditEvent kayıtları SHA-256 hash zinciriyle bağlanır (eventHash + previousEventHash). Yazımlar pg_advisory_xact_lock ile serileştirilir. Günlük doğrulama otomasyonu zincir bütünlüğünü kontrol eder + ihlal durumunda kritik alarm yazar.
Geniş kapsamlı denetim
47 admin + 16 hesap endpoint'i AuditEvent yazar. Hash zinciri 94+ çağırma noktasından otomatik korunur. Severity escalation: info → notice → warning → alert.
Veri saklama politikası
Saklama politikaları her kaynak tipi için tanımlıdır (Sözleşmeler 7 yıl, oturumlar 30 gün, vb.). Süresi dolan kayıtlar otomatik silinir veya scrub edilir. Silmenin kendisi de denetlenir.
Uygulama güvenliği
Saldırı yüzeyini daraltma
Hız sınırı + CSRF + Idempotency
Tüm yazma endpoint'leri rate-limited (per-IP + per-User). State-değiştiren cross-origin endpoint'ler CSRF token doğrular. Ödeme + kontör endpoint'leri Idempotency-Key ile retry-storm-safe.
Polimorfik FK zorunluluğu
Polimorfik tablolar (Notification, Order, CreditEntry, vb.) check constraint ile tam-bir-tarafa zorunlu kılınır — sahipsiz veri oluşturulamaz.
PII scrub politikası
Kullanıcı silme isteğinde sınıf bazlı scrub uygulanır: yasal kayıt (sözleşmeler, denetim) korunur; iletişim bilgileri, mesaj içerikleri, ekler retention dönemi sonunda silinir.
Bağımlılık güvenliği
Üretim bağımlılıkları CVE taramasından geçirilir. Kritik açıklar 24 saat içinde yamalanır.
Bağımsız denetim, sertifikalar
Aktif denetimlerimiz ve gelecek dönemde planlanan sertifikasyonlar için güvenlik ekibimizle iletişime geçin. Kurumsal müşterilerimize talep üzerine pentest özetleri ve uyumluluk belgelerini paylaşırız.