Güvenlik Teknik Dokümanı - Şifreleme ve Veri Koruma
25 dk okuma
Güvenlik Teknik Dokümanı
Sürüm 2.1 | Son Güncelleme: Ocak 2026
Kurumsal danışanlar için ClientFlow'un güvenlik mimarisi, şifreleme standartları, uyumluluk sertifikaları ve veri koruma önlemlerine kapsamlı bakış.
Yönetici Özeti
ClientFlow, güvenlik-öncelikli mimari ile inşa edilmiştir; danışan verilerinizi kurumsal düzeyde şifreleme, çok katmanlı erişim kontrolleri ve sürekli güvenlik izleme ile korur.
| Güvenlik Önlemi | Uygulama |
|---|---|
| Durağan Veri Şifrelemesi | AES-256-GCM (NIST onaylı) |
| Aktarım Şifrelemesi | TLS 1.3 (en son standart) |
| Şifre Saklama | bcrypt 12 tur ile |
| Oturum Yönetimi | JWT 15 dakika süreli |
| İki Faktörlü Doğrulama | TOTP (Google Authenticator uyumlu) |
| Altyapı | AB veri merkezi (Frankfurt), ISO 27001 sertifikalı |
Veri Şifrelemesi
Durağan Veri Şifrelemesi
- Veritabanı: Şeffaf veri şifrelemeli PostgreSQL (AES-256)
- Dosya Depolama: Sunucu taraflı şifrelemeli Cloudflare R2
- Kimlik Bilgileri: Güvenli anahtar yönetimi ile AES-256-GCM
- Yedekler: Ayrı yedek anahtarları ile şifrelenmiş
Aktarım Şifrelemesi
- Yalnızca TLS 1.3 (eski sürümler devre dışı)
- HSTS zorunlu (HTTP Strict Transport Security)
- İleri Gizlilik (PFS) etkin
- Sertifika şeffaflığı izleme
Erişim Kontrolü
Kimlik Doğrulama
- Şifre Gereksinimleri: Minimum 8 karakter, karmaşıklık zorunlu
- 2FA: İsteğe bağlı TOTP tabanlı ikinci faktör
- Oturum Zaman Aşımı: 15 dakika hareketsizlikte otomatik çıkış
- Kaba Kuvvet Koruması: 10 başarısız denemeden sonra hesap kilitleme
Çoklu Kiracılık İzolasyonu
- Tüm veritabanı sorguları
user_idile filtrelenir - Kiracılar arası veri erişimi mümkün değil
- Veritabanı düzeyinde satır düzeyinde güvenlik zorunlu
- API endpoint'leri her istekte sahiplik doğrular
Altyapı Güvenliği
| Bileşen | Sağlayıcı | Konum | Sertifika |
|---|---|---|---|
| Uygulama Sunucusu | Hetzner | Frankfurt, Almanya | ISO 27001 |
| Veritabanı | Hetzner PostgreSQL | Frankfurt, Almanya | ISO 27001 |
| Dosya Depolama | Cloudflare R2 | AB Bölgeleri | ISO 27001, SOC 2 |
| CDN | Vercel Edge | Global | SOC 2 |
Uyumluluk
- GDPR: AB veri koruma yönetmeliklerine tam uyumluluk
- KVKK: Türk veri koruma kanunu uyumluluğu
- HIPAA-Hazır: Mimari HIPAA gereksinimlerini destekler (BAA mevcut)
- PCI DSS: Kart verileri PCI uyumlu işlemci (iyzico) aracılığıyla işlenir
Güvenlik İzleme
- Denetim Loglama: Tüm kullanıcı işlemleri zaman damgaları ile kaydedilir
- Sızma Tespiti: Şüpheli aktivitede otomatik uyarı
- Zafiyet Taraması: Günlük otomatik taramalar
- Sızma Testi: Üç ayda bir üçüncü taraf değerlendirmesi
Olay Müdahalesi
- Tespit: <5 dakika uyarı süresi ile otomatik izleme
- İzolasyon: Etkilenen sistemlerin anında izolasyonu
- Araştırma: 24 saat içinde kök neden analizi
- Bildirim: 72 saat içinde danışan bildirimi (GDPR gereğince)
- Kurtarma: Doğrulanmış bütünlük ile hizmet restorasyonu
İletişim
Güvenlik Ekibi: security@clientflow.center
Veri Koruma Sorumlusu: dpo@clientflow.center
Okuma süresi: ~20 dakika | Hedef Kitle: BT Güvenlik, Uyumluluk Sorumluları
Bu faydalı oldu mu?
İlgili Dokümanlar
Featured
GDPR Uyumluluğu - Veri Koruma Rehberi
ClientFlow danışan verileriniz için GDPR uyumluluğunu nasıl sağlıyor
20 minDetayları Gör
Denetim İzi - Kayıt Tutma ve Uyumluluk
Güvenlik ve uyumluluk için tüm eylemlerin kapsamlı kaydı
12 minDetayları Gör
HIPAA Hususları - Sağlık ve Terapi
Sağlık ve terapi klinikleri için ClientFlow'u güvenle kullanma
15 minDetayları Gör