Güvenlik

Verileriniz AB içinde, şifreli, izole

Dış ticaret operasyonunuzun verileri (müşteri listesi, teklif, sipariş, akreditif, arama kaydı) Sighthem üzerinde GDPR + KVKK uyumlu bir altyapıda işlenir. Bu sayfa nerede, nasıl ve kimin tarafından korunduğunu net olarak anlatır.

1. Veri Konumu ve Mevzuat

  • Barındırma bölgesi: Almanya (Avrupa Birliği). Üretim veritabanı, dosya depolama ve uygulama sunucuları AB içindedir.
  • Düzenleyici çerçeve: GDPR (AB) + KVKK (Türkiye). Açık aydınlatma metni /gizlilik sayfasında. VERBİS bildirim altyapısı uygulanır.
  • Veri sahipliği: Workspace içindeki tüm veri size aittir. Talep halinde tamamı dışa aktarılır, silinir.
  • Fiziksel güvenlik: Veri merkezinde 7/24 fiziksel kontrol, biyometrik erişim, kapalı devre kamera kayıtları.

2. Trafik ve Şifreleme

  • Tarayıcı ↔ sunucu: TLS 1.2 + (TLS 1.3 öncelikli). HTTPS zorunlu, HSTS etkin (HTTP istekleri 308 ile HTTPS'e taşınır).
  • Sunucu ↔ veritabanı: Kapalı VPC içinde TLS bağlantı. Public erişim kapalı.
  • Depolama (at rest): Disk seviyesinde AES-256 şifreleme. Yedekler de aynı şekilde şifrelidir.
  • Sertifika: Let's Encrypt + otomatik 60 günlük yenileme.

3. Kimlik ve Erişim Yönetimi

  • Parola saklama: Tek yönlü hash (bcrypt). Plain text hiçbir yerde tutulmaz.
  • Oturum: JWT bearer + global guard (her API çağrısı doğrulanır). Cookie HttpOnly + Secure + SameSite=Lax.
  • RBAC: Workspace owner / manager / member rolleri + modül bazlı feature toggle. Cross-workspace erişim API tarafında kesilir.
  • Audit log: Hassas işlemler (kullanıcı silme, yetki değiştirme, kayıt erişimi) audit log'a yazılır.
  • Sighthem personel erişimi: Üretim verisine personel erişimi yazılı talep + admin onayı sonrası, sınırlı bir destek hesabıyla yapılır. Her oturum loglanır.
  • Rate limit: Tüm API uçlarına IP + kullanıcı bazlı throttle. Login, password-reset, ödeme uçları sıkı throttle.

4. Veri İzolasyonu (Multi-Tenant)

Sighthem çok kiracılı (multi-tenant) bir SaaS'tır. Her şirket bir workspace'tir; tüm sorgular workspace ID üzerinden filtrelenir. Cross-workspace veri okuma API tarafında uygulama-seviyesi guard'la engellenir; yanlışlıkla farklı workspace verisi sızdırılamaz.

  • Her tablo workspace_id ile tenant-scoped
  • API guard her istek için workspace eşleşmesini doğrular
  • Storage path'leri (dosya yüklemeler) workspace bazlı izole

5. Ödeme Bilgileri

Kart bilgileri Sighthem altyapısında hiçbir zaman saklanmaz. Ödeme akışı PCI DSS uyumlu üçüncü taraf ödeme altyapısı üzerinde tokenize edilir; Sighthem yalnızca abonelik token referansını tutar. İade ve değişiklik talepleri aynı altyapı üzerinden işlenir.

6. Yedekleme ve Felaket Senaryosu

  • Yedek sıklığı: Saatlik incremental + günlük full backup.
  • Yedek konumu: Veri merkezi içi (yerel kopya) + farklı bölgede off-site replica.
  • Yedek şifrelemesi: AES-256 (depolamada).
  • Restore hedefi: Felaket senaryosunda 24 saat içinde tam restore (RTO = 24h).
  • Veri kaybı toleransı: En fazla 1 saatlik kayıp (RPO = 1h).

7. Altyapı Sertliği ve DDoS

  • Donanımsal DDoS koruması sağlayıcı seviyesinde aktif
  • Nginx reverse proxy + sıkı CORS + ağ kısıtlamaları
  • Güvenlik başlıkları: HSTS, X-Frame-Options, X-Content-Type-Options, Referrer-Policy
  • Bağımlılık güvenlik tarama (Dependabot eşdeğeri) aktif
  • Container imajları reproducible build; minimal taban (distroless-style)

8. Alt Yükleniciler (Sub-Processors)

Sighthem aşağıdaki üçüncü taraf servisleri kullanır. Tüm alt yükleniciler GDPR Veri İşleme Anlaşması (DPA) imzalıdır veya eşdeğer Sözleşme Hükümleri (SCC) altında çalışır.

  • Bulut sunucu ve veritabanı barındırma
  • PCI DSS uyumlu ödeme tokenization altyapısı
  • Outbound e-posta gönderim altyapısı
  • Uluslararası sesli arama altyapısı (WebRTC)
  • SMS OTP iletim altyapısı
  • E-posta doğrulama servisi
  • AI servisleri (opt-in özellikler için)
  • Kurumsal e-posta servisi (sighthem.com hesapları)

Liste yarıyıllık (her 6 ayda bir) gözden geçirilir; değişiklikler /guvenlik sayfasında ilan edilir.

9. Veri Taşıma ve Silme Hakkı

  • Workspace verisinin tamamı CSV / JSON export ile indirilir
  • Abonelik iptali sonrası veri 30 gün boyunca export edilebilir
  • 30 gün sonunda tüm veri kalıcı olarak silinir (yedekler dahil 90 gün)
  • KVKK ve GDPR madde 17 (silinme hakkı) tek talep ile uygulanır

10. Güvenlik Açığı Bildirimi (Sorumlu Açıklama)

Sighthem'de bir güvenlik açığı tespit ettiyseniz, kamuya açıklamadan önce security@sighthem.com adresine yazın. 72 saat içinde dönüş yapılır. Geçerli bulgular için public teşekkür sayfasında isim/şirket yayınlanır (opsiyonel).

  • Lütfen testlerinizi yalnızca kendi workspace'inizde yapın
  • Otomatik tarayıcı / brute force testleri yapmayın (rate limit etkin)
  • DOS / data destruction testleri yapmayın

11. Sık Sorulan Güvenlik Soruları

Verilerim nerede tutuluyor?

Müşteri veritabanları Avrupa Birliği bölgesindeki Alman veri merkezlerinde tutulur. GDPR ve KVKK standartlarına uyumlu altyapı; veri Türkiye dışına çıksa da AB içi düzenleme kapsamında işlenir.

Trafik nasıl şifreleniyor?

Tarayıcı ile sunucu arasındaki tüm trafik TLS 1.2+ ile şifrelenir. HTTPS zorunlu, HSTS etkin. Veritabanı bağlantıları da kapalı ağda TLS üzerinden yapılır.

Parolalar nasıl saklanıyor?

Parolalar tek yönlü kriptografik hash (bcrypt) ile saklanır. Plain text parola hiçbir yerde tutulmaz; Sighthem personeli dahil kimse parolanıza erişemez. Parola sıfırlama tek kullanımlık token ile yapılır.

Ödeme bilgilerim nerede?

Ödeme bilgileri Sighthem altyapısında saklanmaz. PCI DSS uyumlu üçüncü taraf ödeme altyapısı üzerinde tokenize edilir; Sighthem yalnızca token referansı tutar.

Kimler verilere erişebilir?

Rol bazlı erişim (RBAC): workspace owner, manager, member rolleri + modül bazlı toggle. Her erişim audit log'a yazılır. Sighthem personeli yalnızca yazılı talep + onay sonrası, sınırlı bir destek hesabıyla erişebilir.

12. İletişim

Güvenlik açığı bildirimisecurity@sighthem.com
KVKK / veri başvurularıkvkk@sighthem.com
Genel iletişiminfo@sighthem.com

Son güncelleme: 2026-05-20. Politika her güncellemede sürüm notu ile birlikte yayınlanır.