SosyalKöprü Logo

GÜVENLİK ÖNLEMLERİMİZ

Veri Güvenliği ve Koruma

Verilerinizi korumak için uyguladığımız teknik ve organizasyonel güvenlik önlemleri hakkında bilgi edinin.

Önemli: Bu sayfa, platformumuzda uygulanan güvenlik önlemlerini yansıtmaktadır. Güvenlik sürekli bir süreçtir ve garantisi verilmemektedir.

Son Güncelleme: 22.03.2026

Bu sayfa, Sosyal Köprü platformunda uygulanan güvenlik önlemlerini açıklamaktadır. Aşağıdaki bilgiler, mevcut teknik altyapımızdan doğrulanmış uygulamaları yansıtmaktadır.

1. KİMLİK DOĞRULAMA VE ERİŞİM KONTROLÜ

1.1. Kullanıcı Kimlik Doğrulama

  • Şifre Güvenliği: Kullanıcı şifreleri hash algoritması ile saklanır ve hiçbir zaman düz metin olarak tutulmaz.
  • E-posta Doğrulama: Hesap oluşturma sırasında OTP tabanlı e-posta doğrulaması zorunludur.
  • Oturum Yönetimi: Oturumlar sınırlı sürelidir (7 gün). Cookie tabanlı güvenli oturum yönetimi uygulanır.
  • Rate Limiting: Oturum açma isteklerinde hız sınırlaması uygulanarak kaba kuvvet (brute force) saldırıları engellenir.

1.2. Admin Paneli Güvenliği

  • İki Faktörlü Kimlik Doğrulama (2FA):Admin kullanıcıları için TOTP tabanlı iki faktörlü kimlik doğrulama zorunludur. TOTP secret'ları şifrelenmiş olarak saklanır.
  • Oturum Süreleri: Admin oturumları 8 saat ile sınırlıdır ve 30 dakikalık hareketsizlik sonunda otomatik olarak sonlandırılır.
  • Giriş Deneme Sınırı: 5 başarısız giriş denemesinden sonra 15 dakika süreyle hesap kilitlenir (Upstash Redis tabanlı).
  • İşlem Kaydı: Tüm admin işlemleri (kullanıcı yönetimi, yapılandırma değişiklikleri vb.) audit log olarak kaydedilir.

1.3. Rol Tabanlı Erişim Kontrolü (RBAC)

  • Workspace Rolleri: Her workspace içinde Sahip (Owner), Yönetici (Admin), Editör (Editor) ve İzleyici (Viewer) rolleri tanımlanmıştır.
  • Hesap Bazlı Erişim: Editörlerin hangi sosyal medya hesaplarına erişebileceği granüler olarak yapılandırılabilir.
  • Sistem Rolleri: Platform düzeyinde User, Admin ve Super Admin rolleri mevcuttur.

2. VERİ ŞİFRELEME VE KORUMA

  • İletim Şifreleme:Tüm veri iletimi HTTPS/TLS üzerinden gerçekleştirilir. HTTP bağlantıları otomatik olarak HTTPS'e yönlendirilir.
  • HSTS: Strict-Transport-Security başlığı ile tarayıcıların yalnızca güvenli bağlantı kullanması zorunlu kılınır.
  • Fatura Verisi Şifreleme: Hassas fatura bilgileri istemciden sunucuya RSA-2048 OAEP (SHA-256) şifreleme ile korunarak aktarılır.
  • TOTP Secret Şifreleme: Admin 2FA için kullanılan TOTP secret değerleri şifrelenmiş formatta veritabanında saklanır.
  • Şifre Hashleme: Kullanıcı şifreleri endüstri standardı hash algoritmaları ile saklanır.

3. ALTYAPI VE AĞ GÜVENLİĞİ

  • DDoS Koruması: Cloudflare altyapısı ile dağıtık hizmet reddi (DDoS) saldırılarına karşı koruma sağlanır.
  • Bot Koruması: Cloudflare Turnstile ile otomatik bot girişimleri ve kötüye kullanım engellenir.
  • Güvenlik Başlıkları: X-Frame-Options (DENY), Content-Security-Policy, X-Content-Type-Options (nosniff), X-XSS-Protection, Referrer-Policy ve Permissions-Policy başlıkları aktif olarak uygulanır.
  • Webhook Güvenliği:QStash imza doğrulaması ile webhook endpoint'lerinin yetkisiz erişime karşı korunması sağlanır.
  • İdempotency Koruması: Çift paylaşım ve tekrarlanan webhook işlemleri, Redis tabanlı idempotency kilitleri ile önlenir.

4. ALTYAPI VE VERİ KONUMLARI

Platformumuz aşağıdaki hizmet sağlayıcılar üzerinde çalışmaktadır:

  • Uygulama ve Veritabanı: Railway üzerinde barındırılan Next.js uygulaması ve PostgreSQL veritabanı (Prisma ORM ile yönetilir)
  • Önbellek ve Kuyruk: Upstash Redis (önbellekleme, rate limiting) ve Upstash QStash (görev kuyruğu, zamanlı işler)
  • Medya Depolama: Cloudflare R2 Storage (S3 uyumlu nesne depolama)
  • CDN ve Güvenlik: Cloudflare (içerik dağıtım ağı, DDoS koruması, Turnstile bot koruması)
  • E-posta: Resend (işlemsel e-posta gönderimi)
  • Ödeme: İyzico (PCI DSS uyumlu ödeme işleme — Türkiye)

Hizmet sağlayıcılarımızın veri merkezi konumları değişiklik gösterebilir. Uluslararası veri aktarımları hakkında detaylı bilgi için Gizlilik Politikamızı inceleyebilirsiniz.

5. ÖDEME GÜVENLİĞİ

  • Ödeme işlemleri İyzico'nun PCI DSS uyumlu altyapısı üzerinden gerçekleştirilir.
  • Kredi kartı bilgileri doğrudan Sosyal Köprü sistemlerinde saklanmaz; İyzico tarafından güvenli ortamda işlenir.
  • Fatura verileri istemci tarafında RSA şifreleme ile korunarak sunucuya aktarılır.

6. GÜVENLİK OLAYI YÖNETİMİ

6.1. Kayıt ve İzleme

  • Admin işlemleri detaylı audit log olarak kaydedilir (işlem türü, hedef, zaman damgası, önceki/sonraki değerler).
  • Kullanıcı aktiviteleri ve sistem olayları uygulama düzeyinde kayıt altına alınır.
  • E-posta gönderim logları (tür, durum, alıcı) tutulur.

6.2. Veri İhlali Bildirimi

Kişisel veri güvenlik ihlali durumunda KVKK uyarınca 72 saat içinde Kişisel Verileri Koruma Kurumu'na ve yüksek risk durumunda etkilenen kullanıcılara bildirimde bulunulur.

7. KULLANICI GÜVENLİK TAVSİYELERİ

Güçlü ve benzersiz bir şifre kullanın

Şifrenizi başka platformlarda kullanmayın

Hesap bilgilerinizi kimseyle paylaşmayın

Oturumları kullanım sonrası kapatın

Şüpheli aktiviteleri derhal bildirin

Tarayıcınızı ve işletim sisteminizi güncel tutun

Oltalama (phishing) e-postalarına karşı dikkatli olun

8. İLETİŞİM

Güvenlikle ilgili sorularınız ve bildirimleriniz için:

Güvenlik Bildirimleri: [email protected]KVKK Başvuru: [email protected]Genel Destek: [email protected]
Gizlilik Politikası·KVKK Aydınlatma Metni·Hizmet Şartları·Veri Silme