Ana SayfaRandevu
Guvenlik

Derin Guvenlik Sozlugu

Kurumsal IT ekiplerinin ihtiyac duydugu tum siber guvenlik ve AI guvenlik terimleri, VerimliAI'nin bu teknolojileri nasil uyguladigiyla birlikte.

Veri Sifreleme ve Koruma

Data Encryption at Rest (Bekleyen Veride Sifreleme)

Sifreleme

Veritabaninda, diskte veya yedekleme ortaminda saklanan verilerin sifrelenmesidir. Veri, fiziksel olarak depolandigi ortamda dahi sifreli durumdadir; disk calinsa bile anahtar olmadan okunamaz. AES-256 (Advanced Encryption Standard, 256-bit anahtar uzunlugu) algoritmasi kullanilir.

VerimliAI Uygulamasi: Tum musteri diyalog gecmisi, urun katalogu ve fatura bilgileri AES-256 ile sifrelenmis PostgreSQL veritabaninda saklanir. Sifreleme anahtarlari AWS KMS (Key Management Service) uzerinde, veri tabanindan ayri bir guvenlik katmaninda tutulur.

Data Encryption in Transit (Aktarimda Veri Sifreleme)

Sifreleme

Verinin ag uzerinden bir noktadan digerine aktarilirken sifrelenmesidir. TLS 1.3 (Transport Layer Security) protokolu ile gerceklestirilir. Bu sayede, veri paketleri ag uzerinde ele gecirilse dahi icerigi okunamaz. Modern TLS 1.3, onceki surumlere gore daha hizli el sikisma (handshake) ve daha guclu sifreleme sunar.

VerimliAI Uygulamasi: Tum API cagrilari, web sitesi trafigi ve entegrasyon veri akisi TLS 1.3 ile korunur. HSTS (HTTP Strict Transport Security) header'i ile tarayicilarin yalnizca HTTPS uzerinden baglanmasi zorunlu kilinir.

Zero-Data Retention API (Sifir Veri Saklama)

Politika

API saglayicisinin, islenen verileri kendi sunucularinda saklamamasi politikasidir. Veri yalnizca islem suresince bellekte tutulur, islem tamamlandiktan sonra hicbir kopyasi saklanmaz. Bu, ozellikle saglik (HIPAA) ve finans (PCI-DSS) gibi regule sektorlerde kritik onem tasir.

VerimliAI Uygulamasi: Kullandigimiz OpenAI API, 1 Mart 2023'ten itibaren API verilerini model egitimi icin kullanmama politikasini yururluge koymustur. API istekleri 30 gun sonra loglardan otomatik silinir. Bu, ChatGPT'nin ucretsiz surumunden farkli olarak API kullanicilarina ozel bir guvencedir.

Uyumluluk ve Sertifikasyon

SOC 2 Type II

Sertifikasyon

Service Organization Control 2 Type II, bagimsiz denetim firmalari tarafindan verilen, bir hizmet organizasyonunun guvenlik, kullanilabilirlik, islem butunlugu, gizlilik ve mahremiyet kontrollerinin etkinligini belgeleyen sertifikadir. "Type II", kontrollerin yalnizca bir anlik degil, belirli bir sure boyunca (genellikle 6-12 ay) etkin oldugunu gosterir.

VerimliAI Uygulamasi: Altyapi saglayicilarimiz (AWS, Google Cloud) SOC 2 Type II sertifikalidir. Kendi uygulama katmanimizda esdeger kontrolleri uyguluyor ve yillik bagimsiz sizma testleriyle dogruluyoruz.

SOC 3

Sertifikasyon

SOC 2 raporunun kamuya acik, kisaltilmis versiyonudur. Detayli kontrol listesi icermez; bunun yerine, organizasyonun ilgili guvenlik kriterlerini karsiladigina dair bir "guven muhru" niteligi tasir. Web sitesinde yayinlanabilir.

ISO/IEC 27001

Sertifikasyon

Uluslararasi Standartlar Teskilati (ISO) tarafindan yayinlanan, Bilgi Guvenligi Yonetim Sistemi (ISMS) standardidir. Bir organizasyonun bilgi guvenligi risklerini sistematik olarak yonettigini belgeler. 114 adet kontrol maddesi icerir; fiziksel guvenlikten insan kaynaklari guvenligine, erisim kontrollerinden olay yonetimine kadar genis bir yelpazeyi kapsar.

VerimliAI Uygulamasi: Tum operasyonel sureclerimiz ISO 27001 cercevesine uygun olarak tasarlanmistir. Erisim kontrolleri (RBAC), olay kaydi (audit logging) ve surekli izleme (continuous monitoring) kontrolleri aktiftir.

HIPAA Compliance

Sertifikasyon

Health Insurance Portability and Accountability Act, ABD'de saglik verilerinin gizliligi ve guvenligini duzenleyen federal yasadir. HIPAA uyumlulugu, korunan saglik bilgilerinin (PHI) islenmesi, saklanmasi ve iletilmesinde siki guvenlik ve gizlilik kurallarina uyulmasini gerektirir.

VerimliAI Uygulamasi: Saglik sektoru musterilerimiz icin, PHI verileri ayri, izole bir veritabani ortaminda saklanir. Tum erisimler loglanir ve 2FA ile korunur. OpenAI ile BAA (Business Associate Agreement) imzalanarak API uzerinden PHI islenmesi hukuki guvence altina alinmistir.

Erisim ve Kimlik Guvenligi

Tokenization

Yontem

Hassas verilerin (kredi karti numarasi, TC kimlik no) anlamsiz token'larla degistirilmesi islemidir. Token'in kendisi hicbir anlam tasimaz; yalnizca guvenli bir "token vault" icinde orijinal veriyle eslesir. Sifrelemeden farki, token'in matematiksel olarak geri cevrilemez olmasidir.

VerimliAI Uygulamasi: Musteri odeme bilgileri hicbir zaman sistemlerimizde saklanmaz. Tum odeme islemleri, PCI-DSS uyumlu Shopier ve Stripe altyapilari uzerinden tokenization ile gerceklesir.

RBAC (Role-Based Access Control)

Yontem

Kullanicilarin sistem kaynaklarina erisiminin, organizasyon icindeki rollerine gore belirlendigi erisim kontrol modelidir. "Admin", "Editor", "Viewer" gibi roller tanimlanir; her rolun izinleri ayri ayri yapilandirilir. En az ayricalik (least privilege) prensibine dayanir.

VerimliAI Uygulamasi: Dashboard ve yonetim panellerimizde 4 rol seviyesi bulunur: Super Admin, Isletme Sahibi, Operator, Izleyici. Her rol yalnizca gorevi icin gerekli minimum izinlere sahiptir.

API Key Rotation

Yontem

API anahtarlarinin belirli periyotlarla (genellikle 90 gun) degistirilmesi uygulamasidir. Eski anahtar iptal edilir, yenisi olusturulur. Bu sayede, ele gecirilmis bir API anahtarinin kullanilabilirlik suresi sinirlanir. Otomatik rotasyon, insan hatasini minimize eder.

VerimliAI Uygulamasi: Tum entegrasyon API anahtarlari 90 gunde bir otomatik rotasyona tabi tutulur. Anahtar degisimi sirasinda hizmet kesintisi yasanmamasi icin "grace period" (es zamanli iki anahtarin gecerli oldugu 24 saatlik pencere) uygulanir.

Sizma ve Izleme

Penetration Testing (Sizma Testi)

Guvenlik

Bir sistemin guvenlik aciklarini tespit etmek amaciyla kontrollu saldiri simülasyonudur. Beyaz kutu (kaynak kod erisimiyle) veya siyah kutu (disaridan, hic bilgi olmadan) yapilabilir. OWASP Top 10 cercevesinde SQL enjeksiyonu, XSS, CSRF gibi yaygin saldiri vektorleri test edilir.

VerimliAI Uygulamasi: Yillik bagimsiz sizma testi yaptiriyoruz. Ayrica CI/CD hattimizda otomatik guvenlik taramasi (SAST/DAST) calistirarak her kod guncellemesinde guvenlik acigi kontrolu yapiyoruz.

SIEM (Security Information and Event Management)

Izleme

Guvenlik bilgisi ve olay yonetimi. Tum sistem loglarini merkezi bir noktada toplayan, anormal davranislari gercek zamanli olarak tespit eden ve guvenlik ekiplerine alarm gonderilmesini saglayan sistemdir. SIEM, farkli kaynaklardan gelen loglari korelasyon analizinden gecirerek, tek basina anlamsiz gorunen olaylari bir saldiri zinciri olarak yorumlayabilir.

Vulnerability Disclosure Program (VDP)

Politika

Guvenlik arastirmacilarinin bulduklari aciklari sorumlu bir sekilde bildirmeleri icin olusturulmus resmi kanaldir. "Safe Harbor" maddesiyle, iyi niyetli arastirmacilara yasal dokunulmazlik saglar. Olgun teknoloji sirketlerinin vazgecilmez bir sEffaflik pratigidir.

VerimliAI Uygulamasi: security@verimliai.com adresi uzerinden guvenlik acigi bildirimi kabul ediyoruz. Kritik aciklar icin 72 saat, orta seviye aciklar icin 7 gun, dusuk seviye aciklar icin 30 gun cozum suremiz vardir.

Kurumsal Guvenlik Brifingi Icin

IT ve guvenlik ekiplerinize ozel teknik brifing talep edin.

Guvenlik Brifingi Talep Edin