Güvenlik hakkındaki düşüncemiz
Güvenliği, ürünün üzerine eklenen bir özellik olarak değil, temel bir özelliği olarak ele alıyoruz. Bu şu anlama gelir: güvenli varsayılanlar, minimum yapılandırmalar, güncel tutulan bağımlılıklar ve kolaylık yerine ihtiyaca göre verilen erişim. Özellikleri gönderen mühendisler, bu özelliklerin güvenlik etkilerini de ele alır.
Bu sayfa, ne yaptığımızı özetler — sahip olduğumuz sertifikalar, verilerin nerede yaşadığı, ödemelerin nasıl korunduğu ve bir güvenlik açığı bulursanız nasıl bildireceğiniz.
Sertifikalar ve uyumluluk
Aşağıdaki çerçevelere bağlıyız ve bunlara karşı kendimizi denetliyoruz:
- GDPR — yayınlanmış bir gizlilik politikası, belgelenmiş bir işleme faaliyetleri kaydı ve belirlenmiş bir veri koruma irtibat kişisi dahil olmak üzere AB Genel Veri Koruma Yönetmeliği'ne tam uyum.
- PCI DSS — ödeme kartı verileri yalnızca PCI Seviye 1 sertifikalı Stripe tarafından işlenir. Ham kart numaralarını asla görmez, saklamaz veya iletmeyiz.
- ISO 27001 — barındırma ve platform satıcılarımız sertifikalıdır; dahili bilgi güvenliği yönetim sistemimiz aynı kontrolleri yansıtır.
- SOC 2 Tip II — müşteriye yönelik platform için yıllık olarak tamamlanır.
Sertifika kopyaları, iletişim sayfası aracılığıyla talep üzerine temin edilebilir.
İletim ve depolama sırasında şifreleme
Siteye gelen ve giden tüm trafik TLS 1.3 kullanır; eski protokoller yük dengeleyici seviyesinde devre dışı bırakılır. HSTS, bir ön yükleme penceresi ile zorunlu kılınır, böylece tarayıcılar ilk ziyaretten sonra düz metin HTTP üzerinden bağlanmayı reddeder.
Veritabanımızda ve nesne depolamamızda bekleyen veriler AES-256 ile şifrelenir. Şifreleme anahtarları bulut sağlayıcının KMS'si tarafından yönetilir; hiçbir mühendis uzun ömürlü bir düz metin anahtarına sahip değildir.
Erişim kontrolleri
Üretim erişimi, az sayıda belirlenmiş mühendisle sınırlıdır. Kimlik doğrulama, zorunlu MFA ile SSO aracılığıyla yapılır — tipik olarak bir donanım güvenlik anahtarı. Paylaşılan hesap yoktur ve statik hizmet hesabı parolaları yoktur; her uzun ömürlü kimlik bilgisi otomatik olarak döndürülür.
Üretim verilerine karşı yapılan her işlem, eylemi yapan kişi, zaman ve etkilenen kayıt ile birlikte günlüğe kaydedilir. Günlükler değiştirilemez ve 12 ay süreyle saklanır.
Ödeme güvenliği
Tüm ödemeler Stripe (ve Polonyalı alıcılar için Przelewy24) üzerinden akar. Her ikisi de PCI-DSS sertifikalı ödeme işlemcileridir. Kart formu, onların korumalı alanı içinde işlenir, böylece kart verileri sunucularımıza asla ulaşmaz; yalnızca tokenize edilmiş bir referans alırız.
Varsayılan olarak 3-D Secure 2'yi etkinleştiririz ve sahte girişimleri işaretlemek için Stripe'ın risk motoruna ve kendi hız kurallarımıza güveniriz. İadeler, kart verilerinin manuel olarak işlenmesi olmadan orijinal yöntem üzerinden geri yönlendirilir.
Verileriniz
Bir siparişi teslim etmek için gereken minimum bilgiyi toplarız: ad, fatura adresi, e-posta, ödeme referansı. Kişisel verileri asla kimseye satmayız. Üçüncü taraf reklam izleyicileri yerleştirmeyiz.
GDPR kapsamında verilerinize erişme, düzeltme, dışa aktarma veya silme hakkına sahipsiniz. Gizlilik politikası, bu hakların nasıl kullanılacağını ve her veri kategorisinin ne kadar süreyle saklandığını açıklar.
Sorumlu açıklama
Bir güvenlik sorunu bulduğunuzu düşünüyorsanız, lütfen iletişim sayfası üzerinden bize yazın ve bir iş günü içinde yanıt vereceğiz. Sorunun ne olduğunu, nerede olduğunu ve nasıl tekrarlanacağını bize bildirin. Şu anda ücretli bir hata ödül programı yürütmüyoruz, ancak sorumlu açıklama yapan bildirimde bulunanları genel güvenlik bildirimleri sayfamızda kredilendiriyoruz.
Diğer kullanıcıların hesaplarına karşı test yapmamanızı, üretime karşı otomatik tarayıcılar çalıştırmamanızı ve bir sorunu düzeltme şansımız olmadan kamuya açıklamamanızı rica ediyoruz.