Güvenlik Genel Bakış
Pilot veya üretim geçişi öncesinde net veri koruma kanıtı arayan tedarik ve dağıtım ekipleri için çok katmanlı güvenlik kontrolleri.
Veri Güvenliği
Aktarım ve saklama korumaları servis bazında incelenir; dağıtım kanıtı olmadan her veri yolu için sabit algoritma iddia edilmez.
Durağan Şifreleme
Dağıtım bazında doğrulanır
Saklama koruması yapılandırılmış Google Cloud ve Firebase servis kontrollerini izler; üretim onayı öncesinde kanıt toplanır.
Aktarım Şifrelemesi
Dağıtım bazında doğrulanır
Aktarım koruması dağıtılmış uç noktalarda doğrulanır; burada evrensel bir protokol sürümü iddia edilmez.
Bulut Altyapısı
Müşteri verileri, servis bazlı bölge yapılandırmasına sahip yönetilen Google Cloud ve Firebase hizmetlerinde işlenir.
Bölge
Servis bazlı
Konum
Dağıtıma göre doğrulanır
Sağlayıcı
Google Cloud Platform / Firebase
Erişim Kontrolleri
Katmanlı erişim kontrolleri kullanıcıları yetkili veri ve işlemlerle sınırlamak üzere tasarlanır; backend kontrolleri ve Security Rules son uygulama noktalarıdır.
Rol Tabanlı Erişim Kontrolü (RBAC)
Önceden tanımlı roller (Yönetici, Satış, Dağıtım, Müşteri) ve yapılandırılabilir modül düzeyinde izinler
Çok Faktörlü Kimlik Doğrulama (MFA)
E-posta/şifre, telefon ve üçüncü taraf kimlik sağlayıcıları desteği ile Firebase Kimlik Doğrulama
Oturum Yönetimi
Otomatik oturum sona erme, kullanıcı başına hız sınırlaması ve ilgili dağıtımda enforcement etkinleştirildiğinde Firebase App Check desteği.
Denetim Kaydı
Desteklenen güvenlik açısından önemli değişiklikler operasyon incelemesi için denetim olayı üretir; üretim iddiaları öncesinde iş akışı kapsamı doğrulanmalıdır.
Denetim Olayı Geçmişi
Denetlenen iş akışları, uygulanan olay sözleşmesine göre oluşturma, güncelleme, silme veya durum bilgilerini kaydeder.
GoBD Odaklı İnceleme Desteği
Dijital kayıt tutmayı GoBD odaklı destekler; şirket özelindeki gereksinimler ayrıca incelenmelidir.
Alan Düzeyinde Farklar
Desteklendiği yerlerde denetim olayları değişen alanları, işlemi yapan bağlamını ve zaman damgasını inceleme için kaydeder.
Veri Saklama
Hukuki gözden geçirmeyi destekleyen ve veri minimizasyonu tercihlerinize saygılı yapılandırılabilir veri saklama politikaları.
Fatura Saklama
Yapılandırılabilir yasal süre
Vergi ile ilgili belgeler için saklama varsayılanları Alman AO §147 ve HGB §257 gereksinimlerine göre gözden geçirilmelidir.
Yapılandırılabilir Politikalar
Şirket başına
Şirketler, yönetici ayarları aracılığıyla yasal asgari sürenin üzerinde saklama süreleri yapılandırabilir
Yedekleme ve Kurtarma
Üretim kurtarma kontrolleri pazarlama vaadi değil, operasyon kanıtı olarak ele alınır.
Planlı Firestore dışa aktarımları
Üretim ön kontrolü, üretim denetimi geçmeden önce varsayılan olmayan özel bir yedek bucket ile planlı Firestore dışa aktarım yapılandırması ister.
Geri Yükleme Tatbikatı Gerekli
Bir yedek, üretim dışı bir ortamda geri yükleme tatbikatı yapılıp kaydedilmeden yayına hazır kabul edilmez.
Kanıta Dayalı RPO/RTO
Müşteriye özel RPO/RTO taahhütleri yalnızca dağıtım, ilk dışa aktarım ve geri yükleme kanıtı oluştuktan sonra imzalı sözleşmelerde belirtilir.
Güvenlik Testleri
Güvenlik güvencesi kaynak kod incelemesi, otomatik kontroller ve henüz bekleyen test çalışmalarının açıkça belirtilmesini birleştirir.
Kod ve Kural İncelemesi
Çalışma alanı izolasyonu, çağrılabilir işlev yetkilendirmesi, Firestore kuralları, Storage kuralları ve herkese açık metin iddia guard'ları yayın öncesi repoda incelenir.
Bağımlılık ve Secret Kontrolleri
Web ve Functions bağımlılık temel değerleri, üretim-konfigürasyon ön kontrolleri ve gizli bilgi hijyeni taramaları yayın kontrol listesinin parçasıdır.
Harici Penetrasyon Testi
Henüz harici penetrasyon testi raporu iddia edilmiyor; zamanlanıp kanıtlanana kadar enterprise veya müşteri talebine bağlı açık bir kalemdir.
Olay Müdahalesi
Güvenlik olaylarını tespit etmek, sınırlandırmak, değerlendirmek ve kurtarmak için belgelenmiş bir olay müdahale süreci sürdürüyoruz.
Olay Bildirim Süreci
Doğrulanmış kişisel veri olaylarında rol ve riski değerlendirir, olayı sınırlandırır ve hukuken veya sözleşmesel olarak gerektiğinde etkilenen müşterileri gereksiz gecikme olmadan bilgilendiririz; GDPR Madde 33 ve 34 süreleri müşteri veri sorumlusu yükümlülükleriyle birlikte ele alınır.
Uyumluluk Yol Haritası
Güvenlik kontrolleri ve bağımsız inceleme hedefleri için yol haritası. Durum açıkça aktif olarak belirtilmedikçe sertifika iddiasında bulunulmaz.
Veri Hakları Süreçleri
Veri dışa aktarma, silme talebi ve açık rıza yönetimi akışları GDPR incelemesini destekler.
GoBD Odaklı Denetim İzi
Salt ekleme denetim kaydı, Alman dijital kayıt tutma gereksinimlerine yönelik incelemeyi destekler.
ISO 27001
Bilgi güvenliği yönetim sistemi için readiness planlaması; ISO 27001 sertifikasyonu iddia edilmez.
BSI C5
Alman bulut kontrolleri için ileriki inceleme hedefi; şu anda BSI C5 attestasyonu iddia edilmez.
Güvenlik Ekibine Ulaşın
Güvenlik soruları veya bildirimleri için güvenli iletişim formunu kullanın; doğrulanmış sağlayıcı e-postası Yasal Bildirim'de yayımlanır.
Güvenli iletişim formunu aç