Ana içeriğe geç

Güvenlik Genel Bakış

Pilot veya üretim geçişi öncesinde net veri koruma kanıtı arayan tedarik ve dağıtım ekipleri için çok katmanlı güvenlik kontrolleri.

Veri Güvenliği

Aktarım ve saklama korumaları servis bazında incelenir; dağıtım kanıtı olmadan her veri yolu için sabit algoritma iddia edilmez.

Durağan Şifreleme

Dağıtım bazında doğrulanır

Saklama koruması yapılandırılmış Google Cloud ve Firebase servis kontrollerini izler; üretim onayı öncesinde kanıt toplanır.

Aktarım Şifrelemesi

Dağıtım bazında doğrulanır

Aktarım koruması dağıtılmış uç noktalarda doğrulanır; burada evrensel bir protokol sürümü iddia edilmez.

Bulut Altyapısı

Müşteri verileri, servis bazlı bölge yapılandırmasına sahip yönetilen Google Cloud ve Firebase hizmetlerinde işlenir.

Bölge

Servis bazlı

Konum

Dağıtıma göre doğrulanır

Sağlayıcı

Google Cloud Platform / Firebase

Erişim Kontrolleri

Katmanlı erişim kontrolleri kullanıcıları yetkili veri ve işlemlerle sınırlamak üzere tasarlanır; backend kontrolleri ve Security Rules son uygulama noktalarıdır.

  • Rol Tabanlı Erişim Kontrolü (RBAC)

    Önceden tanımlı roller (Yönetici, Satış, Dağıtım, Müşteri) ve yapılandırılabilir modül düzeyinde izinler

  • Çok Faktörlü Kimlik Doğrulama (MFA)

    E-posta/şifre, telefon ve üçüncü taraf kimlik sağlayıcıları desteği ile Firebase Kimlik Doğrulama

  • Oturum Yönetimi

    Otomatik oturum sona erme, kullanıcı başına hız sınırlaması ve ilgili dağıtımda enforcement etkinleştirildiğinde Firebase App Check desteği.

Denetim Kaydı

Desteklenen güvenlik açısından önemli değişiklikler operasyon incelemesi için denetim olayı üretir; üretim iddiaları öncesinde iş akışı kapsamı doğrulanmalıdır.

  • Denetim Olayı Geçmişi

    Denetlenen iş akışları, uygulanan olay sözleşmesine göre oluşturma, güncelleme, silme veya durum bilgilerini kaydeder.

  • GoBD Odaklı İnceleme Desteği

    Dijital kayıt tutmayı GoBD odaklı destekler; şirket özelindeki gereksinimler ayrıca incelenmelidir.

  • Alan Düzeyinde Farklar

    Desteklendiği yerlerde denetim olayları değişen alanları, işlemi yapan bağlamını ve zaman damgasını inceleme için kaydeder.

Veri Saklama

Hukuki gözden geçirmeyi destekleyen ve veri minimizasyonu tercihlerinize saygılı yapılandırılabilir veri saklama politikaları.

Fatura Saklama

Yapılandırılabilir yasal süre

Vergi ile ilgili belgeler için saklama varsayılanları Alman AO §147 ve HGB §257 gereksinimlerine göre gözden geçirilmelidir.

Yapılandırılabilir Politikalar

Şirket başına

Şirketler, yönetici ayarları aracılığıyla yasal asgari sürenin üzerinde saklama süreleri yapılandırabilir

Yedekleme ve Kurtarma

Üretim kurtarma kontrolleri pazarlama vaadi değil, operasyon kanıtı olarak ele alınır.

  • Planlı Firestore dışa aktarımları

    Üretim ön kontrolü, üretim denetimi geçmeden önce varsayılan olmayan özel bir yedek bucket ile planlı Firestore dışa aktarım yapılandırması ister.

  • Geri Yükleme Tatbikatı Gerekli

    Bir yedek, üretim dışı bir ortamda geri yükleme tatbikatı yapılıp kaydedilmeden yayına hazır kabul edilmez.

  • Kanıta Dayalı RPO/RTO

    Müşteriye özel RPO/RTO taahhütleri yalnızca dağıtım, ilk dışa aktarım ve geri yükleme kanıtı oluştuktan sonra imzalı sözleşmelerde belirtilir.

Güvenlik Testleri

Güvenlik güvencesi kaynak kod incelemesi, otomatik kontroller ve henüz bekleyen test çalışmalarının açıkça belirtilmesini birleştirir.

  • Kod ve Kural İncelemesi

    Çalışma alanı izolasyonu, çağrılabilir işlev yetkilendirmesi, Firestore kuralları, Storage kuralları ve herkese açık metin iddia guard'ları yayın öncesi repoda incelenir.

  • Bağımlılık ve Secret Kontrolleri

    Web ve Functions bağımlılık temel değerleri, üretim-konfigürasyon ön kontrolleri ve gizli bilgi hijyeni taramaları yayın kontrol listesinin parçasıdır.

  • Harici Penetrasyon Testi

    Henüz harici penetrasyon testi raporu iddia edilmiyor; zamanlanıp kanıtlanana kadar enterprise veya müşteri talebine bağlı açık bir kalemdir.

Olay Müdahalesi

Güvenlik olaylarını tespit etmek, sınırlandırmak, değerlendirmek ve kurtarmak için belgelenmiş bir olay müdahale süreci sürdürüyoruz.

Olay Bildirim Süreci

Doğrulanmış kişisel veri olaylarında rol ve riski değerlendirir, olayı sınırlandırır ve hukuken veya sözleşmesel olarak gerektiğinde etkilenen müşterileri gereksiz gecikme olmadan bilgilendiririz; GDPR Madde 33 ve 34 süreleri müşteri veri sorumlusu yükümlülükleriyle birlikte ele alınır.

Uyumluluk Yol Haritası

Güvenlik kontrolleri ve bağımsız inceleme hedefleri için yol haritası. Durum açıkça aktif olarak belirtilmedikçe sertifika iddiasında bulunulmaz.

Veri Hakları Süreçleri

Veri dışa aktarma, silme talebi ve açık rıza yönetimi akışları GDPR incelemesini destekler.

Aktif

GoBD Odaklı Denetim İzi

Salt ekleme denetim kaydı, Alman dijital kayıt tutma gereksinimlerine yönelik incelemeyi destekler.

Aktif

ISO 27001

Bilgi güvenliği yönetim sistemi için readiness planlaması; ISO 27001 sertifikasyonu iddia edilmez.

Planlı inceleme

BSI C5

Alman bulut kontrolleri için ileriki inceleme hedefi; şu anda BSI C5 attestasyonu iddia edilmez.

İleriki inceleme

Güvenlik Ekibine Ulaşın

Güvenlik soruları veya bildirimleri için güvenli iletişim formunu kullanın; doğrulanmış sağlayıcı e-postası Yasal Bildirim'de yayımlanır.

Güvenli iletişim formunu aç