GüvenlikPolitikası

Platformumuzda verileriniz çok katmanlı şifreleme ile korunmaktadır:

• Aktarım Şifrelemesi: Tüm veri iletişimi 256-bit TLS 1.3 (SSL) protokolü ile şifrelenir

• Depolama Şifrelemesi: Hassas veriler (şifreler, ödeme bilgileri) AES-256 ile veritabanında şifrelenerek saklanır

• Şifre Güvenliği: Kullanıcı şifreleri bcrypt algoritması ile hash'lenerek saklanır; düz metin olarak hiçbir zaman depolanmaz

• API Güvenliği: Tüm API istekleri JWT (JSON Web Token) ile doğrulanır ve yetkilendirilir

• Rol Bazlı Yetkilendirme (RBAC): Super Admin, Admin (Okul Yöneticisi), Eğitmen ve Veli/Öğrenci rolleri ile sınırlandırılmış erişim

• Tenant İzolasyonu: Her spor okulunun verileri, satır düzeyinde güvenlik politikaları (RLS) ile diğer okullardan tamamen izole edilmiştir

• Oturum Yönetimi: Oturum süreleri sınırlandırılmış, uzun süreli hareketsizlikte otomatik çıkış yapılır

• IP Tabanlı Koruma: Şüpheli giriş denemeleri otomatik olarak engellenir

• Rate Limiting: API istekleri ve form gönderileri hız sınırlandırması ile kaba kuvvet saldırılarına karşı korunur

• Barındırma: Verileriniz güvenilir ve yüksek performanslı sunucularda barındırılmaktadır

• DDoS Koruması: Dağıtık hizmet engelleme saldırılarına karşı koruma mevcuttur

• Web Uygulama Güvenlik Duvarı (WAF): SQL injection, XSS, CSRF gibi yaygın saldırılara karşı koruma

• Yedekleme: Veriler düzenli aralıklarla otomatik olarak yedeklenir

• İzleme: Sunucu ve uygulama performansı 7/24 izlenir; anormallikler anında tespit edilir

• Multi-Tenant İzolasyon: Her okul yalnızca kendi verilerine erişebilir; diğer okulların verileri erişilemez ve görünmezdir

• Minimum Veri İlkesi: Yalnızca hizmet sunumu için gerekli olan veriler toplanır ve işlenir

• Veri Anonimleştirme: İstatistiksel analizlerde kişisel veriler anonimleştirilerek kullanılır

• Veri Silme: Hesap silindiğinde veya abonelik sona erdiğinde veriler belirtilen süreler sonunda kalıcı olarak silinir

Bir güvenlik ihlali tespit edilmesi halinde:

• İhlalin kapsamı ve etkisi derhal değerlendirilir

• Etkilenen kullanıcılar en kısa sürede bilgilendirilir

• KVKK kapsamında Kişisel Verileri Koruma Kurulu'na 72 saat içinde bildirim yapılır

• İhlale neden olan güvenlik açığı hemen kapatılır ve tekrarını önlemek için gerekli tedbirler alınır

• Olay sonrası detaylı analiz raporu hazırlanır ve güvenlik önlemleri güncellenir

• Platform, güvenlik yamaları ve güncellemeleri düzenli olarak uygulanarak güncel tutulur

• Kullanılan üçüncü parti kütüphaneler ve bağımlılıklar güvenlik açıkları için sürekli taranır

• Periyodik güvenlik denetimleri ve testleri gerçekleştirilir

• Bu güvenlik politikası, yeni tehdit ve teknolojilere paralel olarak düzenli olarak gözden geçirilir ve güncellenir

Bir güvenlik açığı veya şüpheli bir durum fark etmeniz halinde:

• Derhal destek ekibimize bildirimde bulunun

• Sorumlu açıklama (responsible disclosure) ilkesiyle hareket eden araştırmacılara teşekkür ederiz

• Güvenlik bildirimleriniz gizlilikle değerlendirilir