Güvenlik Politikası
Son Güncelleme: 1 Aralık 2024
GÜVENLİK ÖNCELİKLİ: Whispie, hassas bebek ve aile verilerini korumak için sektör lideri güvenlik önlemleri uygular. Güvenlik programımız, küresel güvenlik standartlarını karşılamak veya aşmak üzere tasarlanmıştır.
1. Güvenlik Felsefesi
Whispie'da güvenlik, ailelerin en hassas bilgilerini koruma misyonumuzun temelidir. Bize emanet edilen tüm verilerin kapsamlı korunmasını sağlamak için çok katmanlı güvenlik kontrolleri ile derinlemesine savunma stratejisi uyguluyoruz.
Güvenlik felsefemiz üç temel prensip üzerine inşa edilmiştir:
- Tasarımda Gizlilik: Güvenlik ve gizlilik değerlendirmeleri geliştirmenin her aşamasına entegre edilir
- Sıfır Güven Mimarisi: Açıkça doğrula, en az ayrıcalık erişimi kullan, ihlal olduğunu varsay
- Sürekli İyileştirme: Düzenli güvenlik değerlendirmeleri ve proaktif tehdit izleme
2. Güvenlik Sertifikaları ve Uyumluluk
2.1 Uyumluluk Çerçeveleri
Whispie, birden fazla uluslararası güvenlik standardı ve çerçevesiyle uyumludur:
| Çerçeve | Durum | Kapsam |
| SOC 2 Type II | Devam Ediyor | Güvenlik, Kullanılabilirlik, Gizlilik |
| ISO 27001 | 2025 Planlı | Bilgi Güvenliği Yönetimi |
| GDPR | Uyumlu | Veri Koruma & Gizlilik |
| CCPA/CPRA | Uyumlu | Kaliforniya Gizlilik |
| KVKK | Uyumlu | Türkiye Veri Koruma |
| HIPAA | Yönergeler Takip Ediliyor | Sağlık Bilgisi Gizliliği |
2.2 Bölgesel Uyumluluk
Whispie, tüm faaliyet bölgelerinde veri koruma düzenlemelerine uyumu sürdürür:
- Avrupa Birliği: AB Temsilcisi ile GDPR uyumluluğu
- Birleşik Krallık: UK-GDPR uyumluluğu
- Amerika Birleşik Devletleri: CCPA, CPA, VCDPA dahil eyalet bazlı gizlilik yasaları
- Türkiye: VERBIS kaydı ile KVKK uyumluluğu
- Orta Doğu: PDPL (Suudi Arabistan), BAE Veri Yasası uyumluluğu
- Asya Pasifik: PDPA (Singapur), APPI (Japonya) uyumluluğu
3. Teknik Güvenlik Kontrolleri
3.1 Altyapı Güvenliği
| Kontrol Alanı | Uygulama | Sağlayıcı |
| Bulut Altyapısı | Çok bölgeli yedeklilik ile güvenli, ölçeklenebilir bulut mimarisi | AWS, Supabase |
| Ağ Güvenliği | VPC, güvenlik grupları, WAF, DDoS koruması | Cloudflare, AWS |
| Şifreleme | Hareket halinde TLS 1.3, saklanan AES-256 | Supabase, AWS |
| Yedekleme & Kurtarma | Otomatik günlük yedeklemeler, 30 gün saklama | Supabase, AWS |
3.2 Uygulama Güvenliği
Güvenli Geliştirme Yaşam Döngüsü (SDL):
- Tasarım aşamasında tehdit modelleme
- Statik ve dinamik kod analizi
- Üçüncü taraf bağımlılık taraması
- Güvenli kod inceleme gereksinimleri
- Yılda iki kez penetrasyon testi
Kimlik Doğrulama & Yetkilendirme:
- Çok faktörlü kimlik doğrulama (MFA) zorunluluğu
- Rol tabanlı erişim kontrolü (RBAC)
- En az ayrıcalık prensibi
- Güvenli zaman aşımı ile oturum yönetimi
- Parola politikası zorunluluğu
3.3 Veri Güvenliği
Veri Sınıflandırması:
| Sınıflandırma | Örnekler | Koruma Seviyesi |
| Oldukça Hassas | Sağlık verileri, aşı kayıtları | Maksimum şifreleme, katı erişim kontrolleri |
| Hassas | Kişisel bilgiler, iletişim detayları | Güçlü şifreleme, rol tabanlı erişim |
| Dahili | Uygulama logları, analitik veriler | Şifreleme, erişim loglama |
Veri Şifreleme:
- Hareket Halinde: Tüm veri iletimleri için TLS 1.2+
- Saklanan: Veritabanları ve depolama için AES-256 şifreleme
- Anahtar Yönetimi: Düzenli anahtar rotasyonu ile AWS KMS
- Uçtan Uca Şifreleme: Hassas sağlık verisi paylaşımı için
4. Organizasyonel Güvenlik
4.1 Çalışan Güvenliği
- Arka Plan Kontrolleri: Tüm çalışanlar için işe alım öncesi tarama
- Güvenlik Eğitimi: Yıllık güvenlik farkındalık eğitimi
- Gizlilik Anlaşmaları: Tüm çalışanlar ve yükleniciler tarafından imzalanır
- Erişim İncelemeleri: Üç aylık erişim hakkı incelemeleri
- Olay Müdahale Eğitimi: Düzenli masaüstü tatbikatları
4.2 Güvenlik Politikaları
- Kabul Edilebilir Kullanım Politikası: Uygun sistem kullanımı için yönergeler
- Veri İşleme Politikası: Veri sınıflandırma ve koruma prosedürleri
- Olay Müdahale Planı: Güvenlik olayları için belgelenmiş prosedürler
- İş Sürekliliği Planı: Olağanüstü durum kurtarma ve iş sürekliliği prosedürleri
- Tedarikçi Güvenlik Politikası: Üçüncü taraf tedarikçiler için gereksinimler
5. Üçüncü Taraf Güvenliği
5.1 Tedarikçi Güvenlik Değerlendirmesi
Tüm üçüncü taraf tedarikçiler entegrasyondan önce güvenlik değerlendirmesinden geçer:
| Tedarikçi | Hizmet | Güvenlik Sertifikaları | Veri İşleme |
| Supabase | Veritabanı & Kimlik Doğrulama | SOC 2, GDPR | Alt İşleyen |
| Stripe | Ödemeler | PCI DSS Seviye 1, SOC 2 | Ödeme İşleyici |
| Twilio | SMS | SOC 2, ISO 27001 | Alt İşleyen |
| Cloudflare | Güvenlik & DNS | SOC 2, ISO 27001 | Altyapı |
| Sentry | Hata İzleme | SOC 2, GDPR | Alt İşleyen |
5.2 Alt İşleyen Yönetimi
Tüm alt işleyenlerle Veri İşleme Ekleri (VIE) muhafaza ediyor ve güvenlik duruşlarını düzenli olarak gözden geçiriyoruz.
6. Olay Müdahalesi
6.1 Olay Müdahale Planı
Olay müdahale planımız NIST çerçevesini takip eder:
- Hazırlık: Belgelenmiş prosedürler ve eğitimli ekip
- Tespit & Analiz: İzleme ve uyarı sistemleri
- Kapsama: Etkiyi sınırlamak için acil eylem
- Yok Etme: Tehdit nedenlerini kaldırma
- Kurtarma: Sistemleri ve hizmetleri geri yükleme
- Olay Sonrası Faaliyet: Öğrenilen dersler ve iyileştirmeler
6.2 İhlal Bildirimi
Bir veri ihlali durumunda, Whispie şunları yapacaktır:
Etkilenen kullanıcıları keşfinden sonraki 72 saat içinde bilgilendirme Gerektiğinde düzenleyici otoritelerle işbirliği yapma İhlal ve atılan adımlar hakkında net bilgi sağlama Uygun olduğunda kredi izleme hizmetleri sunma 7. Güvenlik İzleme ve Testi
7.1 Sürekli İzleme
- SIEM: Güvenlik Bilgisi ve Olay İzleme
- IDS/IPS: Saldırı Tespit ve Önleme Sistemleri
- Güvenlik Açığı Tarama: Düzenli otomatik tarama
- Log Analizi: Merkezi loglama ve analiz
- Tehdit İstihbaratı: Proaktif tehdit izleme
7.2 Güvenlik Testi
- Penetrasyon Testi: Yıllık harici penetrasyon testleri
- Hata Ödül Programı: Sorumlu açıklama programı
- Kod İnceleme: Tüm kod güvenlik incelemesinden geçer
- Bağımlılık Tarama: Otomatik güvenlik açığı tarama
- Güvenlik Denetimleri: Düzenli dahili ve harici denetimler
8. Fiziksel ve Çevresel Güvenlik
8.1 Veri Merkezi Güvenliği
Whispie, kurumsal sınıf veri merkezlerini kullanır:
- 7/24 fiziksel güvenlik ve izleme
- Biyometrik erişim kontrolleri
- Yedekli güç ve soğutma sistemleri
- Yangın tespit ve söndürme sistemleri
- Çevresel izleme
8.2 Ofis Güvenliği
Kurumsal ofislerimiz şunları uygular:
- Erişim kontrol sistemleri
- Ziyaretçi yönetimi prosedürleri
- Güvenli belge imha
- Temiz masa politikası
- Cihaz şifreleme gereksinimleri
9. İş Sürekliliği ve Olağanüstü Durum Kurtarma
9.1 İş Sürekliliği Planı
- HKO (Hizmet Kurtarma Hedefi): Kritik sistemler için 4 saat
- VKH (Veri Kaybı Hedefi): Kritik veriler için 1 saat
- Yedekleme Stratejisi: Coğrafi yedeklilik ile otomatik günlük yedeklemeler
- Olağanüstü Durum Kurtarma: Belgelenmiş OK prosedürleri ve düzenli test
9.2 Yüksek Kullanılabilirlik
Whispie, aşağıdakilerle %99,9 çalışma süresi sağlar:
- Yük dengeleme ve otomatik ölçeklendirme
- Çok bölgeli dağıtım
- Veritabanı çoğaltma ve yedekleme
- Statik içerik dağıtımı için CDN
10. Güvenlik Farkındalık Eğitimi
10.1 Çalışan Eğitimi
Tüm çalışanlar kapsamlı güvenlik eğitimini tamamlar:
- Veri koruma ve gizlilik prensipleri
- Oltalama ve sosyal mühendislik farkındalığı
- Parola güvenliği ve MFA
- Olay bildirim prosedürleri
- Güvenli geliştirme uygulamaları
10.2 Devam Eden Eğitim
- Üç aylık güvenlik farkındalık güncellemeleri
- Oltalama simülasyon egzersizleri
- Güvenlik bülteni ve duyuruları
- Yıllık güvenlik sertifikasyon gereksinimleri
11. Politika Yönetişimi
11.1 Politika İncelemesi
Bu Güvenlik Politikası gözden geçirilir ve güncellenir:
- Güvenlik programı incelememizin bir parçası olarak yıllık
- Önemli güvenlik olaylarını takiben
- Yeni düzenlemeler veya standartlar tanıtıldığında
- Büyük sistem veya altyapı değişikliklerinden sonra
11.2 Uyumluluk İzleme
Uyumluluğu sürekli olarak şununla izliyoruz:
- Otomatik uyumluluk kontrol araçları
- Düzenli dahili denetimler
- Harici güvenlik değerlendirmeleri
- Düzenleyici değişiklik izleme
12. İletişim ve Raporlama
12.1 Güvenlik İletişimleri
Güvenlikle ilgili sorular veya güvenlik endişelerini bildirmek için:
Güvenlik Ekibi: [email protected]
Gizlilik Ekibi: [email protected]
Kötüye Kullanım Raporları: [email protected]
12.2 Güvenlik Açığı Raporlama
Sorumlu güvenlik açığı bildirimlerini memnuniyetle karşılıyoruz. Lütfen güvenlik açıklarını şununla birlikte [email protected] adresine bildirin:
- Güvenlik açığının detaylı açıklaması
- Yeniden üretme adımları
- Potansiyel etki değerlendirmesi
- İletişim bilgileriniz
GÜVENLİK TAahhüdü: Whispie, kullanıcılarımızın hassas bilgilerini korumak için en yüksek güvenlik standartlarını sürdürmeye kararlıdır. Gelişen tehditleri ele almak için güvenlik önlemlerine sürekli yatırım yapıyor ve uygulamalarımızı düzenli olarak güncelliyoruz.