Buaze ana sayfa
BİLGİ GÜVENLİĞİ

Bilgi Güvenliği Politikası

ÖZET

Buaze platformunun KVKK m.12 kapsamında uyguladığı idari ve teknik güvenlik tedbirleri.

1. Amaç ve kapsam#

Bu politika, Buaze ("Buaze") tarafından sunulan platformda işlenen tüm verilerin gizliliğini, bütünlüğünü ve erişilebilirliğini sağlamak için uyguladığımız idari ve teknik tedbirleri belgelemektedir. 6698 sayılı KVKK m. 12 ve Kişisel Verileri Koruma Kurumu'nun "Kişisel Veri Güvenliği Rehberi" temel alınmıştır.

2. Yönetim ve sorumluluk#

  • Bilgi Güvenliği Sorumlusu: Şirket içi atanmış yönetici, KVKK uyumunu, güvenlik tedbirlerini ve ihlal müdahalesini koordine eder.
  • Veri Sorumlusu Temsilcisi: VERBİS kayıt yükümlülüğü kapsamında atanmış kişi.
  • Üçüncü taraf alt yükleniciler: KVKK m. 8 ve veri işleyici sözleşmesi (DPA) ile bağlıdır.

3. İdari tedbirler#

  • Erişim politikası: Personel yalnızca işi için zorunlu verilere erişir (least privilege). Erişim talepleri gerekçeli ve kayıtlıdır.
  • Eğitim: Tüm personel her yıl en az bir kez KVKK + bilgi güvenliği eğitimi alır. Yeni başlayan kişiler işe başlamadan önce eğitim alır.
  • Gizlilik yükümlülüğü: Personel ve üçüncü taraflar gizlilik sözleşmesi imzalar; sözleşme görev sona erse de süresiz devam eder.
  • Disiplin politikası: Politika ihlalleri yazılı uyarıdan iş ilişkisi feshine kadar kademeli yaptırıma tabidir.
  • Sözleşmesel kontroller: Tüm alt yüklenicilerle yazılı veri işleyici sözleşmesi (DPA) imzalanır; periyodik denetim yapılır.
  • VERBİS: Yasal eşik aşıldığında VERBİS kaydı tamamlanır ve güncel tutulur.

4. Teknik tedbirler#

4.1 Erişim ve kimlik doğrulama#

  • Şifre politikası: Min. 8 karakter, harf+rakam zorunlu, bcrypt hash ile saklanır (12 round).
  • İki faktörlü kimlik doğrulama (2FA): TOTP tabanlı; admin hesapları için zorunlu, son kullanıcılarda opsiyonel.
  • Oturum yönetimi: JWT + httpOnly + secure cookie + 7 gün TTL. UserSession tablosu ile sunucu-tarafı revoke edilebilir; "Diğer cihazlardan çık" kullanıcıya açık.
  • Brute-force koruma: Login + reset password endpoint'lerinde rate limit (Upstash Redis tabanlı).
  • Rol bazlı yetkilendirme (RBAC): superadmin / manager / restaurant_owner / team_member rolleri; IDOR kontrolleri her API'de aktif.

4.2 Veri aktarım güvenliği#

  • TLS 1.2+ zorunlu; HSTS header'ı ile downgrade saldırısı engellenir.
  • Sertifikalar Let's Encrypt veya equivalent CA ile otomatik yenilenir.
  • Cross-Origin Resource Sharing (CORS) kuralları whitelist mantığında uygulanır.

4.3 Veri tabanı ve depolama#

  • Veri tabanı sağlayıcısı (Supabase / PostgreSQL): TLS, satır seviyesi güvenlik (RLS) destekli.
  • Yedekleme: günlük otomatik yedek, 7 gün saklama, off-site replica.
  • Hassas alanlar şifrelenir veya hash'lenir (şifre, OAuth token, 2FA secret).
  • Data-at-rest şifreleme bulut sağlayıcı tarafında AES-256.

4.4 Uygulama güvenliği#

  • OWASP Top 10: SQL injection (Prisma parametreli sorgu), XSS (React default escape), CSRF (SameSite cookie), SSRF (URL allowlist), server-side input validation.
  • reCAPTCHA Enterprise: Kayıt, login, public form'larda bot koruması.
  • Honeypot alanları: Bot otomatik form gönderimine karşı.
  • Content Security Policy (CSP): Inline script + eval engellenir.
  • Bağımlılık güvenliği: `npm audit` periyodik tarama; yüksek risk açık 7 gün içinde patch'lenir.

4.5 Loglama ve izleme#

  • Sentry: hata izleme + performance tracing (KVKK uyumlu, PII send_default_pii=false).
  • Audit log: admin yazma işlemleri (`admin_audit_logs` tablosu).
  • IP retention: 90 gün; sonrasında anonimleştirme cron'u çalışır.
  • Erişim logları min. 6 ay saklanır.

4.6 Yedekleme ve iş sürekliliği#

  • RPO (Recovery Point Objective): max. 24 saat veri kaybı.
  • RTO (Recovery Time Objective): max. 4 saat içinde geri yükleme.
  • Yıllık tatbikat: yedekten geri yükleme + felaket kurtarma senaryosu test edilir.

5. Veri ihlali müdahale süreci#

Detaylı akış için "Veri İhlali Müdahale Politikası" sayfasına bakınız. Özet:

  • 24 saat içinde iç ekibe bildirim,
  • 72 saat içinde KVKK Kurulu'na bildirim (eğer eşik aşılırsa),
  • İlgili kişilere makul sürede haber verme.

6. Üçüncü taraf güvenlik denetimi#

Buaze, yıllık olarak veya talep üzerine bağımsız bilgi güvenliği denetimine açıktır. Kurumsal müşteriler legal@buaze.com adresine başvurarak:

  • Penetration test özet raporu (NDA altında),
  • Mimari diyagramlar (NDA altında),
  • ISO 27001 / 27701 sertifika hazırlık durumu

talep edebilir.

7. Politika gözden geçirme#

Bu politika yılda bir kez veya teknolojide / mevzuatta köklü değişiklik olduğunda gözden geçirilir. Gözden geçirme sonucu yapılan değişiklikler bu sayfada yayımlanır; köklü değişiklikler kayıtlı kullanıcılara e-posta ile bildirilir.

8. İletişim#

  • Bilgi güvenliği konuları: support@buaze.com
  • Şüpheli faaliyet bildirimi: legal@buaze.com
  • Bug bounty / vulnerability disclosure: support@buaze.com (responsible disclosure 90 gün)
Bu sayfayı PDF olarak kaydetmek için Ctrl/Cmd + P