Güvenlik Beyanı
Kurumsal müşterilerin güvenlik ekipleri için hazırlanmış teknik beyan: Onysoft HR'ın altyapı, uygulama ve organizasyon güvenliği uygulamaları.
1. Sertifikalar ve Uyum
| Sertifika / Çerçeve | Kapsam | Durum |
|---|---|---|
| ISO/IEC 27001 | Bilgi güvenliği yönetim sistemi — tüm platform | Sertifikalı, yıllık gözetim denetimi |
| ISO 9001 | Kalite yönetim sistemi | Sertifikalı |
| KVKK | Kişisel veri koruma | Uyumlu — VERBİS kayıtlı |
| GDPR | AB müşterileri için Art.28 işleyen yükümlülükleri | DPA + SCC ile karşılanır |
Sertifika kopyaları ve denetim özet raporları, NDA karşılığında kurumsal müşterilerle paylaşılır.
2. Fiziksel Güvenlik
Birincil altyapı, İzmir'deki kendi veri merkezimizde barındırılır: 7/24 CCTV kaydı, biyometrik + kartlı geçiş, ziyaretçi refakat prosedürü, yangın algılama/söndürme (FM-200), yedekli iklimlendirme, çift şebeke beslemesi + UPS + dizel jeneratör. Fiziksel erişim yetkileri çeyreklik gözden geçirilir.
3. Ağ Güvenliği
- Katmanlı güvenlik duvarı mimarisi ve ağ segmentasyonu (üretim / yönetim / DMZ ayrımı),
- IDS/IPS ile anomali tespiti; merkezi log toplama ve SIEM korelasyonu,
- Cloudflare üzerinden hacimsel DDoS koruması ve WAF,
- Yönetim erişimi yalnızca VPN + 2FA ile; varsayılan tüm portlar kapalı ilkesi.
4. Uygulama Güvenliği
- OWASP Top 10 kontrolleri: parametrik sorgular, çıktı kodlama, CSRF token, CSP başlıkları,
- Güvenli geliştirme yaşam döngüsü: zorunlu kod incelemesi, bağımlılık taraması, statik analiz,
- Yıllık bağımsız sızma testi + her büyük sürüm öncesi iç güvenlik testi,
- Ortam ayrımı: üretim verisi test ortamlarında kullanılmaz (maskelenmiş sentetik veri).
5. Kimlik ve Erişim Yönetimi
- Rol tabanlı erişim kontrolü (RBAC): Süper Admin / Bayi / İK / Personel rol matrisi,
- 2FA (TOTP + SMS); Enterprise'da SSO — SAML 2.0 ve OAuth 2.0/OIDC,
- IP kısıtlama (Enterprise), oturum zaman aşımı, eşzamanlı oturum görünürlüğü,
- Çalışan erişimlerinde en az yetki ilkesi ve çeyreklik erişim gözden geçirmesi.
6. Veri Şifreleme
| Durum | Yöntem |
|---|---|
| Aktarım hâlinde (in-transit) | TLS 1.3 (min TLS 1.2), HSTS, PFS |
| Durağan hâlde (at-rest) | AES-256; disk + veritabanı düzeyi |
| Anahtar yönetimi | Ayrık anahtar kasası, yıllık rotasyon, çift kişi ilkesi |
| Parolalar | bcrypt (cost 12), tuzlanmış |
7. Yedekleme Politikası
| Metrik | Değer |
|---|---|
| RPO (veri kaybı toleransı) | 24 saat |
| RTO (kurtarma süresi hedefi) | 4 saat |
| Sıklık | Günlük tam + saatlik artımlı |
| Saklama | 90 gün |
| Replikasyon | Coğrafi olarak ayrık ikinci lokasyon, şifreli |
Geri yükleme prosedürü aylık olarak örneklem testiyle doğrulanır.
8. Felaket Kurtarma
Belgelenmiş felaket kurtarma planı; senaryo bazlı (veri merkezi kaybı, fidye yazılımı, bölgesel kesinti) prosedürler içerir. DR tatbikatı aylık masaüstü, yıllık tam kapsamlı yapılır; sonuçlar iyileştirme aksiyonlarına bağlanır.
9. Personel Güvenliği
Tüm çalışanlar işe girişte adli sicil kontrolünden geçer, NDA imzalar ve KVKK + güvenlik farkındalık eğitimini tamamlar; eğitimler yıllık tekrarlanır. Üretim verisine erişim, görev gereksinimine bağlı ve kayıt altındadır; işten ayrılmada erişimler aynı gün iptal edilir.
10. Olay Yönetimi
7/24 nöbetçi mühendis rotasyonu; olaylar önem derecesine göre sınıflandırılır (SLA tepki süreleri uygulanır). Müşteri verisini etkileyen güvenlik olaylarında 24 saat içinde ön bildirim, 72 saat içinde ayrıntılı bildirim yapılır (DPA m.9). Her kritik olay için kök neden analizi (RCA) yayımlanır.
11. Sızma Testi Sonuçları
Bağımsız firma tarafından yıllık kapsamlı sızma testi yapılır (web, API, mobil, altyapı). Yönetici özeti raporu, NDA karşılığında kurumsal müşterilerle paylaşılır. Kritik bulgular 7 gün, yüksek bulgular 30 gün içinde kapatılır.
12. Bug Bounty / Sorumlu Açıklama Programı
Güvenlik araştırmacılarının bulgularını sorumlu şekilde bildirmesini destekliyoruz. Kapsam, kural ve ödül tablosu onysoft.com/security sayfasında ilan edilir. İyi niyetli araştırmalara yasal işlem başlatılmaz (safe harbor).
13. Sorumlu Açıklama İletişimi
Güvenlik açığı bildirimleri: security@onysoft.com (PGP anahtarı sayfada yayımlıdır). Bildirimlere 24 saat içinde yanıt verilir; doğrulanan bulgular için düzeltme takvimi paylaşılır.