vowlyevent
ÖzelliklerNasıl ÇalışırSSSDestekHakkımızda
Language
ENDEFRITTRESPLNLPT
Giriş YapUygulamayı İndir

Her katmanda
güvenlik.

Verilerinizi ve Vowly Event platformunu nasıl koruyoruz — aktarımda ve depolamada şifreleme, sıkı erişim kontrolleri ve Google Cloud'un sertifikalı altyapısı üzerine kurulu güvenlik mühendisliği.

Yürürlük: 1 Mart 2026
01

Şifreleme

Vowly Event platformuna giren ve çıkan tüm veriler endüstri standardı algoritmalar kullanılarak şifrelenir. Aktarımdaki veriler için mükemmel ileri gizlilik ile TLS 1.3 ve birincil veritabanımızda, dosya depolamada ve yedeklerde beklemedeki veriler için GCM modunda AES-256 kullanıyoruz.

  • Tüm istemci–sunucu bağlantıları için TLS 1.3; HSTS önyükleme listesine dahil olma
  • Firestore, Cloud Storage ve yedekler için beklemede AES-256-GCM şifrelemesi
  • Yeni hesaplar için bcrypt (iş faktörü 12) ve Argon2id kullanarak şifrelenmiş kimlik bilgisi depolaması
  • Yıllık anahtar rotasyonu ile Google Cloud KMS aracılığıyla kriptografik anahtar yönetimi
02

Erişim kontrolleri

Tüm sistemlerde en az ayrıcalık ilkesine uyuyoruz. Üretim erişimi küçük bir mühendis grubuyla sınırlıdır, çok faktörlü kimlik doğrulama gerektirir ve her ayrıcalıklı eylem denetim amacıyla günlüğe kaydedilir.

  • Tüm dahili araçlarda rol tabanlı erişim kontrolü (RBAC) uygulanır
  • Üretim erişimi için zorunlu donanım güvenlik anahtarları (FIDO2/WebAuthn)
  • Otomatik süresi dolan, tam zamanında erişim izinleri (genellikle 4 saat)
  • Tüm yönetim eylemlerinin kapsamlı denetim günlüğü kaydı
  • Üç ayda bir erişim incelemeleri ve rol değişikliğinden sonra 1 saat içinde otomatik işten çıkarma
03

Altyapı

Vowly Event, birincil altyapısı europe-west3 (Frankfurt) bölgesinde olan ve AB genelinde çoklu bölge çoğaltması bulunan Google Cloud Platform üzerinde çalışır. Altyapımız, AB ve Birleşik Krallık veri ikamet gereksinimlerine uyum için dayanıklılık, ölçeklenebilirlik ve düzenleyici uyumluluk için tasarlanmıştır.

  • Bulut sağlayıcı: Google Cloud Platform (ISO 27001, SOC 2 Type II, ISO 27017, ISO 27018)
  • Birincil bölge: europe-west3 (Frankfurt, Almanya)
  • Veritabanı: çoklu bölge çoğaltma (eur3) ile Cloud Firestore
  • CDN ve DDoS koruması: hız sınırlama ve bot azaltma ile Cloudflare
  • 35 günlük saklama ve üç aylık geri yükleme tatbikatlarıyla günlük şifrelenmiş yedekler
04

İzleme ve tespit

Platformu 7/24, anormallikler, güvenlik olayları ve performans düşüşleri için otomatik uyarılarla izliyoruz. Olay müdahale ekibimiz, kritik sorunları dakikalar içinde ele almak üzere çağrı üzerine hazırdır.

  • Olağandışı oturum açma kalıpları ve kimlik bilgisi doldurma denemeleri için gerçek zamanlı güvenlik izleme
  • Anomali tespiti ile Uygulama Performansı İzleme (APM)
  • Tüm genel uç noktalarda Web Uygulaması Güvenlik Duvarı (WAF) ve hız sınırlama
  • Bağımlılıklar için sürekli güvenlik açığı taraması (npm audit, Snyk)
  • CREST akreditasyonlu firmalar tarafından yıllık üçüncü taraf sızma testi
05

Güvenli geliştirme yaşam döngüsü

Güvenlik, yazılım geliştirme yaşam döngümüzün her aşamasına entegre edilmiştir. OWASP en iyi uygulamalarını takip ediyoruz ve tüm kod değişikliklerinin üretime dağıtımdan önce otomatik güvenlik kontrollerini geçmesini şart koşuyoruz.

  • Tüm değişiklikler için zorunlu eş kod incelemesi; üretim dallarına doğrudan commit yok
  • Her çekme isteğinde Statik Uygulama Güvenliği Testi (SAST)
  • Savunmasız bağımlılıkları belirlemek için Yazılım Bileşim Analizi (SCA)
  • Otomatik güvenlik başlıkları (CSP, X-Frame-Options, Referrer-Policy)
  • Git ön-commit kancaları aracılığıyla gizli dizi taraması ve önleme
06

Olay müdahalesi

En iyi çabamıza rağmen hiçbir platform güvenlik olaylarına karşı bağışık değildir. Bir kişisel veri ihlali tespit edersek, belgelenmiş bir olay müdahale planını takip ederiz ve UK GDPR Madde 33 uyarınca etkilenen kullanıcıları ve UK ICO'yu 72 saat içinde bilgilendiririz.

  • Tanımlı önem seviyeleri ile belgelenmiş olay müdahale planı
  • Kritik olaylar için 15 dakikalık yanıt SLA'sı ile çağrı üzerine rotasyon
  • Tüm P0/P1 olaylar için zorunlu otopsi ve düzeltme
  • Denetleyici otoritelere ve etkilenen kullanıcılara 72 saatlik ihlal bildirim taahhüdü
Verilerinizi etkileyen onaylanmış bir kişisel veri ihlali durumunda, sizinle doğrudan e-posta yoluyla iletişime geçecek ve koruyucu adımlar hakkında rehberlik sağlayacağız.
07

Uyumluluk ve sertifikalar

Vowly Event, önde gelen güvenlik sertifikalarına sahip altyapı üzerine inşa edilmiştir ve birden fazla gizlilik ve güvenlik çerçevesinin gereksinimlerini karşılayacak şekilde tasarlanmıştır.

  • UK GDPR ve AB GDPR — Madde 30 kayıtları ve DPIA'lar dahil tam uyumluluk
  • UK Data Protection Act 2018
  • PCI DSS — Stripe tüm ödeme verilerini işler; SAQ-A kapsamını sürdürüyoruz
  • Düzenli güvenlik incelemeleri, bağımlılık denetimleri ve altyapı sıkılaştırması
  • SOC 2 Type II — altyapı sağlayıcı sertifikasyonu (Google Cloud)
08

Sorumlu açıklama

Platformumuzu güvende tutmak için güvenlik topluluğunun yardımını takdir ediyoruz. Bir güvenlik açığı keşfederseniz, lütfen açık bir açıklama, yeniden oluşturma adımları ve iletişim bilgilerinizle birlikte security@vowly.co adresine bildirin. Raporları 48 saat içinde kabul etmeyi ve sorumlu açıklama zaman çizelgelerinde sizinle birlikte çalışmayı taahhüt ediyoruz.

Lütfen güvenlik açıklarını istismar etmeyin, üretime karşı test etmeyin veya bizim düzeltme için makul bir fırsatımız olmadan kamuya açıklamayın.

Bir güvenlik açığı bildirin

Güvenlik topluluğundan sorumlu açıklamaları memnuniyetle karşılıyoruz. Lütfen herhangi bir güvenlik açığını veya güvenlik endişesini bildirmek için güvenlik ekibimizle iletişime geçin.

security@vowly.co