Güvenlik Politikası
1. Giriş ve Taahhut
1.1. Güvenlik Taahhudumuz
Evaste olarak, müşterilerimizin ve kullanıcılarımızın verilerinin güvenliğini en yüksek öncelik olarak kabul ediyoruz. Bir veri gizliliği ve rıza yönetimi platformu olarak, güvenlik konusunda örnek teşkil etme sorumluluğu taşıdığımızın bilincindeyiz.
1.2. Güvenlik İlkeleri
Güvenlik stratejimiz aşağıdaki temel ilkelere dayanmaktadır:
- Derinlemesine Savunma (Defense in Depth): Birden fazla güvenlik katmanı ile koruma sağlıyoruz.
- En Az Yetki İlkesi (Least Privilege): Kullanıcı ve sistemlere yalnızca gerekli minimum yetkiler verilir.
- Güvenli Tasarım (Security by Design): Güvenlik, tüm sistem ve süreçlerin tasarımına en başından dahildir.
- Sıfır Güven Mimarisi (Zero Trust): "Asla güvenme, her zaman doğrula" prensibi uygulanır.
- Sürekli İyileştirme: Güvenlik önlemlerimiz sürekli olarak gözden geçirilir ve güncellenir.
1.3. Kapsam
Bu güvenlik politikası aşağıdakileri kapsamaktadır:
- Evaste platform altyapısı
- Müşteri verileri
- Çalışan verileri
- İş süreçleri
- Üçüncü taraf entegrasyonları
2. Teknik Güvenlik Tedbirleri
2.1. Veri Şifreleme
(a) Aktarım Sırasında Şifreleme (In Transit)
- TLS 1.3 protokolü (minimum TLS 1.2)
- HSTS (HTTP Strict Transport Security) etkin
- Perfect Forward Secrecy (PFS) desteği
- Güçlü şifre paketleri (cipher suites)
(b) Depolama Sırasında Şifreleme (At Rest)
- AES-256 şifreleme algoritması
- Disk düzeyinde şifreleme
- Veritabanı düzeyinde şifreleme
- Yedekleme şifrelemesi
(c) Şifre ve Hassas Veri Saklama
- Şifreler: bcrypt veya Argon2 ile hash'leme
- API anahtarları: Güvenli vault sistemleri
- Kriptografik anahtar yönetimi: HSM kullanımı
2.2. Ağ Güvenliği
(a) Güvenlik Duvarı (Firewall)
- Uygulama düzeyinde güvenlik duvarı (WAF)
- Ağ düzeyinde güvenlik duvarı
- Varsayılan olarak tüm trafiği engelleme (deny-all)
(b) Saldırı Tespit ve Önleme
- IDS/IPS sistemleri
- Gerçek zamanlı tehdit izleme
- Anomali tespiti
(c) DDoS Koruması
- Cloudflare veya benzeri CDN koruması
- Trafik analizi ve filtreleme
- Rate limiting uygulaması
2.3. Uygulama Güvenliği
(a) Güvenli Yazılım Geliştirme Yaşam Döngüsü (SSDLC)
- Güvenlik gereksinimlerinin tanımlanması
- Tehdit modelleme
- Güvenli kod incelemesi
- Güvenlik testleri
(b) OWASP Top 10 Koruması
- SQL Injection önleme
- XSS (Cross-Site Scripting) koruması
- CSRF (Cross-Site Request Forgery) koruması
- Güvenli kimlik doğrulama
- Hassas veri koruma
(c) API Güvenliği
- OAuth 2.0 / JWT kimlik doğrulama
- Rate limiting
- Input validation
- API versiyonlama
3. Organizasyonel Güvenlik Tedbirleri
3.1. Güvenlik Yönetişimi
- Üst yönetim düzeyinde güvenlik sorumluluğu
- Güvenlik ekibi ve sorumlulukları
- Departmanlar arası koordinasyon
- Yazılı güvenlik politikaları
- Düzenli politika güncellemeleri
3.2. Risk Yönetimi
(a) Risk Değerlendirmesi
- Yıllık risk değerlendirmesi
- Varlık envanteri
- Tehdit ve açıklık analizi
- Risk azaltma planları
(b) Veri Koruma Etki Değerlendirmesi (DPIA)
- Yeni projeler için DPIA
- Yüksek riskli işleme faaliyetleri değerlendirmesi
- Risk azaltma önlemleri
3.3. Olay Yönetimi
(a) Güvenlik Olayı Tanımlama
- Kritik, yüksek, orta, düşük sınıflandırma
- Olay kategorileri
- Eskalasyon prosedürleri
(b) Müdahale Süreci
- Olay tespit ve doğrulama
- Containment (sınırlama)
- Eradication (temizleme)
- Recovery (kurtarma)
- Lessons learned (ders çıkarma)
4. Erişim Kontrol Politikaları
4.1. Kimlik Doğrulama
(a) Şifre Politikası
- Minimum 12 karakter
- Büyük/küçük harf, rakam ve özel karakter zorunluluğu
- 90 günde bir şifre değişikliği (kurumsal hesaplar)
- Son 12 şifrenin tekrar kullanımının engellenmesi
- Brute force koruması (hesap kilitleme)
(b) Çok Faktörlü Kimlik Doğrulama (MFA)
- Tüm yönetici hesapları için zorunlu MFA
- TOTP (Time-based One-Time Password) desteği
- SMS ve e-posta doğrulama seçenekleri
- Hardware security key desteği (FIDO2)
4.2. Yetkilendirme
(a) Rol Tabanlı Erişim Kontrolü (RBAC)
- Önceden tanımlanmış roller
- Özel rol oluşturma imkanı
- En az yetki ilkesi
- Düzenli yetki gözden geçirmesi
(b) Standart Roller
| Rol | Yetkiler |
|---|---|
| Görüntüleyici | Salt okuma erişimi |
| Editor | Okuma ve düzenleme |
| Yönetici | Tam yönetim yetkileri |
| Super Admin | Platform düzeyinde yetkiler |
4.3. Oturum Yönetimi
- Oturum zaman aşımı (30 dakika hareketsizlik)
- Eş zamanlı oturum sınırlaması
- Güvenli oturum sonlandırma
- Oturum kaçırma koruması
5. Veri Yedekleme Prosedürleri
5.1. Yedekleme Stratejisi
(a) Yedekleme Türleri
- Tam yedekleme (haftalık)
- Artımlı yedekleme (günlük)
- İşlem log yedeklemesi (sürekli)
(b) Yedekleme Sıklığı
| Veri Türü | Sıklık | Saklama Süresi |
|---|---|---|
| Veritabanı | Günlük | 30 gün |
| Dosya sistemleri | Günlük | 30 gün |
| Konfigurasyonlar | Değişiklikte | 90 gün |
| Log dosyaları | Günlük | 90 gün |
5.2. Yedekleme Güvenliği
- AES-256 ile şifreli yedekler
- Coğrafi olarak ayrı lokasyonlarda saklama
- Yedekleme erişim kontrolü
- Yedekleme bütünlük kontrolü (checksum)
5.3. Geri Yükleme Prosedürleri
- Düzenli geri yükleme testleri (aylık)
- Dokümante edilmiş geri yükleme prosedürleri
- RTO (Recovery Time Objective): 4 saat
- RPO (Recovery Point Objective): 1 saat
6. Güvenlik İhlali Bildirimi
6.1. İhlal Tespit ve Değerlendirme
Güvenlik ihlali tespit edildiğinde:
- Olayın doğrulanması ve kapsamının belirlenmesi
- Etkilenen sistemlerin ve verilerin tespiti
- Risk seviyesinin değerlendirilmesi
- Containment (sınırlama) önlemlerinin alınması
6.2. İç Bildirim Süreci
| Süre | Eylem |
|---|---|
| İlk 1 saat | Güvenlik ekibinin bilgilendirilmesi |
| İlk 4 saat | Üst yönetimin bilgilendirilmesi |
| İlk 24 saat | Etki değerlendirmesi ve müdahale planı |
6.3. Dış Bildirim Yükümlülükleri
(a) Kişisel Verileri Koruma Kurumu (KVKK)
- Kişisel veri ihlallerinde en kısa sürede bildirim
- İhlal formu doldurulması
- Alınan önlemlerin raporlanması
(b) GDPR Kapsamında (72 Saat Kuralı)
- Yetkili veri koruma otoritesine 72 saat içinde bildirim
- Yüksek risk durumunda ilgili kişilere bildirim
- İhlal kaydının tutulması
(c) Etkilenen Kullanıcılara Bildirim
- Yüksek risk durumunda derhal bildirim
- Açık ve anlaşılır dil kullanımı
- Alınması gereken önlemler hakkında rehberlik
7. Güvenlik Denetimleri ve Testleri
7.1. Güvenlik Açığı Taraması
(a) Otomatik Taramalar
- Haftalık altyapı taraması
- Günlük uygulama taraması
- Sürekli bağımlılık taraması
7.2. Penetrasyon Testleri
- Yıllık kapsamlı penetrasyon testi
- Büyük değişiklikler sonrası ek testler
- Bağımsız güvenlik firmaları tarafından gerçekleştirme
- Bulguların 30 gün içinde giderilmesi
7.3. Bulgu Yönetimi
| Kritiklik | Giderilme Süresi |
|---|---|
| Kritik | 24 saat |
| Yüksek | 7 gün |
| Orta | 30 gün |
| Düşük | 90 gün |
8. Çalışan Eğitimi
8.1. Güvenlik Farkındalık Eğitimi
(a) İşe Giriş Eğitimi
- Güvenlik politikaları
- Kabul edilebilir kullanım
- Veri koruma temelleri
- Olay raporlama
(b) Yıllık Zorunlu Eğitim
- Güncel tehditler ve trendler
- Sosyal mühendislik farkındalığı
- Phishing tanıma
- Güvenli çalışma pratikleri
8.2. Rol Bazlı Eğitim
| Rol | Ek Eğitim Konuları |
|---|---|
| Geliştiriciler | Güvenli kodlama, OWASP, kod inceleme |
| DevOps | Bulut güvenliği, konteyner güvenliği |
| Yöneticiler | Risk yönetimi, uyumluluk |
| Destek | Veri koruma, müşteri gizliliği |
8.3. Simülasyon Egzersizleri
- Aylık phishing simülasyonları
- Güvenlik olayı tatbikatları
- Masa başı egzersizleri (tabletop exercises)
9. Uyumluluk ve Sertifikasyonlar
9.1. Uyumluluk Çerçeveleri
Evaste aşağıdaki düzenlemelere uyumludur:
(a) Veri Koruma
- 6698 sayılı KVKK (Türkiye)
- GDPR (Avrupa Birliği)
- CCPA (California, ABD)
(b) Bilgi Güvenliği
- ISO 27001 (bilgi güvenliği yönetim sistemi)
- SOC 2 Type II (altyapı sağlayıcıları)
9.2. Sertifikasyonlar ve Denetimler
| Sertifikasyon/Denetim | Kapsam | Sıklık |
|---|---|---|
| ISO 27001 | Bilgi güvenliği yönetimi | Yıllık |
| SOC 2 Type II | Güvenlik kontrolleri | Yıllık |
| Penetrasyon Testi | Uygulama ve altyapı | Yıllık |
| Güvenlik Açığı Tarama | Tüm sistemler | Sürekli |
9.3. Uyumluluk Raporları
Müşterilerimize talep üzerine aşağıdaki dokümanlar sunulabilir:
- SOC 2 Type II raporu özeti
- Penetrasyon testi özeti
- Güvenlik uyumluluk beyanı
10. İletişim Bilgileri
10.1. Güvenlik Ekibi
Güvenlik soruları ve bildirimleri için:
E-posta: security@evaste.co Acil Durum: +90 532 494 42 64
10.2. Güvenlik Açığı Bildirimi
Güvenlik açığı tespit ettiyseniz:
E-posta: security@evaste.co Konu: "Security Vulnerability Report"
Sorumlu açıklama (responsible disclosure) ilkesiyle hareket edilmesi rica olunur. Geçerli güvenlik açığı bildirimleri ödüllendirilir.
10.3. Genel İletişim
Evaste (Group Taiga) Adres: Levent, Istanbul, Turkey E-posta: info@evaste.co Web: https://evaste.co
İşbu Güvenlik Politikası 12 Ocak 2026 tarihinde yürürlüğe girmiştir.
Güvenlik süreçlerimizi sürekli olarak gözden geçirmekte ve iyileştirmekteyiz. Politika değişiklikleri "Son Güncelleme" tarihi güncellenerek yayınlanacaktır.
Güvenlik Politikası
1. Giriş ve Taahhut
1.1. Güvenlik Taahhudumuz
Evaste olarak, müşterilerimizin ve kullanıcılarımızın verilerinin güvenliğini en yüksek öncelik olarak kabul ediyoruz. Bir veri gizliliği ve rıza yönetimi platformu olarak, güvenlik konusunda örnek teşkil etme sorumluluğu taşıdığımızın bilincindeyiz.
1.2. Güvenlik İlkeleri
Güvenlik stratejimiz aşağıdaki temel ilkelere dayanmaktadır:
- Derinlemesine Savunma (Defense in Depth): Birden fazla güvenlik katmanı ile koruma sağlıyoruz.
- En Az Yetki İlkesi (Least Privilege): Kullanıcı ve sistemlere yalnızca gerekli minimum yetkiler verilir.
- Güvenli Tasarım (Security by Design): Güvenlik, tüm sistem ve süreçlerin tasarımına en başından dahildir.
- Sıfır Güven Mimarisi (Zero Trust): "Asla güvenme, her zaman doğrula" prensibi uygulanır.
- Sürekli İyileştirme: Güvenlik önlemlerimiz sürekli olarak gözden geçirilir ve güncellenir.
1.3. Kapsam
Bu güvenlik politikası aşağıdakileri kapsamaktadır:
- Evaste platform altyapısı
- Müşteri verileri
- Çalışan verileri
- İş süreçleri
- Üçüncü taraf entegrasyonları
2. Teknik Güvenlik Tedbirleri
2.1. Veri Şifreleme
(a) Aktarım Sırasında Şifreleme (In Transit)
- TLS 1.3 protokolü (minimum TLS 1.2)
- HSTS (HTTP Strict Transport Security) etkin
- Perfect Forward Secrecy (PFS) desteği
- Güçlü şifre paketleri (cipher suites)
(b) Depolama Sırasında Şifreleme (At Rest)
- AES-256 şifreleme algoritması
- Disk düzeyinde şifreleme
- Veritabanı düzeyinde şifreleme
- Yedekleme şifrelemesi
(c) Şifre ve Hassas Veri Saklama
- Şifreler: bcrypt veya Argon2 ile hash'leme
- API anahtarları: Güvenli vault sistemleri
- Kriptografik anahtar yönetimi: HSM kullanımı
2.2. Ağ Güvenliği
(a) Güvenlik Duvarı (Firewall)
- Uygulama düzeyinde güvenlik duvarı (WAF)
- Ağ düzeyinde güvenlik duvarı
- Varsayılan olarak tüm trafiği engelleme (deny-all)
(b) Saldırı Tespit ve Önleme
- IDS/IPS sistemleri
- Gerçek zamanlı tehdit izleme
- Anomali tespiti
(c) DDoS Koruması
- Cloudflare veya benzeri CDN koruması
- Trafik analizi ve filtreleme
- Rate limiting uygulaması
2.3. Uygulama Güvenliği
(a) Güvenli Yazılım Geliştirme Yaşam Döngüsü (SSDLC)
- Güvenlik gereksinimlerinin tanımlanması
- Tehdit modelleme
- Güvenli kod incelemesi
- Güvenlik testleri
(b) OWASP Top 10 Koruması
- SQL Injection önleme
- XSS (Cross-Site Scripting) koruması
- CSRF (Cross-Site Request Forgery) koruması
- Güvenli kimlik doğrulama
- Hassas veri koruma
(c) API Güvenliği
- OAuth 2.0 / JWT kimlik doğrulama
- Rate limiting
- Input validation
- API versiyonlama
3. Organizasyonel Güvenlik Tedbirleri
3.1. Güvenlik Yönetişimi
- Üst yönetim düzeyinde güvenlik sorumluluğu
- Güvenlik ekibi ve sorumlulukları
- Departmanlar arası koordinasyon
- Yazılı güvenlik politikaları
- Düzenli politika güncellemeleri
3.2. Risk Yönetimi
(a) Risk Değerlendirmesi
- Yıllık risk değerlendirmesi
- Varlık envanteri
- Tehdit ve açıklık analizi
- Risk azaltma planları
(b) Veri Koruma Etki Değerlendirmesi (DPIA)
- Yeni projeler için DPIA
- Yüksek riskli işleme faaliyetleri değerlendirmesi
- Risk azaltma önlemleri
3.3. Olay Yönetimi
(a) Güvenlik Olayı Tanımlama
- Kritik, yüksek, orta, düşük sınıflandırma
- Olay kategorileri
- Eskalasyon prosedürleri
(b) Müdahale Süreci
- Olay tespit ve doğrulama
- Containment (sınırlama)
- Eradication (temizleme)
- Recovery (kurtarma)
- Lessons learned (ders çıkarma)
4. Erişim Kontrol Politikaları
4.1. Kimlik Doğrulama
(a) Şifre Politikası
- Minimum 12 karakter
- Büyük/küçük harf, rakam ve özel karakter zorunluluğu
- 90 günde bir şifre değişikliği (kurumsal hesaplar)
- Son 12 şifrenin tekrar kullanımının engellenmesi
- Brute force koruması (hesap kilitleme)
(b) Çok Faktörlü Kimlik Doğrulama (MFA)
- Tüm yönetici hesapları için zorunlu MFA
- TOTP (Time-based One-Time Password) desteği
- SMS ve e-posta doğrulama seçenekleri
- Hardware security key desteği (FIDO2)
4.2. Yetkilendirme
(a) Rol Tabanlı Erişim Kontrolü (RBAC)
- Önceden tanımlanmış roller
- Özel rol oluşturma imkanı
- En az yetki ilkesi
- Düzenli yetki gözden geçirmesi
(b) Standart Roller
| Rol | Yetkiler |
|---|---|
| Görüntüleyici | Salt okuma erişimi |
| Editor | Okuma ve düzenleme |
| Yönetici | Tam yönetim yetkileri |
| Super Admin | Platform düzeyinde yetkiler |
4.3. Oturum Yönetimi
- Oturum zaman aşımı (30 dakika hareketsizlik)
- Eş zamanlı oturum sınırlaması
- Güvenli oturum sonlandırma
- Oturum kaçırma koruması
5. Veri Yedekleme Prosedürleri
5.1. Yedekleme Stratejisi
(a) Yedekleme Türleri
- Tam yedekleme (haftalık)
- Artımlı yedekleme (günlük)
- İşlem log yedeklemesi (sürekli)
(b) Yedekleme Sıklığı
| Veri Türü | Sıklık | Saklama Süresi |
|---|---|---|
| Veritabanı | Günlük | 30 gün |
| Dosya sistemleri | Günlük | 30 gün |
| Konfigurasyonlar | Değişiklikte | 90 gün |
| Log dosyaları | Günlük | 90 gün |
5.2. Yedekleme Güvenliği
- AES-256 ile şifreli yedekler
- Coğrafi olarak ayrı lokasyonlarda saklama
- Yedekleme erişim kontrolü
- Yedekleme bütünlük kontrolü (checksum)
5.3. Geri Yükleme Prosedürleri
- Düzenli geri yükleme testleri (aylık)
- Dokümante edilmiş geri yükleme prosedürleri
- RTO (Recovery Time Objective): 4 saat
- RPO (Recovery Point Objective): 1 saat
6. Güvenlik İhlali Bildirimi
6.1. İhlal Tespit ve Değerlendirme
Güvenlik ihlali tespit edildiğinde:
- Olayın doğrulanması ve kapsamının belirlenmesi
- Etkilenen sistemlerin ve verilerin tespiti
- Risk seviyesinin değerlendirilmesi
- Containment (sınırlama) önlemlerinin alınması
6.2. İç Bildirim Süreci
| Süre | Eylem |
|---|---|
| İlk 1 saat | Güvenlik ekibinin bilgilendirilmesi |
| İlk 4 saat | Üst yönetimin bilgilendirilmesi |
| İlk 24 saat | Etki değerlendirmesi ve müdahale planı |
6.3. Dış Bildirim Yükümlülükleri
(a) Kişisel Verileri Koruma Kurumu (KVKK)
- Kişisel veri ihlallerinde en kısa sürede bildirim
- İhlal formu doldurulması
- Alınan önlemlerin raporlanması
(b) GDPR Kapsamında (72 Saat Kuralı)
- Yetkili veri koruma otoritesine 72 saat içinde bildirim
- Yüksek risk durumunda ilgili kişilere bildirim
- İhlal kaydının tutulması
(c) Etkilenen Kullanıcılara Bildirim
- Yüksek risk durumunda derhal bildirim
- Açık ve anlaşılır dil kullanımı
- Alınması gereken önlemler hakkında rehberlik
7. Güvenlik Denetimleri ve Testleri
7.1. Güvenlik Açığı Taraması
(a) Otomatik Taramalar
- Haftalık altyapı taraması
- Günlük uygulama taraması
- Sürekli bağımlılık taraması
7.2. Penetrasyon Testleri
- Yıllık kapsamlı penetrasyon testi
- Büyük değişiklikler sonrası ek testler
- Bağımsız güvenlik firmaları tarafından gerçekleştirme
- Bulguların 30 gün içinde giderilmesi
7.3. Bulgu Yönetimi
| Kritiklik | Giderilme Süresi |
|---|---|
| Kritik | 24 saat |
| Yüksek | 7 gün |
| Orta | 30 gün |
| Düşük | 90 gün |
8. Çalışan Eğitimi
8.1. Güvenlik Farkındalık Eğitimi
(a) İşe Giriş Eğitimi
- Güvenlik politikaları
- Kabul edilebilir kullanım
- Veri koruma temelleri
- Olay raporlama
(b) Yıllık Zorunlu Eğitim
- Güncel tehditler ve trendler
- Sosyal mühendislik farkındalığı
- Phishing tanıma
- Güvenli çalışma pratikleri
8.2. Rol Bazlı Eğitim
| Rol | Ek Eğitim Konuları |
|---|---|
| Geliştiriciler | Güvenli kodlama, OWASP, kod inceleme |
| DevOps | Bulut güvenliği, konteyner güvenliği |
| Yöneticiler | Risk yönetimi, uyumluluk |
| Destek | Veri koruma, müşteri gizliliği |
8.3. Simülasyon Egzersizleri
- Aylık phishing simülasyonları
- Güvenlik olayı tatbikatları
- Masa başı egzersizleri (tabletop exercises)
9. Uyumluluk ve Sertifikasyonlar
9.1. Uyumluluk Çerçeveleri
Evaste aşağıdaki düzenlemelere uyumludur:
(a) Veri Koruma
- 6698 sayılı KVKK (Türkiye)
- GDPR (Avrupa Birliği)
- CCPA (California, ABD)
(b) Bilgi Güvenliği
- ISO 27001 (bilgi güvenliği yönetim sistemi)
- SOC 2 Type II (altyapı sağlayıcıları)
9.2. Sertifikasyonlar ve Denetimler
| Sertifikasyon/Denetim | Kapsam | Sıklık |
|---|---|---|
| ISO 27001 | Bilgi güvenliği yönetimi | Yıllık |
| SOC 2 Type II | Güvenlik kontrolleri | Yıllık |
| Penetrasyon Testi | Uygulama ve altyapı | Yıllık |
| Güvenlik Açığı Tarama | Tüm sistemler | Sürekli |
9.3. Uyumluluk Raporları
Müşterilerimize talep üzerine aşağıdaki dokümanlar sunulabilir:
- SOC 2 Type II raporu özeti
- Penetrasyon testi özeti
- Güvenlik uyumluluk beyanı
10. İletişim Bilgileri
10.1. Güvenlik Ekibi
Güvenlik soruları ve bildirimleri için:
E-posta: security@evaste.co Acil Durum: +90 532 494 42 64
10.2. Güvenlik Açığı Bildirimi
Güvenlik açığı tespit ettiyseniz:
E-posta: security@evaste.co Konu: "Security Vulnerability Report"
Sorumlu açıklama (responsible disclosure) ilkesiyle hareket edilmesi rica olunur. Geçerli güvenlik açığı bildirimleri ödüllendirilir.
10.3. Genel İletişim
Evaste (Group Taiga) Adres: Levent, Istanbul, Turkey E-posta: info@evaste.co Web: https://evaste.co
İşbu Güvenlik Politikası 12 Ocak 2026 tarihinde yürürlüğe girmiştir.
Güvenlik süreçlerimizi sürekli olarak gözden geçirmekte ve iyileştirmekteyiz. Politika değişiklikleri "Son Güncelleme" tarihi güncellenerek yayınlanacaktır.