Geri

Verilerimiz Güvende mi?

Verilerinizi ve gizliliğinizi korumak için endüstri standart protokollerini ve en iyi uygulamaları kullanıyoruz.
Bugünün karmaşık ve düzenlemeye tabi ortamında, kullanıcılarımız verilerini koruma görevini bize, endüstri standartlarına uygun araçlar ve uygulamalar kullanarak emanet ediyor. Bu sayfa, Netatoo'nun bu gereksinimlere yanıt vermek için gösterdiği çabaların bir özetini sunar.

Bugünün karmaşık ve düzenlemeye tabi ortamında, kullanıcılarımız verilerini koruma görevini bize, endüstri standartlarına uygun araçlar ve uygulamalar kullanarak emanet ediyor. Bu sayfa, Netatoo'nun bu gereksinimlere yanıt vermek için gösterdiği çabaların bir özetini sunar.

Veritabanı ve Erişim Güvenliği

Başlangıç olarak, uygulama veritabanımıza erişimi sınırlayarak kalıcılık katmanımızı güvence altına alıyoruz. Bu sınırlama, Netatoo'ya ait bilinen sabit bir IP adresi kümesine ve uygulama katmanına erişimle sağlanır. Erişim sınırlaması, güvenlik duvarı kuralları, kimlik doğrulama mekanizmaları (kullanıcıların kimliklerini kanıtlamalarını gerektirir) ve rol tabanlı izinler aracılığıyla yetkilendirme kombinasyonu ile gerçekleştirilir.

Veri Yedekleme ve Geri Yükleme

Uygulama verilerinin felaket sonucu kaybı olasılığına (örneğin doğal bir felaket sonucu) karşı, coğrafi yedekli bir yaklaşımla otomatik olarak veritabanı yedekleri oluşturuyoruz.

  • Tam ve farklı yedekler oluşturuyoruz ve her biri AES-256 algoritması ile şifreleniyor.
  • Veritabanlarının tam yedekleri birkaç saatte bir, farklı yedekler genellikle saat başı, işlem günlüklerinin yedekleri ise genellikle her 10 ila 15 dakikada bir yapılır.
  • Veri kaybı durumunda, bilgilerin kaybını en aza indirmek için verileri belirli bir ana geri yükleyebiliriz. Yedeklerin bütünlüğü, saklanan verilerin uygun olduğundan emin olmak için yarı otomatik ve düzenli olarak kontrol edilir.
  • Yedekler 90 gün boyunca saklanır ve ardından imha edilir.

Güvenlik Denetimi ve Tehdit Algılama

Düzenleyici uyumluluğu sürdürmemize, veritabanı etkinliğini anlamamıza ve güvenlik ihlallerini gösterebilecek sapmaları ve anormallikleri daha iyi anlamamıza yardımcı olmak için sunucularımızda tehdit algılamayı sağlayan gelişmiş bir denetim uyguladık. Bu hizmetler, potansiyel tehditleri meydana geldikçe (örneğin, anormal veritabanı bağlantıları, SQL enjeksiyon açıkları) algılar ve ekibimizi hemen uyararak gerekli önlemleri almalarını sağlar. AB GDPR bağlamında, bu hizmet, veri ihlallerini tespit etmemize ve böyle bir durumun gerçekleşmesi durumunda denetim otoritelerini bilgilendirmemize olanak tanıyan teknik mekanizmanın önemli bir parçasıdır.

Bağlantı Güvenliği ve HTTPS Protokolü

Uygulama katmanında, tüm gelen isteklerin güvenli HTTPS bağlantıları (TLS üzerinden HTTP) kullanmasını zorunlu kılıyoruz. İstemci cihazına bağlı olarak, bağlantı TLS 1.0, TLS 1.1.1 veya TLS 1.2 kullanabilir. Eski ve savunmasız SSL 2 ve SSL 3 protokollerini kullanan bağlantılara izin vermiyoruz.

Gelişmiş HTTP Güvenlik Başlıkları

Kabul edilen TLS bağlantıları, en güçlü web standardını kullanan bir SSL sertifikası ile şifrelenir. Tüm HTTPS yanıtlarının bir parçası olarak, sunucularımız bir dizi gelişmiş güvenlik başlığı içerir. Bunlar özellikle şunları içerir:

  • X-XSS-Protection, modern tarayıcılara yansıyan XSS (Cross-site Scripting) saldırılarını tespit ettiklerinde iletişimi kesmelerini emreder.
  • Content-Security-Policy, tarayıcılardan cross-site scripting (XSS), clickjacking ve güvenilir bir web sayfası bağlamında kötü niyetli içerik çalıştırılmasından kaynaklanan diğer kod enjeksiyon saldırılarını önlemek için katı önlemler almalarını ister.
  • Strict-Transport-Security, HSTS olarak da bilinir. Tarayıcılardan ballejaune.com / openresa.com'a yalnızca HTTPS kullanarak erişmelerini ister (yani asla HTTP kullanmamalarını). Bu başlığı uzun bir ömürle dağıttık.
  • Expect-CT, bir istemci/web tarayıcısından sertifika şeffaflığı gereksinimlerini uygulamasını ister (yani, sitemizin sertifikalarının kamuya açık CT günlüklerinde göründüğünü doğrulamak), bu da yanlış Netatoo sertifikalarının kullanımını önlemeye yardımcı olur.
  • Referrer-Policy, sayfalarımızın dışındaki bağlantılar için "referer" başlığının değerini kontrol etmemizi sağlar. Bizim durumumuzda, "referer" başlığının HTTPS'den HTTP'ye bir düşüşle sonuçlanan gezintilerde tanımlanmaması gerektiğini belirtiyoruz.

Bağımsız Güvenlik Denetimi Sonuçları

Netatoo, uygulanan çeşitli unsurları doğrulamak için bağımsız securityheaders.io hizmetinden "A" notu alır. ballejaune.com ve openresa.com için testi isteğe bağlı olarak çalıştırabilir ve raporu kendiniz görebilirsiniz. Ayrıca, kullandığınız veya kullanmayı düşündüğünüz diğer web siteleriyle testi karşılaştırmanızı öneririz.

Netatoo uygulama barındırma sunucuları ayrıca endüstri standardı bağımsız Qualys SSL Labs sunucu testinden "A+" notu alır. Testi isteğe bağlı olarak çalıştırabilir ve raporu kendiniz görebilirsiniz. Rapor, BEAST, POODLE ve Heartbleed gibi en son güvenlik açıklarına karşı savunmasız olmadığımızı belirtir. Yine, kullandığınız veya kullanmayı düşündüğünüz diğer web siteleriyle testi karşılaştırmanızı öneririz.

Saldırı Önleme ve Çerez Güvenliği

Sözlük saldırılarını önlemeye yardımcı olmak için, oturum açma mekanizmamız, yanlış bir oturum açma şifresi birkaç kez girildiğinde hesap kilitleme işlevselliğini kullanır.

Sunucudan istemciye kimlik doğrulama ve istek doğrulama amacıyla gönderilen çerezler her zaman "HttpOnly" ve "Secure" öznitelikleriyle işaretlenir ve domaine ve yol değerleri ballejaune.com / openresa.com ile kullanım için uygun şekilde ayarlanır.

Çevrimiçi Ödeme Güvenliği

Çevrimiçi ödemelerle ilgili olarak, Netatoo PCI standardına uygundur. Pratikte, tüm ödemeler doğrudan seçtiğiniz ödeme geçidi (PayPal, Paybox Verifone) ile işlenir. Bu nedenle, hiçbir hassas ödeme detayı Netatoo'ya ait sistemlerle temas etmez (bunun yerine, şeffaf bir şekilde ödeme geçidinize yönlendirilir ve ardından bir token tabanlı yaklaşım ile yönetilir).

İşlem E-postalarının Güvenliği

Hizmetlerimiz tarafından gönderilen işlem e-postaları, e-posta doğrulaması için en son güvenlik özelliklerini kullanır. Bunlar arasında geçerli SPF, DKIM ve DMARC politikaları bulunur. DMARC durumunda, yayınlanan politikamız, alıcı sunucuların DMARC testini geçmeyen tüm mesajları karantinaya almasını ister. Bu özellikler, spam, spoofing ve phishing saldırılarını önlemeye yardımcı olan gelişmiş araçlardır. Doğal olarak, gönderdiğimiz tüm e-postalarda abonelikten çıkma bağlantıları da ekliyoruz ve e-posta bombardımanı saldırılarını önlemeye yardımcı olmak için bir hız sınırlama sistemi uyguladık.

Netatoo'da İç Güvenlik Uygulamaları

Organizasyonel düzeyde, Netatoo çalışanlarının verilere erişimi "bilmesi gereken" ve "en az ayrıcalık" güvenlik ilkelerine göre sınırlıdır. Geliştirme ve test sistemleri, dışarıdan erişilemeyen dahili bir ağda dağıtılır. Uygulama kaynak kodu özel bir depoda yönetilir ve hiçbir hassas bilgi (API anahtarları, şifreler veya bağlantı dizeleri gibi) içermez.

Hizmetlerin Erişilebilirlik Takibi

Olaylar durumunda (örneğin, uygulama kesintileri, performans düşüşleri veya diğerleri), hizmetlerimizin durumunu şu adresten takip edebilirsiniz: Pingdom http://stats.pingdom.com/rn0d9ch52vnj/1678478

Güncellemeler ve Sürekli İyi Uygulamalar

Son olarak, sunucularımızı ve dahili sistemlerimizi düzenli olarak güncelleyerek en son güvenlik yamalarını getirmeye büyük önem veriyoruz. Şifrelerimizi her 60 günde bir değiştiriyoruz ve işimizde kullandığımız üçüncü taraf uygulamalar ve hizmetlerin neredeyse tamamında iki faktörlü kimlik doğrulama kullanıyoruz.

Sonuç

Bu bilgilerin, Netatoo'nun verilerinizi güvence altına almak için uyguladığı ana güvenlik mekanizmalarını anlamanıza yardımcı olduğunu umuyoruz. Güvenlik prosedürlerimizi sürekli olarak gözden geçiriyoruz, bu nedenle bu bilgiler, güvenlik ortamındaki değişikliklere yanıt verdikçe gelecekte değişebilir.

Bize Ulaşın

Posta Adresi:
Netatoo SAS - BP 43606 - 54016 NANCY CEDEX FRANCE

E-posta:
support@openresa.com

12 Haziran 2025 Perşembe tarihinde güncellendi
Şartlar & gizlilik politikası
Türkiye (TR)