Güvenlik
Güvenlik
EasyAnnounce’i en güncel uygulamalar ve teknolojiyle güvenli olacak şekilde geliştirdik.
Bu sayfanın İngilizce sürümü, güvenlik uygulamalarımızın esas sürümüdür. Tüm çevrilmiş sürümler yalnızca bilgilendirme amaçlıdır.
Giriş
Bu sayfadaki açıklamalar güvenlik yaklaşımımızı anlatır ve güvenliği ciddiye aldığımızı göstermeyi amaçlar.
Beklentiler
Güvenlik gereksinimleri konusunda beklentilerinizi karşılamayı amaçlıyoruz. Ancak daha yüksek ihtiyaçlarınız varsa, olası zaman çizelgelerini veya değişiklikleri görüşmek için lütfen bizimle iletişime geçin.
Sorumlu Güvenlik Açığı Bildirimi
Platformdaki güvenlik açıklarını profesyonelce bildirenleri memnuniyetle karşılar ve takdir ederiz; ancak aktif bir bug bounty programımız yoktur. Bulunan sorunları çözmeyi hedefleriz ve bunlar yayımlanırsa size kredi veririz.
Web tarayıcınız veya uygulamanız, web sitemiz, API gateway’imiz, worker sunucularımız ve güvenilir üçüncü taraf sağlayıcılar arasındaki tüm istekler HTTPS üzerinden aktarım sırasında şifrelenir. Güçlü şifreler (AES-256) ve SHA-256 veya daha güçlü sertifika imzaları (RSA veya ECDSA) kullanırız. Yalnızca TLS1.2+ bağlantılarını destekleriz.
Özel CDN’lerimiz ve veritabanlarımızın tümü aktarım sırasında ve beklemede şifrelenir; SOC2 Type 2 ve HIPAA uyumludur. Bu anons isteklerinin parçası olan müşteri adlarını veya ayrıntılarını, ilgili anonsun ya da isim aramasının yaşam döngüsü dışında saklamayız.
Web uygulamamız için kullandığımız veritabanı, olası kurumsal veri ayrıştırma gereksinimlerinizi desteklemek için Satır Düzeyi Güvenlik (RLS) kullanır. Kuruluş kimlikleri, bu veritabanı dışında herhangi bir kullanım öncesinde her zaman önce hash’lenir (ör. kota uygulaması ve API gateway yönetimi için).
Hem ön uç hem arka uç hizmetlerimiz, yalnızca gerekli erişim sağlanacak şekilde ayrılmış Web Application Firewall’lar ile korunur; botlar ve DDoS saldırılarının etkisini sınırlayan kurallar uygulanır.
Ödemelerinizi işlemek ve aboneliklerinizi yönetmek için Stripe kullanıyoruz. Herhangi bir ödeme kartı verinizi saklamıyor veya işlemiyoruz. PCI DSS SAQ A kategorisinde bir satıcıyız.
Beklenen PCI-DSS (SAQ-A) satıcı yükümlülüklerimizi karşılamak için ön uç web sitemizde üç ayda bir tarama yapıyoruz. Bulunan sorunları 48 saat içinde çözmeyi hedefliyoruz.
Arka uç API sunucularımız ve web sitemiz için kritik yazılım güncellemelerini düzenli olarak kontrol eder ve uygularız; kritik olmayan yamalar ise normal geliştirme ve performans güncellemeleriyle birlikte yapılır.
API platformumuzdaki ve ön uçtaki yazılım kodumuzu etkileyen CVE’leri izleriz ve kritik (CVE >9.0) düzeltmeleri haberdar edildikten sonraki 48 saat içinde uygulamayı hedefleriz.
Tüm kontrol sistemlerimize erişim için MFA ve her ekip üyesi için benzersiz bir hesap gerekir.
Üçüncü taraf tedarikçilerimizi konum ve uyumluluk temelinde seçtik. Sağlayıcılarımızın (veritabanı, veri merkezleri ve metin okuma üretim sağlayıcıları) tümü SOC 2 Type 2, GDPR ve HIPAA uyumludur.
Veritabanlarımız şu anda Kanada ve AB’de yer alıyor; bu, olası GDPR gereksinimlerinizi karşılamaya yardımcı olur. Altyapı sunucularımız ve web sunucusu sağlayıcılarımızın ikisi de EU-US Data Privacy Framework kapsamında listelenmiş ve aktiftir.
Yeni bir girişimiz ve hizmetimizi mümkün olduğunca sağlam ve güvenli şekilde kurduğumuzu görebileceğinizi umuyoruz. Böylece kolayca ölçeklenebiliriz ve müşteri ile uyumluluk beklentilerini karşılayabiliriz. Kısa süre içinde SOC2 Type 1 denetiminden geçmeyi hedefliyoruz; sorularınızı daha ayrıntılı yanıtlayabilmek için güvenlik anketlerini memnuniyetle karşılarız. İletişim sayfası üzerinden bize ulaşın.
İletişim Bilgileri
Daha fazla bilgi veya uyumluluk talepleri için lütfen iletişim sayfamız üzerinden bizimle iletişime geçin.