ENA Feedback
Güvenlik

Güvenliğe Genel Bakış

Enafeedback'in verilerinizi nasıl koruduğu — şifreleme, erişim kontrolü, altyapı ve sorumlu açıklama.

Son güncelleme:

Güvenlik, Enafeedback'in her katmanına yerleştirilmiştir. Bu sayfa mevcut güvenlik önlemlerine genel bir bakış sunar.

Veri Şifreleme

  • Transit — Tüm veriler TLS 1.2+ üzerinden iletilir. HTTP desteklenmez; tüm uç noktalar HTTPS'e yönlendirir.
  • Beklemede — Veritabanı içeriği depolama katmanında AES-256 kullanılarak şifrelenir.
  • Dosya ekleri — Ziyaretçiler tarafından yüklenen dosyalar (fotoğraflar, ses) sunucu taraflı şifrelemeyle nesne depolamada saklanır.

Çok Kiracılı Yalıtım

Her çalışma alanı tamamen yalıtılmış bir kiracıdır:

  • Satır Düzeyinde Güvenlik (RLS) — Tüm veritabanı sorguları PostgreSQL RLS politikaları kullanılarak bir tenant_id'ye kapsamlandırılır. Uygulama katmanındaki bir hata, çalışma alanları arasında veri sızıntısına yol açamaz.
  • Ayrı kimlik bilgileri — Her çalışma alanı, kiracıya özgü JWT talebi olan kendi veritabanı oturumuna sahiptir.

Erişim Kontrolü

  • Tüm yönetici panosu istekleri OpenID Connect (OIDC) aracılığıyla doğrulanır — token'lar kısa ömürlüdür (1 saat) ve otomatik olarak yenilenir.
  • API istekleri Bearer token gerektirir (bkz. Kimlik Doğrulama).
  • Rol tabanlı izinler, her istekte API katmanında uygulanır, yalnızca kullanıcı arayüzünde değil.

Webhook Güvenliği

Webhook yükleri HMAC-SHA256 ile imzalanır. Her gelen isteğe imzaları doğrulayın. Bkz. Webhooklar.

Altyapı

Enafeedback, Huawei Cloud (Frankfurt bölgesi, AB) üzerinde Kubernetes'te çalışır:

  • Servisler arasında özel ağ (dahili API'ler için genel internet maruziyeti yok)
  • Düzenli otomatik yedeklemeler (günlük, 30 günlük saklama)
  • Veritabanı kümesi için otomatik yük devretme

Penetrasyon Testi

Enafeedback, bağımsız bir üçüncü taraf tarafından yıllık penetrasyon testine tabi tutulur. Test sonuçlarının yönetici özetleri, NDA kapsamında kurumsal müşterilere sunulmaktadır. Hesap yöneticinizle iletişime geçin.

Sorumlu Açıklama

Bir güvenlik açığı keşfederseniz lütfen [email protected] adresine bildirin. 90 günlük sorumlu açıklama politikasını takip ediyoruz:

  1. 48 saat içinde alım bildirimi.
  2. 7 gün içinde ön değerlendirme.
  3. 90 gün içinde düzeltme yayınlama.
  4. Sürüm notlarında raporlayan kişiyi (onayıyla) kredi verme.

90 gün sonrasına kadar veya bir düzeltme yayınlanana kadar (hangisi daha önce gelirse) güvenlik açığı ayrıntılarını kamuoyuyla paylaşmayın.

Güvenlik Değişiklik Günlüğü

Güvenlikle ilgili düzeltmeler, 🔒 etiketiyle ürün değişiklik günlüğünde listelenir. Değişiklik günlüğüne panodaki Yönetici → Değişiklik Günlüğü'nden erişin.

Gizlilik ve Uyumluluk

Enafeedback'te GDPR ve KVKK uyumu — veri saklama, anonimleştirme, KVK alanları işleme ve silme talepleri.

Kimlik Doğrulama

Enafeedback'te OIDC SSO ile yönetici girişi, oturum yönetimi ve API token kimlik doğrulaması.

Bu sayfada

Veri ŞifrelemeÇok Kiracılı YalıtımErişim KontrolüWebhook GüvenliğiAltyapıPenetrasyon TestiSorumlu AçıklamaGüvenlik Değişiklik Günlüğü