Güvenlik & Uyumluluk#
Evrenin en büyük hatası, "kimse bu kapıyı kırmaz" diye düşünmekti. Biz bu hatayı yapmıyoruz. VeriTeknik'te güvenlik bir ek paket, bir satır özellik ya da pazarlama sloganı değildir — altyapının DNA'sına işlenmiş bir yaşam biçimidir.
Bu sayfa, verilerinizi nasıl koruduğumuzu, hangi standartlara uyduğumuzu ve siz olarak neler yapabileceğinizi anlatır. Havlunuzu yanınıza alın, derinlere dalıyoruz.
Kimlik Doğrulama#
İki Faktörlü Doğrulama (2FA)#
Şifreniz evinizin anahtarıdır. 2FA ise kapıdaki retina tarayıcısıdır. TOTP (Time-based One-Time Password) tabanlı çalışır — Google Authenticator, Authy veya herhangi bir TOTP uygulamasıyla kullanabilirsiniz.
- Ayarlar > Güvenlik bölümüne gidin
- 2FA Etkinleştir butonuna tıklayın
- QR kodu authenticator uygulamanızla tarayın
- Ekrandaki doğrulama kodunu girerek onaylayın
Yedek kodlarınızı saklayın
2FA etkinleştirdiğinizde size verilen yedek kodları güvenli bir yere kaydedin. Telefonunuz sonsuz olasılıksızlık motoruna düşerse (veya daha muhtemel bir senaryo olarak, su dökülürse), bu kodlar tek kurtuluş yolunuz olacaktır. Havlunuzun yanına kaydedin mesela.
Magic Link (Şifresiz Giriş)#
Şifre hatırlamak, Vogon şiiri dinlemek kadar zor olmamalı. Magic Link ile e-posta adresinize tek kullanımlık bir giriş bağlantısı gönderilir — tıklayın ve içeridesiniz. Şifre yok, stres yok.
- Giriş sayfasında Magic Link ile Giriş seçeneğini tıklayın
- E-posta adresinizi girin
- Gelen bağlantıya tıklayın (5 dakika geçerli)
Magic Link güvenli mi?
Evet. Bağlantı tek kullanımlıktır, 5 dakika sonra geçersiz olur ve yalnızca sizin e-posta hesabınıza gönderilir. E-posta hesabınızın güvenliği burada kritik öneme sahiptir — e-postanızda da 2FA kullanmanızı şiddetle tavsiye ederiz.
Şifreleme#
AES-256-GCM ile Veri Şifreleme#
Bazı veriler öyle hassastır ki, düz metin olarak saklamak galaktik bir suç olmalıdır. Biz de öyle davranıyoruz:
| Veri Türü | Şifreleme | Detay |
|---|---|---|
| Domain auth kodları | AES-256-GCM | Her kod benzersiz IV ile şifrelenir |
| Ödeme token'ları | AES-256-GCM | Kart bilgileri asla düz metin saklanmaz |
| Oturum verileri | Sunucu tarafı | İmzalı, HTTP-only cookie'ler |
AES-256-GCM nedir?
Galaktik Ansiklopedi'nin güvenlik bölümünde "kırılması evrenin ömründen uzun süren şifreleme" olarak tanımlanır. 256-bit anahtar uzunluğu ve GCM (Galois/Counter Mode) hem gizlilik hem de bütünlük sağlar. Yani birisi verinizi okuyamaz, değiştiremez ve bu girişimi fark etmeden kalamaz.
Erişim Kontrolü#
RBAC (Rol Tabanlı Erişim Kontrolü)#
Herkesin her şeye erişebildiği bir sistem, kapısı olmayan bir uzay gemisidir — dışarıya doğru çok hızlı bir şekilde boşalır. RBAC ile her kullanıcı yalnızca ihtiyaç duyduğu kaynaklara erişir.
| Rol | Erişim Kapsamı |
|---|---|
| Hesap Sahibi | Tam yönetim, faturalar, kullanıcı yönetimi |
| Teknik Yönetici | Sunucu yönetimi, DNS, izleme |
| Muhasebe | Faturalar, bakiye, ödeme yöntemleri |
| Salt Okunur | Görüntüleme, değişiklik yapamaz |
Roller Ayarlar > Ekip Üyeleri bölümünden yönetilir. Her rol granüler izinlerle özelleştirilebilir.
SSH Anahtar Yönetimi#
VPS sunucularınıza şifre ile bağlanmak, kapınızı anahtarla değil de her seferinde çilingir çağırarak açmak gibidir. SSH anahtarları hem daha güvenli hem de çok daha pratiktir.
- Ayarlar > SSH Anahtarları bölümüne gidin
- Yeni Anahtar Ekle butonuna tıklayın
- Public key'inizi yapıştırın (ed25519 veya RSA 4096-bit önerilir)
- Anahtara bir isim verin ve kaydedin
Eklenen anahtarlar, yeni VPS kurulumlarında otomatik olarak sunucuya enjekte edilir.
ed25519 kullanın
RSA hala güvenlidir, ancak ed25519 daha kısa, daha hızlı ve modern kriptografinin gözdesidir. ssh-keygen -t ed25519 komutu ile oluşturabilirsiniz. Galaksinin bu köşesindeki en iyi pratik budur.
Denetim ve İzleme#
Denetim İzi (Audit Trail)#
PCI-DSS uyumlu, değiştirilemez (immutable) denetim izimiz her şeyi kaydeder. Elasticsearch'e yazılan loglar salt-yazılırdır — bir kez yazıldıktan sonra kimse değiştiremez, silemez veya "aslında o ben değildim" diyemez.
Kaydedilen olaylar:
- Her API çağrısı ve yanıtı
- Giriş ve çıkış işlemleri (başarılı ve başarısız)
- Ödeme ve fatura işlemleri
- İzin ve rol değişiklikleri
- Sunucu güç kontrolü (başlat, durdur, yeniden başlat)
- DNS kayıt değişiklikleri
- SSH anahtar ekleme/silme
Loglar değiştirilemez
Bu bir tasarım kararıdır, hata değil. Bir olayın gerçekleştiğine dair log varsa, o olay gerçekleşmiştir. Tartışma yok. Vogon bürokrasisinden bile daha katı, ama güvenliğiniz için gerekli.
Giriş Geçmişi#
Son giriş etkinliklerinizi Ayarlar > Güvenlik bölümünden görebilirsiniz:
- Giriş tarihi ve saati
- IP adresi
- Tarayıcı ve cihaz bilgisi
- Başarılı/başarısız durumu
Tanımadığınız bir girişi görürseniz, şifrenizi hemen değiştirin ve 2FA'yı etkinleştirin.
Değişiklik Yönetimi#
PCI-DSS uyumlu değişiklik yönetimi sürecimiz, altyapıda yapılan her değişikliğin belgelenmesini, onaylanmasını ve izlenebilir olmasını sağlar. Bir sunucu konfigürasyonu değiştiğinde, bu değişiklik kimin tarafından, ne zaman ve neden yapıldığı ile birlikte kaydedilir.
Koruma Katmanları#
CSRF Koruması#
Tüm veri değiştiren (mutasyon) endpoint'lerimiz CSRF token doğrulaması yapar. Bu, kötü niyetli bir sitenin sizin adınıza işlem yapmasını engeller. Teknik detaya girmek gerekirse: her form gönderiminde benzersiz bir token üretilir ve sunucu tarafında doğrulanır. Token eşleşmezse, istek reddedilir. Noktası virgülü budur.
Hız Sınırlama (Rate Limiting)#
Redis tabanlı hız sınırlamamız hem IP hem de kullanıcı bazında çalışır. Brute-force saldırıları, API istismarı ve DDoS girişimlerini otomatik olarak tespit edip engeller.
| Endpoint Türü | Limit | Pencere |
|---|---|---|
| Giriş denemeleri | 5 deneme | 15 dakika |
| API çağrıları | 100 istek | 1 dakika |
| Şifre sıfırlama | 3 deneme | 1 saat |
Limit aşımında ne olur?
HTTP 429 (Too Many Requests) yanıtı alırsınız. Biraz bekleyin, bir fincan çay için, evrenin anlamını düşünün (42'dir, biliyorsunuz) ve tekrar deneyin. Limitler otomatik olarak sıfırlanır.
Uyumluluk#
PCI-DSS#
Ödeme kartı verilerini işleyen her sistem PCI-DSS standartlarına uymalıdır. VeriTeknik'te bu standart sadece ödeme sistemleriyle sınırlı kalmaz — tüm altyapıya yayılır:
- Değiştirilemez denetim izi — Elasticsearch'te salt-yazılır loglar
- Şifreli veri saklama — hassas veriler AES-256-GCM ile şifrelenir
- Erişim kontrolü — RBAC ile en az yetki prensibi
- Değişiklik yönetimi — her altyapı değişikliği belgelenir ve onaylanır
- Düzenli güvenlik testleri — zafiyet taramaları ve penetrasyon testleri
KVKK (Kişisel Verilerin Korunması Kanunu)#
Türkiye'nin veri koruma mevzuatı olan KVKK (Avrupa'nın GDPR'ının Türk karşılığı), kişisel verileriniz üzerinde size haklar tanır. Biz de bu hakları ciddiye alıyoruz:
| Hak | Açıklama |
|---|---|
| Bilgi edinme | Hangi verilerinizi işlediğimizi öğrenme |
| Düzeltme | Yanlış verilerin düzeltilmesini talep etme |
| Silme | Kişisel verilerinizin silinmesini isteme |
| İtiraz | Veri işleme faaliyetlerine itiraz etme |
| Veri taşınabilirliği | Verilerinizi yapılandırılmış formatta alma |
KVKK taleplerinizi Destek > Yeni Talep bölümünden "KVKK Talebi" kategorisiyle oluşturabilirsiniz.
Veri silme süreci
Silme talebiniz alındıktan sonra 30 gün içinde işleme alınır. Yasal saklama yükümlülüğü olan veriler (fatura kayıtları gibi) yasal süre dolana kadar anonim hale getirilerek saklanır. Galaktik bürokrasiden hızlı, söz veriyoruz.
Güvenlik Ayarlarınız#
Tüm güvenlik ayarlarınızı tek bir yerden yönetebilirsiniz: Ayarlar (/hub/settings)
| Ayar | Konum |
|---|---|
| 2FA etkinleştir/devre dışı bırak | Ayarlar > Güvenlik |
| SSH anahtarları yönet | Ayarlar > SSH Anahtarları |
| Giriş geçmişi görüntüle | Ayarlar > Güvenlik |
| Güvenlik bildirimleri | Ayarlar > Bildirim Tercihleri |
Güvenlik bildirimleri
Güvenlik olayları (yeni giriş, şifre değişikliği, 2FA değişikliği, SSH anahtar ekleme) için anlık bildirim alabilirsiniz. Ayarlar > Bildirim Tercihleri bölümünden güvenlik kategorisini etkinleştirin. Çünkü evrendeki en tehlikeli şey, farkında olmadığınız tehdittir. Bilinmezliğin karanlığındaki tehlike değil — fark etmediğiniz, gözden kaçırdığınız tehlike.
"Panik yapma." — Ama güvenlik söz konusu olduğunda, biraz paranoyaklık sağlıklıdır. Sorularınız için destek ekibimize ulaşın.