Güvenlik & Veri İşleme
Verilerinizi nasıl koruyoruz, saklama politikalarımız ve uyumluluk.
Verilerinizi nasıl koruyoruz
- Veriler aktarım ve saklama sırasında şifrelenir.
- Sağlayıcı API anahtarları asla veritabanında saklanmaz.
- Sağlayıcı kimlik bilgileri veritabanımızda saklanmaz.
- Test edilmiş geri yükleme prosedürleriyle günlük yedeklemeler.
- Otomatik veri saklama ve temizleme politikaları.
- Tüm güvenlik kritik eylemler denetlenir (audit).
| Veri Tipi | Saklama Süresi | Açıklama |
|---|---|---|
| Webhook Logs | 21 Gün | İzleme araçlarınızdan gelen ham payload'lar. |
| Ingest Requests | 21 Gün | Flood kontrolü için tekilleştirme hash'leri. |
| Provider Logs | 21 Gün | SMS/Ses sağlayıcılarından (örn. Twilio) gelen callback logları. |
| Notification History | 90 Gün | Gönderilen arama, SMS ve e-posta kayıtları. |
| Delivery Decisions | 90 Gün | Yönlendirme mantığı logları (neden arandı/aranmadı). |
| Incident Timeline | 180 Gün | Bir incident içindeki detaylı olaylar. |
| Auth Logs | 90 Gün | Giriş, çıkış ve 2FA aktiviteleri. |
| User Sessions | 30 Gün | Aktif ve süresi dolmuş oturumlar. |
* Temel Incident kayıtları (başlık, durum, başlangıç/bitiş zamanı), manuel olarak silinmediği sürece geçmiş raporlaması için süresiz saklanır.
- ✕Incident payload'larını manuel olarak okumuyoruz.
- ✕SMS/Arama/E-posta sağlayıcı API anahtarlarını veritabanında saklamıyoruz.
- ✕Verilerinizi üçüncü taraflarla paylaşmıyoruz (gerekli sağlayıcılar hariç).
- ✕OTP ve auth loglarını gerekenden uzun süre tutmuyoruz.
- ✕Açıkça tanımlanmış kurallar olmadan bildirim göndermiyoruz.
- ✕E-posta sağlayıcıları için nihai teslimat onayı garanti etmiyoruz (delivery confirmation).
İletim Güvenliği
- HTTPS Only: Tüm trafik TLS 1.2+ ile şifrelenir.
- Secure Cookies: Çerezler HttpOnly, Secure ve SameSite=Strict'tir.
- Token Rotation: Refresh token rotasyonu ile kısa ömürlü erişim tokenları.
İç Erişim Sınırları
Dahili operasyonel uç noktalar (`/ops/*`) kesinlikle izole edilmiştir:
- Genel internetten erişilemez.
- Localhost / dahili ağ ile sınırlıdır.
- Özel Ops sırları ile korunur.
- Müşteri payload'larını veya sırlarını ASLA ifşa etmez.
Denetim & Incident Loglama
Güvenlik açısından kritik olaylar için değiştirilemez denetim logları tutuyoruz:
- Giriş, Çıkış ve MFA olayları.
- Gizli anahtar rotasyonu ve API anahtarı kullanımı.
- Başarısız kimlik doğrulama denemeleri.
- Entegrasyon erişimi ve değişiklikleri.
Denetim logları kullanıcılar tarafından silinemez ve saklama politikalarıyla otomatik olarak yönetilir.
PII & Kişisel Veriler
Kişisel Tanımlanabilir Bilgilerin (PII) saklanmasını aşağıdakilerle sınırlıyoruz:
- Email & Phone: Kullanıcı profillerinde ve Bildirim loglarında saklanır (90 gün).
- IP & User Agent: Güvenlik denetimi için Auth loglarında saklanır (90 gün).
- Raw Payloads: Gelen webhook verileri (PII içerebilir) 21 gün sonra kesinlikle temizlenir.
Sırlar & Kimlik Bilgileri
Sistem Kimlik Bilgileri: Sistem sağlayıcı kimlik bilgilerini (örn. Twilio/Verimor anahtarları) veritabanında SAKLAMIYORUZ. Email sağlayıcı kimlik bilgileri yalnızca ortam değişkenleri olarak saklanır, asla veritabanında saklanmaz. Bunlar kesinlikle güvenli ortam değişkenleri aracılığıyla yönetilir.
Entegrasyon Sırları: Kullanıcı tarafından sağlanan sırlar (örn. webhook tokenları) AES-256-GCM kullanılarak şifrelenmiş olarak saklanır.
Felaket durumunda iş sürekliliğini sağlamak için sıkı yedekleme politikaları uyguluyoruz.
- Günlük Yedekler: Veritabanları her gün 03:00 UTC'de yedeklenir.
- Saklama: Yerel yedekler 7 gün saklanır. Offsite yedekler (S3) Prodüksiyon için planlanmıştır.
Veri Saklama Politikası
Gizlilik ve uyumluluğu (KVKK/GDPR) sağlamak için verileri aşağıdaki takvime göre otomatik olarak temizliyoruz:
| Veri Tipi | Saklama Süresi | Amaç |
|---|---|---|
| Raw Payloads (PII) | 21 Gün | Hata Ayıklama & Kanıt |
| Sessions | 30 Gün | Güvenlik |
| Notification Logs | 90 Gün | Denetim & Faturalandırma |
| Auth Events | 90 Gün | Güvenlik Denetimi |
| Billing Events | 365 Gün | Finansal Denetim |
Son güncelleme: 2026-01-19
Güvenlik soruları: security@callert.app