Kiracı DefteriKiracı Defteri← Ana sayfaya dön
Güvenlik

Güvenlik Altyapısı

Kiracı Defteri, ev sahiplerinin en hassas finansal ve kişisel verilerini yönettiğini biliyor. Güvenlik, geliştirme sürecimizin her aşamasında birinci önceliğimizdir.

01

Genel Bakış

🔐

AES-256

Veri şifreleme standardı

🌐

TLS 1.3

Aktarım katmanı güvenliği

🛡️

RLS

Satır düzeyinde güvenlik

Güvenlik mimarimiz, derinlemesine savunma (defense-in-depth) prensibine dayanır. Tek bir güvenlik katmanının aşılması durumunda bile kullanıcı verileri korunmaya devam eder.

Veri Sorumlusu (Platform İşletmecisi)

Tüzel kişi bilgileri (unvan, adres, VERBİS) kesinleştiğinde bu bölüm güncellenecektir. Bu arada aşağıdaki e-posta adreslerinden bize ulaşabilirsiniz.

VERBİS kayıt numarası, kayıt tamamlandığında eklenecektir.

Web: kiracidefteri.com

02

Veri Şifreleme

🔒 Depolama Şifreleme

Tüm veriler Supabase altyapısında AES-256-GCM ile şifreli olarak saklanır. Şifreleme anahtarları HSM (Hardware Security Module) üzerinde yönetilir.

🔒 Aktarım Şifreleme

İstemci ile sunucu arasındaki tüm trafik TLS 1.3 ile şifrelenir. HTTP bağlantıları otomatik olarak HTTPS'e yönlendirilir. HSTS uygulanmaktadır.

🔒 Şifre Güvenliği

Kullanıcı şifreleri, bcrypt algoritması ile tuzlanarak (salt rounds: 12) hash'lenir. Düz metin şifre hiçbir yerde saklanmaz ve loglanmaz.

03

Kimlik Doğrulama

Kimlik doğrulama Supabase Auth üzerinden yönetilmektedir:

  • JWT Access Token: 1 saatlik kısa ömürlü token. Her API isteğinde doğrulanır.
  • Refresh Token: 30 günlük, tek kullanımlık. Yenilendiğinde önceki token geçersiz hale gelir (token rotation).
  • Güvenli Depolama: Web'de HttpOnly cookie, mobilde iOS Keychain / Android Keystore kullanılır.
  • Oturum Geçersizleştirme: Çıkış yapıldığında tüm token'lar sunucu tarafında iptal edilir.
04

Veritabanı Güvenliği

PostgreSQL veritabanı, Row Level Security (RLS) ile korunmaktadır. RLS, veritabanı seviyesinde uygulanan politikalar aracılığıyla her kullanıcının yalnızca kendi kayıtlarına erişebilmesini garanti eder.

Bu politika sayesinde bir kullanıcı, SQL enjeksiyonu veya uygulama güvenlik açığı olsa dahi başka bir kullanıcının verilerine erişemez.

05

Mobil Uygulama Güvenliği

📱

Secure Storage

Token ve hassas veriler Flutter Secure Storage ile cihazın güvenli alanında saklanır (Android Keystore / iOS Keychain).

🔒

HTTPS / TLS

Tüm API iletişimi HTTPS (TLS) ile şifrelenir. Supabase Auth kısa ömürlü JWT token yönetir.

👆

Biometrik Kilit (Opsiyonel)

Ev sahibi uygulamasında opsiyonel parmak izi / yüz tanıma kilidi. Biyometrik veri cihazdan çıkmaz.

06

Altyapı ve Veri Merkezi

Supabase

Veritabanı, kimlik doğrulama ve dosya depolama. SOC 2 Type II sertifikalı.

Frankfurt (eu-central-1)

Cloudflare

Web uygulaması dağıtımı, CDN ve DDoS koruması.

Global Edge Network

Firebase (Google)

Push bildirim altyapısı. ISO 27001 sertifikalı.

AB Bölgesi

Tüm altyapı sağlayıcıları GDPR Madde 28 kapsamında veri işleme sözleşmesi imzalamıştır. Birincil veritabanı barındırması AB'dedir (Frankfurt); Firebase ve Cloudflare gibi alt işlemciler uygun güvencelerle küresel işleme yapabilir.

07

Abonelik Güvenliği

Premium abonelik durumu, RevenueCat üzerinden sunucu tarafında doğrulanır. İstemci taraflı manipülasyona karşı korumalıdır.

  • Ödeme bilgileri (kart numarası vb.) Kiracı Defteri sunucularında asla saklanmaz
  • Abonelik doğrulaması Google Play Server-Side Verification ile gerçekleştirilir
  • Uygulama içi satın alma manipülasyonu sunucu tarafında tespit edilir
08

Güvenlik İhlali Yönetimi

Güvenlik ihlali tespit edilmesi durumunda uygulanan süreç:

Adım 1

Tespit & İzolasyon

İhlal tespit edilir, etkilenen sistemler izole edilir

Adım 2

Değerlendirme

Etki kapsamı ve risk düzeyi belirlenir (max 4 saat)

Adım 3

Bildirim

Etkilenen kullanıcılar 72 saat içinde bilgilendirilir

Adım 4

Çözüm

Sorun giderilir, önleyici tedbirler alınır

Kişisel veri ihlallerinde KVKK ve GDPR kapsamındaki bildirim yükümlülükleri yerine getirilir.

09

Sorumlu Açıklama (Responsible Disclosure)

Bir güvenlik açığı keşfettiyseniz lütfen bize bildirin. Sorumlu araştırmacıları takdirle karşılıyoruz.

Güvenlik Açığı Bildirimi

  • 📧 E-posta: guvenlik@kiracidefteri.com
  • ⏱️ İlk yanıt süresi: 48 iş saati
  • 🔇 Açıklama öncesi lütfen 90 gün bizi bilgilendirmeden paylaşmayın
  • 🎯 Kapsam: Web uygulaması, Android uygulaması, API

Kapsam dışı: Fiziksel saldırılar, sosyal mühendislik, üçüncü taraf hizmet açıkları.