Veri Güvenliği ve Olay Müdahale Politikası

Bu politika; Thrive Dijital tarafından geliştirilen Pazaryeri Panosu (pazaryeri panosu) uygulamasının, bağlandığı pazaryeri API'lerinden (Trendyol, Shopify, n11, Pazarama, PttAvm, Amazon vb.) aldığı verileri nasıl işlediğini, sakladığını ve koruduğunu; olası bir güvenlik olayında izlenecek adımları açıklar. Mevcut Gizlilik Politikası'nı tamamlar.

1. Kapsam ve Sorumlu

Uygulama, yalnızca kendi mağaza hesaplarımız için, iç kullanıma yönelik bir operasyon panosudur; üçüncü taraflara dağıtılmaz veya hizmet olarak sunulmaz. Olay Müdahale Sorumlusu (IMPOC) ve tek yetkili yönetici: Emre Çuhadar (emre@getvirtus.com).

2. Hangi Veriyi İşliyoruz

• Pazaryeri API'lerinden yalnızca okuma amaçlı çekilen sipariş verisi (sipariş no, ürün/kalemler, adet, tutar, durum, tarih) ve stok seviyeleri.
• Amazon entegrasyonunda müşteri kişisel verisi (ad, adres, telefon) talep edilmez ve saklanmaz; yalnızca kişisel veri içermeyen sipariş alanları işlenir.

3. Veriyi Nasıl Kullanıyor ve Paylaşıyoruz

• Veri yalnızca kendi iç operasyonlarımız (stok takibi, sipariş izleme, ciro raporlama) için kullanılır.
• Hiçbir üçüncü tarafla paylaşılmaz, satılmaz veya aktarılmaz.
• Pazaryeri verisi yalnızca doğrudan ilgili pazaryerinin resmi API'sinden alınır; harici/üçüncü taraf bir kaynaktan elde edilmez.
• Amaç ortadan kalkan veriler silinir.

4. Güvenlik Tedbirleri

• Aktarımda şifreleme: Tüm iletişim HTTPS/TLS üzerinden yapılır.
• Kimlik bilgisi yönetimi: API anahtar ve sırları şifreli ortam değişkenlerinde tutulur; kaynak koda gömülmez, herkese açık depolara konmaz, paylaşılmaz.
• Erişim kontrolü: Sunucuya anahtar tabanlı SSH ile, panele şifreli giriş ile erişilir; erişim yalnızca yetkili sorumluyla sınırlıdır (need-to-know).
• Ağ güvenliği:
  • Güvenlik duvarı: Host firewall (ufw) varsayılan olarak gelen trafiği reddeder; yalnızca gerekli portlar (HTTPS, anahtarlı SSH, yönetilen uygulama/proxy portları) açıktır.
  • IDS/IPS: Saldırı tespit ve önleme için CrowdSec (davranışsal log analizi/tespit) ve fail2ban (brute-force/kötüye kullanım denemelerinin otomatik engellenmesi) kullanılır.
  • Anti-virus/anti-malware: ClamAV kurulu; imzalar otomatik güncellenir, uygulama ve veri dizinleri düzenli olarak taranır.
  • Ağ segmentasyonu: Servisler izole Docker ağlarında çalışır; veritabanı yalnızca yereldir ve dışarıya açık değildir; giriş trafiği ters proxy üzerinden yönetilir.
• Değişiklik yönetimi: Uygulama değişiklikleri canlıya alınmadan önce ayrı test ortamında denenir.
• Kimlik doğrulama: Yönetici hesaplarında güçlü parola (12+ karakter) ve mümkün olan her yerde çok faktörlü kimlik doğrulama (MFA) kullanılır; bilgiler en az yılda bir yenilenir.

5. İzleme ve Tespit

Uygulama ve sunucu erişim kayıtları ile dağıtım platformu logları, şüpheli aktiviteye (beklenmedik girişler, anormal API hataları/kullanımı, başarısız kimlik doğrulama) karşı tutulur ve incelenir. Anormallikler olası bir olay olarak değerlendirilir.

6. Olay Müdahale Prosedürü (Incident Response)

Bir güvenlik olayı (yetkisiz erişim, veri sızıntısı, kimlik bilgisi ele geçirilmesi, veritabanı ihlali) tespit edilirse:

1. Tespit & kayıt — olayın zamanı, niteliği ve kapsamı kaydedilir.
2. Sınırlandırma — etkilenen sistemler izole edilir, ilgili kimlik bilgileri/anahtarlar derhal iptal edilip yenilenir.
3. Giderme — sebep ortadan kaldırılır (yama, açığın kapatılması).
4. Kurtarma — bilinen sağlam duruma dönülür, bütünlük doğrulanır.
5. Bildirim — Amazon bilgisini içeren her olay, tespitten itibaren 24 saat içinde security@amazon.com adresine bildirilir; yasal olarak gereken diğer taraflara/kurumlara da haber verilir.
6. İnceleme — olay sonrası kök neden ve düzeltici aksiyonlar belgelenir.

Taahhüt: Amazon bilgisini içeren güvenlik olaylarını, tespit edildikten sonra 24 saat içinde tanımlı sorumlular aracılığıyla security@amazon.com adresine bildirme prosedürünü sürdürüyoruz. / We maintain procedures to report any security incident involving Amazon Information to security@amazon.com within 24 hours of detection.

7. Kimlik Bilgileri ve Test

Kimlik bilgileri herkese açık depolarda tutulmaz, paylaşılmaz, koda gömülmez. Testler gerçek müşteri verisi olmadan, anonim/sentetik verilerle yapılır.

8. İletişim

• Olay Müdahale Sorumlusu (IMPOC): Emre Çuhadar — emre@getvirtus.com
• Genel iletişim: info@thrivedijital.com