Müşterilerimizin verilerini her zaman koruma altında tutmak en yüksek önceliğimizdir. Bu güvenlik genel bakışı, bu amaca ulaşmak için uygulanan güvenlik uygulamalarının yüksek seviyede bir özetini sunar. Sorularınız veya geri bildiriminiz mi var? Bize security@novonto adresinden ulaşmaktan çekinmeyin.
ÖZEL GÜVENLİK EKİBİ
Güvenlik ekibimiz, organizasyonumuzun güvenliğini artırmaya adanmış güvenlik uzmanlarından oluşur. Çalışanlarımız güvenlik olayı yanıtı konusunda eğitilir ve haftanın 7 günü hizmetinizdedir.
ALTYAPI
Bulut Altyapısı: Tüm hizmetlerimiz bulutta çalışır. Kendi yönlendiricilerimizi, yük dengeleyicilerimizi, DNS sunucularımızı veya fiziksel sunucularımızı barındırmıyor veya çalıştırmıyoruz. Hizmetimiz, Amazon Web Services ve Özel VPS sunucuları üzerine inşa edilmiştir. Altyapımızı korumak için güçlü güvenlik önlemleri sunarlar ve çoğu sertifikayla uyumludur.
Veri Merkezi Güvenliği: Veri merkezimiz Almanya’da bulunmaktadır. Bu, Tier IV, PCI DSS ve ISO 27001 uyumlu bir tesisidir. Sunucularımız, diğer veri merkezi müşterilerinden fiziksel olarak ayrılmıştır. Veri merkezi tesisleri, 7/24 koruma önlemleriyle korunmaktadır (bekçiler, CCTV, elektronik erişim kontrolü vb.). Güvenlik ihlalleri, güç, HVAC ve sıcaklık için izleme ve uyarı mevcuttur.
AĞ DÜZEYİ GÜVENLİK İZLEME VE KORUMA
Ağ güvenliği mimarimiz birden çok güvenlik bölgesinden oluşur. Ağımızı izler ve koruruz, böylece yetkisiz erişim yapılmadığından emin oluruz: 1. Sanal özel bulut (VPC), bir kale duvarı ana bilgisayarı veya ağ erişim denetim listeleri (ACL’ler) ve herhangi bir genel IP adresi kullanmadan. 2. Gelen ve giden ağ trafiğini izleyen ve kontrol eden bir güvenlik duvarı. 3. Potansiyel kötü niyetli paketleri izleyen ve engelleyen bir Sızma Algılama ve/veya Önleme teknolojileri (IDS/IPS) çözümü. 4. IP adresi filtreleme.
DDoS KORUMASI
Endüstri lideri bir çözüm tarafından desteklenen Dağıtık Hizmet Reddi (DDoS) önleme hizmetlerini kullanıyoruz.
VERİ ŞİFRELEMESİ
Aktarımda Şifreleme: Altyapımıza gönderilen veya alınan tüm veriler, Taşıma Katmanı Güvenliği (TLS) kullanılarak sektörün en iyi uygulamaları ile aktarımda şifrelenir. SSLLabs raporumuzu buradan görebilirsiniz. Dinlenmekte Şifreleme: Tüm kullanıcı verilerimiz (şifreler dahil) veritabanında savaşta test edilmiş şifreleme algoritmaları kullanılarak şifrelenir.
VERİ SAKLAMA VE KALDIRMA
Her kullanıcı, kullanım verilerinin kaldırılmasını isteyebilir. Gizlilik ayarlarımız hakkında daha fazla bilgi için Gizlilik Bildirimi’ni okuyun.
İŞ SÜREKLİLİĞİ VE AFET KURTARMA
Tüm kritik varlıklarımızı yedekler ve düzenli olarak yedeği geri yüklemeyi deneyerek felaket durumunda hızlı bir kurtarmayı garanti etmeye çalışırız. Tüm yedeklerimiz şifrelenmiştir.
UYGULAMA GÜVENLİĞİ İZLEME
Uygulama güvenliğimize görünürlük sağlamak, saldırıları tanımlamak ve veri ihlali durumlarında hızlı yanıt vermek için güvenlik izleme çözümü kullanıyoruz. İstisnaları, kayıtları izlemek ve uygulamalarımızdaki anormal durumları tespit etmek için teknolojiler kullanıyoruz. Uygulamalarımızın etkinliğine dair bir denetim izni sağlamak amacıyla kayıtları topluyor ve saklıyoruz.
GÜVENLİ GELİŞTİRME
En iyi güvenlik uygulamalarını ve çerçeveleri (OWASP Top 10, SANS Top 25) takip ediyoruz. Yazılımımızdaki güvenliği en üst düzeye çıkarmak için şu en iyi uygulamaları kullanıyoruz: Geliştiriciler, yaygın zayıf noktalar ve tehditler hakkında bilgi edinmek için düzenli güvenlik eğitimine katılırlar. Kodumuzu güvenlik açıklarına karşı gözden geçiririz. Bağımlılıklarımızı düzenli olarak günceller ve bunların bilinen güvenlik açıklarına sahip olmadığından emin oluruz.
KULLANICI KORUMASI
2 faktörlü kimlik doğrulama: Kullanıcılarımızı hesap ele geçirmelerine karşı korumak için bir 2 faktörlü kimlik doğrulama mekanizması sağlıyoruz. Bu ek güvenlik önleminin kurulması isteğe bağlıdır ancak hassas verilerin güvenliğini artırmak için kesinlikle önerilir.
Hesap ele geçirme koruması: Kullanıcılarımızı veri ihlallerine karşı izler ve brute force saldırılarını engelleriz.
Rol tabanlı erişim kontrolü: Tüm hesaplarda rol tabanlı erişim kontrolü (RBAC) sunulur ve kullanıcılarımıza rolleri ve izinleri tanımlama olanağı sağlar.
UYGUNLUK
ABD-AB ve İsviçre-AB Gizlilik Kalkanı: Şirketimiz, Avrupa Birliği ile Amerika Birleşik Devletleri arasındaki veri gizliliğini düzenleyen ABD-AB Gizlilik Kalkanı çerçeveleri ile uyumludur.
ISO 27001: Şirketimiz, ISO/IEC 27001 çerçevesini takip eder. Bu standart, hassas bilgileri korumak için IT sistemleri, insanlar ve süreçleri birleştiren bir risk yönetimi süreci aracılığıyla bir bilgi güvenliği yönetim sistemi (ISMS) kurma ve sürdürme çerçevesi sunar.
GDPR: Genel Veri Koruma Yönetmeliği’ne (GDPR) uygunuz. GDPR’nin amacı, AB vatandaşlarının özel bilgilerini korumak ve kişisel verileri üzerinde daha fazla kontrol sağlamaktır. GDPR’ye uyumumuz hakkında daha fazla bilgi için bize başvurun.
ÖDEME BİLGİSİ
Tüm ödeme aracı işleme işlemleri, PCI Seviye 1 Hizmet Sağlayıcı olarak sertifikalandırılmış güvenli bir dış kaynağa yönlendirilir. Herhangi bir ödeme bilgisi toplamıyoruz ve bu nedenle PCI yükümlülüklerine tabi değiliz. Ödeme Kartı Endüstrisi Veri Güvenliği Standartları (PCI DSS) gerekliliklerine uygun olarak ödeme bilgilerinizi güvenli bir şekilde işler ve saklarız. PCI Hizmet Sağlayıcı olarak sertifikalandırılmış durumdayız.
ÇALIŞAN ERİŞİMİ
Sıkı iç prosedürümüz, çalışanların veya yöneticilerin kullanıcı verilerine erişmesini engeller. Müşteri desteği için sınırlı istisnalar yapılabilir. Tüm çalışanlarımız, müşterilerimizin hassas bilgilerini korumak için şirkete katıldıklarında Gizlilik Sözleşmesi ve Gizlilik Anlaşması imzalar.
Son Güncelleme: 17 Ekim 2018.