1. Amaç ve Kapsam

Kaza Rehberi, kullanıcılarına ait kişisel ve finansal verilerin güvenliğini en üst düzeyde sağlamayı temel bir yükümlülük olarak kabul eder. Bu politika; kazarehberi.com.tr web sitesi, Kaza Rehberi mobil uygulaması (iOS & Android) ve backend API altyapısı kapsamında bilgi varlıklarının gizliliğini, bütünlüğünü ve erişilebilirliğini güvence altına almaya yönelik teknik ve idari tedbirleri açıklamaktadır.

Politika; tüm çalışanlar, sistem yöneticileri, yazılım geliştiriciler ve üçüncü taraf hizmet sağlayıcılar dahil olmak üzere Kaza Rehberi sistemlerine erişen herkese uygulanır.

2. Temel İlkeler

3. Teknik Güvenlik Önlemleri

3.1 Veri İletimi

• Tüm API iletişimi TLS 1.2+ (HTTPS) protokolü ile şifrelenmektedir.
• HTTP üzerinden yapılan istekler otomatik olarak HTTPS'e yönlendirilir.
• Mobil uygulama ile sunucu arasındaki tüm trafik şifreli kanallar üzerinden iletilir.

3.2 Kimlik Doğrulama ve Yetkilendirme

• Kullanıcı girişi OTP (tek kullanımlık şifre) tabanlıdır — statik şifre bulunmamaktadır.
• Oturum token'ları JWT (JSON Web Token) standardında, jose kütüphanesi ile imzalanır.
• Mobil uygulamada token'lar Expo SecureStore (cihazın şifreli depolama alanı) içinde saklanır.
• Rol tabanlı erişim kontrolü (RBAC): her kullanıcı yalnızca kendi verilerine erişebilir.
• Operasyon paneli erişimleri personel rolleri ve izin matrisiyle kısıtlanmıştır.
• Şifreler ve kritik veriler bcrypt algoritmasıyla hash'lenerek saklanır.

3.3 Altyapı Güvenliği

• Kişisel veriler Türkiye merkezli Vadi360 Cloud ve Muvhost VDS altyapısında barındırılmaktadır.
• Backend API, Cloudflare Workers üzerinde çalışmaktadır; Cloudflare CDN ve WAF (Web Application Firewall) ile DDoS koruması aktiftir.
• CORS politikası: yalnızca izin listesindeki alan adlarından (kazarehberi.com.tr, operasyon.kazarehberi.com.tr) istek kabul edilir.
• Tüm ortam değişkenleri ve gizli anahtarlar Cloudflare Secrets Manager üzerinde şifreli saklanır.
• Otomatik SSL/TLS sertifika yönetimi tüm alan adları için aktiftir.

3.4 İzleme ve Olay Yönetimi

• Sistemler 7/24 izlenmekte; anormal erişim ve hata durumları anlık bildirim sistemi (Telegram entegrasyonu) ile ekibe iletilmektedir.
• Tüm kullanıcı giriş ve işlem aktiviteleri denetim loglarına (audit log) kaydedilir.
• Şüpheli giriş denemeleri tespit edildiğinde ilgili hesap geçici olarak kilitlenir.
• Güvenlik olayları için tanımlı bir olay müdahale planı mevcuttur.

4. İdari Güvenlik Önlemleri

• Tüm personel göreve başlamadan önce gizlilik ve bilgi güvenliği sözleşmesi imzalar.
• Kişisel verilere erişim yetkisi, görev gereklilikleri doğrultusunda en az ayrıcalık ilkesine göre belirlenir.
• Görevden ayrılan personelin sistem erişimleri derhal sonlandırılır.
• Yazılım geliştirme süreçlerinde güvenli kodlama standartları uygulanır; kod inceleme (code review) zorunludur.
• Üçüncü taraf hizmet sağlayıcılar yalnızca gerekli minimum veriye erişebilir ve veri işleme sözleşmesi imzalamak zorundadır.
• Düzenli iç güvenlik denetimleri ve periyodik sızma testleri yapılır.

5. Veri İhlali Bildirimi

Kişisel veri ihlali tespit edilmesi durumunda, KVKK Madde 12 ve ilgili mevzuat gereğince aşağıdaki prosedür uygulanır:

6. Güvenlik Açığı Bildirimi

7. Politika Güncellemeleri

Bu politika, teknolojik gelişmeler, yasal düzenlemeler ve operasyonel ihtiyaçlar doğrultusunda periyodik olarak gözden geçirilir ve güncellenir. Önemli değişiklikler uygulama bildirimi veya e-posta ile kullanıcılara duyurulur.

8. İletişim

Bilgi güvenliği politikamıza ilişkin sorularınız için: