maint.works logo

TRUST CENTER

Veri güvenliği ve gizlilik, mimarinin merkezinde tasarlanır.

maint.works; çoklu şirketli (multi-tenant) endüstriyel servis operasyonlarında veri izolasyonu, erişim kontrolü, şifreleme ve operasyonel süreklilik kontrollerini birlikte uygular.

TLS 1.2+

Aktarımda şifreleme

Tenant Scope

Şirket bazlı veri izolasyonu

RBAC + Identity

Rol tabanlı yetkilendirme

Backup + Restore

Yedekleme ve geri yükleme planı

Platform Güvenlik Kontrolleri

Uygulama katmanı, kimlik katmanı ve altyapı katmanı kontrolleri bir arada işletilir.

Kimlik ve Erişim Yönetimi

  • • ASP.NET Identity tabanlı oturum yönetimi ve parola politikaları
  • • Rol tabanlı yetki modeli (owner, employee vb.)
  • • Başarısız giriş denemeleri için lockout ve rate-limit kontrolleri
  • • Hassas endpointlerde yetkilendirme ve anti-forgery doğrulaması

Uygulama Güvenliği

  • • XSS/HTML enjeksiyon risklerine karşı çıktı güvenliği ve sanitizasyon
  • • CSRF koruması, güvenli cookie ayarları ve oturum kontrolleri
  • • Public endpointler ve AI uçları için oran sınırlama (rate limiting)
  • • Güvenlik başlıkları (CSP, X-Frame-Options, nosniff vb.)

Multi-Tenant Veri İzolasyonu

  • • CompanyId scope filtreleri ile tenant ayrımı
  • • IDOR riskine karşı şirket kapsamı doğrulaması
  • • Şirketler arası veri görüntüleme ve işlem yetkisi ayrımı
  • • Yetkisiz erişim denemelerinde engelleme ve yönlendirme

Gözlemlenebilirlik ve Olay Yönetimi

  • • Uygulama logları, hata takibi ve operasyonel izleme
  • • Kritik aksiyonlarda denetlenebilir kayıt yaklaşımı
  • • Yama ve sürüm geçişlerinde kontrollü yayın süreçleri
  • • Olay yönetimi için eskalasyon ve müdahale prosedürleri

Azure Altyapısı ve Ek Güvenlik Opsiyonları

maint.works Microsoft Azure bulut altyapısı üzerinde dağıtılır. Standart güvenlik kontrollerine ek olarak, kurumsal gereksinime göre aşağıdaki ek güvenlik yetenekleri devreye alınabilir.

Barındırma ve Ağ Güvenliği

  • • Azure App Service üzerinde yönetilen barındırma ve platform bakımı
  • • HTTPS/TLS zorlaması, sertifika yönetimi ve güvenli protokol kullanımı
  • • İsteğe bağlı VNet/Private Endpoint ile daha sıkı ağ izolasyonu

Veri Koruma ve Süreklilik

  • • Azure SQL tarafında otomatik yedekleme ve noktadan zamana geri dönüş (PITR)
  • • Talebe göre uzun süreli saklama (LTR) ve geri dönüş senaryoları
  • • Aktarımda ve depoda şifreleme prensipleri ile veri koruma yaklaşımı

İzleme ve Olay Görünürlüğü

  • • Application Insights ve merkezi loglama ile operasyonel gözlemlenebilirlik
  • • Alarm kurguları ile hata, performans ve anomali takibi
  • • Olay inceleme süreçleri için denetlenebilir kayıt üretimi

Kurumsal Güvenlik Opsiyonları

  • • Microsoft Defender for Cloud ile güvenlik önerileri ve tehdit görünürlüğü
  • • Azure Front Door + WAF ve DDoS koruma katmanları (opsiyonel)
  • • Azure Key Vault ve Managed Identity ile secrets yönetimi (opsiyonel)

Not: Opsiyonel Azure kontrolleri, seçilen plan, mimari ve sözleşme kapsamına göre etkinleştirilir.

Veri Gizliliği ve Koruma Yaklaşımı

Veri işleme yaklaşımı; veri minimizasyonu, erişim sınırlandırma ve saklama politikasına dayanır.

Alan Yaklaşım Kontrol
Kişisel veri işlemeAmaçla sınırlı ve operasyonla ilişkili veri işlemeRol bazlı erişim ve kayıt bazlı yetki kontrolleri
Veri aktarımıHTTPS/TLS ile şifreli iletişimGüvenli taşıma kanalları ve header politikaları
Veri saklamaSaklama süresi ve erişim politikaları ile yönetimYedekleme, geri yükleme ve silme süreçleri
Dosya içerikleriDosya tip/süreç kontrolleri ve erişim kısıtlamaYükleme doğrulamaları ve izin kontrolleri

Uluslararası Çerçevelere Hizalanma

Kontrol seti; yaygın güvenlik ve gizlilik çerçeveleriyle uyumlu prensiplerle tasarlanır.

ISO/IEC 27001 & 27701 Prensipleri

Erişim yönetimi, risk değerlendirmesi, olay yönetimi ve gizlilik kontrolleri bu çerçevelerle hizalanır.

SOC 2 Güven Kriterleri Yaklaşımı

Güvenlik, erişilebilirlik, gizlilik ve izlenebilirlik alanlarında kontrol aileleri uygulanır.

OWASP ASVS / Top 10

XSS, CSRF, IDOR, upload güvenliği ve yetkilendirme bypass risklerine karşı koruyucu kontroller önceliklendirilir.

KVKK / GDPR Uyum Prensipleri

Veri minimizasyonu, amaçla sınırlılık, saklama ve veri sahibi taleplerinin yönetimi süreçleri desteklenir.

Not: Bu sayfa kontrol yaklaşımının özetidir. Resmi sertifikasyon ve sözleşmesel kapsam bilgileri teklif/sözleşme sürecinde paylaşılır.

Yedekleme ve Geri Yükleme

Veri sürekliliği; veritabanı yedekleme kabiliyeti, saklama politikaları ve kontrollü geri yükleme prosedürleri ile planlanır. Talep edilen hizmet seviyesine göre RPO/RTO hedefleri sözleşmesel olarak tanımlanır.

İş Sürekliliği ve Dayanıklılık

Operasyonel dayanıklılık için izleme, alarm, yayın yönetimi ve olay sonrası iyileştirme döngüleri uygulanır. Kritik kesinti senaryoları için adım adım müdahale planı işletilir.

Güvenlik dokümanı ve değerlendirme süreci

Kurumsal değerlendirme süreçlerinde teknik güvenlik soru listeleri (security questionnaire), mimari özet ve kontrol matrisi taleplerinizi birlikte ele alabiliriz.

PDF Security Overview İndir DPA/SLA Talep Formu Güvenlik Ekibine Ulaş Ana Sayfaya Dön