Şifreleme
Tüm veriler aktarım sırasında TLS 1.2 veya üstü ile şifrelenir. Depolanan veriler AES-256 ile şifrelenir. Parolalar bcrypt hash olarak saklanır, hiçbir zaman düz metin olarak tutulmaz.
Erişim kontrolü
LiftGrid rol tabanlı erişim kontrolü (RBAC) kullanır. Her ekip üyesi, yalnızca ihtiyaç duyduğu izinleri kapsayan belirli bir rolle atanır. Üretim sistemlerine yönetici erişimi yalnızca yetkili personelle sınırlıdır.
Çok kiracılı izolasyon
Her müşteri hesabı (kiracı), veritabanı satır düzeyinde izole edilir. Hiçbir müşteri başka bir müşterinin verilerine erişemez. Kiracı kapsamı her sorguda uygulama katmanında zorunlu tutulur.
Denetim günlüğü
Platform içindeki tüm önemli işlemler zaman damgası, kullanıcı ve etkilenen kayıtla birlikte kaydedilir. Denetim günlükleri hesap yöneticilerine açıktır ve uyumluluk amaçlarıyla saklanır.
Oturum güvenliği
Oturumlar, HTTP-only güvenli çerezlerle Redis üzerinden yönetilir. Oturumlar hareketsizlik sonrasında sona erer ve çıkış yapıldığında geçersiz kılınır. Giriş denemeleri kaba kuvvet saldırılarına karşı hız sınırlamasına tabidir.
Ağ ve altyapı
Platform, DDoS azaltma ve istek filtreleme için Cloudflare'in Web Uygulama Güvenlik Duvarı'nın (WAF) arkasında çalışır. Sunucular Almanya'da (AB) Hetzner üzerinde barındırılmaktadır. Üretim veritabanlarına ağ erişimi, IP izin listesiyle kısıtlanmıştır.
Yedekleme
Veritabanı yedekleri düzenli aralıklarla alınır ve şifrelenir. Yedekler kurtarılabilirliği doğrulamak için periyodik olarak test edilir. Yedek saklama süresi veri saklama politikamızı izler.
Güvenlik açığı bildirimi
Bir güvenlik açığı keşfederseniz lütfen sorumlu bir şekilde bildirin. Sorunu giderme fırsatımız olmadan açıktan yararlanmayın veya kamuoyuyla paylaşmayın.
- E-posta: [email protected]
- Güvenlik açıklama dosyası: /.well-known/security.txt
Olay yanıtı
Müşteri verilerini etkileyen bir veri ihlali durumunda, yürürlükteki mevzuatın gerektirdiği şekilde etkilenen müşterileri bilgilendireceğiz (GDPR kapsamındaki olaylar için 72 saat içinde, diğerleri için mümkün olan en kısa sürede). Bildirim; ihlalin niteliğini, etkilenen veri kategorilerini, olası sonuçları ve alınan önlemleri içerecektir.
Ayrıca bakın: Alt İşleyenler · Veri İşleme Sözleşmesi.