İş Koşulları

Güvenlik Politikası

Kapsamlı güvenlik standartlarımız, şifreleme protokolleri ve uyumluluk sertifikalarımız

Yürürlük Tarihi: 2025-01-01
Son Güncelleme: 2025-01-15
Versiyon: 1.0.0

Genel Bakış

Vetigen, veteriner kliniklerinin kritik verilerini korumak için kapsamlı bir güvenlik programı uygular.

Güvenlik yaklaşımımız ISO 27001, SOC 2 Type II ve GDPR gerekliliklerine uygun olarak tasarlanmıştır.

Güvenlik Çerçevesi

Güvenlik programımız endüstri lider standartlarına uygun olarak tasarlanmıştır:

  • ISO 27001: Bilgi güvenliği yönetim sistemi standartları
  • SOC 2 Type II: Hizmet organizasyonu kontrolleri için güvence raporları
  • GDPR & KVKK: AB ve Türk veri koruma düzenlemelerine tam uyumluluk
  • OWASP Top 10: Web uygulama güvenlik açıklarına karşı koruma

Veri Şifreleme

Transit Sırasında Şifreleme

  • TLS 1.3 tüm API ve web trafiği için (minimum TLS 1.2)
  • Perfect Forward Secrecy (PFS) tüm bağlantılar için zorunlu
  • HSTS (HTTP Strict Transport Security) uygulanmış
  • Sertifika pinning kritik mobil uygulamalar için

Beklemede Şifreleme

  • AES-256 şifreleme tüm veritabanları için
  • Alan seviyesi şifreleme hassas veriler için (SSN, ödeme bilgileri)
  • Şifrelenmiş dosya depolama (S3/Azure Storage)
  • Şifrelenmiş disk bölümleri tüm sunucularda

Anahtar Yönetimi

  • AWS KMS/Azure Key Vault ile merkezi anahtar yönetimi
  • Otomatik anahtar rotasyonu her 90 günde bir
  • Donanım güvenlik modülleri (HSM) ana anahtarlar için
  • Anahtar kullanım denetim kaydı ve izleme

Erişim Kontrolü

Vetigen çok katmanlı erişim kontrolü uygular:

Kimlik Doğrulama

  • Çok faktörlü kimlik doğrulama (MFA) - SMS, TOTP, biometric
  • Tek oturum açma (SSO) - SAML 2.0, OAuth 2.0, OpenID Connect
  • Güçlü şifre politikaları - minimum 12 karakter, karmaşıklık gereksinimleri
  • Hesap kilitleme - başarısız girişlerden sonra
  • Oturum yönetimi - otomatik zaman aşımı, cihaz takibi

Yetkilendirme

  • Rol tabanlı erişim kontrolü (RBAC) - granüler izinler
  • En az ayrıcalık prensibi - sadece gerekli erişim
  • Dinamik erişim kontrolleri - bağlam tabanlı izinler
  • Düzenli erişim incelemeleri ve yetki iptalleri

Altyapı Güvenliği

Bulut Güvenliği

  • Tier-1 bulut sağlayıcıları (AWS, Azure) - SOC 2, ISO 27001 sertifikalı
  • Çoklu bölge dağıtımı - yüksek kullanılabilirlik ve felaket kurtarma
  • İzole sanal özel bulutlar (VPC) her ortam için
  • Bulut güvenlik duruş yönetimi (CSPM) otomatik uyumluluk için

Ağ Güvenliği

  • Web application firewall (WAF) - OWASP Top 10 koruması
  • DDoS koruma ve trafik filtreleme
  • Ağ segmentasyonu ve mikro segmentasyon
  • Saldırı tespit/önleme sistemleri (IDS/IPS)

Uygulama Güvenliği

  • Güvenli yazılım geliştirme yaşam döngüsü (SDLC)
  • Statik uygulama güvenlik testi (SAST)
  • Dinamik uygulama güvenlik testi (DAST)
  • Otomatik bağımlılık taraması ve yama yönetimi

Veri Koruma

Kapsamlı veri koruma önlemlerimiz:

Koruma ÖnlemiUygulamaSıklık
Automated BackupsContinuous replication + daily snapshotsReal-time & Daily
Backup TestingAutomated restore verificationWeekly
Data Retention90-day point-in-time recoveryContinuous
Disaster Recovery DrillsFull system recovery simulationQuarterly

Olay Müdahale

Yapılandırılmış olay müdahale sürecimiz:

Tespit

  • 7/24 güvenlik operasyonları merkezi (SOC)
  • Otomatik tehdit algılama ve uyarı sistemi
  • Anormallik tespiti ve davranış analizi

Müdahale Adımları

  1. 1. İzolasyon Etkilenen sistemlerin hızlı izolasyonu
  2. 2. Değerlendirme Olay kapsamı ve etkisinin belirlenmesi
  3. 3. İyileştirme Güvenlik açığının kapatılması ve düzeltilmesi
  4. 4. Kurtarma Sistemlerin güvenli bir şekilde restore edilmesi
  5. 5. Analiz Olay sonrası inceleme ve iyileştirmeler

Bildirim

  • Etkilenen müşterilere 72 saat içinde bildirim
  • Düzenleyici makamlara yasal gerekliliklere göre bildirim
  • Şeffaf olay raporlaması ve çözüm güncellemeleri

Güvenlik Açığı Yönetimi

Proaktif güvenlik açığı yönetimi programımız:

  • Sürekli Tarama Otomatik güvenlik açığı taramaları haftalık olarak
  • Yama Yönetimi Kritik yamalar 48 saat içinde, yüksek öncelikli 7 gün içinde
  • Penetrasyon Testleri Bağımsız güvenlik firmaları tarafından yıllık testler
  • Sorumlu Açıklama Güvenlik araştırmacıları için şeffaf açıklama politikası

Çalışan Güvenliği

Arka Plan Kontrolleri

Tüm çalışanlar için kapsamlı arka plan kontrolleri ve referans doğrulama işe alımdan önce

Güvenlik Eğitimi

  • Zorunlu güvenlik farkındalık eğitimi tüm çalışanlar için
  • Yıllık güvenlik yenileme eğitimleri
  • Phishing simülasyon testleri üç ayda bir
  • Rol bazlı güvenlik eğitimleri (geliştiriciler, destek, vs.)

Erişim Yönetimi

  • En az ayrıcalık prensibi - sadece iş gereklilikleri için erişim
  • Düzenli erişim incelemeleri ve yetki iptalleri
  • İşten ayrılma sürecinde anında erişim iptali

Fiziksel Güvenlik

Veri merkezlerimiz fiziksel olarak korunmaktadır:

  • 7/24 güvenlik görevlisi ve video gözetim
  • Biyometrik erişim kontrolü ve çok faktörlü kimlik doğrulama
  • Çevre güvenlik sistemleri (saldırı algılama, kapı sensörleri)
  • SOC 2 ve ISO 27001 sertifikalı veri merkezleri

Üçüncü Taraf Güvenliği

Tüm üçüncü taraf tedarikçiler güvenlik değerlendirmesine tabi tutulur:

  • Güvenlik Değerlendirmesi Sözleşme öncesi kapsamlı güvenlik incelemeleri
  • Sözleşme Gereksinimleri Veri işleme anlaşmaları (DPA) ve gizlilik taahhütleri
  • Sürekli İzleme Tedarikçi güvenlik duruşunun düzenli izlenmesi
  • Denetimler Yıllık güvenlik denetimleri ve uyumluluk doğrulamaları

Uyumluluk ve Sertifikasyonlar

Vetigen aşağıdaki standartlara uyumludur:

ISO 27001:2013

Information Security Management

Certified: 2024

SOC 2 Type II

Service Organization Controls

Audited: Annually

GDPR Compliant

EU Data Protection Regulation

Compliant: 2024

KVKK Compliant

Turkish Data Protection Law

Compliant: 2024

Denetim Günlükleri

Kapsamlı denetim günlüğü ve izleme:

  • Tüm kullanıcı eylemleri ve sistem olayları günlüğe kaydedilir
  • Değişmez günlük depolama - sonradan değiştirilemez
  • Merkezi günlük yönetimi ve analiz (SIEM)
  • Gerçek zamanlı uyarılar şüpheli etkinlikler için
  • Düzenli günlük incelemeleri ve anormallik tespiti

Denetim günlükleri minimum 1 yıl süreyle saklanır, uyumluluk günlükleri 7 yıl.

Güvenlik Testleri

Düzenli ve kapsamlı güvenlik testleri:

  • Penetrasyon Testleri Bağımsız güvenlik firmaları tarafından yıllık testler
  • Kod İncelemesi Otomatik SAST/DAST her kod değişikliğinde
  • Bağımlılık Tarama Günlük tarama bilinen güvenlik açıkları için
  • Bug Bounty Programı Sorumlu açıklama programı güvenlik araştırmacıları için

İş Sürekliliği

Felaket kurtarma ve iş sürekliliği planlaması:

  • RTO: Kurtarma süresi hedefi (RTO): 4 saat
  • RPO: Kurtarma noktası hedefi (RPO): 1 saat
  • Yedeklilik Çoklu bölge dağıtımı ve otomatik failover
  • Failover Testleri Üç ayda bir felaket kurtarma tatbikatları

Güvenlik Sorunlarını Bildirme

Güvenlik araştırmacıları ve kullanıcıları güvenlik sorunlarını sorumlu bir şekilde bildirmeye teşvik ediyoruz.

Bug Bounty Programı: Nitelikli güvenlik açıkları için ödüller sunuyoruz.

  • Security Email: security@vetigen.com
  • PGP Key: Available at vetigen.com/security/pgp
  • Bug Bounty: hackerone.com/vetigen

Politika Güncellemeleri

Bu güvenlik politikası düzenli olarak gözden geçirilir ve güncellenir.

Önemli değişiklikler müşterilere e-posta yoluyla bildirilir.

İletişim

Güvenlik ile ilgili sorularınız veya endişeleriniz için bizimle iletişime geçin:

  • Chief Information Security Officer: ciso@vetigen.com
  • Security Team: security@vetigen.com
  • Data Protection Officer: dpo@vetigen.com

Bu politika hakkında sorularınız için lütfen bizimle iletişime geçin: legal@vetigen.com