Yasal

Güvenlik Politikası

Son güncelleme: Haziran 2025

1. Genel İlkeler

Pırlanta Ustası olarak müşterilerimizin kişisel ve finansal verilerinin güvenliğini en üst önceliğimiz olarak benimsiyoruz. Tüm güvenlik önlemlerimiz; sektör standartlarına uygun olarak tasarlanmış, bağımsız değerlendirmelerle test edilmiş ve sürekli olarak güncellenmektedir. Bu politika; uyguladığımız teknik ve idari güvenlik tedbirlerini açıklamak, kullanıcılarımızı bilinçlendirmek ve güvenli alışveriş ortamı hakkında şeffaf bilgi sunmak amacıyla hazırlanmıştır.

2. Bağlantı ve Veri İletimi Güvenliği

2.1 SSL/TLS Şifrelemesi

Tarayıcınız ile sunucularımız arasındaki tüm veri iletişimi, 256-bit TLS 1.3 şifrelemesiyle korunmaktadır. Adres çubuğundaki kilit simgesi ve "https://" öneki, bağlantınızın güvende olduğunu gösterir. HTTP üzerinden gelen tüm istekler otomatik olarak HTTPS'e yönlendirilmektedir.

2.2 HTTP Güvenlik Başlıkları

Sitelerarası saldırılara karşı ek koruma sağlamak amacıyla aşağıdaki HTTP güvenlik başlıkları etkinleştirilmiştir:

  • Strict-Transport-Security (HSTS): Tarayıcıları yalnızca HTTPS kullanmaya zorunlu kılar
  • Content-Security-Policy (CSP): Siteler arası komut dosyası (XSS) saldırılarını önler
  • X-Frame-Options: Clickjacking saldırılarına karşı koruma sağlar
  • X-Content-Type-Options: MIME türü yanıltmacasını engeller

2.3 Cloudflare DDoS Koruması

Sitemiz, Cloudflare'in küresel ağı üzerinde barındırılmaktadır. Bu sayede Dağıtık Hizmet Engelleme (DDoS) saldırılarına, bot trafiğine ve kötü niyetli tarama girişimlerine karşı sürekli koruma sağlanmaktadır. WAF (Web Uygulaması Güvenlik Duvarı) kuralları, OWASP Top 10 tehditlerine karşı aktif olarak çalışmaktadır.

3. Ödeme Güvenliği

3.1 PCI DSS Uyumluluğu

Tüm kart ödemeleri, Ödeme Kartı Endüstrisi Veri Güvenliği Standardı (PCI DSS) uyumlu PayTR altyapısı üzerinden işlenmektedir. Kart numaraları, güvenlik kodları (CVV) ve son kullanma tarihleri gibi hassas kart verileri hiçbir şekilde sistemlerimizde saklanmamaktadır.

3.2 3D Secure Doğrulaması

Tüm kart işlemleri, banka tarafından gerçekleştirilen 3D Secure kimlik doğrulamasından geçirilmektedir. Bu yöntem; kart sahibinin onayı alınmadan işlem yapılmasını engellemekte ve yetkisiz kullanıma karşı güçlü bir koruma katmanı oluşturmaktadır.

3.3 Sahte İşlem Önleme

PayTR ile entegre çalışan gelişmiş sahteciliği önleme (fraud detection) sistemleri; olağandışı ödeme örüntülerini gerçek zamanlı olarak izlemekte ve şüpheli işlemleri otomatik olarak engellemektedir.

Güvenli Alışveriş İpucu: Pırlanta Ustası; müşterilerine e-posta, telefon veya SMS yoluyla asla kart numarası, CVV kodu veya şifre sormaz. Bu tür isteklerle karşılaşırsanız lütfen derhal info@pirlantaustasi.com adresine bildirin.

4. Altyapı ve Veri Güvenliği

4.1 Veritabanı Güvenliği

Müşteri verileri, Neon'un yönetilen PostgreSQL altyapısında, bekleyen veri şifrelemesi (encryption at rest) etkinleştirilerek saklanmaktadır. Veritabanına doğrudan internet üzerinden erişim yoktur; bağlantılar yalnızca güvenli dahili ağ kanalları üzerinden kurulmaktadır.

4.2 Erişim Kontrolü ve Yetkilendirme

Müşteri verilerine erişim, en az yetki ilkesi (principle of least privilege) çerçevesinde yalnızca yetkili personelle sınırlandırılmaktadır. Tüm sistem erişimleri kayıt altına alınmakta ve denetim amaçlı saklanmaktadır. Çok faktörlü kimlik doğrulama (MFA), yönetici hesaplarında zorunlu tutulmaktadır.

4.3 Güvenlik Açığı Yönetimi

Sistemlerimiz, bilinen güvenlik açıklarına karşı düzenli olarak taranmaktadır. Kritik güncellemeler ve yamalar (patch) tespit edildiği gün uygulanmaktadır. Uygulama bağımlılıkları otomatik araçlarla izlenmekte ve güvenlik ihlali bildirilen paketler derhal güncellenmektedir.

4.4 Yedekleme

Verilerimiz günlük olarak yedeklenmekte ve yedekler coğrafi olarak ayrı konumlarda şifreli biçimde saklanmaktadır. Felaket kurtarma planı düzenli olarak test edilmektedir.

5. Hesap Güvenliği

Hesabınızı güvende tutmak için aşağıdaki önlemleri almanızı önemle tavsiye ederiz:

  • Güçlü şifre kullanın: En az 8 karakter, büyük/küçük harf, rakam ve özel karakter içeren bir şifre belirleyin.
  • Şifrenizi kimseyle paylaşmayın: Pırlanta Ustası çalışanları hiçbir zaman sizden şifrenizi istemez.
  • Farklı siteler için aynı şifreyi kullanmayın: Bir sitedeki veri ihlali, diğer hesaplarınızı tehlikeye atabilir.
  • Şüpheli e-postalara dikkat edin: Pırlanta Ustası'ymış gibi görünen ancak farklı bir gönderici adresi içeren e-postaları açmayın ve bağlantılara tıklamayın (phishing).
  • Kamuya açık ağlarda dikkatli olun: Halka açık Wi-Fi ağlarında alışveriş yaparken VPN kullanmayı tercih edin.

6. Olay Müdahalesi

Olası bir güvenlik ihlali durumunda aşağıdaki prosedür uygulanmaktadır:

  • Tehdidin tespiti ve izolasyonu
  • Etkilenen sistemlerin ve kullanıcıların belirlenmesi
  • Yasal yükümlülükler kapsamında ilgili otoritelere bildirim (KVKK Madde 12 uyarınca Kişisel Verileri Koruma Kurulu'na 72 saat içinde)
  • Etkilenen müşterilere e-posta ile bildirim
  • Güvenlik açığının kapatılması ve olayın belgelenmesi

7. Güvenlik İhlali Bildirimi

Hesabınızda yetkisiz bir işlem ya da güvenlikle ilgili herhangi bir endişe fark ederseniz lütfen derhal aşağıdaki kanallardan bize ulaşın:

Güvenlik açığı bildirimleri (responsible disclosure) de aynı e-posta adresi üzerinden kabul edilmektedir. Gerçek güvenlik açığı bildirimi yapan araştırmacılara teşekkür edilir ve bildirim, gizlilik içinde ele alınır.

8. Üçüncü Taraf Hizmetleri

Sistemlerimizde kullanılan başlıca üçüncü taraf hizmet sağlayıcıları ve güvenlik sertifikasyonları şöyledir:

SağlayıcıİşlevSertifikasyon
PayTRÖdeme altyapısıPCI DSS Seviye 1
CloudflareCDN, DDoS koruması, WAFISO 27001, SOC 2 Type II
Neon (PostgreSQL)Veritabanı barındırmaSOC 2 Type II
LoomisKargo ve lojistik

9. Politika Güncellemeleri

Bu Güvenlik Politikası, teknoloji ve tehdit ortamındaki değişikliklere paralel olarak periyodik biçimde gözden geçirilmektedir. Önemli güncellemeler site üzerinde duyurulacaktır.

Pırlanta Ustası | Sertifikalı Özel Tasarım Takı