Güvenlik Politikası
Son güncelleme: Haziran 2025
1. Genel İlkeler
Pırlanta Ustası olarak müşterilerimizin kişisel ve finansal verilerinin güvenliğini en üst önceliğimiz olarak benimsiyoruz. Tüm güvenlik önlemlerimiz; sektör standartlarına uygun olarak tasarlanmış, bağımsız değerlendirmelerle test edilmiş ve sürekli olarak güncellenmektedir. Bu politika; uyguladığımız teknik ve idari güvenlik tedbirlerini açıklamak, kullanıcılarımızı bilinçlendirmek ve güvenli alışveriş ortamı hakkında şeffaf bilgi sunmak amacıyla hazırlanmıştır.
2. Bağlantı ve Veri İletimi Güvenliği
2.1 SSL/TLS Şifrelemesi
Tarayıcınız ile sunucularımız arasındaki tüm veri iletişimi, 256-bit TLS 1.3 şifrelemesiyle korunmaktadır. Adres çubuğundaki kilit simgesi ve "https://" öneki, bağlantınızın güvende olduğunu gösterir. HTTP üzerinden gelen tüm istekler otomatik olarak HTTPS'e yönlendirilmektedir.
2.2 HTTP Güvenlik Başlıkları
Sitelerarası saldırılara karşı ek koruma sağlamak amacıyla aşağıdaki HTTP güvenlik başlıkları etkinleştirilmiştir:
- Strict-Transport-Security (HSTS): Tarayıcıları yalnızca HTTPS kullanmaya zorunlu kılar
- Content-Security-Policy (CSP): Siteler arası komut dosyası (XSS) saldırılarını önler
- X-Frame-Options: Clickjacking saldırılarına karşı koruma sağlar
- X-Content-Type-Options: MIME türü yanıltmacasını engeller
2.3 Cloudflare DDoS Koruması
Sitemiz, Cloudflare'in küresel ağı üzerinde barındırılmaktadır. Bu sayede Dağıtık Hizmet Engelleme (DDoS) saldırılarına, bot trafiğine ve kötü niyetli tarama girişimlerine karşı sürekli koruma sağlanmaktadır. WAF (Web Uygulaması Güvenlik Duvarı) kuralları, OWASP Top 10 tehditlerine karşı aktif olarak çalışmaktadır.
3. Ödeme Güvenliği
3.1 PCI DSS Uyumluluğu
Tüm kart ödemeleri, Ödeme Kartı Endüstrisi Veri Güvenliği Standardı (PCI DSS) uyumlu PayTR altyapısı üzerinden işlenmektedir. Kart numaraları, güvenlik kodları (CVV) ve son kullanma tarihleri gibi hassas kart verileri hiçbir şekilde sistemlerimizde saklanmamaktadır.
3.2 3D Secure Doğrulaması
Tüm kart işlemleri, banka tarafından gerçekleştirilen 3D Secure kimlik doğrulamasından geçirilmektedir. Bu yöntem; kart sahibinin onayı alınmadan işlem yapılmasını engellemekte ve yetkisiz kullanıma karşı güçlü bir koruma katmanı oluşturmaktadır.
3.3 Sahte İşlem Önleme
PayTR ile entegre çalışan gelişmiş sahteciliği önleme (fraud detection) sistemleri; olağandışı ödeme örüntülerini gerçek zamanlı olarak izlemekte ve şüpheli işlemleri otomatik olarak engellemektedir.
4. Altyapı ve Veri Güvenliği
4.1 Veritabanı Güvenliği
Müşteri verileri, Neon'un yönetilen PostgreSQL altyapısında, bekleyen veri şifrelemesi (encryption at rest) etkinleştirilerek saklanmaktadır. Veritabanına doğrudan internet üzerinden erişim yoktur; bağlantılar yalnızca güvenli dahili ağ kanalları üzerinden kurulmaktadır.
4.2 Erişim Kontrolü ve Yetkilendirme
Müşteri verilerine erişim, en az yetki ilkesi (principle of least privilege) çerçevesinde yalnızca yetkili personelle sınırlandırılmaktadır. Tüm sistem erişimleri kayıt altına alınmakta ve denetim amaçlı saklanmaktadır. Çok faktörlü kimlik doğrulama (MFA), yönetici hesaplarında zorunlu tutulmaktadır.
4.3 Güvenlik Açığı Yönetimi
Sistemlerimiz, bilinen güvenlik açıklarına karşı düzenli olarak taranmaktadır. Kritik güncellemeler ve yamalar (patch) tespit edildiği gün uygulanmaktadır. Uygulama bağımlılıkları otomatik araçlarla izlenmekte ve güvenlik ihlali bildirilen paketler derhal güncellenmektedir.
4.4 Yedekleme
Verilerimiz günlük olarak yedeklenmekte ve yedekler coğrafi olarak ayrı konumlarda şifreli biçimde saklanmaktadır. Felaket kurtarma planı düzenli olarak test edilmektedir.
5. Hesap Güvenliği
Hesabınızı güvende tutmak için aşağıdaki önlemleri almanızı önemle tavsiye ederiz:
- Güçlü şifre kullanın: En az 8 karakter, büyük/küçük harf, rakam ve özel karakter içeren bir şifre belirleyin.
- Şifrenizi kimseyle paylaşmayın: Pırlanta Ustası çalışanları hiçbir zaman sizden şifrenizi istemez.
- Farklı siteler için aynı şifreyi kullanmayın: Bir sitedeki veri ihlali, diğer hesaplarınızı tehlikeye atabilir.
- Şüpheli e-postalara dikkat edin: Pırlanta Ustası'ymış gibi görünen ancak farklı bir gönderici adresi içeren e-postaları açmayın ve bağlantılara tıklamayın (phishing).
- Kamuya açık ağlarda dikkatli olun: Halka açık Wi-Fi ağlarında alışveriş yaparken VPN kullanmayı tercih edin.
6. Olay Müdahalesi
Olası bir güvenlik ihlali durumunda aşağıdaki prosedür uygulanmaktadır:
- Tehdidin tespiti ve izolasyonu
- Etkilenen sistemlerin ve kullanıcıların belirlenmesi
- Yasal yükümlülükler kapsamında ilgili otoritelere bildirim (KVKK Madde 12 uyarınca Kişisel Verileri Koruma Kurulu'na 72 saat içinde)
- Etkilenen müşterilere e-posta ile bildirim
- Güvenlik açığının kapatılması ve olayın belgelenmesi
7. Güvenlik İhlali Bildirimi
Hesabınızda yetkisiz bir işlem ya da güvenlikle ilgili herhangi bir endişe fark ederseniz lütfen derhal aşağıdaki kanallardan bize ulaşın:
- E-posta: info@pirlantaustasi.com
- Telefon: +90 546 676 56 59
Güvenlik açığı bildirimleri (responsible disclosure) de aynı e-posta adresi üzerinden kabul edilmektedir. Gerçek güvenlik açığı bildirimi yapan araştırmacılara teşekkür edilir ve bildirim, gizlilik içinde ele alınır.
8. Üçüncü Taraf Hizmetleri
Sistemlerimizde kullanılan başlıca üçüncü taraf hizmet sağlayıcıları ve güvenlik sertifikasyonları şöyledir:
| Sağlayıcı | İşlev | Sertifikasyon |
|---|---|---|
| PayTR | Ödeme altyapısı | PCI DSS Seviye 1 |
| Cloudflare | CDN, DDoS koruması, WAF | ISO 27001, SOC 2 Type II |
| Neon (PostgreSQL) | Veritabanı barındırma | SOC 2 Type II |
| Loomis | Kargo ve lojistik | — |
9. Politika Güncellemeleri
Bu Güvenlik Politikası, teknoloji ve tehdit ortamındaki değişikliklere paralel olarak periyodik biçimde gözden geçirilmektedir. Önemli güncellemeler site üzerinde duyurulacaktır.




































