Güvenlik Politikası

Sertifikalar ve Değerlendirmeler

Aşağıdaki güvenlik sertifikalarını koruyoruz ve düzenli değerlendirmelerden geçiyoruz:

• SOC 2 Tip II sertifikasyonu (devam ediyor)
• Yıllık üçüncü taraf sızma testi
• Sürekli güvenlik açığı taraması
• Bağımsız firmalar tarafından düzenli güvenlik denetimleri

Ayrıntılı güvenlik raporları apilium.com/security adresinde mevcuttur

Kod Veri Akışı

Apilium Forge IDE'yi kullandığınızda, kodunuz güvenli altyapımızdan akar:

• Kodunuz TLS 1.3 kullanılarak aktarımda şifrelenir
• İstekler AWS üzerinde barındırılan arka uç sunucularımız aracılığıyla işlenir
• Yapay zeka işlemesi, sıfır saklama anlaşmaları olan model sağlayıcılarımız tarafından gerçekleştirilir
• Gizlilik Modu etkinleştirildiğinde, istek tamamlandıktan sonra düz metin kod saklanmaz

Altyapı Ortakları

Şifreleme

Aktarımdaki Veriler: Apilium Forge ve sunucularımız arasında iletilen tüm veriler, güçlü şifre paketleriyle TLS 1.3 kullanılarak şifrelenir

Beklemedeki Veriler: Saklanan tüm veriler AES-256-GCM şifreleme kullanılarak şifrelenir

Şifreleme anahtarları, her 90 günde bir otomatik rotasyon ile AWS KMS kullanılarak yönetilir

Kurumsal müşteriler için, yalnızca sizin şifre çözme anahtarlarını tuttuğunuz uçtan uca şifreleme sunuyoruz

Erişim Kontrolleri

• Tüm çalışan hesapları için çok faktörlü kimlik doğrulama (MFA) gerekli
• Ayrıcalıklı erişim için donanım güvenlik anahtarları (FIDO2/WebAuthn)
• En az ayrıcalık ilkesiyle rol tabanlı erişim kontrolü (RBAC)
• Üretim sistemleri için tam zamanında erişim sağlama
• Üç ayda bir erişim incelemeleri ve ayrılmalar için anında erişim kaldırma
• Yönetici erişimi için IP izin listesi ve VPN gereksinimleri

Ağ Güvenliği

• Özel kural setleriyle Web Uygulaması Güvenlik Duvarı (WAF)
• Kurumsal düzeyde DDoS azaltma (Cloudflare Magic Transit)
• Hassas hizmetler için özel alt ağlarla ağ segmentasyonu
• Saldırı Tespit/Önleme Sistemleri (IDS/IPS)
• Sürekli ağ trafiği izleme ve anomali tespiti
• Düzenli harici ve dahili sızma testi

Uygulama Güvenliği

• Güvenlik geçitleriyle Güvenli Yazılım Geliştirme Yaşam Döngüsü (SSDLC)
• Güvenlik odaklı kontrol listesiyle zorunlu kod incelemeleri
• CI/CD hattında Statik Uygulama Güvenlik Testi (SAST)
• Dağıtılan uygulamalar için Dinamik Uygulama Güvenlik Testi (DAST)
• Bağımlılık güvenlik açıkları için Yazılım Bileşim Analizi (SCA)
• Tüm geliştiriciler için düzenli güvenlik eğitimi
• OWASP En İyi 10 ve SANS En İyi 25 güvenlik açıklarına karşı koruma

İstemci (IDE) Güvenliği

Apilium Forge IDE güvenlik göz önünde bulundurularak inşa edilmiştir:

• Tüm platformlar için kod imzalı ikili dosyalar (Windows, macOS, Linux)
• Geri alma özelliği ile otomatik güvenlik güncellemeleri
• Sandbox uzantı yürütme ortamı
• Önbelleğe alınan verilerin ve kimlik bilgilerinin yerel şifrelemesi
• İzin verilen alan adlarıyla yapılandırılabilir ağ erişimi
• Yapay zeka işlemeden hassas dosyaları hariç tutmak için .apiliumignore desteği

Çalışan Güvenlik Eğitimi

Tüm Apilium çalışanları kapsamlı güvenlik eğitiminden geçer:

• İşe alım sırasında güvenlik farkındalığı eğitimi
• Üç ayda bir güvenlik eğitimi güncellemeleri ve değerlendirmeleri
• Aylık kimlik avı simülasyon alıştırmaları
• Mühendisler için role özel güvenlik eğitimi
• Yıllık olay müdahale masa başı alıştırmaları

Güvenlik Politikaları

Kapsamlı güvenlik politikalarını koruyoruz ve uygularız:

• Bilgi Güvenliği Politikası ve Standartları
• Kabul Edilebilir Kullanım ve Erişim Kontrol Politikaları
• Olay Müdahale ve İletişim Planı
• İş Sürekliliği ve Felaket Kurtarma Planı
• Satıcı Güvenlik Değerlendirme Gereksinimleri
• Veri Sınıflandırma ve İşleme Kılavuzları
• Değişiklik Yönetimi ve Yayın Prosedürleri

Çalışan İncelemesi

Müşteri verilerine erişimi olan tüm çalışanlar, rollerine ve yargı yetkisine uygun arka plan kontrolleri geçirir ve gizlilik anlaşmaları imzalar.

Kurumsal Gizlilik Seçenekleri

• Tam veri egemenliği için yerinde dağıtım
• Diğer müşterilerden izole edilmiş özel altyapı
• Özel veri ikamet gereksinimleri (yalnızca AB, belirli bölgeler)
• Kendi anahtarınızı getirin (BYOK) şifreleme
• Özel ağ bağlantısı (AWS PrivateLink, VPN)

Veri Sınıflandırması

Tüm verileri hassasiyet düzeyine göre sınıflandırıyoruz:

• Genel: Pazarlama materyalleri, genel belgeler
• Dahili: Dahili süreçler, hassas olmayan iş verileri
• Gizli: Müşteri hesap verileri, destek iletişimleri
• Kısıtlı: Müşteri kodu, kimlik bilgileri, güvenlik yapılandırmaları

Yedekleme ve Kurtarma

Sağlam yedekleme ve felaket kurtarma yeteneklerini koruyoruz:

• Şifrelenmiş, coğrafi olarak dağıtılmış yedeklemeler
• Veritabanları için zaman içinde kurtarma (35 güne kadar)
• Kurtarma Süresi Hedefi (RTO): 4 saat
• Kurtarma Noktası Hedefi (RPO): 1 saat
• Üç ayda bir felaket kurtarma testi
• Çoklu bölge yük devretme özelliği

Olay Müdahale Süreci

Yapılandırılmış bir olay müdahale sürecini takip ediyoruz:

• Tespit: 7/24 otomatik izleme ve uyarı
• Triaj: 15 dakika içinde güvenlik ekibi değerlendirmesi
• Kontrol altına alma: Etkilenen sistemlerin anında izolasyonu
• Araştırma: Kök neden analizi ve etki değerlendirmesi
• Eradikasyon: Tehdidin kaldırılması ve sistem sertleştirmesi
• Kurtarma: Hizmetlerin kontrollü restorasyonu
• Olay sonrası inceleme: Öğrenilen dersler ve süreç iyileştirmeleri

İhlal Bildirimi

Verilerinizi etkileyen bir güvenlik ihlali durumunda, şunları taahhüt ederiz:

• Onaylanmış ihlalden 72 saat içinde etkilenen kullanıcıları bilgilendirmek
• Hangi verilerin etkilendiği hakkında net ayrıntılar sağlamak
• Olayı ele almak için aldığımız eylemleri açıklamak
• Kendinizi korumak için atabileceğiniz adımlar konusunda rehberlik sunmak
• Yasanın gerektirdiği şekilde ilgili düzenleyici makamlara bildirmek
• Olay çözülene kadar düzenli güncellemeler sağlamak

Kapsam İçinde

• Apilium Forge IDE (tüm platformlar)
• api.apilium.com ve tüm alt alan adları
• portal.apilium.com (Müşteri Portalı)
• apilium.com (Web Sitesi)

Nasıl Bildirilir

Bir güvenlik açığı keşfederseniz:

• Ayrıntılı güvenlik açığı bilgileriyle [email protected] adresine e-posta gönderin
• Yeniden oluşturma adımlarını, potansiyel etkiyi ve kavram kanıtını ekleyin
• Hassas raporlar için PGP anahtarımızı kullanın (güvenlik sayfamızda mevcuttur)
• Kamuya açıklama öncesi düzeltme için 90 güne kadar izin verin

Taahhüdümüz

Güvenlik araştırmacılarına taahhüt ediyoruz:

• 24 saat içinde alındığını onaylamak
• 5 iş günü içinde ilk değerlendirme sağlamak
• Düzeltme ilerlemesi hakkında sizi bilgilendirmek
• Güvenlik onaylarımızda size kredi vermek (anonim kalma tercih edilmedikçe)
• İyi niyetle güvenlik araştırması için yasal işlem başlatmamak

Uygun güvenlik açıkları için ödüller sunuyoruz. Mevcut program ayrıntıları için bizimle iletişime geçin.

Satıcı Güvenlik Gereksinimleri

Müşteri verilerine erişimi olan tüm satıcılar güvenlik gereksinimlerimizi karşılamalıdır:

• Güvenlik anketini ve risk değerlendirmesini tamamlamak
• SOC 2 Tip II veya eşdeğer sertifikasyon
• GDPR uyumlu maddelerle Veri İşleme Anlaşması (DPA)
• Yıllık güvenlik incelemesi ve yeniden sertifikasyon
• Anında ihlal bildirimi gereksinimleri

Alt İşlemciler

Müşteri verilerine erişimi olan mevcut alt işlemciler:

• AWS (Altyapı) - ABD/AB
• Anthropic, OpenAI (Yapay Zeka Modelleri) - Sıfır saklamalı ABD
• Stripe (Ödeme İşleme) - ABD/AB
• Cloudflare (CDN/Güvenlik) - Küresel
• MongoDB Atlas (Veritabanı) - AB
• SendGrid (E-posta) - ABD

Yeni alt işlemciler eklemeden 30 gün önce müşterilere bildiririz. Mevcut liste apilium.com/compliance adresinde mevcuttur