Güvenlik Yaklaşımımız
OW işbirliklerinde kararlar; veri, model ve uygulama katmanları boyunca izlenebilir ve denetlenebilir biçimde korunur; GTFS data security ve cloud-based transit analytics safety kontrolleriyle desteklenir.
Güvenlik Temelleri
Uçtan Uca Şifreleme
Veriler beklemede AES-256, aktarım sırasında TLS 1.3 ile korunur. Şifreleme, altyapı tercihi değil, sistem davranışıdır.
KVKK / GDPR Uyumlu
OW, Türkiye KVKK ve AB GDPR düzenlemeleriyle tam uyumlu olarak tasarlanmıştır. Uyumluluk sonradan eklenmez; mimariye gömülüdür.
ISO 27001 Sertifikalı
Bilgi güvenliği yönetimi, uluslararası kabul görmüş ISO 27001 standartlarına göre yürütülür.
Denetim Günlüğü
Tüm sistem işlemleri ve erişimler zaman damgalı olarak kaydedilir. Karar süreçleri geriye dönük olarak izlenebilir.
Erişim Kontrolü
Çok faktörlü kimlik doğrulama ve rol tabanlı erişim (RBAC) ile yetkilendirme sağlanır. Herkes her veriyi değil, yalnızca karar rolü kapsamında görür.
Güvenli Altyapı
Düzenli iç ve dış güvenlik denetimleriyle desteklenen, kurumsal ölçekte bir altyapı kullanılır.
Uyumluluk ve Sertifikalar
OW, veri koruma ve güvenlik konularında en yüksek kurumsal standartları karşılayacak şekilde yapılandırılmıştır
ISO 27001 uyumluluğu
Bilgi güvenliği yönetim sistemimiz (ISMS), ISO/IEC 27001 ilkeleri—üst yönetim taahhüdü, risk temelli düşünme ve sürekli iyileştirme—çerçevesinde yapılandırılmıştır. Varlık envanteri, risk değerlendirmesi ve işleme, insan kaynakları güvenliği, erişim kontrolü, kriptografi, operasyonel güvenlik, iletişim, geliştirme yaşam döngüsü güvenliği, tedarikçi ilişkileri, olay yönetimi, iş sürekliliği ve uyumluluk izleme alanlarında yazılı politika ve prosedürler bulunduruyoruz.
Güvenlik kontrolleri statik bir kontrol listesi olarak görülmez; belirli periyotlarla gözden geçirilir, gerçekçi tehdit senaryolarına karşı test edilir ve hizmetlerimiz, ortaklarımız veya düzenleyici bağlam değiştikçe güncellenir. Kurumsal ve kamu sektörü müşterileri için uygulamalarımızın Ek A kontrol temalarıyla nasıl eşleştiğini ve tedarikçi güvenlik anketleri, ihale ekleri ve iç denetim programlarını nasıl desteklediğini açıklayabiliriz.
ISO 27001 ile hizalama; satın alma, sigorta ve denetim görüşmelerinde özen yükümlülüğünü göstermenin yollarından biridir—hukuki danışmanlığın yerini almaz; ancak güvenlik yönetişiminin OW’nin çalışma biçimine gömülü olduğunu ortaya koyar.
GDPR ve KVKK uyumluluğu
Kişisel verileri yalnızca AB Genel Veri Koruma Tüzüğü (GDPR) ve Türkiye’deki veri sahipleri için Kişisel Verilerin Korunması Kanunu (KVKK) kapsamında geçerli bir hukuki sebep bulunduğunda işleriz. Amaçlar önceden tanımlanır (amaç sınırlaması); veri kategorileri gerekli olanla sınırlı tutulur (veri minimizasyonu); saklama süresi hizmet sunumu, yasal yükümlülük veya belgelenmiş meşru menfaat ile bağlanır, ardından veriler uygun şekilde güvenli biçimde silinir veya geri döndürülemez şekilde anonimleştirilir.
Veri İşleme Sözleşmeleri (DPA), rolleri (uygun olduğunda veri sorumlusu/işleyen), alt işleyenleri, işleme kategorilerini, gerektiğinde sınır ötesi aktarım mekanizmalarını ve teknik ve idari tedbirleri açıklar. Veri sahiri; erişim, düzeltme, silme, işlemeyi kısıtlama, itiraz ve veri taşınabilirliği haklarını tanımlı kanallar üzerinden kullanabilir; başvuruları yasal süreler içinde yanıtlarız.
İhlal bildirimi yönergelerimiz; iç eskalasyon, delil muhafazası, kontrol altına alma ve kanunun gerektirdiği hallerde düzenleyici ve etkilenen kişilere iletişimi tanımlar. Eğitimler ve runbook’lar, gizlilik ve güvenlik olaylarının tutarlı biçimde ele alınmasını sağlar; GTFS data security ve cloud-based transit analytics safety senaryolarını da kapsar.
Şifreleme, erişim kontrolü ve denetim kayıtları
Beklemedeki hassas bilgiler, platformun desteklediği yönetilen depolama ve yedeklemeler dâhil olmak üzere, varsayılan olarak şifrelemeyi destekleyen ortamlarda AES-256 (veya eşdeğer endüstri standardı algoritmalar) ile korunur. Aktarımdaki veriler TLS 1.2 veya üzeri ve güncel şifre paketleri ile korunarak genel ağlardaki maruziyet azaltılır.
Üretimle ilişkili sistemlere, yönetim konsollarına ve müşteri güvenini etkileyebilecek depolara erişim, rol tabanlı erişim kontrolü (RBAC) ile asgari yetki ilkesine göre verilir. Ayrıcalıklı roller için altyapı desteklediğinde çok faktörlü kimlik doğrulama zorunludur. İşe giriş, görev değişikliği ve ayrılış süreçleri belgeli iş akışlarıyla yürütülür; böylece kullanılmayan hesaplar birikmez.
Oturum açma, yetki değişiklikleri ve ayrıcalıklı işlemler dâhil güvenlikle ilgili olaylar için müdahale ve uyumluluk incelemesine uygun saklama süreleriyle tahrip edilmesi zor denetim izleri tutarız. Periyodik erişim gözden geçirmeleri, yetkileri fiili görev tanımlarıyla uzlaştırarak boşlukları olay oluşmadan kapatır.
Vercel altyapı güvenliği
Pazarlama sitemiz ve ilgili web deneyimleri Vercel’in küresel dağıtık edge platformunda yayınlanır. Trafik; kenarda TLS sonlandırması, yerleşik DDoS azaltımı ve Vercel güvenlik ekipleri tarafından sürdürülen sürekli platform sertleştirmesinden yararlanır. Vercel bulut operasyonları için SOC 2 Tip II ve ilgili güvence raporları yayımlar; fiziksel ve ağ kontrollerinin önemli bir kısmını bu ilişki üzerinden devralırız.
Uygulama derlemeleri yalıtılmış CI ortamlarında çalışır; gizli anahtarlar kaynak koduna hiç yazılmaz ve korumalı ortam değişkenleriyle derleme ve çalışma zamanında enjekte edilir. Önizleme ve üretim projeleri ayrılarak deneysel değişikliklerin canlı kullanıcıları etkileme riski düşürülür.
Bu model, kendi sunucu yığınınızı yönetmek yerine daha küçük, iyi belgelenmiş bir saldırı yüzeyi sunarken dünya çapında hızlı, önbellek dostu teslimatı korur. Kamuya açık kurumsal varlığımız için uygun izleme, bağımlılık farkındalığı ve güvenli geliştirme uygulamalarıyla platform kontrollerini tamamlarız.