YASAL

Pazarlamada değil, derinlikte savunma.

Baslic'in arkasındaki gerçek güvenlik uygulamaları — ne yaptığımız, nasıl doğruladığımız ve bir şey yanlış görünürse bize nasıl ulaşacağın.

Özet

Sade Türkçe ile

Baslic AB altyapısı üzerinde çalışır (Hetzner Helsinki ve Falkenstein), iletimde TLS 1.2+, yönetilen birimlerde durağan veri şifrelemesi ve Clerk'e (SOC 2 Type II denetimli sağlayıcı) devredilmiş kimlik doğrulama ile. Her yönetimsel eylemi değiştirilemez bir denetim kaydında kaydederiz ve verilerine kimin dokunduğunu her zaman bilmen için bir alt işleyici listesi yayınlarız. Küçük bir ekibiz; küçük ekiplerin neye sahip olduğu ve neye sahip olmadığı konusunda dürüst olması gerektiğine inanırız.

Barındırma ve veri ikametgâhı

Tüm müşteri verileri Avrupa Birliği'nde, Hetzner bulut altyapısında Helsinki'de (Finlandiya) ve Falkenstein'da (Almanya) saklanır. Müşteri verilerinin hiçbir birincil kopyası AB'yi terk etmez. AB dışındaki belirli veri akışları (örn. Anthropic ile AI ayrıştırma) yalnızca Alt İşleyiciler sayfamızda listelenen alt işleyiciler aracılığıyla gerçekleşir, her biri AB-ABD Veri Gizliliği Çerçevesi veya eşdeğer transfer mekanizması kapsamında.

Şifreleme

İletimde

www.baslic.com, app.baslic.com ve API'mize giden tüm HTTP trafiği TLS 1.2 veya üstü kullanır. HTTP istekleri HTTPS'ye yönlendirilir. Modern sertifikalar kullanır ve onları otomatik olarak rotasyona alırız.

Durağan

Veritabanı depolama ve nesne depolama (fiş dosyaları), depolama katmanında durağan veri şifrelemesi etkinleştirilmiş yönetilen birimlerde bulunur. Yedekler (hem küme içinde hem de site dışı) birincil sunucudan ayrılmadan önce şifrelenir.

Kimlik doğrulama ve erişim

  • Son kullanıcı kimlik doğrulaması, SOC 2 Type II denetimli olan ve çok faktörlü kimlik doğrulama, sihirli bağlantılar ve sosyal oturum açmayı destekleyen Clerk tarafından sağlanır.
  • Şifreler Baslic tarafından asla düz metin veya kurtarılabilir biçimde saklanmaz; Clerk endüstri standardı bcrypt karma kullanır.
  • Yönetimsel taklit (destek için kullanılır) özel bir role kapatılmıştır, tamamen denetim kaydındadır ve bir müşteri adına yıkıcı veya finansal eylemler gerçekleştirmesi engellenmiştir.
  • Sunucu erişimi (SSH) yalnızca anahtar tabanlı kimlik doğrulama kullanır; şifreler devre dışıdır.

Yedekler ve felaket kurtarma

Müşteri verileri günlük olarak Hetzner yönetilen anlık görüntülerle yedeklenir ve önümüzdeki 7 gün içinde etkinleştirilmesi planlanan ek şifrelenmiş site dışı yedek (Backblaze B2, Amsterdam bölgesi) ile. Yedek şifreleme anahtarları yalnızca Baslic'tedir; site dışı sağlayıcı veriyi çözemez.

Yedek bandının yalnızca mevcut değil, kurtarılabilir olduğunu doğrulamak için periyodik geri yükleme testleri yaparız.

İzleme ve denetim kayıtları

  • Her yönetimsel eylem (rol değişiklikleri, yapılandırma değişiklikleri, taklit oturumları) aktör kimliği, hedef varlık, zaman damgası ve nedeni ile değiştirilemez bir denetim kaydında kaydedilir.
  • Uygulama hataları ve istisnaları, iletimden önce kişisel olarak tanımlanabilir bilgiler temizlenmiş bir hata izleme servisi tarafından yakalanır.
  • İstek gövdelerini, dosya içeriklerini veya diğer müşteri yük verilerini izleme sistemimize kaydetmiyoruz.

Tedarikçi güvenliği

Yalnızca az sayıda alt işleyici kullanırız, her biri belirli bir işlev için seçilmiş ve sözleşmeyle GDPR uyumlu veri işleme şartlarına bağlıdır. Tam listemiz Alt İşleyiciler sayfasındadır. Sana 30 gün önceden bildirimde bulunmadan bir alt işleyici eklemeyiz.

Olay müdahalesi

Verilerini etkilemiş olabilecek bir güvenlik olayını keşfedersek veya bize bildirilirse:

  • Onaylamadan sonraki 24 saat içinde, kayıtlı e-posta adresi aracılığıyla etkilenen müşterileri bilgilendiririz.
  • GDPR Madde 33 gereği 72 saat içinde Finlandiya Veri Koruma Ombudsmanı'na (Tietosuojavaltuutettu) bildiririz.
  • Bildirim olayın doğasını, potansiyel olarak etkilenen verileri, halihazırda alınan azaltma önlemlerini ve yapmanı önerdiklerimizi tanımlayacaktır.
  • İstek üzerine etkilenen müşterilere olay sonrası rapor sağlanacaktır.

Sertifikalar hakkında

Baslic küçük bir ekiptir ve şu anda SOC 2 veya ISO 27001 sertifikalarına sahip değildir. İlk kurumsal müşterimiz gerektirdiği anda SOC 2 Type I peşinde koşmaya kararlıyız. Bu arada bu sayfa gerçek uygulamaları belgeler, hedefleri değil.

Güvenlik sorunu bildirme

Baslic'te bir güvenlik açığı bulduğuna inanıyorsan, lütfen bize doğrudan e-posta gönder:

security@baslic.com

Alındısını 2 iş günü içinde onaylayacağız. Lütfen kamuya açıklamadan önce araştırma ve düzeltme için bize makul süre tanı. Şu anda ücretli bir bug bounty programı yürütmüyoruz, ancak güvenlik değişiklik günlüğümüzde ihbar edenleri (iznin ile) memnuniyetle kredilendiririz.

İlgili belgeler: