Güvenlik
Hasta verisi taşıyoruz; güvenlik bizim için pazarlama sloganı değil, mühendislik kararı. Aldığımız önlemler aşağıda.
Veri Saklama
- Yerel veri merkezi: Tüm hasta verisi Türkiye'de yerleşik veri merkezlerinde saklanır.
- Şifreleme (at rest): Veritabanı düzeyinde AES-256 şifreleme kullanılır.
- Şifreleme (in transit): Tüm trafik TLS 1.3 üzerinden iletilir; HSTS zorunludur.
- Yedekleme: Otomatik günlük yedek + saatlik incremental snapshot. 30 günlük geri alma penceresi.
Erişim Kontrolü
- Rol bazlı yetkilendirme (RBAC): Hekim, asistan, resepsiyon, yönetici rolleri için ince granüler izinler.
- İki faktörlü doğrulama (2FA): Tüm hesaplar için isteğe bağlı, yönetici hesapları için zorunlu.
- Oturum yönetimi: Aktif oturumları görüntüleyip uzaktan sonlandırabilirsiniz.
- Kayıt loglama: Her hassas işlem (görüntü, dosya, ödeme) audit log'a yazılır.
Uygulama Güvenliği
- OWASP Top 10 (XSS, SQLi, CSRF, IDOR…) açıklarına karşı sürekli test.
- CSRF token tüm form ve API çağrılarında.
- Brute-force ve abuse engelleme: rate limiting ve şüpheli aktivite tespiti.
- Sıkı Content Security Policy ve cookie güvenlik bayrakları (HttpOnly, Secure, SameSite).
Uyum & Sertifikasyonlar
KVKK
Kişisel Verilerin Korunması Kanunu kapsamında veri sorumlusu ve işleyen sözleşmeleri hazır.
GDPR
Avrupa Birliği vatandaşlarına hizmet veren klinikler için GDPR uyumlu işleme akışları.
PCI-DSS
Ödeme verisi doğrudan iyzico üzerinden işlenir; kart bilgisi sunucularımıza dokunmaz.
ISO 27001 (yol haritası)
2026 yıl sonu hedefiyle ISO 27001 sertifikasyon sürecimiz başlatılmıştır.
Güvenlik Açığı Bildirme
Güvenlik açığı tespit ettiyseniz lütfen kamuya açıklamadan önce bizimle iletişime geçin. Sorumlu açıklama (responsible disclosure) yaklaşımını desteklerken araştırmacılara bug bounty programı kapsamında ödüller sunuyoruz.
Güvenlik İletişim Kanalı
E-posta: guvenlik@planoral.com
PGP key request: aynı adresten talep edebilirsiniz.