Hosting


Feedback4e platformu Amazon AWS Frankfurt bölgesi sunucularında yer alıyor. Amazon AWS suncuların barındırılmasından sorumlu olup veritabanı, CDN, veri yedekleme, network seviyesinde güvenlik, fiziksel güvenlik gibi alt yapı hizmetlerinden yararlanmaktayız.


Amazon sunucularında barındırma

Verileriniz dünyanın en güvenli sunucularını sağlayan firmalarından Amazon'un son teknoloji ve sertifikalarla teminat altına alınmış bulut sunucularında saklanır.

 

Amazon'un tüm ürünleri ile beraber ISO, CSA/CCM, IRS 1075 vb. sertifikalarına sahip sunucularında bulunan verilerinizin nerede saklandığına dair detaylı bilgiye Amazon'un AWS web sitesinden ulaşabilirsiniz.

 

Amazon'un verilerinizi korumak için yaptığı çalışmaları AWS Güvenlik Merkezi'nde görebilirsiniz.


Network Yapısı


Sunucularımız üzerinde sadece 80 (http) ve 443 (https) portları açıktır. Https (SSL/TLS) iletişimi Amazon üst seviye şifreleme sertifikaları kullanılarak yapılır. Şifreleme yapılmaksızın iletişime izin verilmemekte tüm http talepleri https e otomatik olarak yönlendirilmektedir. İstemcilerden gelen talep Amazon Loadbalancer tarafından karşılanmakta, VPC(virtual private cloud) da yer alan aktif sunucumuza http istekleri yönlendirilmektedir.


Uygulama ve İşletim Sistemi


SAAS servisimiz windows sunucular üzerinde yer almakta, üzerlerinde anti virus yazılımı düzenli çalışmakta ve düzenli windows güncellemeleri yapılmaktadır. Veriler Amazon (Frankfurt) sunucularında kontrolümüzde yer alan veritabanında tutulmaktadır.


Şifreler


Veritabanında yer alan hassas kullanıcı şifre verileri tek yönlü SHA256 algoritması ile şifrelenmektedir.Açık bir şekilde şifreler saklanmamaktadır. Bu yüzden kullanım şifrelerini açamıyoruz ve şifrelerin unutulması durumunda kullanıcıları yeni şifre oluşturmaları için yönlendiriyoruz.


Feedback4e üzerinde kullanabileceğiniz SAML v2 SSO, OpenId ve link bazlı SSO entegrasyonu bulunmaktadır. Bu özellikler kullanıldığı takdirde kullanıcı şifrelerin platformumuzda tutulmasına ihtiyaç yoktur. SSO sağlayıcısına ait MFA özelliğini kullanarak platforma giriş yapılmasını sağlayabilirsiniz.


Ektra güvenlik adımı olarak müşteri bazında IP kısıtlaması yapılarak hesaplar güvence altına alınabilir. Bu durumda müşteriye ait kullanıcıların şirket VPN’i üzerinden hesaplarına giriş yapmaları sağlanabilinir.


Cookie’ler


Cookie’leri authentication amaçlı olarak kullanıyoruz. Cookie içinde kullanım şifresi saklamıyoruz. Cookie içerisinde platformumuz tarafından o kullanıcı için üretilen rastgele bir sayı tutulmaktadır.Bu sayede kullanıcının eşleştirmesi ve hesabına giriş yapması sağlanabilmektedir.Authentication amaçlı olarak kullanılan Cookie şifrelenmektedir.


Veri Güvenliği


Tüm api bazlı server servisleri kullanıcı rol bazlı geliştirilmiş güvenlik katmanı ile korunmaktadır. Bu katmanda yazılan kodlar ve güvenlik katmanının yazılımda doğru kullanılıp kullanılmadığı code review’ler ve test senaryoları ile doğrulanmaktadır.


Veritabanı tablolarında müşteri ile ilişkilendirilmiş bir Id yer almaktadır. Bu tablolara erişim authenticate edilmiş kullanıcının ait olduğu müşteri id’si ile eşleştirildikten sonra verilir. Uyumsuzluk oluştuğunda sistem “Unauthorized Access” hatasi döner ve alarm üretir. Bu alarmlar anında admin kullanıcılarımızın önüne düşer ve analiz edilerek kullanıcı hesabını kapatma da dahil olmak üzere işlem başlatılır.


Rol bazlı yetkilendirme modelinde admin, hrbusinesspartner,employee, okrcoach ve manager rolleri yer almaktadır. Kullanıcının profiline göre sistem her bir işlemde yetki kontrolü yapar. Bu sayede her hangi bir çalışanın admin kullanıcının yetkisi dahilindeki bilgilere erişimi engellenir.


Yılda 1 kez olmak üzere 3. parti firmalardan penetrasyon testi hizmeti alınmaktadır. 


Tüm kullanıcı işlemleri için loglama yapılır.


Veritabanı günlük olarak Amazon S3 bucketlarında yedeklenir. AWS’e bağlı Virginia ve Almanya Frankfurt zone’da çifli olarak ayrıştırılmış kullanıcı yetkilendirilmesi ile farkli zone larda yedeklenir. Yedekleme sonrası bucket’lara aktarımda ve okumada Amazon Access Key ile beraber SSL/TLS protokolu kullanılır. (Aktarım AWS networku içinde yapılır.)


Bunun yanında Amazon üzerinde server’ların aylık image backup’ları Virginia ve Frankfurt da yedekli olarak alınır. Benzer şekilde uygulama logları S3 bucketlarında aylık olarak yedeklenir. Amazon üzerindeki alt yapı servislerine ulaşım için 2 step verification (MFA) kullanıyoruz.


Verilerin paylaşılması

Verileriniz paylaşılmaz. Herhangi bir üçüncü parti hizmet için sizin tarafınızdan onay verilmediği sürece hiçbir veriniz kimseyle paylaşılmaz.


Veritabanına Erişim Hakkı


Veritabanımız Amazon AWS Frankfurt veri merkezinde fiziki güvenlik önlemleri altında bulunmaktadır.


Veri tabanına ve server’larımıza erişim hakkını teknik ortağa veriyoruz. Bunun dışındaki çalışanlarımıza server ve DB erişim izni vermiyoruz.


Geliştirmeleri yaparlarken production veritabanını kullandırmıyoruz. Bugları müşteri verisini kullanmadan loglardan ve stacktrace’lerden analiz ederek problemi lokal olarak oluşturup tekrar yaratıp çözebiliyoruz.


Genel politika olarak müşterimizin haberi olmadan şirket hesaplarına izinleri olmadan erişmiyoruz. Ancak müşteri ile beraber bir bug analiz edilmesi gerekli ise izin alınarak ve durum hakkında bilgilendirme yaparak bunu yapabiliyoruz.


Monitoring


Amazon AWS sistemimizin sağlıklı işlemesinin kontrolu için çeşitli araçlar sunmakta. Sunucularımızın CPU, Memory,Network Trafigi gibi verilerini alarmlar ile kontrol ediyoruz.


Bunun yanında program hatalarının (bug) oluştuğunda otomatik olarak yazılım ekibine email gönderilmesini sağlıyoruz. Log dosyalarını düzenli olarak inceleyip müşterilerin olası karşılaşmış oldukları hataları görüp düzeltmek için gerekli aksiyonları alıyoruz.



KVKK Uyumu


KVKK uyumluluğu çerçevesinde verileriniz 3. Parti servis veya kurumlarla içerik sizin bilginiz dışında paylaşılmaz. Yaptığımız sözleşmede bu şartlara uyumluluğumuzu taahhüt ederiz. Ancak 3. taraflardan aldığımız servisler mevcuttur. Bu servisleri kullanmayı kabul ettiğiniz takdirde kullanıma açıyoruz. Aynı zamanda kullanıcılarınızın KVKK sözleşmesini onaylayarak hesaplarına ilk girişlerini yapmalarına izin veriyoruz.


Verinizin Silinmesi


Bize talepte bulunmanız dahilinde verinizi siliyoruz.