Veri güvenliği, iAvukat'ın pazarlama rozeti değil; ürün varsayılanıdır.
Müvekkil verisiyle uğraşan bir platform için güvenlik; sonradan eklenebilecek bir özellik değildir. Platformumuzu kurarken aldığımız mimari, operasyonel ve politika düzeyindeki kararları burada açıkça paylaşıyoruz.
Dört katmanlı, Avrupa menşeli, tercihen Türkiye bölgesi
Bulut, veritabanı ve AI katmanlarındaki kritik karar noktaları ve tercih gerekçelerimiz.
Cloudflare Edge
WAF, bot koruması, DDoS azaltma, TLS 1.3 sonlandırma ve küresel CDN. Trafik %100 HTTPS.
AWS + Hetzner
Birincil işlem: AWS Frankfurt / İstanbul (eu-central-1 & tr-central-1); yedek: Hetzner (DE). Multi-AZ.
PostgreSQL + pgvector
Günlük yedek + PITR (7 gün); uygulama verileri ve AI embedding'ler ayrı şemalarda.
AI Modelleri (Anthropic, OpenAI, Vertex)
DPA imzalı; eğitim dışı sözleşme; mümkün olan her durumda redaction ve pseudonymisation.
Aldığımız koruma önlemleri
Uçtan uca şifreleme
TLS 1.3 (transit) + AES-256 (at-rest). Anahtarlar AWS KMS / Hetzner HSM üzerinde; 90 günde bir rotasyon.
Tenant izolasyonu
PostgreSQL Row-Level Security ile müvekkil ve avukat verileri kiracı bazında izole. Cross-tenant okuma testleri günlük çalışır.
Audit log
Her kullanıcı ve sistem eylemi imzalı ve değiştirilemez audit log'a yazılır. 13 ay sıcak erişim, 7 yıl soğuk arşiv.
Erişim kontrolü
Rol tabanlı erişim (RBAC), en az ayrıcalık ilkesi, 2FA zorunluluğu (panel), SSO seçeneği (Firma planı).
Güvenlik izleme
Merkezi SIEM, anomali tespiti, saldırı yüzeyi taraması ve 7/24 olay müdahale ekibi rotasyonu.
Yedekleme ve kurtarma
RPO 15 dakika, RTO 2 saat. Yıllık olağanüstü durum tatbikatı; quarterly restore testleri.
Hedeflerimiz ve ölçümlerimiz
Gerçek zamanlı uptime ve olay geçmişi için status.iavukat.com adresini ziyaret edin.
Güvenlik araştırmacılarına açık kapımız var
İyi niyetli güvenlik araştırmacılarını ekosistemimizin değerli bir parçası sayarız. iAvukat sistemlerinde bir zafiyet keşfederseniz, lütfen aşağıdaki esaslara uygun şekilde bildirin; karşılığında size yasal koruma, teşekkür ve ciddi bulgularda maddi ödül sunarız.
Kapsam
- iavukat.com, *.iavukat.com ve iOS/Android uygulamaları
- API uç noktaları (api.iavukat.com)
- Üretimde kullanılan bulut altyapısının iAvukat kontrolündeki kısımları
Kapsam dışı
- Üçüncü taraf SaaS bileşenlerine yönelik saldırılar (onların kendi bounty programlarına yönlendirin)
- Sosyal mühendislik veya fiziksel saldırılar
- Spam ve yazışma bombardımanı türü DoS
Etik kurallar
- Gerçek kullanıcı verisine dokunmayın; test hesapları kullanın.
- Zafiyeti kamuoyuyla paylaşmadan önce 90 günlük düzeltme penceresi tanıyın.
- Hizmet kesintisine yol açabilecek saldırılardan kaçının.
İletişim
Zafiyet bildirimi için [email protected] adresine yazın. PGP anahtarımız: .well-known/pgp-key.asc (Fingerprint: A7F3 14CC 88B1 5C2E 9DA4 EE77 2031 09BD 4FA5 6E10).
Veri nereye girer, nerede durur, nereye gider?
Bir müvekkil notu yüklendiğinde olan şeyin özeti.
Alım
TLS 1.3 ile Cloudflare üzerinden; WAF kontrolleri ve hız sınırlaması uygulanır.
Doğrulama
Şema doğrulaması, boyut limiti ve dosya türü kontrolü; kötücül içerik taraması.
Şifreleme
Uygulama katmanında pseudonymisation; depolamada AES-256.
İşleme
AI çağrıları gerekiyorsa; redacted içerik ilgili modele gönderilir; model çıktısı kaynak atfıyla döner.
Saklama
PostgreSQL; kiracı kimliği zorunlu. 13 ay sıcak, yedekleme 7 gün PITR.
İmha
Kullanıcı silme talebi veya saklama süresi dolduğunda; yedekler dahil döngü sonunda anonimleşir.