Güvenlik

Güvenlik duruşumuz

Bu sayfa bir pazarlama metni değil, bugünkü güvenlik durumumuzun dürüst özetidir. Sadece üründe gerçekten var olan kontrolleri anlatır; sahip olmadığımız hiçbir şeyi iddia etmez.

Şifreleme

  • Aktarımda (TLS). odakora.com, app.odakora.com ve api.odakora.com üzerindeki tüm trafik TLS ile şifrelenir. Uç sunucumuz (Caddy) HTTP isteklerini HTTPS'e yönlendirir ve güvenlik başlıklarını uygular.
  • Saklamada. Veritabanı ve kimlik doğrulama altyapımızı barındıran Supabase, verileri saklama sırasında (at rest) şifreler.

Kiracı izolasyonu

Bir işletmenin verisine yalnızca sahibi erişir. Bunu iki katman birlikte sağlar:

  • Uygulama katmanında sahiplik doğrulaması. Kimlik doğrulaması yapılmış her istek, sunucu tarafında istek sahibinin kullanıcı kimliğine göre filtrelenir; sahiplik denetimi merkezi bir serviste toplanır ve her yazma yolunda çalışır.
  • Veritabanı katmanında Satır Düzeyi Güvenlik (RLS). Supabase Postgres tablolarında RLS politikaları tanımlıdır. Halka açık endeks tablolarında yalnızca okuma politikaları açıktır.

KVKK ve Veri İşleme Sözleşmesi (DPA)

  • Uygulama içinde gerçek bir DPA akışı vardır: sözleşme uygulamada sunulur, kabul kaydı kullanıcı ve tarih damgasıyla saklanır.
  • Otomatik gönderim (otopilot) kabul edilmiş bir DPA olmadan açılamaz; sistem bu durumda isteği reddeder.
  • Endeks tarafındaki kaldırma (opt-out) ve düzeltme süreci Hakkında sayfasında yayımlıdır.

İYS onay kapısı

Ticari elektronik ileti gönderimi İleti Yönetim Sistemi (İYS) onay kapısından geçer. Onayın kaynağı (provenance) kayıtlı olmak zorundadır; onay doğrulanamazsa gönderim yapılmaz. Kapı hata durumunda kapalı tarafa düşer (fail-closed): şüphe varsa gönderim durur.

Denetim kaydı

Sistemin otomatik yaptığı her eylem (örneğin bir mesaj gönderimi) bir eylem kaydı olarak saklanır: ne yapıldı, hangi işletme için, hangi kanaldan ve hangi sonuçla. Bu kayıt yalnızca ekleme amaçlı tasarlandı (uygulama katmanında): uygulama kodu mevcut kayıtları güncellemez veya silmez, yalnızca yeni kayıt ekler. Olan biteni geriye dönük izlemek böylece her zaman mümkündür.

Otopilot varsayılan olarak kapalı

Hiçbir otomatik gönderim kanalı kendiliğinden açılmaz. Her yüzeyin ayrı bir açma anahtarı vardır ve varsayılan değeri kapalıdır. Siz açmadıkça sistem taslakları onay kuyruğuna düşürür, kendi başına göndermez.

Yapay zeka veri akışı

İçerik üretimi ve asistan yanıtları için işletmenizin bağlam verisi (profil bilgisi ve üretilecek konuya dair metin) Google Gemini API'sine iletilir ve üretilen yanıt size gösterilir. Ürünün eski (legacy) içerik katmanındaki bazı akışlar ise aynı kapsamdaki bağlam verisini OpenAI API'sine iletir; bu rotalar bugün hâlâ canlıdır ve bunu gizlemiyoruz. Bu akışların kapsamını burada olduğu gibi açıkça belgeliyoruz. Yapılandırma eksikse sistem veri uydurmaz; dürüstçe "bağlı değil" der.

Alt işleyiciler

Hizmeti sağlarken çalıştığımız hizmet sağlayıcılar:

SağlayıcıNe için
SupabaseVeritabanı ve kimlik doğrulama barındırma
Google GeminiYapay zeka ile içerik üretimi ve asistan yanıtları
OpenAIEski (legacy) içerik katmanında yapay zeka ile metin ve görsel üretimi
MetaWhatsApp ve Instagram mesajlaşma altyapısı
iyzicoTürkiye ödemeleri
Lemon SqueezyTürkiye dışı ödemeler (kayıtlı satıcı)
SentryHata izleme (yalnızca etkinleştirildiğinde)

Güvenlik iletişimi

Bir güvenlik açığı bulduysanız veya veri güvenliğiyle ilgili bir sorunuz varsa: guvenlik@odakora.com. Sorumlu bildirimleri memnuniyetle karşılar, aldığımız her bildirimi inceleriz.

Bu sayfa ürün değiştikçe güncellenir; buradaki her iddia koddaki karşılığıyla sınırlıdır.