Güvenlik
Güvenlik duruşumuz
Bu sayfa bir pazarlama metni değil, bugünkü güvenlik durumumuzun dürüst özetidir. Sadece üründe gerçekten var olan kontrolleri anlatır; sahip olmadığımız hiçbir şeyi iddia etmez.
Şifreleme
- Aktarımda (TLS). odakora.com, app.odakora.com ve api.odakora.com üzerindeki tüm trafik TLS ile şifrelenir. Uç sunucumuz (Caddy) HTTP isteklerini HTTPS'e yönlendirir ve güvenlik başlıklarını uygular.
- Saklamada. Veritabanı ve kimlik doğrulama altyapımızı barındıran Supabase, verileri saklama sırasında (at rest) şifreler.
Kiracı izolasyonu
Bir işletmenin verisine yalnızca sahibi erişir. Bunu iki katman birlikte sağlar:
- Uygulama katmanında sahiplik doğrulaması. Kimlik doğrulaması yapılmış her istek, sunucu tarafında istek sahibinin kullanıcı kimliğine göre filtrelenir; sahiplik denetimi merkezi bir serviste toplanır ve her yazma yolunda çalışır.
- Veritabanı katmanında Satır Düzeyi Güvenlik (RLS). Supabase Postgres tablolarında RLS politikaları tanımlıdır. Halka açık endeks tablolarında yalnızca okuma politikaları açıktır.
KVKK ve Veri İşleme Sözleşmesi (DPA)
- Uygulama içinde gerçek bir DPA akışı vardır: sözleşme uygulamada sunulur, kabul kaydı kullanıcı ve tarih damgasıyla saklanır.
- Otomatik gönderim (otopilot) kabul edilmiş bir DPA olmadan açılamaz; sistem bu durumda isteği reddeder.
- Endeks tarafındaki kaldırma (opt-out) ve düzeltme süreci Hakkında sayfasında yayımlıdır.
İYS onay kapısı
Ticari elektronik ileti gönderimi İleti Yönetim Sistemi (İYS) onay kapısından geçer. Onayın kaynağı (provenance) kayıtlı olmak zorundadır; onay doğrulanamazsa gönderim yapılmaz. Kapı hata durumunda kapalı tarafa düşer (fail-closed): şüphe varsa gönderim durur.
Denetim kaydı
Sistemin otomatik yaptığı her eylem (örneğin bir mesaj gönderimi) bir eylem kaydı olarak saklanır: ne yapıldı, hangi işletme için, hangi kanaldan ve hangi sonuçla. Bu kayıt yalnızca ekleme amaçlı tasarlandı (uygulama katmanında): uygulama kodu mevcut kayıtları güncellemez veya silmez, yalnızca yeni kayıt ekler. Olan biteni geriye dönük izlemek böylece her zaman mümkündür.
Otopilot varsayılan olarak kapalı
Hiçbir otomatik gönderim kanalı kendiliğinden açılmaz. Her yüzeyin ayrı bir açma anahtarı vardır ve varsayılan değeri kapalıdır. Siz açmadıkça sistem taslakları onay kuyruğuna düşürür, kendi başına göndermez.
Yapay zeka veri akışı
İçerik üretimi ve asistan yanıtları için işletmenizin bağlam verisi (profil bilgisi ve üretilecek konuya dair metin) Google Gemini API'sine iletilir ve üretilen yanıt size gösterilir. Ürünün eski (legacy) içerik katmanındaki bazı akışlar ise aynı kapsamdaki bağlam verisini OpenAI API'sine iletir; bu rotalar bugün hâlâ canlıdır ve bunu gizlemiyoruz. Bu akışların kapsamını burada olduğu gibi açıkça belgeliyoruz. Yapılandırma eksikse sistem veri uydurmaz; dürüstçe "bağlı değil" der.
Alt işleyiciler
Hizmeti sağlarken çalıştığımız hizmet sağlayıcılar:
| Sağlayıcı | Ne için |
|---|---|
| Supabase | Veritabanı ve kimlik doğrulama barındırma |
| Google Gemini | Yapay zeka ile içerik üretimi ve asistan yanıtları |
| OpenAI | Eski (legacy) içerik katmanında yapay zeka ile metin ve görsel üretimi |
| Meta | WhatsApp ve Instagram mesajlaşma altyapısı |
| iyzico | Türkiye ödemeleri |
| Lemon Squeezy | Türkiye dışı ödemeler (kayıtlı satıcı) |
| Sentry | Hata izleme (yalnızca etkinleştirildiğinde) |
Güvenlik iletişimi
Bir güvenlik açığı bulduysanız veya veri güvenliğiyle ilgili bir sorunuz varsa: guvenlik@odakora.com. Sorumlu bildirimleri memnuniyetle karşılar, aldığımız her bildirimi inceleriz.
Bu sayfa ürün değiştikçe güncellenir; buradaki her iddia koddaki karşılığıyla sınırlıdır.