Ana içeriğe atla
Rast Software

Bilgi Güvenliği ve Veri Koruma

Yürürlük tarihi: 26 Nisan 2026

Rast Software, müşterilerine sunduğu hizmetlerde 6698 sayılı Kişisel Verilerin Korunması Kanunu ("KVKK") m. 12, Kişisel Verileri Koruma Kurumu'nun Kişisel Veri Güvenliği Rehberi (Teknik ve İdari Tedbirler) ve TS ISO/IEC 27001 standardı çerçevesinde teknik ve idari tedbirler uygular. Bu sayfa, müşterilerimize ve ziyaretçilerimize uyguladığımız güvenlik kontrollerine ilişkin özet bilgi sunar.

1. Aktarım ve Saklamada Şifreleme

  • Tüm istemci-sunucu trafiği TLS 1.2+ üzerinden şifrelenir.
  • Veriler sunucu tarafında AES-256 ile şifrelenmiş olarak saklanır.
  • Kullanıcı şifreleri bcrypt ile karma (hash) edilerek tutulur; düz metin şifre saklanmaz.
  • Şifreleme anahtarları KMS üzerinde, çift kişi erişim ilkesiyle yönetilir.

2. Erişim Kontrolü

  • Rol bazlı erişim kontrolü (RBAC) ve en az yetki ilkesi.
  • Tüm yönetim panellerinde çok faktörlü kimlik doğrulama (MFA) zorunluluğu.
  • Üretim ortamına erişim sıçrama sunucusu (jump host) ve denetim kayıtlarıyla loglanır.
  • Personel ayrılışlarında erişimler aynı iş günü içinde sonlandırılır.

3. Veri Merkezi ve Yerleşim

Müşteri verileri, Türkiye sınırları içinde bulunan ve TS ISO/IEC 27001 sertifikalı veri merkezlerinde tutulur. Yurt dışı aktarım yalnız KVKK m. 9 koşulları sağlandığında ve Kişisel Verileri Koruma Kurulu'nun belirlediği uygun güvenceler altında yapılır.

4. Yedekleme ve Felâketten Kurtarma

  • Veri tabanı için saatlik anlık görüntü (snapshot);
  • Günlük tam yedekleme ve coğrafi çoğaltım;
  • RPO (kayıp toleransı): 1 saat - RTO (kurtarma süresi): 4 saat;
  • Felâketten kurtarma testleri her üç ayda bir yürütülür ve raporlanır.

5. İzleme, Loglama ve Olay Müdahale

  • Sistem ve uygulama logları en az 2 yıl süreyle saklanır (5651 sayılı Kanun ile uyumlu).
  • Anomali tespiti, hata oranı ve tepki süresi izlenmesi 7/24 yürütülür.
  • KVKK m. 12/5 uyarınca veri ihlâli tespiti hâlinde, Kişisel Verileri Koruma Kurulu'na 72 saat içinde, ilgili kişilere ise en kısa sürede bildirim yapılır.

6. Uygulama Güvenliği

  • OWASP Top 10 kapsamındaki güvenlik testleri her sürüm öncesinde yapılır.
  • Bağımsız üçüncü taraflarca yıllık sızma testi (pentest) gerçekleştirilir.
  • Kod tabanına otomatik statik analiz (SAST) ve bağımlılık taraması (SCA) uygulanır.
  • Geliştirici erişimi gözden geçirilebilir kod inceleme ile sınırlıdır.

7. Ödeme ve PCI-DSS

Rast kart verilerini saklamaz, işlemez veya iletmez. Ödeme akışı PCI-DSS sertifikalı ödeme sağlayıcılar (Iyzico, PayTR vb.) üzerinden tokenizasyon yöntemiyle yürütülür.

8. Personel Güvenliği ve Eğitim

  • Tüm personel için işe başlangıçta gizlilik sözleşmesi (NDA) imzalanır.
  • Yıllık KVKK ve bilgi güvenliği farkındalık eğitimi zorunludur.
  • Üçüncü taraf hizmet sağlayıcılarla veri işleyen sıfatıyla yazılı sözleşme akdedilir.

9. Sorumlu Açık Bildirimi (Coordinated Disclosure)

Bir güvenlik açığı tespit ettiğinizi düşünüyorsanız ayrıntıları hq@rastsoftware.com adresine iletin. İlk yanıtı 3 iş günü içinde verir, doğrulama sonrası giderim takvimini sizinle paylaşırız. Kullanıcı verilerine erişmeyen, hizmetin sürekliliğini bozmayan ve bulgularınızı yayımlamadan önce bize makul süre tanıyan iyi niyetli güvenlik araştırmacılarına karşı yasal işlem başlatmamayı taahhüt ederiz.