Skip to main content

Güvenlik Politikası

Tempory Mail'in güvenlik önlemleri, tehdit koruması ve güvenli hizmet sağlama taahhütleri

Güvenlik Politikası

Son Güncelleme: 28 Temmuz 2025

Yürürlük Tarihi: 28 Temmuz 2025

Tempory Mail olarak, kullanıcılarımızın güvenliğini en üst düzeyde tutmak ve güvenli bir geçici e-posta hizmeti sağlamak için kapsamlı güvenlik önlemleri uyguluyoruz.

Güvenlik Taahhütlerimiz

Temel Güvenlik Prensipleri

  • **Savunma Derinliği**: Çok katmanlı güvenlik mimarisi

  • **Sıfır Güven**: Hiçbir şeye varsayılan olarak güvenmeyen yaklaşım

  • **Proaktif Koruma**: Tehditleri önceden tespit etme

  • **Sürekli İzleme**: 7/24 güvenlik izleme

  • **Hızlı Müdahale**: Anında tehdit müdahalesi

    • Güvenlik Standartları

    ✅ **ISO 27001**: Bilgi güvenliği yönetim sistemi

    ✅ **OWASP Top 10**: Web uygulama güvenlik standartları

    ✅ **NIST Framework**: Siber güvenlik çerçevesi

    ✅ **SOC 2**: Güvenlik, kullanılabilirlik ve gizlilik kontrolleri

    ✅ **PCI DSS**: Ödeme kartı veri güvenliği (reklam ödemeleri için)

    Altyapı Güvenliği

    Sunucu Güvenliği

    #### Fiziksel Güvenlik

  • **Güvenli Veri Merkezleri**: Tier 3+ veri merkezleri

  • **Erişim Kontrolü**: Çok faktörlü kimlik doğrulama

  • **Biyometrik Güvenlik**: Parmak izi ve retina tarama

  • **24/7 Güvenlik**: Sürekli fiziksel güvenlik

    • #### Sistem Güvenliği

  • **Güncel İşletim Sistemi**: En son güvenlik yamaları

  • **Minimal Hizmet**: Sadece gerekli hizmetler çalışır

  • **Güvenlik Duvarları**: Çok katmanlı firewall koruması

  • **Intrusion Detection**: Saldırı tespit sistemleri

    • Ağ Güvenliği

    #### DDoS Koruması

  • **Cloudflare**: Enterprise düzeyde DDoS koruması

  • **Trafik Filtreleme**: Otomatik zararlı trafik filtreleme

  • **Rate Limiting**: Hız sınırlaması ve trafik şekillendirme

  • **Coğrafi Filtreleme**: Risk bölgelerinden trafik engelleme

    • #### Veri Şifreleme

  • **TLS 1.3**: En güncel şifreleme protokolü

  • **Perfect Forward Secrecy**: Oturum anahtarı koruması

  • **HSTS**: Zorlu HTTPS yönlendirmesi

  • **Certificate Pinning**: Sertifika sabitleme

    • Uygulama Güvenliği

    Web Uygulama Koruması

    #### OWASP Top 10 Koruması

    1. **Injection Saldırıları**: SQL, NoSQL, LDAP injection koruması

    2. **Broken Authentication**: Güçlü kimlik doğrulama mekanizmaları

    3. **Sensitive Data Exposure**: Hassas veri şifreleme

    4. **XML External Entities**: XXE saldırı koruması

    5. **Broken Access Control**: Sıkı yetkilendirme kontrolleri

    6. **Security Misconfiguration**: Güvenli yapılandırma yönetimi

    7. **Cross-Site Scripting**: XSS saldırı koruması

    8. **Insecure Deserialization**: Güvenli veri serileştirme

    9. **Known Vulnerabilities**: Güncel güvenlik yamaları

    10. **Insufficient Logging**: Kapsamlı güvenlik günlükleme

    #### Kod Güvenliği

  • **Static Analysis**: Statik kod analizi

  • **Dynamic Testing**: Dinamik güvenlik testleri

  • **Penetration Testing**: Düzenli sızma testleri

  • **Code Review**: Güvenlik odaklı kod incelemesi

    • API Güvenliği

  • **API Gateway**: Güvenli API yönetimi

  • **Rate Limiting**: API çağrı sınırlamaları

  • **Authentication**: API kimlik doğrulama

  • **Input Validation**: Girdi doğrulama ve temizleme

    • Veri Güvenliği

    Veri Koruma

    #### Şifreleme

  • **At Rest**: Dinlenme halinde AES-256 şifreleme

  • **In Transit**: Aktarım sırasında TLS 1.3 şifreleme

  • **In Use**: İşlem sırasında bellek koruması

  • **Key Management**: Güvenli anahtar yönetimi

    • #### Veri Minimizasyonu

  • **Sadece Gerekli Veri**: Minimum veri toplama

  • **Otomatik Silme**: Belirlenen süre sonra otomatik silme

  • **Anonimleştirme**: Kişisel tanımlayıcıların kaldırılması

  • **Pseudonimleştirme**: Veri maskingve sahte tanımlayıcılar

    • Yedekleme Güvenliği

  • **Şifreli Yedekler**: Tüm yedekler AES-256 ile şifreli

  • **Coğrafi Dağılım**: Farklı bölgelerde yedek saklama

  • **Versiyonlama**: Çoklu yedek versiyonları

  • **Test Edilmiş Geri Yükleme**: Düzenli geri yükleme testleri

    • Erişim Güvenliği

    Kimlik Doğrulama

    #### Çok Faktörlü Kimlik Doğrulama (MFA)

  • **TOTP**: Zamana dayalı tek kullanımlık şifreler

  • **Hardware Tokens**: Fiziksel güvenlik anahtarları

  • **Biometric**: Biyometrik doğrulama

  • **SMS Backup**: Yedek SMS doğrulama

    • #### Oturum Yönetimi

  • **Güvenli Oturum**: Güçlü oturum yönetimi

  • **Otomatik Timeout**: Pasif oturum sona erdirme

  • **Concurrent Sessions**: Eşzamanlı oturum sınırlaması

  • **Device Binding**: Cihaz bağlama

    • Yetkilendirme

  • **Principle of Least Privilege**: En az yetki prensibi

  • **Role-Based Access**: Rol tabanlı erişim kontrolü

  • **Just-in-Time Access**: Gerektiğinde erişim

  • **Regular Reviews**: Düzenli yetki gözden geçirme

    • Güvenlik İzleme

    7/24 Monitoring

    #### Security Information and Event Management (SIEM)

  • **Log Aggregation**: Merkezi günlük toplama

  • **Real-time Analysis**: Gerçek zamanlı analiz

  • **Threat Detection**: Otomatik tehdit tespit

  • **Incident Response**: Hızlı olay müdahalesi

    • #### Metrikler

  • **Failed Login Attempts**: Başarısız giriş denemeleri

  • **Unusual Traffic Patterns**: Anormal trafik kalıpları

  • **Data Access Patterns**: Veri erişim kalıpları

  • **System Performance**: Sistem performans metrikleri

    • Tehdit İstihbaratı

  • **Global Threat Intelligence**: Küresel tehdit istihbaratı

  • **Indicator of Compromise**: Tehlike göstergeleri

  • **Threat Hunting**: Proaktif tehdit avcılığı

  • **Vulnerability Scanning**: Düzenli zafiyet taraması

    • Güvenlik Olayları

    Olay Müdahale Planı

    #### Tespit ve Sınıflandırma

    1. **Otomatik Tespit**: SIEM sistemleri ile otomatik tespit

    2. **Manuel Rapor**: Kullanıcı raporları ve manuel tespit

    3. **Sınıflandırma**: Olay ciddiyeti sınıflandırması

    4. **Eskalasyon**: Gerektiğinde üst yönetime eskalasyon

    #### Müdahale Adımları

    1. **İzolasyon**: Etkilenen sistemlerin izolasyonu

    2. **Araştırma**: Olay kök neden analizi

    3. **Temizleme**: Zararlı unsurların temizlenmesi

    4. **Kurtarma**: Sistemlerin güvenli geri yüklenmesi

    5. **Lessons Learned**: Öğrenilen dersler ve iyileştirmeler

    Veri İhlali Müdahalesi

    GDPR ve diğer düzenlemelere uygun olarak:

    #### 72 Saat İçinde

  • **Otoritelere Bildirim**: Denetim otoritelerine bildirme

  • **Impact Assessment**: Etki değerlendirmesi

  • **Containment**: Ihlalin sınırlandırılması

  • **Evidence Preservation**: Kanıt koruma

    • #### Kullanıcı Bildirimi

  • **High Risk Cases**: Yüksek riskli durumlar için bildirim

  • **Clear Communication**: Açık ve net iletişim

  • **Protective Measures**: Koruyucu önlemler önerisi

  • **Contact Information**: İletişim bilgileri sağlama

    • Güvenlik Eğitimi

    Personel Eğitimi

  • **Security Awareness**: Güvenlik farkındalık eğitimi

  • **Phishing Simulation**: Kimlik avı simülasyonları

  • **Secure Coding**: Güvenli kodlama eğitimi

  • **Incident Response**: Olay müdahale eğitimi

    • Sürekli Gelişim

  • **Regular Updates**: Düzenli güvenlik güncellemeleri

  • **Industry Best Practices**: Sektör en iyi uygulamaları

  • **Certification Programs**: Sertifikasyon programları

  • **Knowledge Sharing**: Bilgi paylaşımı oturumları

    • Güvenlik Denetimleri

    İç Denetimler

  • **Quarterly Reviews**: Üç aylık güvenlik incelemeleri

  • **Policy Compliance**: Politika uyumluluk kontrolleri

  • **Access Reviews**: Erişim hakları gözden geçirme

  • **Configuration Audits**: Yapılandırma denetimleri

    • Dış Denetimler

  • **Third-party Assessments**: Üçüncü taraf değerlendirmeleri

  • **Penetration Testing**: Profesyonel sızma testleri

  • **Compliance Audits**: Uyumluluk denetimleri

  • **Vulnerability Assessments**: Zafiyet değerlendirmeleri

    • Kullanıcı Güvenliği

    Güvenlik Önerileri

    #### Güvenli Kullanım

  • **Güncel Tarayıcı**: En son tarayıcı sürümü kullanın

  • **Antivirus**: Güncel antivirus yazılımı kullanın

  • **Güvenli Ağ**: Güvenilir internet bağlantısı kullanın

  • **Şüpheli Bağlantılar**: Şüpheli e-posta bağlantılarına tıklamayın

    • #### Veri Koruması

  • **Hassas Bilgiler**: Hassas bilgileri paylaşmayın

  • **Public Wi-Fi**: Halka açık Wi-Fi'de dikkatli olun

  • **Screen Sharing**: Ekran paylaşımında dikkatli olun

  • **Device Security**: Cihaz güvenliğinizi sağlayın

    • Güvenlik Bildirimi

    Güvenlik açığı tespit ederseniz:

    E-posta: [email protected]

    Konu: "Güvenlik Açığı Bildirimi"

    İçerik: Detaylı teknik açıklama

    Yanıt: 24 saat içinde onay

    Güvenlik Teknolojileri

    Kullandığımız Teknolojiler

  • **WAF**: Web Application Firewall (Cloudflare)

  • **DDoS Protection**: Cloudflare Enterprise

  • **CDN Security**: Güvenli içerik dağıtım ağı

  • **Bot Protection**: Otomatik bot koruması

  • **SSL/TLS**: Let's Encrypt ve Cloudflare sertifikaları

    • Güvenlik Araçları

  • **SIEM**: Security Information and Event Management

  • **IDS/IPS**: Intrusion Detection/Prevention Systems

  • **Vulnerability Scanner**: Zafiyet tarama araçları

  • **Log Analysis**: Günlük analiz araçları

    • Uyumluluk ve Sertifikalar

    Güvenlik Sertifikaları

  • **ISO 27001**: Bilgi güvenliği yönetim sistemi

  • **SOC 2 Type II**: Güvenlik ve kullanılabilirlik kontrolleri

  • **PCI DSS**: Ödeme kartı veri güvenliği

  • **GDPR**: Avrupa veri koruma düzenlemesi

    • Düzenli Değerlendirmeler

  • **Annual Assessments**: Yıllık güvenlik değerlendirmeleri

  • **Compliance Audits**: Uyumluluk denetimleri

  • **Risk Assessments**: Risk değerlendirmeleri

  • **Business Continuity**: İş sürekliliği planları

    • İletişim

    Güvenlik Ekibi

    E-posta: [email protected]

    Konu: "Güvenlik Sorusu"

    Yanıt Süresi: 24 saat içinde

    Dil: Türkçe, İngilizce

    Acil Durum

    E-posta: [email protected]

    Konu: "ACİL GÜVENLİK"

    Yanıt: 2 saat içinde

    7/24 Destek: Kritik güvenlik olayları için

    ---

    Özet

    Güvenlik Katmanları

    🔒 **Fiziksel Güvenlik**: Güvenli veri merkezleri

    🔒 **Ağ Güvenliği**: DDoS koruması ve güvenlik duvarları

    🔒 **Uygulama Güvenliği**: OWASP Top 10 koruması

    🔒 **Veri Güvenliği**: AES-256 şifreleme

    🔒 **Erişim Güvenliği**: Çok faktörlü kimlik doğrulama

    🔒 **İzleme**: 7/24 güvenlik izleme

    Güvenlik Prensipleri

    ✅ **Savunma Derinliği**: Çok katmanlı koruma

    ✅ **Sıfır Güven**: Hiçbir şeye varsayılan güven yok

    ✅ **Proaktif Yaklaşım**: Tehditleri önceden tespit

    ✅ **Sürekli İyileştirme**: Düzenli güvenlik güncellemeleri

    ✅ **Şeffaflık**: Açık güvenlik iletişimi

    Kullanıcı Sorumluluğu

    ⚡ **Güvenli Kullanım**: En iyi güvenlik uygulamalarını takip edin

    ⚡ **Güncel Yazılım**: Tarayıcı ve güvenlik yazılımını güncel tutun

    ⚡ **Dikkatli Davranış**: Şüpheli bağlantılara tıklamayın

    ⚡ **Bildirim**: Güvenlik sorunlarını bildirin

    ---

    Bu güvenlik politikası 28 Temmuz 2025 tarihinden itibaren geçerlidir ve sürekli olarak güncellenmektedir.*