Conviro'da Güvenlik
Sıfırdan inşa edilmiş kurumsal düzeyde güvenlik. Müşteri verileriniz ve konuşmalarınız her katmanda korunmaktadır.
Şifreleme
Aktarım Sırasında: Tüm veriler TLS 1.2+ ile 256-bit şifreleme kullanılarak şifrelenir. Tüm API uç noktaları, webhook'lar ve widget bağlantıları yalnızca HTTPS'dir. HSTS, alt alan adları dahil 1 yıllık max-age ile uygulanır.
Depolamada: Müşteri verileri, depolama katmanında AES-256 kullanılarak şifrelenir. Veritabanı birimleri tam disk şifreleme kullanır. Yedek dosyalar ayrı anahtarlarla şifrelenir.
Gizli Anahtar Yönetimi: API anahtarları, tokenlar ve kimlik bilgileri ayrı anahtar hiyerarşileriyle şifreli olarak depolanır ve asla günlüğe kaydedilmez veya API yanıtlarında gösterilmez.
Altyapı
Veri Merkezi: Tüm üretim altyapısı, Avrupa Birliği'ndeki (Almanya) ISO 27001 sertifikalı veri merkezlerinde barındırılmaktadır. Sunucular genel internetten erişilebilir değildir.
Ağ İzolasyonu: Veritabanı, önbellek ve mesaj kuyruğu hizmetleri, genel IP adresi olmayan özel ağlarda çalışır. Yalnızca API ve web uygulaması, hız sınırlama ve DDoS korumasına sahip ters proxy arkasında genel uç noktalara sahiptir.
İzleme: Otomatik uyarılarla 7/24 altyapı izleme. Çalışma süresi hedefi: %99,9.
Erişim Kontrolü
Kimlik Doğrulama: bcrypt hash'leme (salt rounds: 12) ile e-posta/şifre veya Google OAuth 2.0. 15 dakikalık süre sonu olan JWT tabanlı erişim tokenları ve kriptografik olarak rastgele yenileme tokenları.
Yetkilendirme: Owner, Admin ve Agent rolleriyle rol tabanlı erişim kontrolü (RBAC). Anahtar başına izin kapsamıyla programatik erişim için API anahtarı kimlik doğrulaması.
Hız Sınırlama: Tüm uç noktalarda IP başına ve hesap başına hız sınırları. Brute force saldırılarını önlemek için kimlik doğrulama uç noktalarında daha katı limitler.
Uyumluluk
GDPR: AB Genel Veri Koruma Yönetmeliği ile tam uyumluluk. Kurumsal müşteriler için Veri İşleme Sözleşmeleri (DPA) mevcuttur. Platform genelinde tasarım yoluyla gizlilik ilkeleri uygulanmaktadır.
Veri İkameti: Tüm müşteri verileri AB içinde depolanır ve işlenir. AI model sağlayıcıları, ABD transferleri için uygun güvencelerle (AB-ABD DPF, Standart Sözleşme Maddeleri) DPA kapsamında konuşma verilerini işler.
Çerez Uyumluluğu: Ayrıntılı kategori kontrolüyle (Zorunlu, Analitik, Pazarlama) GDPR uyumlu çerez onay banner'ı. Onay kayıtları denetim amaçlı saklanır.
Estonya Veri Koruma Kanunu: Yerel Estonya düzenlemelerine uyumludur. Denetim otoritesi: Estonya Veri Koruma Müfettişliği (Andmekaitse Inspektsioon).
Veri Saklama ve Silme
Konuşma Verileri: Çalışma alanı ayarlarınıza göre saklanır (varsayılan: 90 gün). Çalışma alanı başına yapılandırılabilir.
Hesap Silme: Hesabınızı veya bir chatbot'u sildiğinizde, ilişkili tüm veriler aktif veritabanlarından derhal kalıcı olarak silinir. Silinen verileri içeren şifrelenmiş yedekler 30 gün içinde tamamen kaldırılır.
Unutulma Hakkı: GDPR Madde 17 talepleri 30 gün içinde işlenir. İletişim: [email protected].
AI Model Güvenliği
Veri İzolasyonu: Bilgi tabanınız ve konuşma verileriniz asla AI modellerini eğitmek için kullanılmaz. Her çalışma alanının verileri kesinlikle izole edilmiştir.
Sağlayıcı Anlaşmaları: Tüm AI sağlayıcılarıyla (Anthropic, OpenAI, Google) Veri İşleme Sözleşmeleri sürdürüyoruz. Sıfır saklama API anlaşmaları, sağlayıcıların verilerinizi saklamamasını garanti eder.
İçerik Filtreleme: AI çıktıları güvenlik açısından izlenir. Tüm AI etkileşimlerinde prompt enjeksiyon korumaları ve içerik güvenliği filtreleri uygulanır.
Güvenlik Açığı Bildirimi
Conviro'da bir güvenlik açığı bulduğunuza inanıyorsanız, lütfen güvenlik ekibimize sorumlu bir şekilde bildirin. Biz sorunu çözene kadar güvenlik açığını kamuya açıklamayın.
İletişim: [email protected]
Taahhütlerimiz:
- Raporunuzu 24 saat içinde onaylamak.
- 72 saat içinde düzeltme için bir zaman çizelgesi sunmak.
- Sizi gelişmelerden haberdar tutmak.
- İyi niyetli güvenlik araştırmacılarına karşı yasal işlem başlatmamak.