Veri Güvenliği

AES-256 şifreleme, OTP auth, RBAC, detaylı audit log, KVKK uyumu ve penetrasyon testleri ile banka seviyesinde güvenlik.

FleetSquare'de güvenlik, sonradan eklenen bir özellik değil; mimarinin temel prensibidir. Sürücü verileri, finansal kayıtlar ve API token'ları platform genelinde uçtan uca şifrelenmiş, yetkilendirilmiş ve izlenebilir biçimde yönetilir.

Şifreleme

Her katmanda ayrı bir şifreleme mekanizması çalışır.

  • AES-256-GCM ile IBAN, TC Kimlik No ve API token'ları veritabanında şifreli saklanır
  • Şifreleme anahtarı appsettings veya Azure Key Vault / AWS KMS'de tutulur (asla koda gömülmez)
  • TLS 1.2+ ile tüm API trafiği ve client-server iletişimi korunur
  • Veritabanı bağlantısı TrustServerCertificate=False + encrypted connection ile

Kimlik Doğrulama & Yetkilendirme

Kullanıcı seviyesinde güçlü kontrol, rol seviyesinde ince ayar.

  • OTP ile SMS tabanlı giriş (şifre kullanılmaz, phishing riski yok)
  • JWT Bearer token + refresh token rotation
  • Access token 24 saat, refresh token 30 gün (admin) / 90 gün (mobil)
  • Role-Based Access Control (RBAC): SuperAdmin, Admin, Staff, Editor, Driver
  • 45+ granüler permission ile ekip yetkilerini ihtiyaca göre ayarlayın
  • Session revocation — sızıntı şüphesinde tüm oturumları anlık sonlandırın

Audit & İzlenebilirlik

Kim, ne zaman, hangi kaydı değiştirdi — tam izlenebilirlik.

  • Her önemli tablo için otomatik audit log (INSERT, UPDATE, DELETE)
  • Correlation ID ile tek request'in tüm loglarını takip
  • Uygulama, Fleet API, HTTP request ayrı log tablolarında 180 gün saklama
  • Şüpheli aktivite tespitinde otomatik alarm (e-posta / SMS)

Ödeme Güvenliği

Para hareketleri özellikle dikkatle korunur.

  • Her ödeme talebi için idempotency key — çift ödeme imkânsız
  • State machine ile geri alınamaz ilerleme: created → fleet_locked → bank_processing → succeeded
  • Başarısız transferlerde otomatik reverse (Fleet bakiyeye tam iade, komisyon dahil)
  • UPT tarafında AES şifreli credential saklama + callback HMAC doğrulama

Uyumluluk

  • KVKK uyumlu sürücü onay akışı, aydınlatma metni ve data retention policy
  • Sürücü kendi verisinin silinmesini talep edebilir (GDPR right to be forgotten)
  • Veri minimizasyonu prensibi — sadece operasyon için gerekli alanlar toplanır
  • Hassas verinin 3. parti entegrasyonlara sadece gerektiği kadar iletimi

Altyapı Güvenliği

  • Rate limiting: chatbot, OTP, ödeme endpoint'lerinde per-IP / per-user limit
  • SQL injection koruması: parametrize sorgular (EF Core)
  • XSS koruması: HtmlSanitizer ile CMS içerik temizleme
  • CSRF token tüm form submission'larda
  • Security headers: HSTS, X-Frame-Options, CSP, X-Content-Type-Options
  • Otomatik daily backup (30 gün saklama)

Penetrasyon Testi & Güncelleme

Güvenlik bir kez yapılıp bırakılan iş değil; sürekli devam eden bir disiplin.

  • Her major release öncesi iç penetrasyon testi
  • Bağımsız 3. parti güvenlik firma değerlendirmesi (yıllık)
  • Dependency vulnerability scanning (Dependabot + OWASP check)
  • Güvenlik yamaları 24 saat içinde uygulanır (kritik CVE için)
Güvenlik raporu, uyumluluk dokümanları ve detaylı mimari açıklama talep eden kurumsal müşteriler için özel bilgi paketimiz mevcut. İletişim formundan talep edebilirsiniz.
Son güncelleme: 16 Nisan 2026

Daha fazlasını keşfedin

Filonuz için doğru çözümü birlikte bulalım — 30 dakikalık canlı demo planlayın.

Demo Talep Et