TimeCamp'te Güvenlik

1. Tüm hizmetlerimiz bulut ortamında çalışır. Kendi yönlendiricilerimizi, yük dengeleyicilerimizi, DNS sunucularımızı veya fiziksel sunucularımızı barındırmıyor ya da yönetmiyoruz. Platformumuz, güçlü güvenlik önlemleri sunan Amazon Web Services (AWS) üzerine kurulmuştur.
2. Barındırma: TimeCamp platformu, AWS RDS ve EC2 gibi hizmetleri kullanır. Altyapımız, Terraform şablonları aracılığıyla yönetilir ve tüm değişiklikler, GitHub ve Jenkins üzerinden kontrol edilen bir dağıtım sürecinden geçerek uygulanır. TimeCamp'i kendi altyapınızda çalıştırmak da mümkündür — örneğin AWS'de seçtiğiniz bir bölgede ayrılmış bir sunucuda. Uygulama ekibimiz bu kurulum için tam destek sunar.
3. Ağ Düzeyinde İzleme ve Güvenlik Koruması: Uygulama ile ön yüz bileşenleri arasındaki katman olarak Cloudflare kullanıyoruz. Bu sayede DDoS saldırıları gibi tehditlere karşı etkili koruma sağlıyoruz.
4. Veri Şifreleme:
   
   Aktarım Halindeki Verilerin Şifrelenmesi:
   Altyapımız üzerinden gönderilen veya alınan tüm veriler, sektörün en iyi uygulamalarına uygun şekilde TLS (Transport Layer Security) protokolü ile korunur. SSLLabs üzerinde yayınlanan raporlarımızı inceleyebilirsiniz.
   Depolanan Verilerin Şifrelenmesi:
   Uygulama verileri, AWS RDS veritabanlarında saklanır ve bu veriler sistem tarafından otomatik olarak şifrelenir.
5. İş Sürekliliği ve Felaket Kurtarma: Uygulama verilerinin düzenli olarak yedeklemesini alıyoruz ve bu yedeklerin geri yükleme işlemlerini periyodik olarak test ediyoruz, böylece olası bir felaket durumunda hızlı kurtarma sağlıyoruz. Tüm yedekler şifrelenmiş olarak saklanır. TimeCamp, fiziksel veri merkezlerini doğrudan yönetmez. AWS, bilişim ve depolama hatalarını otomatik olarak yönetir. Sistemimizi etkileyebilecek en düşük düzeydeki felaket senaryosu, bir AWS bölgesinin tamamen kullanılamaz hâle gelmesidir.

UYGULAMA GÜVENLİĞİ

1. İzleme ve Denetim: Haftalık olarak otomatik güvenlik taramaları gerçekleştiriyoruz ve yılda iki kez detaylı güvenlik değerlendirmeleri yapıyoruz. Ayrıca düzenli olarak anlık güvenlik kontrolleri yürütüyor, hataları izliyor ve istisnaları takip ediyoruz. Uygulama içi trafiği izlemek, güvenlik açıklarını ve ihlal girişimlerini tespit etmek ve anlık uyarılar almak için otomatik araçlar kullanıyoruz. Uygulama etkinliklerinin tam denetim geçmişini sağlamak amacıyla log kayıtlarını saklıyoruz.
2. Yazılım Geliştirme Sürecinde Güvenlik: Tüm sistem bağımlılıkları, derleme (build) süreci sırasında otomatik olarak denetlenir. Bu aşamada herhangi bir güvenlik açığı tespit edilirse anında belirlenir. Her geliştirme görevi, sisteme dâhil edilmeden önce güvenlik odaklı bir kod incelemesinden (code review) geçirilir. Bu süreçte OWASP Top 10 ve SANS Top 25 gibi sektör standartları ve en iyi uygulamalar esas alınır.
3. Sorumlu Açık Bildirimi: Güvenlik açıklarını şu adrese bildirebilirsiniz: security@timecamp.com
   Lütfen gönderinizde bir kanıt kavramı (proof of concept) da ekleyin. Size mümkün olan en kısa sürede yanıt vereceğiz. Sorumlu ifşa kurallarına uyulduğu sürece herhangi bir yasal işlem başlatılmayacaktır.
   Kapsam: app.timecamp.com | Hariç tutulanlar: www.timecamp.com

1. Altyapıya Erişim: AWS hesaplarına erişim için iki faktörlü kimlik doğrulama ve VPN kullanımı zorunludur. Altyapıya ve veritabanlarına erişim, yalnızca sınırlı izinlere sahip özel yetkilendirilmiş profiller aracılığıyla sağlanır.
2. Erişim Kontrolü ve Çoklu Kiracılık (Multi-Tenancy): TimeCamp uygulaması, özelleştirilmiş izin sistemine dayalı katı erişim denetimleri içerir. Ürünlerimiz aşağıdaki güvenlik ve izleme uygulamalarına uygun şekilde çalışır:
   • Belgelendirilmiş güvenlik standartları ve prosedürleri
   • Çalışanlar tarafından imzalanmış gizlilik sözleşmeleri
   • Müşteri verilerine erişimi olan personelin geçmiş kontrolü
   • Erişim yalnızca müşteri verileri veya sunucularla doğrudan çalışan personele verilir

1. 🔐 GDPR: TimeCamp, Genel Veri Koruma Tüzüğü'ne (GDPR) tamamen uygundur — buna unutulma hakkı ve veri taşınabilirliği hakkı da dâhildir. GDPR, AB vatandaşlarının kişisel verilerini korur ve bireylere verileri üzerinde daha fazla kontrol imkânı sunar. Uygunluğumuz hakkında daha fazla bilgi almak için bizimle iletişime geçin: security@timecamp.com veya gizlilik bildirimimizi inceleyin.
2. 🔒 ISO27001: TimeCamp, ISOCERT tarafından belgelendirilmiş olup, ISO27001 standardına — bilgi güvenliği alanında uluslararası en saygın standarda — uygundur.