Güvenlik

Güvenlik, sonradan eklenen bir özellik değil.

Sağlık ve güzellik sektöründe çalışıyorsunuz. Müşterilerinizin verileri en hassas kategoride. Bu sorumluluğu ciddiye alıyoruz.

Uçtan Uca Şifreleme

Tüm veriler aktarım sırasında TLS 1.3 ile, depolamada AES-256 ile şifrelenir. Veritabanı düzeyinde row-level security (RLS) uygulanır.

Veri Barındırma

Verileriniz Avrupa lokasyonunda, SOC 2 Type II sertifikalı altyapıda barındırılır. Türkiye KVKK gereksinimlerine tam uyum sağlanır.

Erişim Kontrolü

Rol tabanlı izin sistemi (RBAC) ile her kullanıcı yalnızca yetkili olduğu verilere erişir. Tüm erişimler denetim günlüğüne kaydedilir.

Kimlik Doğrulama

Supabase Auth altyapısı ile güvenli oturum yönetimi. OAuth 2.0 (Google, Apple) desteği. Oturum token'ları HttpOnly cookie ile saklanır.

Girdi Doğrulama

Tüm API endpoint'lerinde Zod schema doğrulaması. XSS ve SQL injection'a karşı katmanlı koruma. CSP nonce tabanlı güvenlik header'ları.

Ağ Güvenliği

CDN seviyesinde DDoS koruması. Rate limiting ile API abuse önleme. Güvenlik header'ları (HSTS, X-Frame-Options, CSP) varsayılan olarak aktif.

Uyumluluk ve Sertifikalar

KVKK

KVKK

Kişisel Verilerin Korunması Kanunu'na tam uyum

GDPR

GDPR

Avrupa Birliği Genel Veri Koruma Tüzüğü uyumluluğu

SSL/TLS

SSL/TLS

Tüm bağlantılarda TLS 1.3 şifreleme

SOC 2

SOC 2

Altyapı sağlayıcı SOC 2 Type II sertifikalı

Güvenlik Uygulamalarımız

  • Düzenli güvenlik denetimleri ve penetrasyon testleri
  • Bağımlılık güvenlik taraması (otomatik, sürekli)
  • Çalışan güvenlik farkındalık eğitimleri
  • Olay müdahale planı ve 24 saat bildirim taahhüdü
  • Veri yedekleme: günlük otomatik, 30 gün saklama
  • Veri silme: hesap kapanışında 30 gün içinde kalıcı silme
  • Minimum veri toplama prensibi (data minimization)
  • Üçüncü taraf entegrasyonlarda veri işleme sözleşmeleri (DPA)

Yapay Zeka Güvenliği

Orkelis AI asistanı, klinik operasyonlarınızı desteklemek için tasarlanmıştır. AI'ın güvenli ve kontrollü çalışması için aşağıdaki önlemleri uyguluyoruz:

Risk Derecelendirme

Her AI işlemi düşük, orta veya yüksek risk olarak sınıflandırılır. Yüksek riskli işlemler (ödeme, iptal) otomatik olarak kullanıcı onayı bekler.

Tenant İzolasyonu

AI yalnızca kendi kliniğinizin verilerine erişir. Çapraz tenant veri sızıntısı mimari düzeyde engellenmiştir (RLS + tenant_id zorunluluğu).

Tıbbi Sınırlar

AI asistan tıbbi tavsiye vermez, teşhis koymaz ve tedavi önerisi sunmaz. Operasyonel destek (randevu, stok, hatırlatma) ile sınırlıdır.

Denetim Günlüğü

Tüm AI işlemleri (tool çağrıları, onay/red kararları) zaman damgalı olarak kaydedilir ve klinik yöneticileri tarafından incelenebilir.

Güvenlik Sorusu mu Var?

Güvenlik konusundaki sorularınız ve güvenlik açığı bildirimleri için bize ulaşın.

security@getorkelis.com