Platform · Güvenlik
Her ekspertiz raporu üretildiği anda kriptografik olarak mühürlenir. Bir byte bile değişse bağımsız doğrulayıcı bunu fark eder. Bu sayfa, o zinciri mümkün kılan mühendislik kararlarını açıklar.
Güvenlik Profili
sec-profile · v2026.04
Dört dikme
Kriptografi, kimlik, veri ve denetim — her biri kendi başına yeterli değil. Dördü birlikte OtoTasdik'in güven modelini oluşturur.
01 · Kriptografi
Ed25519
Rapor her finalize edildiğinde, özel anahtar HSM içinde imzalar.
SHA-256 zincir
r(n).hash = SHA-256(r(n-1).hash ∥ r(n).body). Bir byte değişirse zincir bozulur.
Merkle kök
Günlük Merkle kök, bağımsız takvim sunucusuna zaman damgalıdır.
Yeniden imzalama yok
Revizyon eski imzayı silmez; yeni imzayı zincire ekler.
02 · Kimlik & Erişim
RBAC
Sistem (6) + merkez (3) + teknisyen (2) + bireysel (2) rolü. İzinler derleme sırasında doğrulanır.
Tenant izolasyonu
Her sorgu merkez/şube kapsamında filtrelenir. Çapraz tenant okuma testle engellenir.
Oturum
PASETO v4, 15 dk erişim + 14 gün yenileme. Sunucu tarafında iptal edilebilir.
MFA
Yönetici ve finans rolleri için zorunlu TOTP veya WebAuthn.
03 · Veri Yaşam Döngüsü
Veri yerleşimi
Birincil bölge eu-central-1 (Frankfurt); yedek TR bölgesinde şifrelenmiş.
At rest
AES-256-GCM. Anahtarlar KMS ile sarmalanmış, erotasyon 90 günlük.
In transit
TLS 1.3, HSTS preload, HTTP/2.
Saklama
KVKK kapsamında rol-bazlı saklama süreleri; otomatik silme işleri haftalık çalışır.
04 · Denetim & İzlenebilirlik
Denetim kaydı
Yalnızca ekleme, 10 yıl saklanır. Kim, ne zaman, neyi değiştirdi — tek bir tabloda.
Değişmez kanıt
Her rapor için fotoğraf + VIN + teknisyen + imza + hash → tek kanıt paketi.
Uyarılar
Anormal okuma hacmi, başarısız imzalama ve çapraz tenant girişimleri anlık uyarı tetikler.
Sorumlu açıklama
security.txt + bug bounty · koordineli yayın.
Bir raporun yaşam döngüsü
Teknisyen panele yapılandırılmış form üzerinden bulguları ve fotoğrafları girer. Her alan tipli, her fotoğraf imzalı meta ile birlikte kaydedilir.
Form + fotoğraf hash listesi + meta veriler kanonikleştirilir (JSON Canonical Form, RFC 8785).
Merkez HSM, rapor kanıt paketini Ed25519 ile imzalar. Özel anahtar HSM'den dışarı çıkmaz.
Rapor hash'i önceki rapor hash'iyle SHA-256 ile zincire eklenir; günlük Merkle kök bağımsız takvim sunucusuna damgalanır.
Rapor QR kodu, doğrulama URL'si + rapor kimliği + imza özeti içerir. URL açılırken sunucu imzayı ve zinciri doğrular.
Uyum & denetim
Aydınlatma metni + veri işleme envanteri + otomatik saklama süreleri.
TSE Hizmet Yeterlilik Belgesi uyumlu ekspertiz akışı.
BGYS kapsamı ve kontrolleri yazılı; 2026 Q3 bağımsız denetim.
Kişisel veri yönetim genişletmesi; 27001 ile birlikte denetlenecek.
Uygulama güvenlik kontrolleri düzenli taranır ve raporlanır.
Yıllık bağımsız test; kritik bulgu için 30 günlük yama SLA'sı.
Sorumlu açıklama
Koordineli yayın politikamıza göre bulguyu doğrudan güvenlik ekibimize iletebilirsiniz. 48 saat içinde yanıt, 30 gün içinde yama taahhüdümüzdür.
