EU-native, tenant-izolasyonlu, audit-loglu.
Güvenlik 200. gün ulaşılan bir checkbox değil — 1. gün shippladığınız şemanın kendisi. EU'da barınır, veritabanında satır bazlı izolasyon, Free dahil her katmanda varsayılan açık audit log.
Son güncelleme · 19 Mayıs 2026
Yedi sütun
Platform güvenlik için nasıl kablolanmış
Her sütun bir default — Free ve Kullandıkça için açık. Hiçbiri ücretli upsell değil.
EU-hosted with automatic failover
Tüm production compute, storage ve queue'lar EU sınırı içinde, bölgeler arası otomatik failover ile çalışır. Dokunduğumuz tek AWS hizmeti EU bölgesinde fallback olarak kullanılan managed bir AI modelidir — ve o durumda bile payload network'ümüzden çıkmadan önce pseudonymize edilir.
Satır bazlı Postgres RLS, tenant bazlı ClickHouse prefix
Her Postgres tablosu tenant_id'ye bağlı bir row-level security policy ile korunur. Her ClickHouse tablosu tenant ile prefix'lenir. Paylaşılan cache yok, cross-tenant query yolu yok. Uygulama kodundaki bir bug tenant'lar arası sızdıramaz çünkü veritabanı okumayı reddeder.
Transit'te TLS 1.3, rest'te AES-256
Her endpoint modern cipher suite'leriyle TLS 1.3 terminate eder. Postgres + ClickHouse disk-level şifrelemeli. MinIO objeleri (session replay, sourcemap, export) tenant başına anahtarla şifrelidir. Backup'lar host'tan çıkmadan önce şifrelenir.
Magic link + OAuth + RBAC + scoped API key
Magic link birincil auth yolu — phishlenecek şifre yok. Google ve GitHub OAuth ikincil. Tenant içinde RBAC: Owner / Admin / Editor / Viewer. API key'ler workspace başına scope'lu, anında rotate veya revoke edilebilir. SSO Custom'a dahil; SAML/SCIM opt-in add-on.
Hassas sayfalarda mask veya skip-capture
Checkout, KYC, payment, healthcare ve hassas işaretlediğiniz herhangi bir URL pattern mask modunda yakalanır veya tamamen atlanır. Input değerleri tarayıcıyı asla terk etmez, PII alanları ingest gate'de soyulur. Default paranoyak — opt-in liberal.
Her tier'da, her aksiyonda default-on
Her admin aksiyonu — registry düzenlemeleri, identity merge'leri, policy değişiklikleri, API key rotation'ları, üye davetleri — actor, IP, user-agent ve diff ile birlikte değiştirilemez bir audit log'a düşer. Free için de açık. Retention 7 yıl (yasal gereklilik), tier fark etmez.
Bugün GDPR + KVKK + CCPA, yarın SOC 2 + ISO 27001
Tasarım gereği GDPR, KVKK ve CCPA uyumluyuz — EU residency, tam DSR desteği, sub-processor disclosure, 72 saat içinde breach notification. SOC 2 Type II roadmap'te Faz 2 sonu; ISO 27001 Faz 3 sonu. Public bir trust center ilerlemeyi takip edecek.
Responsible disclosure
Bir güvenlik açığı bulduğunuza inanıyorsanız, yayınlamadan önce lütfen e-posta atın. Güvenlik ekibine şu adresten ulaşın: [email protected]. 90 günlük disclosure penceresi, aynı gün acknowledgment ve fix shipplendiğinde security sayfasında public credit taahhüt ediyoruz. Bu policy'i iyi niyetle takip eden araştırmacıların peşine düşmüyoruz.
İlgili legal sayfalar