§ 04Güvenlik mimarisi

Sermayenizi nasıl koruyoruz.

Son güncelleme: Mayıs 2026 · Okuma: ~7 dakika

Güvenlik ve operasyonel disiplin, üzerine inşa ettiğimiz temellerdir. İşte tam olarak nasıl çalıştığı.

Şifreleme

Tüm müşteri verileri, dönen anahtarlarla AES-256 kullanılarak rest halinde şifrelenir. Aktarımda, tüm istemci uç noktalarında HSTS ve sertifika sabitleme ile birlikte TLS 1.3 kullanırız. Hassas alanlar — kimlik belgeleri ve fon kaynağı belgeleri gibi — ana veritabanından ayrı olarak alan düzeyinde şifrelenir, anahtarlar ayrı bir anahtar yönetim hizmetinde tutulur.

Kimlik doğrulama

İki faktörlü kimlik doğrulama her müşteri hesabı için zorunludur. TOTP uygulamalarını (Google Authenticator, Authy, 1Password) ve WebAuthn aracılığıyla donanım güvenlik anahtarlarını destekliyoruz. Kurtarma, doğrulanmış e-posta artı Operations ekibinden bir üye tarafından manuel kimlik kontrolüyle yapılır — başarılı bir hesap kurtarma saldırısının asimetrisi, kullanıcı deneyimi maliyetinden ağır basar.

Saklama

Müşteri sermayesi, birinci sınıf yargı bölgelerindeki düzenlenmiş prime broker'larda ayrı hesaplarda tutulur. Hesaplar yapısal olarak Immediate Finturqa'nın işletme sermayesinden ayrılmıştır — yani şirket düzeyinde olası bir iflas durumunda bile, müşteri sermayesi sağlam ve kurtarılabilir kalır. Her prime broker bağımsız üçüncü taraflar tarafından denetlenir.

Denetimler ve sertifikalar

SOC 2 Type II. Bağımsız bir üçüncü taraf firma tarafından yıllık olarak denetlenir.
ISO 27001. Bilgi güvenliği yönetim sistemimiz sertifikalıdır.
KVKK. Türkiye'de kişisel verilerin korunması mevzuatına tam uyum, yerel veri ikamet politikası ile.
MASAK. Mali Suçları Araştırma Kurulu'na kayıtlı ve raporlama yapan yükümlü taraf.
Penetrasyon testleri. Yılda iki kez bağımsız bir uzman firma tarafından gerçekleştirilir.

Bug bounty

Güvenlik araştırmacıları ile özel bir bug bounty programı yürütüyoruz. Ödüller düşük şiddetli bulgular için ₺15.000'den, kritik şiddetli bulgular için ₺750.000'e kadar. Programa katılmak isteyen araştırmacılar security@immediatefinturqa.com'a yazabilir.

Olay müdahalesi

Olay müdahale prosedürlerimiz belgelenir ve üç ayda bir prova edilir. KVKK gerekliliklerine uygun olarak, müşteri verilerini etkileyen herhangi bir güvenlik olayını keşfettikten sonra 72 saat içinde açıklama taahhüt ediyoruz ve her önemli olaydan sonra bir post-mortem yayınlıyoruz.

Müşteri tarafı güvenliği

Güçlü, benzersiz parola kullanın — ideal olarak bir parola yöneticisinden 20+ karakter
İki faktörlü kimlik doğrulamayı etkinleştirin — TOTP veya donanım anahtarı
E-posta adresinizi güvenli tutun — hesabınızın geri kazanım kanalıdır
Phishing saldırılarına dikkat edin — biz asla parolanızı veya 2FA kodlarınızı sormayız
Cihazınızı güncel tutun — işletim sistemi ve tarayıcı güvenlik güncellemelerini gecikmeden uygulayın

← Ana sayfa