ENA INNOVATION
EnglishTürkçe

ENA Innovation — Yasal Belgeler

Güvenlik Altyapısı

Son Güncelleme: 7 Haziran 2026
İçindekiler

1. Güvenlik Mimarisine Genel Bakış

ENA Innovation, EnaSpace platformunu güvenliği sonradan düşünülen bir unsur olarak değil, temel bir mimari prensip olarak ele alarak tasarlar ve işletir. Güvenlik duruşumuz altyapı, uygulama, kimlik ve operasyonel katmanları kapsamaktadır.

Güvenlik tedbirlerinin hukuki dayanağı. Bu belgede tanımlanan teknik ve idari tedbirler; kişisel verilerin hukuka aykırı işlenmesini ve kişisel verilere hukuka aykırı erişilmesini önlemek ve kişisel verilerin muhafazasını sağlamak amacıyla KVKK Madde 12 kapsamındaki yükümlülükler ile GDPR Madde 32 kapsamındaki uygun teknik ve organizasyonel güvenlik tedbiri gereklilikleri doğrultusunda uygulanmaktadır. Bu tedbirler aynı zamanda Veri İşleme Sözleşmesindeki sözleşmesel güvenlik yükümlülüklerini de karşılamaktadır.

Bu sayfa güvenlik uygulamalarımızı ve bir güvenlik endişesini nasıl bildireceğinizi özetlemektedir. Kurumsal müşterilere yönelik sözleşmesel güvenlik taahhütleri için portal.enaspace.com üzerindeki Veri İşleme Sözleşmemize (DPA) başvurunuz.

2. İletim Güvenliği

Her Yerde TLS 1.3. Tarayıcınız, mobil uygulamanız veya API istemciniz ile EnaSpace sunucuları arasındaki tüm bağlantılar TLS 1.3 kullanılarak şifrelenmektedir. Eski protokol sürümleri (TLS 1.0, 1.1) ve zayıf şifreleme süitleri açıkça devre dışı bırakılmıştır.

HSTS. Tüm alan adlarında HTTP Strict Transport Security başlıkları uygulanmakta; tarayıcılara yalnızca HTTPS kullanmaları talimatı verilmekte ve protokol düşürme saldırıları önlenmektedir.

Sertifika Sabitleme (Certificate Pinning). Uygulanabilir durumlarda mobil ve istemci uygulamalarımız, ortadaki adam saldırılarını önlemek amacıyla sertifika sabitleme tekniğini kullanır.

3. Altyapı Güvenliği

Barındırma. EnaSpace platformu, Türkiye Cumhuriyeti'nde veri ikameti sağlayan Huawei Cloud TR-West-1 (İstanbul) Bölgesinde barındırılmaktadır.

Konteyner Orkestrasyonu. İş yükleri, yüksek kullanılabilirlikli, kurumsal düzeyde konteyner orkestrasyon kümelerinde çalışmaktadır. Her hizmet, ağ politikaları ve servis ağı kontrolleriyle zorunlu kılınan katı servisler arası iletişim politikalarına sahip izole ad alanlarında çalışır.

Bekleyen Veri Şifreleme. Veritabanı sistemlerimizde saklanan tüm veriler AES-256 şifreleme ile korunmaktadır. Nesne depolama alanındaki dosyalar (yüklenen dosyalar, medya, dışa aktarmalar) yönetilen şifreleme anahtarlarıyla AES-256 kullanılarak depolama katmanında şifrelenmektedir.

Altyapı Sağlamlaştırma.

  • Düğümler ve konteynerler, saldırı yüzeyini azaltan minimalist işletim sistemi görüntüleriyle çalışmaktadır.
  • Ağ güvenlik grupları, yalnızca yetkili bağlantı noktalarına gelen trafiği kısıtlamaktadır.
  • Tüm altyapı değişiklikleri sürüm kontrollüdür ve zorunlu inceleme aşamalarına sahip GitOps süreçleriyle uygulanmaktadır.

Yedekleme ve Kurtarma.

  • Tüm üretim veritabanları ve nesne depolaması için bütünlük doğrulamalı otomatik günlük yedeklemeler sürdürülmektedir.
  • RPO (Kurtarma Noktası Hedefi): ≤ 24 saat — veri kaybı yaşanması halinde önceki 24 saat içindeki bir duruma geri yüklenebiliriz.
  • RTO (Kurtarma Süresi Hedefi): Kritik sistemler için ≤ 4 saat — onaylı sistem arızası olayından itibaren 4 saat içinde tam hizmet kullanılabilirliğini geri kazandırmayı hedefliyoruz.
  • Yedek kopyalar, aynı yargı bölgesi (Türkiye) içindeki coğrafi açıdan ayrı depolama birimlerinde tutulmaktadır.

4. Erişim Kontrolü ve Kimlik Yönetimi

EnaGate — Kendi Barındırılan (Self-Hosted) Kimlik Altyapısı. EnaSpace ekosistemi; tüm ürünler genelinde merkezi kimlik doğrulama ve yetkilendirme için EnaGate (enagate.com)'i kullanmaktadır. EnaGate, kurumsal düzeyde kimlik ve erişim yönetimi platformu üzerinde çalışmakta olup tamamen ENA Innovation'ın kendi altyapısında TR-West-1 bölgesinde konuşlandırılmakta ve işletilmektedir. Herhangi bir üçüncü taraf bulut kimlik sağlayıcısının EnaSpace kullanıcı kimlik verilerine erişimi bulunmamaktadır. Bu kendi barındırma yaklaşımı sayesinde kimlik doğrulama olayları, kullanıcı kimlik bilgileri ve oturum verileri hiçbir zaman ENA Innovation'ın kontrollü ortamı dışına çıkmamaktadır.

Çok Faktörlü Kimlik Doğrulama. MFA, yönetici hesapları için güçle önerilmekte ve Kiracı yöneticileri tarafından zorunlu hale getirilebilmektedir. ENA Innovation, üretim sistemlerine tüm dahili erişimler için MFA'yı zorunlu kılmaktadır.

Rol Tabanlı Erişim Kontrolü (RBAC). Platform kaynaklarına erişim, ayrıntılı rol atamalarıyla kontrol edilmektedir. Kullanıcılar yalnızca işlevleri için gerekli izinleri almaktadır (en az ayrıcalık ilkesi).

Dahili Erişim Kontrolleri.

  • ENA Innovation personelinin üretim sistemlerine erişimi bireysel kimlik doğrulama ve MFA gerektirir.
  • Veritabanı ve altyapı erişimi günlüklenmekte ve incelenmektedir.
  • Üretim verilerine kalıcı erişim verilmemektedir; erişim süre sınırlıdır ve değişiklik yönetimi süreci aracılığıyla onaylanmaktadır.

5. Kiracı Yalıtımı

Mantıksal Yalıtım. Her Kiracı'nın verileri, veritabanı düzeyindeki satır güvenliği politikaları aracılığıyla diğer tüm Kiracılardan mantıksal olarak yalıtılmıştır. Uygulama katmanındaki bir hata, bir Kiracı'nın verilerini istemeden başka birine ifşa edemez.

Kriptografik Ad Alanı Bağlama. Kiracı tanımlayıcıları erişim token'larına kriptografik olarak bağlıdır; bu da token'ların Kiracılar arasında yeniden kullanılmasını önler.

API Düzeyinde Zorunluluk. Tüm API uç noktaları, her istekte Kiracı bağlamını doğrulamaktadır. Yetkilendirme, yalnızca rota düzeyinde değil, veri erişim katmanında da zorunlu kılınmaktadır.

Entegrasyon Kimlik Bilgisi Koruması. Kiracı tarafından yapılandırılan entegrasyon gizli anahtarları — BYO SMS sağlayıcı API anahtarları ve webhook imza gizli anahtarları dahil — platform ana şifreleme anahtarından HKDF ile türetilen anahtarlarla AES-256-GCM zarf şifrelemesi kullanılarak saklanır. Gizli değerler yönetim API'si aracılığıyla asla düz metin olarak açığa çıkarılmaz. Giden webhook ve BYO SMS istekleri yalnızca HTTPS kullanır; SSRF korumaları giden istekleri kamuya açık uç noktalarla sınırlar. Webhook olay yükleri HMAC-SHA256 ile imzalanır.

6. İzleme ve Olay Müdahalesi

7/24 İzleme. ENA Innovation, platform sağlığı, kimlik doğrulama olayları ve alışılmadık erişim kalıplarını otomatik uyarı sistemiyle sürekli izlemektedir.

İzinsiz Giriş Tespiti. Davranışsal anomali tespiti, kimlik bilgisi doldurma saldırıları, toplu API erişimi ve yanal hareket gibi alışılmadık kalıpları tanımlar.

Olay Müdahalesi. Onaylanmış bir güvenlik olayı durumunda olay müdahale prosedürümüz şunları içermektedir:

  1. Anlık kapsam tespiti ve sınırlama.
  2. Onaylanan etkiden itibaren 72 saat içinde etkilenen Kiracılara bildirim.
  3. Etkilenen kurumsal müşterilere olay sonrası rapor sunulması.
  4. Gerekli yerlerde düzenleyici kurumlara bildirim.

Durum Sayfası. Gerçek zamanlı platform durumu ve olay güncellemeleri status.enagate.com adresinde yayınlanmaktadır.

7. Sertifikasyon ve Uyum

Huawei Cloud Altyapı Sertifikasyonu. EnaSpace, veri merkezi operasyonları için ISO/IEC 27001:2013 sertifikasına sahip Huawei Cloud altyapısında barındırılmaktadır. Bu sertifikasyon fiziksel erişim kontrolleri, çevre kontrolleri ve veri merkezi düzeyindeki operasyonel prosedürleri kapsamaktadır.

ENA Innovation'ın sertifikasyon durumu. ENA Innovation, organizasyon düzeyinde henüz bağımsız ISO 27001 veya SOC 2 sertifikası almamıştır; ancak bu sertifikasyona yönelik aktif çalışmalar sürmektedir. Bu süreçte güvenlik kontrollerimiz ISO 27001 Ek A kontrol hedefleriyle uyumlu olarak tasarlanmakta; bu belgede ve DPA Ek II'de açıklanmaktadır.

Sızma Testi. ENA Innovation, platform üzerinde periyodik güvenlik incelemeleri ve sızma testleri gerçekleştirmektedir. Testler en az yılda bir kez nitelikli dahili veya üçüncü taraf güvenlik uzmanları tarafından yapılmakta; kritik açıklar kamuoyuyla paylaşılmadan önce öncelikli olarak giderilmektedir. Özet bulgular, NDA kapsamında kurumsal müşterilere talep üzerine sunulabilir.

Mevzuata uyum. Güvenlik uygulamalarımız; KVKK Madde 12, GDPR Madde 32 ve Kişisel Verileri Koruma Kurumu tarafından yayımlanan güvenlik rehberlerinin gerekliliklerini karşılayacak şekilde tasarlanmıştır.

8. Sizin Sorumluluklarınız

Güvenlik paylaşılan sorumluluk modeline dayanmaktadır. ENA Innovation, altta yatan platformu, altyapıyı ve varsayılan yapılandırmaları güvence altına alır. Kiracı veya Son Kullanıcı olarak şunlardan sorumlusunuzdur:

  • EnaGate kimlik bilgilerinizi korumak. Benzersiz, güçlü bir parola kullanın ve hesabınızda MFA'yı etkinleştirin.
  • Kullanıcı erişimini yönetmek. Minimum gerekli ayrıcalıklarla roller atayın. Ayrılan kullanıcıların erişimini derhal iptal edin.
  • Yazılımları güncel tutmak. EnaSpace'e erişmek için kullandığınız tarayıcıların ve cihazların desteklenen ve güncel yazılım çalıştırdığından emin olun.
  • Anomalileri bildirmek. Hesabınızda alışılmadık bir aktivite fark ederseniz derhal bildirin.
  • Entegrasyonlarınızı güvenceye almak. EnaSpace API'lerini, giden webhook'ları veya BYO SMS gateway'lerini kullanıyorsanız imza gizli anahtarlarını ve sağlayıcı kimlik bilgilerini koruyun, kontrolünüzdeki HTTPS uç noktalarını kullanın, alınan olayları işlemeden önce webhook imzalarını doğrulayın ve erişimi olan ekip üyeleri ayrıldığında kimlik bilgilerini yenileyin.

9. Sorumlu Açıklama (Responsible Disclosure)

Potansiyel güvenlik açıklarını sorumlu biçimde bildiren güvenlik araştırmacılarını ve kullanıcıları memnuniyetle karşılıyoruz. ENA Innovation, koordineli bir açıklama sürecini benimsemektedir:

Nasıl bildirirsiniz:

Bulgularınızı [email protected] adresine "Güvenlik Açığı Bildirimi" konu satırıyla gönderin. Lütfen şunları ekleyin:

  • Açığın net bir açıklaması.
  • Sorunu yeniden oluşturma adımları.
  • Potansiyel etki değerlendirmesi.
  • Kavram kanıtı (ekran görüntüleri, istek/yanıt örnekleri).

Taahhütlerimiz:

  • 2 iş günü içinde alındı bildirimi yapacağız.
  • 14 iş günü içinde soruşturma ve güncelleme sağlayacağız.
  • Bu açıklama sürecine uygun davranan iyi niyetli araştırmacılara karşı hukuki işlem başlatmayacağız.
  • Geçerli bir açık giderildiğinde araştırmacıyı (onayları dahilinde) kredi vererek tanıyacağız.

Kapsam dışı: ENA Innovation çalışanlarını hedef alan sosyal mühendislik ve phishing, sahip olmadığınız kullanıcı hesaplarına yönelik saldırılar, fiziksel saldırılar.

10. İletişim

Güvenlik sorularınız veya açık bildirimleri için:

ENA Innovation Sağlık ve Yazılım Teknolojileri San. Tic. A.Ş.

  • E-posta: [email protected] — Konu: "Güvenlik Açığı Bildirimi"
  • MERSİS: 0334130943400001