Ana içeriğe atla
Önemli Not: Veri SorumluluğuApinizer, Apinizer Manager kullanıcıları hariç kişisel veri tutmaz. Platform, API trafiğini tutmak için altyapı sağlar ve bu veri üzerinde maskeleme, şifreleme ve silme işlemleri yapılabilir. Ancak API trafiğinde bulunan kişisel verilerin korunması, saklanması ve silinmesi konusundaki sorumluluk Apinizer kullanan kurumdadır. Kurumlar, kendi veri koruma politikalarına ve yasal gereksinimlerine uygun olarak veri retention ve silme politikalarını yapılandırmalıdır.

Apinizer ve Veri Yönetimi

Apinizer’ın Veri Tutma Yaklaşımı

Apinizer Manager Kullanıcıları

Apinizer Manager kullanıcı bilgileri
  • Platform yönetimi için gerekli kullanıcı bilgileri
  • Kimlik doğrulama ve yetkilendirme bilgileri
  • Kullanıcı rol ve izin bilgileri

API Trafik Verileri

API trafiği için altyapı sağlama
  • API trafiğini tutmak için altyapı sağlanır
  • Veri üzerinde maskeleme, şifreleme, silme işlemleri yapılabilir
  • Veri retention ve silme politikaları yapılandırılabilir
Apinizer, Apinizer Manager kullanıcıları hariç kişisel veri tutmaz. Platform, API trafiğini tutmak için altyapı sağlar ve bu veri üzerinde maskeleme, şifreleme ve silme işlemleri yapılabilir. API trafiğinde bulunan kişisel verilerin korunması, saklanması ve silinmesi konusundaki sorumluluk Apinizer kullanan kurumdadır.

Veri Koruma Özellikleri

Veri Maskeleme ve Gizlilik

Apinizer, API trafiğindeki hassas verilerin korunması için kapsamlı veri maskeleme ve gizlilik özellikleri sağlar:
API trafiğindeki hassas verilerin korunması için:
  • Veri Maskeleme: Hassas alanların maskeleme (örneğin, kredi kartı numaralarının son 4 hanesi hariç gizlenmesi)
  • Hashleme: Tek yönlü hashleme ile veri koruma (geri dönüştürülemez bir değer oluşturma)
  • Salt Kullanımı: Hashleme için salt değeri (hash güvenliğini artırmak için rastgele veri ekleme)
  • Alan Bazlı İşlemler: Element adı ve işlem tanımları (belirli JSON/XML alanlarına özel kurallar uygulama)
Taranan Alanlar:
  • İstemciden gelen mesajın başlık, sorgu parametresi ve gövdesi
  • Backend’e giden mesajın başlık, sorgu parametresi ve gövdesi
  • Backend’den dönen mesajın başlık ve gövdesi
  • İstemciye dönen mesajın başlık ve gövdesi
Detaylı bilgi için API Proxy Trafik Gizlilik Ayarları sayfasına bakın.
Kişisel bilgilerin korunması için:
  • Otomatik Tespit: Kişisel bilgilerin otomatik tespiti (ad, soyad, e-posta, telefon numarası vb.)
  • PII Maskeleme Politikaları: Kişisel bilgi maskeleme kuralları (tespit edilen PII verilerine otomatik maskeleme uygulama)
  • Veri Minimizasyonu: Sadece gerekli verilerin toplanması (amaçla sınırlı veri toplama ilkesi)
  • Hassas Veri Filtreleme: Hassas verilerin filtrelenmesi (belirli PII türlerini trafikten filtreleme veya engelleme)
Veri güvenliği için şifreleme özellikleri:
  • Encryption at Rest: Veritabanında şifreleme (depolanan verilerin şifrelenmesi)
  • Encryption in Transit: Aktarım sırasında şifreleme (TLS/SSL ile iletişim güvenliği)
  • Field-level Encryption: Alan bazlı şifreleme (belirli hassas alanların şifrelenmesi)
  • Key Management: Şifreleme anahtarı yönetimi (anahtarların güvenli bir şekilde oluşturulması, saklanması ve yönetilmesi)

Hashleme ve Salt

API Proxy Trafik Gizlilik Ayarları’nda hashleme yöntemi kullanıldığında:

Hashleme Özellikleri

  • Tek yönlü hashleme (verinin geri döndürülemez bir özete dönüştürülmesi)
  • Geri dönüştürülemez (hashlenmiş veriden orijinal veriye ulaşılamaz)
  • Salt ile güvenlik artırımı (aynı verinin farklı hash değerleri üretmesini sağlar)
  • Güvenli veri saklama

Salt Kullanımı

  • Apinizer tarafından otomatik salt oluşturma (her hash işlemi için benzersiz bir salt değeri üretilir)
  • Gizli saklama (salt değerleri güvenli bir şekilde saklanır)
  • Hashli veri doğrulama (hashlenmiş verinin doğruluğunu kontrol etmek için kullanılır)
  • Güvenlik artırımı
Salt Nedir?Hashleme yöntemi seçildiğinde verinin bir algoritma ile geri dönüşmeyecek şekilde hashlenerek tutulması sağlanır. Salt ile normalde hash algoritması seçilerek oluşacak olan çıktının farklı oluşması sağlanarak hashlenen değerin kıyaslama yapılarak bulunabilmesinin önüne geçilir. Bu, özellikle aynı şifreye sahip kullanıcıların farklı hash değerlerine sahip olmasını sağlayarak “rainbow table” saldırılarına karşı koruma sağlar.

Denetim ve Loglama (Audit & Logging)

Denetim Kayıtları

Apinizer, uyumluluk gereksinimleri için kapsamlı denetim kayıtları sağlar:

Token İstekleri

  • Authentication modülünden alınan token istekleri (kimlik doğrulama denemeleri ve sonuçları)
  • Token alma istek verileri (istek zamanı, istemci bilgileri)
  • Ortam ve tarih filtreleme (belirli ortam ve zaman aralığına göre kayıtları filtreleme)
  • Kullanıcı ve API Proxy bazlı filtreleme (belirli kullanıcı veya API Proxy’ye ait kayıtları görüntüleme)

Giriş Kayıtları

  • Yönetim konsoluna giriş işlemleri (yönetim arayüzüne yapılan tüm giriş denemeleri)
  • Kullanıcı giriş kayıtları (hangi kullanıcının ne zaman giriş yaptığı)
  • IP adresi takibi (giriş yapılan IP adreslerinin kaydedilmesi)
  • Giriş durumu (başarılı/başarısız giriş denemelerinin kaydedilmesi)

Denetim Kayıtları

  • Sistem üzerinde yapılan değişiklikler (konfigürasyon, politika, kullanıcı değişiklikleri)
  • Konfigürasyon değişiklikleri (API Proxy, ortam, bağlantı ayarlarındaki değişiklikler)
  • Kullanıcı işlemleri (kullanıcı oluşturma, düzenleme, silme gibi yönetimsel işlemler)
  • İşlem zaman damgaları (her işlemin ne zaman yapıldığının kaydedilmesi)

Test Konsol Denetim Kayıtları

  • Test konsoldan yapılan testler (API’lerin test konsolu üzerinden yapılan çağrıları)
  • Test kayıtları (test edilen API, istek ve yanıt detayları)
  • Test sonuçları (başarılı/başarısız test sonuçları)
  • Test kullanıcı bilgileri (hangi kullanıcının hangi testleri yaptığını takip etme)

Uygulama Logları

Uygulama kayıtları, worker, manager ve cache uygulamalarının loglarını içerir:
  • Başlangıç ve Bitiş Tarihi: Log kayıtlarının zaman aralığı
  • Mesaj İçeriği: Log mesajının detaylı içeriği
  • Logger Adı: Log kaydını oluşturan logger adı
  • Log Tipi: Log seviyesi ve tipi (ERROR, WARN, INFO, DEBUG, TRACE)
  • Filtreleme Parametreleri: Gelişmiş filtreleme seçenekleri
Log seviyeleri sınıf/paket bazlı ayarlanabilir ve aşağıdaki tipleri içerir:
  • Error: Uygulama hataları ve kritik sorunlar
  • Warn: Potansiyel sorunlar veya beklenmedik durumlar
  • Info: Uygulamanın genel akışı ve önemli olaylar
  • Debug: Geliştirme ve hata ayıklama için detaylı bilgiler
  • Trace: En düşük seviyede, çok detaylı izleme bilgileri
  • Off: Loglama kapalı (hiçbir log kaydı tutulmaz)
Log seviyeleri sınıf/paket bazlı ayarlanabilir. Bu sayede farklı bileşenler için farklı log seviyeleri tanımlanabilir.
  • Uygulama Logları: 60 dakika tutulma süresi (varsayılan olarak)
  • Otomatik Log Temizleme: Belirlenen süre sonunda eski logların otomatik silinmesi
  • Log Rotation: Log dosyalarının boyut veya zamana göre döndürülmesi
  • Yapılandırılabilir Saklama Politikaları: Log saklama sürelerinin özelleştirilmesi

Log Yönetimi

Log Seviyesi Yönetimi

  • Sınıf/paket bazlı log seviyesi ayarlama (belirli bileşenler için log seviyesini değiştirme)
  • Manager, Gateway Engine, Cache log seviyeleri (her bir bileşenin log seviyesini ayrı ayrı yönetme)
  • Toplu güncelleme desteği (birden fazla bileşenin log seviyesini aynı anda güncelleme)
  • Dinamik log seviyesi değiştirme (sistem çalışırken log seviyesini değiştirme)

Log Filtreleme

  • Tarih aralığı filtreleme (belirli bir zaman dilimindeki logları görüntüleme)
  • Log tipi filtreleme (sadece ERROR veya WARN gibi belirli tiplerdeki logları gösterme)
  • Mesaj içeriği filtreleme (log mesajı içinde anahtar kelime arama)
  • Logger adı filtreleme (belirli bir logger’a ait logları görüntüleme)

Veri Saklama ve Retention

Veri Retention Yöntemleri

Apinizer, veri retention’ları için farklı tutma ve silme yöntemleri sağlar:
  • Elasticsearch ILM: Index Lifecycle Management ile otomatik retention (hot, warm, cold, delete aşamaları)
  • Yapılandırılabilir Saklama Süreleri: Farklı log türleri için farklı saklama süreleri (örneğin, hata logları daha uzun saklanabilir)
  • Otomatik Silme: Belirlenen süre sonunda otomatik silme (ILM politikaları ile)
  • Manuel Silme: Kullanıcı tarafından manuel silme işlemleri (belirli tarih aralığındaki logları silme)
  • Index Rollover: Index boyutu veya zamanına göre otomatik rollover
  • Sabit Saklama Süresi: 60 dakika tutulma süresi (varsayılan)
  • Otomatik Temizleme: Belirlenen süre sonunda otomatik temizleme
  • Log Rotation: Log dosyalarının boyut veya zamana göre döndürülmesi
  • Yapılandırılabilir Saklama: İhtiyaca göre saklama süresinin ayarlanması
  • Yapılandırılabilir Saklama: Denetim logları için yapılandırılabilir saklama (uyumluluk gereksinimlerine göre)
  • Otomatik Silme: Belirlenen süre sonunda otomatik silme
  • Manuel Silme: Kullanıcı tarafından manuel silme
  • Uzun Vadeli Saklama: Yasal gereksinimler için uzun vadeli saklama desteği
  • Esnek Politikalar: Farklı veri türleri için farklı saklama politikaları (API trafiği, denetim, uygulama logları)
  • Zaman Bazlı Silme: Belirlenen tarih/süre sonunda otomatik silme
  • Manuel Silme: Kullanıcı tarafından manuel silme işlemleri
  • GDPR “Unutulma Hakkı” Desteği: Veri silme mekanizması (kişisel verilerin talep üzerine silinmesi)
Veri SorumluluğuAPI trafiğinde bulunan kişisel verilerin korunması, saklanması ve silinmesi konusundaki sorumluluk Apinizer kullanan kurumdadır. Kurumlar, kendi veri koruma politikalarına ve yasal gereksinimlerine uygun olarak veri retention ve silme politikalarını yapılandırmalıdır.

Güvenlik Kontrolleri

Erişim Kontrolü

Kimlik Doğrulama

  • OAuth2 / OIDC: Standart kimlik doğrulama protokolleri (endüstri standardı kimlik doğrulama)
  • JWT Token’ları: JSON Web Token desteği (güvenli ve doğrulanabilir token kullanımı)
  • Multi-factor Authentication: Çok faktörlü kimlik doğrulama desteği
  • Session Yönetimi: Güvenli oturum yönetimi (kullanıcı oturumlarının güvenli bir şekilde yönetilmesi)

Yetkilendirme

  • Role-based Access Control (RBAC): Rol bazlı erişim kontrolü (rol tabanlı erişim kontrolü)
  • API Proxy Bazlı Erişim Kontrolü: API Proxy seviyesinde kontrol (belirli API Proxy’lere erişim yetkileri)
  • Endpoint Bazlı Erişim Kontrolü: Endpoint seviyesinde kontrol (API Proxy içindeki belirli endpoint’lere erişim yetkileri)
  • ACL (Access Control List) Yönetimi: Erişim kontrol listesi yönetimi (detaylı erişim kontrol listeleri)

IP Kontrolü

  • IP Whitelist/Blacklist: IP adresi bazlı erişim kontrolü (belirli IP adreslerinden gelen isteklere izin verme/engelleme)
  • X-Forwarded-For Desteği: Proxy arkasındaki gerçek IP tespiti (proxy arkasındaki gerçek istemci IP adresini tespit etme)
  • Gerçek IP Tespiti: Gerçek istemci IP adresi belirleme (istemcinin gerçek IP adresini güvenli bir şekilde belirleme)

Audit Logging

  • Tüm Erişim Kayıtları: Erişim loglarının tutulması (API çağrıları, yönetimsel erişimler)
  • Değişiklik Kayıtları: Konfigürasyon değişikliklerinin kaydı (sistemdeki tüm konfigürasyon değişiklikleri)
  • İşlem Kayıtları: Tüm işlemlerin denetim kaydı (kullanıcıların gerçekleştirdiği önemli işlemler)
  • Detaylı İzlenebilirlik: Kimin, ne zaman, ne yaptığını takip etme

Veri Güvenliği

  • TLS/SSL Encryption (in Transit): Aktarım sırasında şifreleme (iletişim sırasında verilerin şifrelenmesi)
  • Database Encryption (at Rest): Veritabanında şifreleme (depolanan verilerin şifrelenmesi)
  • Field-level Encryption: Alan bazlı şifreleme (hassas alanların özel olarak şifrelenmesi)
  • Certificate Management: Sertifika yönetimi (SSL/TLS sertifikalarının yönetimi)
  • Message Integrity: Mesaj bütünlüğü kontrolü (mesajların değiştirilmediğinin doğrulanması)
  • Digital Signatures: Dijital imza desteği (dijital imzalarla verinin değiştirilmediğini garanti etme)
  • Hash Verification: Hash doğrulama (verinin hash değerinin doğrulanması)
  • Anomali Tespiti: Anormal davranış tespiti (beklenmedik veya şüpheli davranışların otomatik olarak tespiti)
  • Güvenlik Olayları: Güvenlik olaylarının izlenmesi (sistemdeki güvenlik ihlallerinin veya zorlukların takibi)
  • Intrusion Detection: Saldırı tespiti (sistem saldırılarının tespiti ve uyarılması)
  • Security Monitoring: Güvenlik izleme (sürekli güvenlik izleme ve raporlama)

Uyumluluk Standartları ve Apinizer Desteği

GDPR Uyumluluğu

GDPR Gereksinimleri ve Apinizer Desteği

GDPR (General Data Protection Regulation), Avrupa Birliği’nin kişisel verilerin korunması ve işlenmesi için kapsamlı kurallar içeren düzenlemesidir. Apinizer, GDPR gereksinimlerini karşılamak için aşağıdaki özellikleri sağlar:
GDPR Gereksinimi: Sadece gerekli verilerin toplanması ve işlenmesi.Apinizer Desteği:
  • API Proxy Trafik Gizlilik Ayarları: Hassas verilerin maskeleme veya hashleme ile korunması
  • Veri Filtreleme: Belirli alanların loglardan çıkarılması
  • Yapılandırılabilir Loglama: Sadece gerekli verilerin loglanması için yapılandırma
  • PII Tespiti: Kişisel bilgilerin otomatik tespiti ve korunması
Nasıl Kullanılır: API Proxy Trafik Gizlilik Ayarları’nda hassas alanları tanımlayarak bu alanların loglarda maskeleme veya hashleme ile korunmasını sağlayın.
GDPR Gereksinimi: Kişisel verilerin talep üzerine silinmesi.Apinizer Desteği:
  • Elasticsearch ILM: Otomatik veri silme politikaları
  • Manuel Veri Silme: Belirli tarih aralığındaki verilerin manuel silinmesi
  • Veri Saklama Politikaları: Yapılandırılabilir saklama süreleri
  • Veri Temizleme Görevleri: Otomatik veri temizleme görevleri
Nasıl Kullanılır: Elasticsearch ILM politikalarını yapılandırarak belirli süre sonunda verilerin otomatik olarak silinmesini sağlayın. Manuel silme için Analytics Engine üzerinden belirli tarih aralığındaki verileri silebilirsiniz.
GDPR Gereksinimi: Kişisel verilerin standart formatlarda export edilmesi.Apinizer Desteği:
  • Veri Export: API trafik loglarının export edilmesi
  • Standart Formatlar: JSON, CSV gibi standart formatlarda export
  • Filtreleme ve Sorgulama: Belirli kriterlere göre veri export’u
  • Analytics Engine: Veri görüntüleme ve export araçları
Nasıl Kullanılır: Analytics Engine üzerinden belirli kriterlere göre filtreleme yaparak verileri export edin. Export işlemi JSON veya CSV formatında yapılabilir.
GDPR Gereksinimi: Kişisel verilerin teknik ve organizasyonel önlemlerle korunması.Apinizer Desteği:
  • Veri Şifreleme: Encryption at Rest ve in Transit
  • Veri Maskeleme: Hassas verilerin maskeleme ile korunması
  • PII Koruması: Kişisel bilgilerin otomatik tespiti ve korunması
  • Erişim Kontrolü: RBAC ve ACL ile erişim kontrolü
Nasıl Kullanılır: API Proxy Trafik Gizlilik Ayarları’nda hassas alanları tanımlayın. TLS/SSL şifreleme kullanarak veri aktarımını koruyun. RBAC ve ACL ile erişim kontrolünü yapılandırın.
GDPR Gereksinimi: Veri işleme faaliyetlerinin kayıt altına alınması ve izlenebilirliği.Apinizer Desteği:
  • Kapsamlı Audit Logging: Tüm sistem değişikliklerinin kaydı
  • Erişim Kayıtları: API çağrıları ve yönetimsel erişimlerin kaydı
  • Değişiklik Takibi: Konfigürasyon değişikliklerinin takibi
  • Zaman Damgalı Kayıtlar: Her işlemin zaman damgası ile kaydı
Nasıl Kullanılır: Denetim kayıtlarını düzenli olarak gözden geçirin. Değişiklik kayıtlarını takip ederek sistem üzerindeki tüm değişiklikleri izleyin.
GDPR Gereksinimi: Veri ihlali durumunda 72 saat içinde bildirim yapılması.Apinizer Desteği:
  • Güvenlik Olayları İzleme: Güvenlik olaylarının otomatik tespiti
  • Alarm ve Bildirimler: Güvenlik olaylarında otomatik alarm ve bildirim
  • Anomali Tespiti: Anormal davranışların tespiti
  • Log Analizi: Güvenlik olaylarının log analizi ile tespiti
Nasıl Kullanılır: İzleme Bileşeni’nde anomali tespiti ve alarm yapılandırması yapın. Güvenlik olaylarında otomatik bildirim almak için alarm kanallarını yapılandırın.

KVKK Uyumluluğu

KVKK Gereksinimleri ve Apinizer Desteği

KVKK (Kişisel Verilerin Korunması Kanunu), Türkiye’nin kişisel verilerin işlenmesi ve korunması için yasal düzenlemesidir. Apinizer, KVKK gereksinimlerini karşılamak için aşağıdaki özellikleri sağlar:
KVKK Gereksinimi: Kişisel verilerin işlenmesi için açık rıza alınması ve rıza kayıtlarının tutulması.Apinizer Desteği:
  • Denetim Kayıtları: Tüm kullanıcı işlemlerinin kaydı
  • Token İstekleri: Kimlik doğrulama ve yetkilendirme işlemlerinin kaydı
  • API Trafik Logları: API çağrılarının kaydı (rıza durumunun takibi için)
  • Zaman Damgalı Kayıtlar: Rıza verilme zamanının kaydı
Nasıl Kullanılır: API trafik loglarında rıza durumunu takip edin. Denetim kayıtlarında kullanıcı işlemlerini izleyin. Token isteklerinde kimlik doğrulama işlemlerini kaydedin.
KVKK Gereksinimi: Veri sahibinin veri işleme hakkında bilgilendirilmesi.Apinizer Desteği:
  • API Dokümantasyonu: API kullanımı hakkında bilgilendirme
  • Veri İşleme Kayıtları: Veri işleme faaliyetlerinin kaydı
  • Log Görüntüleme: Veri sahibinin kendi verilerini görüntülemesi
  • Veri Export: Veri sahibinin kendi verilerini export etmesi
Nasıl Kullanılır: API Portal’da API dokümantasyonunu güncel tutun. Analytics Engine üzerinden veri sahibinin kendi verilerini görüntülemesini ve export etmesini sağlayın.
KVKK Gereksinimi: Kişisel verilerin teknik ve idari tedbirlerle korunması.Apinizer Desteği:
  • Teknik Tedbirler: Şifreleme, maskeleme, erişim kontrolü
  • İdari Tedbirler: RBAC, ACL, audit logging
  • Güvenlik Testleri: Güvenlik testleri ve değerlendirmeleri
  • Güvenlik İzleme: Sürekli güvenlik izleme ve raporlama
Nasıl Kullanılır: API Proxy Trafik Gizlilik Ayarları’nda hassas verileri koruyun. RBAC ve ACL ile erişim kontrolünü yapılandırın. Güvenlik izleme ve alarm sistemlerini aktif edin.
KVKK Gereksinimi: Veri sahibinin bilgi alma, düzeltme, silme ve itiraz hakları.Apinizer Desteği:
  • Bilgi Alma Hakkı: Veri sahibinin kendi verilerini görüntülemesi (Analytics Engine)
  • Düzeltme Hakkı: Yanlış verilerin düzeltilmesi (manuel veri düzeltme)
  • Silme Hakkı: Veri silme mekanizması (ILM ve manuel silme)
  • İtiraz Hakkı: Veri işlemeye itiraz hakkı (veri işleme durdurma)
Nasıl Kullanılır: Analytics Engine üzerinden veri sahibinin kendi verilerini görüntülemesini sağlayın. Veri silme talepleri için ILM politikalarını kullanın veya manuel silme yapın.

CCPA Uyumluluğu

CCPA Gereksinimleri ve Apinizer Desteği

CCPA (California Consumer Privacy Act), Kaliforniya tüketici gizlilik yasasıdır. Apinizer, CCPA gereksinimlerini karşılamak için aşağıdaki özellikleri sağlar:
CCPA Gereksinimi: Tüketicilerin bilgi alma, silme ve satış yapmama hakları.Apinizer Desteği:
  • Bilgi Alma Hakkı: Veri sahibinin kendi verilerini görüntülemesi (Analytics Engine)
  • Silme Hakkı: Veri silme mekanizması (ILM ve manuel silme)
  • Satış Yapmama Hakkı: Veri satışına itiraz hakkı (veri işleme durdurma)
  • Veri Export: Veri sahibinin kendi verilerini export etmesi
Nasıl Kullanılır: Analytics Engine üzerinden veri sahibinin kendi verilerini görüntülemesini ve export etmesini sağlayın. Veri silme talepleri için ILM politikalarını kullanın.
CCPA Gereksinimi: Veri toplama ve kullanım hakkında şeffaflık.Apinizer Desteği:
  • Veri Toplama Açıklamaları: API dokümantasyonu ve kullanım şartları
  • Veri Kullanım Bilgisi: Veri işleme faaliyetlerinin kaydı
  • Üçüncü Taraf Paylaşımı: Veri paylaşımının kaydı
  • Log Görüntüleme: Veri sahibinin kendi verilerini görüntülemesi
Nasıl Kullanılır: API Portal’da veri toplama ve kullanım hakkında açıklamalar yapın. Analytics Engine üzerinden veri sahibinin kendi verilerini görüntülemesini sağlayın.
CCPA Gereksinimi: Tüketici verilerinin güvenli bir şekilde korunması.Apinizer Desteği:
  • Güvenli Veri İşleme: Şifreleme, maskeleme, erişim kontrolü
  • Veri Şifreleme: Encryption at Rest ve in Transit
  • Erişim Kontrolü: RBAC ve ACL ile erişim kontrolü
  • Güvenlik İzleme: Sürekli güvenlik izleme ve raporlama
Nasıl Kullanılır: API Proxy Trafik Gizlilik Ayarları’nda hassas verileri koruyun. TLS/SSL şifreleme kullanarak veri aktarımını koruyun. RBAC ve ACL ile erişim kontrolünü yapılandırın.
CCPA Gereksinimi: Veri işleme faaliyetlerinin kayıt altına alınması.Apinizer Desteği:
  • Veri İşleme Kayıtları: Tüm veri işleme faaliyetlerinin kaydı
  • Erişim Logları: Erişim loglarının tutulması
  • Değişiklik Takibi: Değişikliklerin takibi
  • Zaman Damgalı Kayıtlar: Her işlemin zaman damgası ile kaydı
Nasıl Kullanılır: Denetim kayıtlarını düzenli olarak gözden geçirin. Değişiklik kayıtlarını takip ederek sistem üzerindeki tüm değişiklikleri izleyin.

ISO 27001 Hazırlığı

ISO 27001 Kontrolleri ve Apinizer Desteği

ISO 27001, bilgi güvenliği yönetim sistemi standardıdır. Apinizer, ISO 27001 kontrollerini karşılamak için aşağıdaki özellikleri sağlar:
ISO 27001 Gereksinimi: Bilgi güvenliği politikalarının oluşturulması ve dokümante edilmesi.Apinizer Desteği:
  • Güvenlik Politikaları: API Proxy seviyesinde güvenlik politikaları
  • Erişim Kontrolü Politikaları: RBAC ve ACL ile erişim kontrolü
  • Veri Koruma Politikaları: Veri maskeleme ve şifreleme politikaları
  • Dokümantasyon: Tüm politikaların dokümante edilmesi
Nasıl Kullanılır: API Proxy’lerde güvenlik politikalarını tanımlayın. RBAC ve ACL ile erişim kontrolü politikalarını yapılandırın. Veri koruma politikalarını API Proxy Trafik Gizlilik Ayarları’nda tanımlayın.
ISO 27001 Gereksinimi: Bilgi ve bilgi işleme kaynaklarına erişimin kontrol edilmesi.Apinizer Desteği:
  • Kimlik Doğrulama: OAuth2, OIDC, JWT token desteği
  • Yetkilendirme: RBAC, API Proxy bazlı, Endpoint bazlı erişim kontrolü
  • ACL Yönetimi: Detaylı erişim kontrol listeleri
  • IP Kontrolü: IP whitelist/blacklist desteği
Nasıl Kullanılır: Identity Manager’da kimlik doğrulama yapılandırması yapın. RBAC ve ACL ile yetkilendirme politikalarını tanımlayın. IP kontrolü için whitelist/blacklist yapılandırması yapın.
ISO 27001 Gereksinimi: Kriptografik kontrollerin uygulanması.Apinizer Desteği:
  • Şifreleme: Encryption at Rest ve in Transit
  • TLS/SSL: Aktarım sırasında şifreleme
  • Field-level Encryption: Alan bazlı şifreleme
  • Key Management: Şifreleme anahtarı yönetimi
Nasıl Kullanılır: TLS/SSL sertifikalarını yapılandırın. Veritabanı şifrelemesini aktif edin. Hassas alanlar için field-level encryption kullanın.
ISO 27001 Gereksinimi: Bilgi güvenliği olaylarının yönetimi ve raporlanması.Apinizer Desteği:
  • Güvenlik Olayları İzleme: Güvenlik olaylarının otomatik tespiti
  • Alarm ve Bildirimler: Güvenlik olaylarında otomatik alarm ve bildirim
  • Anomali Tespiti: Anormal davranışların tespiti
  • Olay Raporlama: Güvenlik olaylarının raporlanması
Nasıl Kullanılır: İzleme Bileşeni’nde anomali tespiti ve alarm yapılandırması yapın. Güvenlik olaylarında otomatik bildirim almak için alarm kanallarını yapılandırın.
ISO 27001 Gereksinimi: İşletim sistemlerinin güvenli yönetimi.Apinizer Desteği:
  • Log Yönetimi: Kapsamlı log yönetimi ve saklama
  • Güvenlik İzleme: Sürekli güvenlik izleme
  • Yedekleme: Veri yedekleme ve kurtarma
  • Değişiklik Yönetimi: Konfigürasyon değişikliklerinin yönetimi
Nasıl Kullanılır: Log yönetimi politikalarını yapılandırın. Güvenlik izleme sistemlerini aktif edin. Düzenli yedekleme yapın.
ISO 27001 Gereksinimi: Yasal ve düzenleyici gereksinimlere uyumluluk.Apinizer Desteği:
  • Denetim Kayıtları: Kapsamlı denetim kayıtları
  • Veri Koruma: Veri maskeleme ve şifreleme
  • Veri Retention: Yapılandırılabilir veri saklama politikaları
  • Uyumluluk Raporlama: Uyumluluk raporlarının oluşturulması
Nasıl Kullanılır: Denetim kayıtlarını düzenli olarak gözden geçirin. Veri koruma politikalarını yapılandırın. Veri retention politikalarını yasal gereksinimlere göre ayarlayın.

SOC 2 Hazırlığı

SOC 2 Güven İlkeleri ve Apinizer Desteği

SOC 2 (Service Organization Control 2), güvenlik, kullanılabilirlik, işlem bütünlüğü, gizlilik ve mahremiyet ilkelerine dayalı denetim standardıdır. Apinizer, SOC 2 gereksinimlerini karşılamak için aşağıdaki özellikleri sağlar:
SOC 2 Gereksinimi: Sistem kaynaklarının yetkisiz erişime karşı korunması.Apinizer Desteği:
  • Erişim Kontrolü: RBAC, ACL, IP kontrolü ile erişim kontrolü
  • Kimlik Doğrulama: OAuth2, OIDC, JWT token desteği
  • Şifreleme: Encryption at Rest ve in Transit
  • Güvenlik İzleme: Sürekli güvenlik izleme ve alarm
Nasıl Kullanılır: Identity Manager’da kimlik doğrulama yapılandırması yapın. RBAC ve ACL ile yetkilendirme politikalarını tanımlayın. Güvenlik izleme sistemlerini aktif edin.
SOC 2 Gereksinimi: Sistemin kullanılabilirliğinin sağlanması.Apinizer Desteği:
  • Yüksek Erişilebilirlik: Yatay ölçeklendirme ve load balancing
  • Failover: Otomatik failover mekanizması
  • Monitoring: Sistem performans izleme
  • Yedekleme ve Kurtarma: Veri yedekleme ve kurtarma
Nasıl Kullanılır: Yatay ölçeklendirme yapılandırması yapın. Failover mekanizmalarını aktif edin. Sistem performansını izleyin.
SOC 2 Gereksinimi: Sistem işlemlerinin doğru ve eksiksiz olarak gerçekleştirilmesi.Apinizer Desteği:
  • Veri Doğruluğu: Mesaj bütünlüğü kontrolü
  • İşlem Doğrulama: İşlemlerin doğrulanması
  • Hata Yönetimi: Hata yönetimi mekanizmaları
  • Audit Logging: Tüm işlemlerin kaydı
Nasıl Kullanılır: Mesaj bütünlüğü kontrolünü aktif edin. Hata yönetimi politikalarını yapılandırın. Audit logging’i aktif edin.
SOC 2 Gereksinimi: Gizli bilgilerin korunması.Apinizer Desteği:
  • Veri Şifreleme: Encryption at Rest ve in Transit
  • Veri Maskeleme: Hassas verilerin maskeleme
  • Erişim Kontrolü: RBAC ve ACL ile erişim kontrolü
  • Güvenlik İzleme: Gizlilik ihlallerinin tespiti
Nasıl Kullanılır: API Proxy Trafik Gizlilik Ayarları’nda hassas verileri koruyun. TLS/SSL şifreleme kullanın. Erişim kontrolünü yapılandırın.
SOC 2 Gereksinimi: Kişisel bilgilerin korunması ve gizlilik haklarına saygı.Apinizer Desteği:
  • Kişisel Bilgi Koruma: PII koruma ve maskeleme
  • Veri Saklama Politikaları: Yapılandırılabilir veri saklama
  • Veri Silme: Otomatik ve manuel veri silme
  • Gizlilik İzleme: Gizlilik ihlallerinin tespiti
Nasıl Kullanılır: API Proxy Trafik Gizlilik Ayarları’nda PII koruma politikalarını tanımlayın. Veri retention politikalarını yapılandırın. Veri silme mekanizmalarını aktif edin.

Uyumluluk Checklist

GDPR Checklist

  • Veri şifreleme aktif (TLS/SSL, Encryption at Rest)
  • Veri maskeleme yapılandırılmış (API Proxy Trafik Gizlilik Ayarları)
  • PII koruma politikaları tanımlı
  • Veri saklama süreleri belirlenmiş (Elasticsearch ILM)
  • Audit logging aktif
  • Erişim kayıtları tutuluyor
  • Değişiklik kayıtları tutuluyor
  • Log saklama politikaları tanımlı
  • Veri erişim mekanizması mevcut (Analytics Engine)
  • Veri silme mekanizması mevcut (ILM, manuel silme)
  • Veri düzeltme mekanizması mevcut
  • Veri taşınabilirlik desteği mevcut (Export)

ISO 27001 Checklist

Güvenlik Kontrolleri

  • Erişim kontrolü yapılandırılmış (RBAC, ACL)
  • Şifreleme aktif (TLS/SSL, Encryption at Rest)
  • Güvenlik izleme yapılandırılmış (Anomali tespiti, Alarm)
  • Olay yönetimi prosedürleri mevcut

Dokümantasyon

  • Güvenlik politikaları dokümante edilmiş
  • Prosedürler tanımlanmış
  • Risk değerlendirmesi yapılmış

Best Practices

Veri Minimizasyonu

  • Sadece gerekli verileri toplayın
  • Veri saklama sürelerini sınırlayın
  • Kullanılmayan verileri silin
  • Veri toplama amacını netleştirin

Güvenlik

  • Güçlü şifreleme kullanın (TLS 1.3, güçlü algoritmalar)
  • Düzenli güvenlik güncellemeleri yapın
  • Erişim kontrolünü sıkı tutun (RBAC, ACL)
  • Güvenlik testleri düzenli yapın

Denetim

  • Tüm işlemleri loglayın
  • Logları düzenli gözden geçirin
  • Anomali tespiti yapın
  • Denetim kayıtlarını saklayın

Eğitim

  • Personeli eğitin
  • Güvenlik farkındalığı oluşturun
  • Düzenli eğitimler düzenleyin
  • Uyumluluk gereksinimlerini paylaşın

Sonraki Adımlar

Denetim

Denetim kayıtlarını inceleyin

Uygulama Logları

Uygulama loglarını yönetin

API Proxy Trafik Gizlilik Ayarları

Trafik gizlilik ayarlarını yapılandırın

Güvenlik Yönetimi

Güvenlik ayarlarını yapılandırın