Uyumluluk ve Veri Koruma
Önemli Not: Veri Sorumluluğu
Apinizer, Apinizer Manager kullanıcıları hariç kişisel veri tutmaz. Platform, API trafiğini tutmak için altyapı sağlar ve bu veri üzerinde maskeleme, şifreleme ve silme işlemleri yapılabilir. Ancak API trafiğinde bulunan kişisel verilerin korunması, saklanması ve silinmesi konusundaki sorumluluk Apinizer kullanan kurumdadır. Kurumlar, kendi veri koruma politikalarına ve yasal gereksinimlerine uygun olarak veri retention ve silme politikalarını yapılandırmalıdır.
Apinizer ve Veri Yönetimi
Apinizer'ın Veri Tutma Yaklaşımı
Apinizer Manager kullanıcı bilgileri
- Platform yönetimi için gerekli kullanıcı bilgileri
- Kimlik doğrulama ve yetkilendirme bilgileri
- Kullanıcı rol ve izin bilgileri
API trafiği için altyapı sağlama
- API trafiğini tutmak için altyapı sağlanır
- Veri üzerinde maskeleme, şifreleme, silme işlemleri yapılabilir
- Veri retention ve silme politikaları yapılandırılabilir
Apinizer, Apinizer Manager kullanıcıları hariç kişisel veri tutmaz. Platform, API trafiğini tutmak için altyapı sağlar ve bu veri üzerinde maskeleme, şifreleme ve silme işlemleri yapılabilir. API trafiğinde bulunan kişisel verilerin korunması, saklanması ve silinmesi konusundaki sorumluluk Apinizer kullanan kurumdadır.
Veri Koruma Özellikleri
Veri Maskeleme ve Gizlilik
Apinizer, API trafiğindeki hassas verilerin korunması için kapsamlı veri maskeleme ve gizlilik özellikleri sağlar:
API Proxy Trafik Gizlilik Ayarları
API trafiğindeki hassas verilerin korunması için:
- Veri Maskeleme: Hassas alanların maskeleme (örneğin, kredi kartı numaralarının son 4 hanesi hariç gizlenmesi)
- Hashleme: Tek yönlü hashleme ile veri koruma (geri dönüştürülemez bir değer oluşturma)
- Salt Kullanımı: Hashleme için salt değeri (hash güvenliğini artırmak için rastgele veri ekleme)
- Alan Bazlı İşlemler: Element adı ve işlem tanımları (belirli JSON/XML alanlarına özel kurallar uygulama)
Taranan Alanlar:
- İstemciden gelen mesajın başlık, sorgu parametresi ve gövdesi
- Backend'e giden mesajın başlık, sorgu parametresi ve gövdesi
- Backend'den dönen mesajın başlık ve gövdesi
- İstemciye dönen mesajın başlık ve gövdesi
Detaylı bilgi için API Proxy Trafik Gizlilik Ayarları sayfasına bakın.
PII (Personally Identifiable Information) Koruması
Kişisel bilgilerin korunması için:
- Otomatik Tespit: Kişisel bilgilerin otomatik tespiti (ad, soyad, e-posta, telefon numarası vb.)
- PII Maskeleme Politikaları: Kişisel bilgi maskeleme kuralları (tespit edilen PII verilerine otomatik maskeleme uygulama)
- Veri Minimizasyonu: Sadece gerekli verilerin toplanması (amaçla sınırlı veri toplama ilkesi)
- Hassas Veri Filtreleme: Hassas verilerin filtrelenmesi (belirli PII türlerini trafikten filtreleme veya engelleme)
Veri Şifreleme
Veri güvenliği için şifreleme özellikleri:
- Encryption at Rest: Veritabanında şifreleme (depolanan verilerin şifrelenmesi)
- Encryption in Transit: Aktarım sırasında şifreleme (TLS/SSL ile iletişim güvenliği)
- Field-level Encryption: Alan bazlı şifreleme (belirli hassas alanların şifrelenmesi)
- Key Management: Şifreleme anahtarı yönetimi (anahtarların güvenli bir şekilde oluşturulması, saklanması ve yönetilmesi)
Hashleme ve Salt
API Proxy Trafik Gizlilik Ayarları'nda hashleme yöntemi kullanıldığında:
- Tek yönlü hashleme (verinin geri döndürülemez bir özete dönüştürülmesi)
- Geri dönüştürülemez (hashlenmiş veriden orijinal veriye ulaşılamaz)
- Salt ile güvenlik artırımı (aynı verinin farklı hash değerleri üretmesini sağlar)
- Güvenli veri saklama
- Apinizer tarafından otomatik salt oluşturma (her hash işlemi için benzersiz bir salt değeri üretilir)
- Gizli saklama (salt değerleri güvenli bir şekilde saklanır)
- Hashli veri doğrulama (hashlenmiş verinin doğruluğunu kontrol etmek için kullanılır)
- Güvenlik artırımı
Salt Nedir?
Hashleme yöntemi seçildiğinde verinin bir algoritma ile geri dönüşmeyecek şekilde hashlenerek tutulması sağlanır. Salt ile normalde hash algoritması seçilerek oluşacak olan çıktının farklı oluşması sağlanarak hashlenen değerin kıyaslama yapılarak bulunabilmesinin önüne geçilir. Bu, özellikle aynı şifreye sahip kullanıcıların farklı hash değerlerine sahip olmasını sağlayarak "rainbow table" saldırılarına karşı koruma sağlar.
Denetim ve Loglama (Audit & Logging)
Denetim Kayıtları
Apinizer, uyumluluk gereksinimleri için kapsamlı denetim kayıtları sağlar:
- Authentication modülünden alınan token istekleri (kimlik doğrulama denemeleri ve sonuçları)
- Token alma istek verileri (istek zamanı, istemci bilgileri)
- Ortam ve tarih filtreleme (belirli ortam ve zaman aralığına göre kayıtları filtreleme)
- Kullanıcı ve API Proxy bazlı filtreleme (belirli kullanıcı veya API Proxy'ye ait kayıtları görüntüleme)
- Yönetim konsoluna giriş işlemleri (yönetim arayüzüne yapılan tüm giriş denemeleri)
- Kullanıcı giriş kayıtları (hangi kullanıcının ne zaman giriş yaptığı)
- IP adresi takibi (giriş yapılan IP adreslerinin kaydedilmesi)
- Giriş durumu (başarılı/başarısız giriş denemelerinin kaydedilmesi)
- Sistem üzerinde yapılan değişiklikler (konfigürasyon, politika, kullanıcı değişiklikleri)
- Konfigürasyon değişiklikleri (API Proxy, ortam, bağlantı ayarlarındaki değişiklikler)
- Kullanıcı işlemleri (kullanıcı oluşturma, düzenleme, silme gibi yönetimsel işlemler)
- İşlem zaman damgaları (her işlemin ne zaman yapıldığının kaydedilmesi)
- Test konsoldan yapılan testler (API'lerin test konsolu üzerinden yapılan çağrıları)
- Test kayıtları (test edilen API, istek ve yanıt detayları)
- Test sonuçları (başarılı/başarısız test sonuçları)
- Test kullanıcı bilgileri (hangi kullanıcının hangi testleri yaptığını takip etme)
Uygulama Logları
Uygulama kayıtları, worker, manager ve cache uygulamalarının loglarını içerir:
Log Özellikleri
- Başlangıç ve Bitiş Tarihi: Log kayıtlarının zaman aralığı
- Mesaj İçeriği: Log mesajının detaylı içeriği
- Logger Adı: Log kaydını oluşturan logger adı
- Log Tipi: Log seviyesi ve tipi (ERROR, WARN, INFO, DEBUG, TRACE)
- Filtreleme Parametreleri: Gelişmiş filtreleme seçenekleri
Log Seviyeleri
Log seviyeleri sınıf/paket bazlı ayarlanabilir ve aşağıdaki tipleri içerir:
- Error: Uygulama hataları ve kritik sorunlar
- Warn: Potansiyel sorunlar veya beklenmedik durumlar
- Info: Uygulamanın genel akışı ve önemli olaylar
- Debug: Geliştirme ve hata ayıklama için detaylı bilgiler
- Trace: En düşük seviyede, çok detaylı izleme bilgileri
- Off: Loglama kapalı (hiçbir log kaydı tutulmaz)
Log seviyeleri sınıf/paket bazlı ayarlanabilir. Bu sayede farklı bileşenler için farklı log seviyeleri tanımlanabilir.
Log Saklama
- Uygulama Logları: 60 dakika tutulma süresi (varsayılan olarak)
- Otomatik Log Temizleme: Belirlenen süre sonunda eski logların otomatik silinmesi
- Log Rotation: Log dosyalarının boyut veya zamana göre döndürülmesi
- Yapılandırılabilir Saklama Politikaları: Log saklama sürelerinin özelleştirilmesi
Log Yönetimi
- Sınıf/paket bazlı log seviyesi ayarlama (belirli bileşenler için log seviyesini değiştirme)
- Manager, Gateway Engine, Cache log seviyeleri (her bir bileşenin log seviyesini ayrı ayrı yönetme)
- Toplu güncelleme desteği (birden fazla bileşenin log seviyesini aynı anda güncelleme)
- Dinamik log seviyesi değiştirme (sistem çalışırken log seviyesini değiştirme)
- Tarih aralığı filtreleme (belirli bir zaman dilimindeki logları görüntüleme)
- Log tipi filtreleme (sadece ERROR veya WARN gibi belirli tiplerdeki logları gösterme)
- Mesaj içeriği filtreleme (log mesajı içinde anahtar kelime arama)
- Logger adı filtreleme (belirli bir logger'a ait logları görüntüleme)
Veri Saklama ve Retention
Veri Retention Yöntemleri
Apinizer, veri retention'ları için farklı tutma ve silme yöntemleri sağlar:
API Trafik Logları
- Elasticsearch ILM: Index Lifecycle Management ile otomatik retention (hot, warm, cold, delete aşamaları)
- Yapılandırılabilir Saklama Süreleri: Farklı log t�ürleri için farklı saklama süreleri (örneğin, hata logları daha uzun saklanabilir)
- Otomatik Silme: Belirlenen süre sonunda otomatik silme (ILM politikaları ile)
- Manuel Silme: Kullanıcı tarafından manuel silme işlemleri (belirli tarih aralığındaki logları silme)
- Index Rollover: Index boyutu veya zamanına göre otomatik rollover
Uygulama Logları
- Sabit Saklama Süresi: 60 dakika tutulma süresi (varsayılan)
- Otomatik Temizleme: Belirlenen süre sonunda otomatik temizleme
- Log Rotation: Log dosyalarının boyut veya zamana göre döndürülmesi
- Yapılandırılabilir Saklama: İhtiyaca göre saklama süresinin ayarlanması
Denetim Logları
- Yapılandırılabilir Saklama: Denetim logları için yapılandırılabilir saklama (uyumluluk gereksinimlerine göre)
- Otomatik Silme: Belirlenen süre sonunda otomatik silme
- Manuel Silme: Kullanıcı tarafından manuel silme
- Uzun Vadeli Saklama: Yasal gereksinimler için uzun vadeli saklama desteği
Veri Saklama Politikaları
- Esnek Politikalar: Farklı veri türleri için farklı saklama politikaları (API trafiği, denetim, uygulama logları)
- Zaman Bazlı Silme: Belirlenen tarih/süre sonunda otomatik silme
- Manuel Silme: Kullanıcı tarafından manuel silme işlemleri
- GDPR "Unutulma Hakkı" Desteği: Veri silme mekanizması (kişisel verilerin talep üzerine silinmesi)
Veri Sorumluluğu
API trafiğinde bulunan kişisel verilerin korunması, saklanması ve silinmesi konusundaki sorumluluk Apinizer kullanan kurumdadır. Kurumlar, kendi veri koruma politikalarına ve yasal gereksinimlerine uygun olarak veri retention ve silme politikalarını yapılandırmalıdır.
Güvenlik Kontrolleri
Erişim Kontrolü
- OAuth2 / OIDC: Standart kimlik doğrulama protokolleri (endüstri standardı kimlik doğrulama)
- JWT Token'ları: JSON Web Token desteği (güvenli ve doğrulanabilir token kullanımı)
- Multi-factor Authentication: Çok faktörlü kimlik doğrulama desteği
- Session Yönetimi: Güvenli oturum yönetimi (kullanıcı oturumlarının güvenli bir şekilde yönetilmesi)
- Role-based Access Control (RBAC): Rol bazlı erişim kontrolü (rol tabanlı erişim kontrolü)
- API Proxy Bazlı Erişim Kontrolü: API Proxy seviyesinde kontrol (belirli API Proxy'lere erişim yetkileri)
- Endpoint Bazlı Erişim Kontrolü: Endpoint seviyesinde kontrol (API Proxy içindeki belirli endpoint'lere erişim yetkileri)
- ACL (Access Control List) Yönetimi: Erişim kontrol listesi yönetimi (detaylı erişim kontrol listeleri)
- IP Whitelist/Blacklist: IP adresi bazlı erişim kontrolü (belirli IP adreslerinden gelen isteklere izin verme/engelleme)
- X-Forwarded-For Desteği: Proxy arkasındaki gerçek IP tespiti (proxy arkasındaki gerçek istemci IP adresini tespit etme)
- Gerçek IP Tespiti: Gerçek istemci IP adresi belirleme (istemcinin gerçek IP adresini güvenli bir şekilde belirleme)
- Tüm Erişim Kayıtları: Erişim loglarının tutulması (API çağrıları, yönetimsel erişimler)
- Değişiklik Kayıtları: Konfigürasyon değişikliklerinin kaydı (sistemdeki tüm konfigürasyon değişiklikleri)
- İşlem Kayıtları: Tüm işlemlerin denetim kaydı (kullanıcıların gerçekleştirdiği önemli işlemler)
- Detaylı İzlenebilirlik: Kimin, ne zaman, ne yaptığını takip etme
Veri Güvenliği
Şifreleme
- TLS/SSL Encryption (in Transit): Aktarım sırasında şifreleme (iletişim sırasında verilerin şifrelenmesi)
- Database Encryption (at Rest): Veritabanında şifreleme (depolanan verilerin şifrelenmesi)
- Field-level Encryption: Alan bazlı şifreleme (hassas alanların özel olarak şifrelenmesi)
- Certificate Management: Sertifika yönetimi (SSL/TLS sertifikalarının yönetimi)
Veri Bütünlüğü
- Message Integrity: Mesaj bütünlüğü kontrolü (mesajların değiştirilmediğinin doğrulanması)
- Digital Signatures: Dijital imza desteği (dijital imzalarla verinin değiştirilmediğini garanti etme)
- Hash Verification: Hash doğrulama (verinin hash değerinin doğrulanması)
Güvenlik İzleme
- Anomali Tespiti: Anormal davranış tespiti (beklenmedik veya şüpheli davranışların otomatik olarak tespiti)
- Güvenlik Olayları: Güvenlik olaylarının izlenmesi (sistemdeki güvenlik ihlallerinin veya zorlukların takibi)
- Intrusion Detection: Saldırı tespiti (sistem saldırılarının tespiti ve uyarılması)
- Security Monitoring: Güvenlik izleme (sürekli güvenlik izleme ve raporlama)
Uyumluluk Standartları ve Apinizer Desteği
GDPR Uyumluluğu
GDPR Gereksinimleri ve Apinizer Desteği
GDPR (General Data Protection Regulation), Avrupa Birliği'nin kişisel verilerin korunması ve işlenmesi için kapsamlı kurallar içeren düzenlemesidir. Apinizer, GDPR gereksinimlerini karşılamak için aşağıdaki özellikleri sağlar:
Veri Minimizasyonu (Article 5.1.c)
GDPR Gereksinimi: Sadece gerekli verilerin toplanması ve işlenmesi.
Apinizer Desteği:
- API Proxy Trafik Gizlilik Ayarları: Hassas verilerin maskeleme veya hashleme ile korunması
- Veri Filtreleme: Belirli alanların loglardan çıkarılması
- Yapılandırılabilir Loglama: Sadece gerekli verilerin loglanması için yapılandırma
- PII Tespiti: Kişisel bilgilerin otomatik tespiti ve korunması
Nasıl Kullanılır: API Proxy Trafik Gizlilik Ayarları'nda hassas alanları tanımlayarak bu alanların loglarda maskeleme veya hashleme ile korunmasını sağlayın.
Unutulma Hakkı (Right to be Forgotten - Article 17)
GDPR Gereksinimi: Kişisel verilerin talep üzerine silinmesi.
Apinizer Desteği:
- Elasticsearch ILM: Otomatik veri silme politikaları
- Manuel Veri Silme: Belirli tarih aralığındaki verilerin manuel silinmesi
- Veri Saklama Politikaları: Yapılandırılabilir saklama süreleri
- Veri Temizleme Görevleri: Otomatik veri temizleme görevleri
Nasıl Kullanılır: Elasticsearch ILM politikalarını yapılandırarak belirli süre sonunda verilerin otomatik olarak silinmesini sağlayın. Manuel silme için Analytics Engine üzerinden belirli tarih aralığındaki verileri silebilirsiniz.
Veri Taşınabilirliği (Right to Data Portability - Article 20)
GDPR Gereksinimi: Kişisel verilerin standart formatlarda export edilmesi.
Apinizer Desteği:
- Veri Export: API trafik loglarının export edilmesi
- Standart Formatlar: JSON, CSV gibi standart formatlarda export
- Filtreleme ve Sorgulama: Belirli kriterlere göre veri export'u
- Analytics Engine: Veri görüntüleme ve export araçları
Nasıl Kullanılır: Analytics Engine üzerinden belirli kriterlere göre filtreleme yaparak verileri export edin. Export işlemi JSON veya CSV formatında yapılabilir.
Veri Koruma (Data Protection - Article 32)
GDPR Gereksinimi: Kişisel verilerin teknik ve organizasyonel önlemlerle korunması.
Apinizer Desteği:
- Veri Şifreleme: Encryption at Rest ve in Transit
- Veri Maskeleme: Hassas verilerin maskeleme ile korunması
- PII Koruması: Kişisel bilgilerin otomatik tespiti ve korunması
- Erişim Kontrolü: RBAC ve ACL ile erişim kontrolü
Nasıl Kullanılır: API Proxy Trafik Gizlilik Ayarları'nda hassas alanları tanımlayın. TLS/SSL şifreleme kullanarak veri aktarımını koruyun. RBAC ve ACL ile erişim kontrolünü yapılandırın.
Denetim ve İzlenebilirlik (Accountability - Article 5.2)
GDPR Gereksinimi: Veri işleme faaliyetlerinin kayıt altına alınması ve izlenebilirliği.
Apinizer Desteği:
- Kapsamlı Audit Logging: Tüm sistem değişikliklerinin kaydı
- Erişim Kayıtları: API çağrıları ve yönetimsel erişimlerin kaydı
- Değişiklik Takibi: Konfigürasyon değişikliklerinin takibi
- Zaman Damgalı Kayıtlar: Her işlemin zaman damgası ile kaydı
Nasıl Kullanılır: Denetim kayıtlarını düzenli olarak gözden geçirin. Değişiklik kayıtlarını takip ederek sistem üzerindeki tüm değişiklikleri izleyin.
Veri İhlali Bildirimi (Data Breach Notification - Article 33-34)
GDPR Gereksinimi: Veri ihlali durumunda 72 saat içinde bildirim yapılması.
Apinizer Desteği:
- Güvenlik Olayları İzleme: Güvenlik olaylarının otomatik tespiti
- Alarm ve Bildirimler: Güvenlik olaylarında otomatik alarm ve bildirim
- Anomali Tespiti: Anormal davranışların tespiti
- Log Analizi: Güvenlik olaylarının log analizi ile tespiti
Nasıl Kullanılır: İzleme Bileşeni'nde anomali tespiti ve alarm yapılandırması yapın. Güvenlik olaylarında otomatik bildirim almak için alarm kanallarını yapılandırın.
KVKK Uyumluluğu
KVKK Gereksinimleri ve Apinizer Desteği
KVKK (Kişisel Verilerin Korunması Kanunu), Türkiye'nin kişisel verilerin işlenmesi ve korunması için yasal düzenlemesidir. Apinizer, KVKK gereksinimlerini karşılamak için aşağıdaki özellikleri sağlar:
Açık Rıza (Article 5)
KVKK Gereksinimi: Kişisel verilerin işlenmesi için açık rıza alınması ve rıza kayıtlarının tutulması.
Apinizer Desteği:
- Denetim Kayıtları: Tüm kullanıcı işlemlerinin kaydı
- Token İstekleri: Kimlik doğrulama ve yetkilendirme işlemlerinin kaydı
- API Trafik Logları: API çağrılarının kaydı (rıza durumunun takibi için)
- Zaman Damgalı Kayıtlar: Rıza verilme zamanının kaydı
Nasıl Kullanılır: API trafik loglarında rıza durumunu takip edin. Denetim kayıtlarında kullanıcı işlemlerini izleyin. Token isteklerinde kimlik doğrulama işlemlerini kaydedin.
Aydınlatma Yükümlülüğü (Article 10)
KVKK Gereksinimi: Veri sahibinin veri işleme hakkında bilgilendirilmesi.
Apinizer Desteği:
- API Dokümantasyonu: API kullanımı hakkında bilgilendirme
- Veri İşleme Kayıtları: Veri işleme faaliyetlerinin kaydı
- Log Görüntüleme: Veri sahibinin kendi verilerini görüntülemesi
- Veri Export: Veri sahibinin kendi verilerini export etmesi
Nasıl Kullanılır: API Portal'da API dokümantasyonunu güncel tutun. Analytics Engine üzerinden veri sahibinin kendi verilerini görüntülemesini ve export etmesini sağlayın.
Veri Güvenliği (Article 12)
KVKK Gereksinimi: Kişisel verilerin teknik ve idari tedbirlerle korunması.
Apinizer Desteği:
- Teknik Tedbirler: Şifreleme, maskeleme, erişim kontrolü
- İdari Tedbirler: RBAC, ACL, audit logging
- Güvenlik Testleri: Güvenlik testleri ve değerlendirmeleri
- Güvenlik İzleme: Sürekli güvenlik izleme ve raporlama
Nasıl Kullanılır: API Proxy Trafik Gizlilik Ayarları'nda hassas verileri koruyun. RBAC ve ACL ile erişim kontrolünü yapılandırın. Güvenlik izleme ve alarm sistemlerini aktif edin.
İlgili Kişinin Hakları (Article 11)
KVKK Gereksinimi: Veri sahibinin bilgi alma, düzeltme, silme ve itiraz hakları.
Apinizer Desteği:
- Bilgi Alma Hakkı: Veri sahibinin kendi verilerini görüntülemesi (Analytics Engine)
- Düzeltme Hakkı: Yanlış verilerin düzeltilmesi (manuel veri düzeltme)
- Silme Hakkı: Veri silme mekanizması (ILM ve manuel silme)
- İtiraz Hakkı: Veri işlemeye itiraz hakkı (veri işleme durdurma)
Nasıl Kullanılır: Analytics Engine üzerinden veri sahibinin kendi verilerini görüntülemesini sağlayın. Veri silme talepleri için ILM politikalarını kullanın veya manuel silme yapın.
CCPA Uyumluluğu
CCPA Gereksinimleri ve Apinizer Desteği
CCPA (California Consumer Privacy Act), Kaliforniya tüketici gizlilik yasasıdır. Apinizer, CCPA gereksinimlerini karşılamak için aşağıdaki özellikleri sağlar:
Tüketici Hakları
CCPA Gereksinimi: Tüketicilerin bilgi alma, silme ve satış yapmama hakları.
Apinizer Desteği:
- Bilgi Alma Hakkı: Veri sahibinin kendi verilerini görüntülemesi (Analytics Engine)
- Silme Hakkı: Veri silme mekanizması (ILM ve manuel silme)
- Satış Yapmama Hakkı: Veri satışına itiraz hakkı (veri işleme durdurma)
- Veri Export: Veri sahibinin kendi verilerini export etmesi
Nasıl Kullanılır: Analytics Engine üzerinden veri sahibinin kendi verilerini görüntülemesini ve export etmesini sağlayın. Veri silme talepleri için ILM politikalarını kullanın.
Şeffaflık
CCPA Gereksinimi: Veri toplama ve kullanım hakkında şeffaflık.
Apinizer Desteği:
- Veri Toplama Açıklamaları: API dokümantasyonu ve kullanım şartları
- Veri Kullanım Bilgisi: Veri işleme faaliyetlerinin kaydı
- Üçüncü Taraf Paylaşımı: Veri paylaşımının kaydı
- Log Görüntüleme: Veri sahibinin kendi verilerini görüntülemesi
Nasıl Kullanılır: API Portal'da veri toplama ve kullanım hakkında açıklamalar yapın. Analytics Engine üzerinden veri sahibinin kendi verilerini görüntülemesini sağlayın.
Veri Koruma
CCPA Gereksinimi: Tüketici verilerinin güvenli bir şekilde korunması.
Apinizer Desteği:
- Güvenli Veri İşleme: Şifreleme, maskeleme, erişim kontrolü
- Veri Şifreleme: Encryption at Rest ve in Transit
- Erişim Kontrolü: RBAC ve ACL ile erişim kontrolü
- Güvenlik İzleme: Sürekli güvenlik izleme ve raporlama
Nasıl Kullanılır: API Proxy Trafik Gizlilik Ayarları'nda hassas verileri koruyun. TLS/SSL şifreleme kullanarak veri aktarımını koruyun. RBAC ve ACL ile erişim kontrolünü yapılandırın.
Denetim
CCPA Gereksinimi: Veri işleme faaliyetlerinin kayıt altına alınması.
Apinizer Desteği:
- Veri İşleme Kayıtları: Tüm veri işleme faaliyetlerinin kaydı
- Erişim Logları: Erişim loglarının tutulması
- Değişiklik Takibi: Değişikliklerin takibi
- Zaman Damgalı Kayıtlar: Her işlemin zaman damgası ile kaydı
Nasıl Kullanılır: Denetim kayıtlarını düzenli olarak gözden geçirin. Değişiklik kayıtlarını takip ederek sistem üzerindeki tüm değişiklikleri izleyin.
ISO 27001 Hazırlığı
ISO 27001 Kontrolleri ve Apinizer Desteği
ISO 27001, bilgi güvenliği yönetim sistemi standardıdır. Apinizer, ISO 27001 kontrollerini karşılamak için aşağıdaki özellikleri sağlar:
Bilgi Güvenliği Politikaları (A.5.1)
ISO 27001 Gereksinimi: Bilgi güvenliği politikalarının oluşturulması ve dokümante edilmesi.
Apinizer Desteği:
- Güvenlik Politikaları: API Proxy seviyesinde güvenlik politikaları
- Erişim Kontrolü Politikaları: RBAC ve ACL ile erişim kontrolü
- Veri Koruma Politikaları: Veri maskeleme ve şifreleme politikaları
- Dokümantasyon: Tüm politikaların dokümante edilmesi
Nasıl Kullanılır: API Proxy'lerde güvenlik politikalarını tanımlayın. RBAC ve ACL ile erişim kontrolü politikalarını yapılandırın. Veri koruma politikalarını API Proxy Trafik Gizlilik Ayarları'nda tanımlayın.
Erişim Kontrolü (A.9)
ISO 27001 Gereksinimi: Bilgi ve bilgi işleme kaynaklarına erişimin kontrol edilmesi.
Apinizer Desteği:
- Kimlik Doğrulama: OAuth2, OIDC, JWT token desteği
- Yetkilendirme: RBAC, API Proxy bazlı, Endpoint bazlı erişim kontrolü
- ACL Yönetimi: Detaylı erişim kontrol listeleri
- IP Kontrolü: IP whitelist/blacklist desteği
Nasıl Kullanılır: Identity Manager'da kimlik doğrulama yapılandırması yapın. RBAC ve ACL ile yetkilendirme politikalarını tanımlayın. IP kontrolü için whitelist/blacklist yapılandırması yapın.
Kriptografi (A.10)
ISO 27001 Gereksinimi: Kriptografik kontrollerin uygulanması.
Apinizer Desteği:
- Şifreleme: Encryption at Rest ve in Transit
- TLS/SSL: Aktarım sırasında şifreleme
- Field-level Encryption: Alan bazlı şifreleme
- Key Management: Şifreleme anahtarı yönetimi
Nasıl Kullanılır: TLS/SSL sertifikalarını yapılandırın. Veritabanı şifrelemesini aktif edin. Hassas alanlar için field-level encryption kullanın.
Bilgi Güvenliği Olay Yönetimi (A.16)
ISO 27001 Gereksinimi: Bilgi güvenliği olaylarının yönetimi ve raporlanması.
Apinizer Desteği:
- Güvenlik Olayları İzleme: Güvenlik olaylarının otomatik tespiti
- Alarm ve Bildirimler: Güvenlik olaylarında otomatik alarm ve bildirim
- Anomali Tespiti: Anormal davranışların tespiti
- Olay Raporlama: Güvenlik olaylarının raporlanması
Nasıl Kullanılır: İzleme Bileşeni'nde anomali tespiti ve alarm yapılandırması yapın. Güvenlik olaylarında otomatik bildirim almak için alarm kanallarını yapılandırın.
İşletim Güvenliği (A.12)
ISO 27001 Gereksinimi: İşletim sistemlerinin güvenli yönetimi.
Apinizer Desteği:
- Log Yönetimi: Kapsamlı log yönetimi ve saklama
- Güvenlik İzleme: Sürekli güvenlik izleme
- Yedekleme: Veri yedekleme ve kurtarma
- Değişiklik Yönetimi: Konfigürasyon değişikliklerinin yönetimi
Nasıl Kullanılır: Log yönetimi politikalarını yapılandırın. Güvenlik izleme sistemlerini aktif edin. Düzenli yedekleme yapın.
Uyumluluk (A.18)
ISO 27001 Gereksinimi: Yasal ve düzenleyici gereksinimlere uyumluluk.
Apinizer Desteği:
- Denetim Kayıtları: Kapsamlı denetim kayıtları
- Veri Koruma: Veri maskeleme ve şifreleme
- Veri Retention: Yapılandırılabilir veri saklama politikaları
- Uyumluluk Raporlama: Uyumluluk raporlarının oluşturulması
Nasıl Kullanılır: Denetim kayıtlarını düzenli olarak gözden geçirin. Veri koruma politikalarını yapılandırın. Veri retention politikalarını yasal gereksinimlere göre ayarlayın.
SOC 2 Hazırlığı
SOC 2 Güven İlkeleri ve Apinizer Desteği
SOC 2 (Service Organization Control 2), güvenlik, kullanılabilirlik, işlem bütünlüğü, gizlilik ve mahremiyet ilkelerine dayalı denetim standardıdır. Apinizer, SOC 2 gereksinimlerini karşılamak için aşağıdaki özellikleri sağlar:
Güvenlik (Security)
SOC 2 Gereksinimi: Sistem kaynaklarının yetkisiz erişime karşı korunması.
Apinizer Desteği:
- Erişim Kontrolü: RBAC, ACL, IP kontrolü ile erişim kontrolü
- Kimlik Doğrulama: OAuth2, OIDC, JWT token desteği
- Şifreleme: Encryption at Rest ve in Transit
- Güvenlik İzleme: Sürekli güvenlik izleme ve alarm
Nasıl Kullanılır: Identity Manager'da kimlik doğrulama yapılandırması yapın. RBAC ve ACL ile yetkilendirme politikalarını tanımlayın. Güvenlik izleme sistemlerini aktif edin.
Kullanılabilirlik (Availability)
SOC 2 Gereksinimi: Sistemin kullanılabilirliğinin sağlanması.
Apinizer Desteği:
- Yüksek Erişilebilirlik: Yatay ölçeklendirme ve load balancing
- Failover: Otomatik failover mekanizması
- Monitoring: Sistem performans izleme
- Yedekleme ve Kurtarma: Veri yedekleme ve kurtarma
Nasıl Kullanılır: Yatay ölçeklendirme yapılandırması yapın. Failover mekanizmalarını aktif edin. Sistem performansını izleyin.
İşlem Bütünlüğü (Processing Integrity)
SOC 2 Gereksinimi: Sistem işlemlerinin doğru ve eksiksiz olarak gerçekleştirilmesi.
Apinizer Desteği:
- Veri Doğruluğu: Mesaj bütünlüğü kontrolü
- İşlem Doğrulama: İşlemlerin doğrulanması
- Hata Yönetimi: Hata yönetimi mekanizmaları
- Audit Logging: Tüm işlemlerin kaydı
Nasıl Kullanılır: Mesaj bütünlüğü kontrolünü aktif edin. Hata yönetimi politikalarını yapılandırın. Audit logging'i aktif edin.
Gizlilik (Confidentiality)
SOC 2 Gereksinimi: Gizli bilgilerin korunması.
Apinizer Desteği:
- Veri Şifreleme: Encryption at Rest ve in Transit
- Veri Maskeleme: Hassas verilerin maskeleme
- Erişim Kontrolü: RBAC ve ACL ile erişim kontrolü
- Güvenlik İzleme: Gizlilik ihlallerinin tespiti
Nasıl Kullanılır: API Proxy Trafik Gizlilik Ayarları'nda hassas verileri koruyun. TLS/SSL şifreleme kullanın. Erişim kontrolünü yapılandırın.
Mahremiyet (Privacy)
SOC 2 Gereksinimi: Kişisel bilgilerin korunması ve gizlilik haklarına saygı.
Apinizer Desteği:
- Kişisel Bilgi Koruma: PII koruma ve maskeleme
- Veri Saklama Politikaları: Yapılandırılabilir veri saklama
- Veri Silme: Otomatik ve manuel veri silme
- Gizlilik İzleme: Gizlilik ihlallerinin tespiti
Nasıl Kullanılır: API Proxy Trafik Gizlilik Ayarları'nda PII koruma politikalarını tanımlayın. Veri retention politikalarını yapılandırın. Veri silme mekanizmalarını aktif edin.
Uyumluluk Checklist
GDPR Checklist
Veri Koruma
- Veri şifreleme aktif (TLS/SSL, Encryption at Rest)
- Veri maskeleme yapılandırılmış (API Proxy Trafik Gizlilik Ayarları)
- PII koruma politikaları tanımlı
- Veri saklama süreleri belirlenmiş (Elasticsearch ILM)
Denetim
- Audit logging aktif
- Erişim kayıtları tutuluyor
- Değişiklik kayıtları tutuluyor
- Log saklama politikaları tanımlı
Haklar
- Veri erişim mekanizması mevcut (Analytics Engine)
- Veri silme mekanizması mevcut (ILM, manuel silme)
- Veri düzeltme mekanizması mevcut
- Veri taşınabilirlik desteği mevcut (Export)
ISO 27001 Checklist
- Erişim kontrolü yapılandırılmış (RBAC, ACL)
- Şifreleme aktif (TLS/SSL, Encryption at Rest)
- Güvenlik izleme yapılandırılmış (Anomali tespiti, Alarm)
- Olay yönetimi prosedürleri mevcut
- Güvenlik politikaları dokümante edilmiş
- Prosedürler tanımlanmış
- Risk değerlendirmesi yapılmış
Best Practices
- Sadece gerekli verileri toplayın
- Veri saklama sürelerini sınırlayın
- Kullanılmayan verileri silin
- Veri toplama amacını netleştirin
- Güçlü şifreleme kullanın (TLS 1.3, güçlü algoritmalar)
- Düzenli güvenlik güncellemeleri yapın
- Erişim kontrolünü sıkı tutun (RBAC, ACL)
- Güvenlik testleri düzenli yapın
- Tüm işlemleri loglayın
- Logları düzenli gözden geçirin
- Anomali tespiti yapın
- Denetim kayıtlarını saklayın
- Personeli eğitin
- Güvenlik farkındalığı oluşturun
- Düzenli eğitimler düzenleyin
- Uyumluluk gereksinimlerini paylaşın