Veri Güvenliği
SMMM ofisinizin verisi nasıl korunur?
Mali müşavir ve muhasebe ofisleri en hassas verileri yönetir: mükellef kimlikleri, beyanname kayıtları, banka mutabakatları, müşteri belgeleri. muhasebeofisim, bu veriyi koruyacak şekilde sıfırdan tasarlandı.
Tenant izolasyonu
Her ofisin verisi (müşteri, görev, beyanname, belge, mesaj) ayrı tutulur. Tüm veritabanı sorguları sunucu tarafında ofis kimliğiyle filtrelenir; başka ofisin verisine erişim mimari olarak engellenmiştir.
- Server-side enforcement — istemci taraflı bir parametre değişikliği ile aşılamaz
- Her API endpoint'inde oturum doğrulaması + ofis kimliği kontrolü
- Rol matrisi: ofis_sahibi · yönetici · personel · super_admin (sınırlı erişim)
Bulut altyapısı
Cloudflare'in küresel altyapısı üzerinde çalışır. Veritabanı için D1 (SQLite), belge depolama için R2 kullanılır. Hesaplama edge'de yapılır; Türkiye'den erişim genellikle 50 ms altı.
- Cloudflare D1 — SQLite veritabanı, Cloudflare tarafından replike edilir
- Cloudflare R2 — belge ve dosya depolama, S3 uyumlu
- Cloudflare Workers — uygulama sunucusu (edge runtime)
- Cloudflare Pages — anasayfa ve panel UI dağıtımı
Belge güvenliği
Belgeler R2'ye yazılmadan önce dosya imzası (magic bytes) doğrulanır; sahte içerikli yüklemeler engellenir. Belge erişimi her zaman ofis kimliği üzerinden doğrulanır.
- Yükleme sırasında dosya türü doğrulama
- Erişim sadece o belgenin sahibi ofise mensup kullanıcılar için açık
- Müşteri portalı bağlantıları süreli ve müşteriye özel; üçüncü kişiye iletilse bile başka müşterinin belgesine açılmaz
Kimlik doğrulama ve oturum
Oturum yönetimi Better Auth ile yapılır. Şifre yerine Google ile giriş tercih edilebilir; ofis davet bağlantıları sınırlı süreli ve tek kullanımlıktır.
- HttpOnly + Secure session cookie (XSS / token sızıntısı koruması)
- Google OAuth desteği — şifre saklamadan giriş
- Davet bağlantıları süreli ve tek kullanımlık
- Başarısız giriş denemeleri güvenlik kayıtlarına yazılır
İşlem kayıtları (Audit Log)
Önemli olaylar (giriş, belge erişimi, ofis ayar değişikliği, kullanıcı davet/silme, ödeme olayları) zaman damgalı olarak işlem kayıtlarına yazılır ve panelden incelenebilir.
- Hangi kullanıcı, ne zaman, hangi işlemi yaptı bilgisi
- KVKK'nın gerektirdiği veri işleme şeffaflığı için kullanılır
- Anormal hareket tespiti için temel altyapı
KVKK araçları
Müşteri bazlı belge arşivini ZIP olarak dışa aktarabilir, kişisel veri silme talebinde verilerin kalıcı silinmesini isteyebilirsiniz. KVKK aydınlatma metni tüm veri kategorileri ve hukuki sebepleri açıklar.
- Müşteri bazlı ZIP dışa aktarma — KVKK m.11 erişim hakkı için pratik araç
- Hesap silme talebi → yasal saklama süresine tabi olmayan veriler kalıcı silinir
- İlgili sayfa: KVKK aydınlatma metni
Yedekleme ve süreklilik
D1 ve R2 Cloudflare tarafından replikasyonla yedeklenir. Belirli aralıklarla uygulama düzeyinde snapshot alınır.
- Cloudflare D1 — point-in-time recovery destekli
- Cloudflare R2 — coğrafi olarak dağıtık nesne depolama
- Hesap aboneliği sona erse bile yasal saklama süresi içindeki kayıtlar tutulur (KVKK ve VUK kapsamında)
Gizlilik ve üçüncü taraflar
WhatsApp mesajlaşma için Meta Business API, e-posta için Resend, ödeme için iyzico kullanılır. Kart bilgileri sunucularımıza hiç düşmez; iyzico'nun PCI DSS uyumlu altyapısında işlenir.
- Reklam veya yeniden pazarlama amaçlı analitik kullanılmaz
- Google Analytics 4 — analitik depolama varsayılan olarak reddedilir
- AI eğitim crawler'ları (GPTBot, ClaudeBot vb.) site içeriğinden engellenir
Güvenlik açığı bildirimi
Bir güvenlik açığı tespit ettiyseniz lütfen sorumlu açıklama ilkesi ile bize ulaşın. Detayları halka açık platformlarda paylaşmadan önce düzeltme için makul süre tanıdığınız için teşekkür ederiz.
info@muhasebeofisim.com →KVKK Aydınlatma Metni
İşlenen kişisel veriler, hukuki sebepler ve haklarınız →
Gizlilik Politikası
Veri toplama, kullanım ve üçüncü taraf aktarımları →