Asken'de güvenlik
Tenant verisini nasıl izole ettiğimiz, public uçları nasıl koruduğumuz ve TR ile global ekipler için uyumu nasıl belgelediğimiz.
Workspace ile tenant izolasyonu
Her workspace ayrı bir tenant'tır. Form, gönderim, randevu, webhook ve ayarlara dokunan backend sorguları workspace_id ile kapsamlanır — panel kullanıcıları yalnızca üye oldukları workspace'lerin verisini görür.
Normal ürün API'leri üzerinden cross-tenant erişim sunulmaz. Yükseltilmiş erişim gerektiren destek işlemleri müşteri-facing route'lar değil, audit beklentili admin konsolu üzerinden yürür.
Form veya randevu sayfası yayınladığınızda ziyaretçiler yalnızca o workspace'in public slug'ı ile etkileşir — başka workspace veya gönderimleri enumerate edemezler.
Public uçlarda rate limit
Public form gönderimi, randevu ve pazarlama iletişim uçları kötüye kullanım ve otomatik spam'i azaltmak için IP başına (ve uygun yerlerde form veya slug başına) rate limit uygular.
Kimliği doğrulanmış panel route'ları oturum tabanlı auth ve capability check kullanır. Rate limiting, private veri için yetkilendirmenin yerine geçmez — onu tamamlar.
Yüksek trafikli public formlar işletiyorsanız bize ulaşın — kampanya sırasında otomatik throttling'e takılmadan önce adil kullanım beklentilerini konuşabiliriz.
Versiyonlu yasal metinler
Kullanım koşulları, gizlilik politikası, KVKK aydınlatma metni ve çerez politikası /legal/* altında sabit URL'lerle versiyonlanmış belgelerdir. Metin güncellendiğinde versiyon artar; kayıt ve önemli değişikliklerde kabul kaydı tutulur.
Güncel belgeleri site footer'ından veya aşağıdaki linklerden — giriş yapmadan — inceleyebilirsiniz.
Önemli değişiklikler politika gerektirdiğinde yeniden kabul akışları tetiklenir — versiyon artışı olmadan yasal metni sessizce değiştirmeyiz.
Türk ekipleri için KVKK
Türk hukuku kapsamında kişisel veri işleyen ekipler KVKK aydınlatma metnimizi inceleyebilir. İşleme amaçları, hukuki sebepler, saklama süreleri ve veri sahibi başvuru kanalları açıklanır.
Kayıt akışları geçerli yasal belgelerin kabulünü gerektirir; kabul kayıtları kullanıcı hesabıyla saklanır. Veri sahibi talepleri için iletişim sayfasını veya KVKK metnindeki kanalları kullanın.
Workspace müşteri verisini üçüncü taraf veri brokerlarına satmıyoruz — işleme amaçları gizlilik ve KVKK belgelerinde açıklanır.
KVKK aydınlatma metnini okuyunAktarım sırasında şifreleme
asken.app, panel.asken.app, go.asken.app ve api.asken.app trafiği HTTPS üzerinden sunulur. Production'da ürün veya API uçları için düz HTTP sunmuyoruz.
Dosya yükleme ve e-posta teslimi altyapımız ile üçüncü taraf sağlayıcılar (hosting, e-posta, ödeme) arasında endüstri standardı TLS kullanır. Beklemede şifreleme veritabanı ve object storage için bulut sağlayıcı varsayılanlarını takip eder.
Workspace sahipleri gönderim verisini hassas kabul etmeli — güçlü parola kullanın, Ücretsiz planda ekip koltuklarını sınırlayın, ayrılan kişilerin erişimini kaldırın.
Sertifikasyonlar — iddia etmediklerimiz
Asken şu anda SOC 2 Type II veya ISO 27001 sertifikasına sahip değildir. Tamamlamadığımız denetimleri ima etmek yerine bu sayfada somut kontrolleri belgeliyoruz.
Ürün olgunlaştıkça resmi sertifikasyonları değerlendirebiliriz; o zamana kadar tenant izolasyonu, rate limit, yasal versiyonlama ve altyapı uygulamalarını burada ve yasal belgelerde inceleyin.
Şüpheli güvenlik açıklarını iletişim sayfasından "security" konusuyla bildirin — müşteri ve araştırmacılardan iyi niyetli raporları triage ediyoruz.
Güvenlik hakkında sorular
Bu sayfa operasyonel uygulamaları özetler — sözleşmesel SLA değildir. Bağlayıcı şartlar yasal belgelerde ve varsa enterprise anlaşmanızda yer alır.
Güvenliğe özel sorular için iletişim formunda "security" konusunu kullanın (sayfa açıldığında) veya veri sahibi talepleri için KVKK ve gizlilik belgelerindeki kanalları kullanın.
Uygulamalar önemli ölçüde değiştiğinde bu sayfayı güncelleriz — vendor incelemesi için belirli bir tarih özeti gerekiyorsa bize sorun.