Ana içeriğe atla

Sigmamarkt · Güvenlik

Verileriniz nasıl korunur?

Her hesap, her ödeme, her satış makbuzu — kriptografi ve veritabanı seviyesinde garanti altında. Pazarlama dili değil; sistem garantisi.

  1. 01

    Envelope encryption + KMS

    Her hesap credential'ı (email, şifre, recovery, 2FA seed) uygulama veritabanına yalnızca şifreli yazılır. Şifreleme anahtarı kendisi de bir master key ile şifreli (envelope). Master key, uygulama sunucusunda asla bulunmaz; harici bir Key Management Service'te (KMS) saklanır. Decrypt çağrısı yalnızca işlem anında, denetlenmiş bir kanal üzerinden çağrılır.

  2. 02

    Her tabloda Row Level Security

    Postgres seviyesinde RLS policy'leri etkin. Bir kullanıcı, kendi olmayan hiçbir satıra erişemez — uygulama bug'ı olsa bile veritabanı doğrudan reddeder. Bu, defansif programlamadan daha güçlü bir garantidir: hata zinciri kırılır.

  3. 03

    Para hareketi ACID transaction'ında

    Escrow, ledger ve audit_log girişleri — para hareketinin üç ayağı — aynı veritabanı transaction'ında yazılır. İkisi yazılıp üçüncüsü düşemez; ya hepsi commit olur ya da hepsi rollback. Tutarsız bir 'ödendi ama log yok' veya 'log var ama escrow boş' durumu yaratılamaz.

  4. 04

    Audit log eksiksiz ve imzalı

    Vault credential erişimi, payout çağrısı, dispute kararı, Hand-off ceremony geçişi — her biri imzalı bir audit log girişi üretir. Geri dönülebilir, hash'lenmiş, sıralı. Bu log moderatörler için bile read-only.

  5. 05

    HMAC zincirli provenance

    Her satış makbuzu, önceki satışın imzasıyla zincirlenir — Bitcoin'in blok zinciri sezgisinde, ama düşük throughput'ta. Bu sayede hiçbir satış geçmişi sessizce yeniden yazılamaz: zincir kırılırsa hemen görünür.

  6. 06

    Şeffaf yaptırım

    Bir hesap askıya alınırsa sebep audit log'a yazılır ve kullanıcıya görünür kılınır. Gerekçesiz ban yok. Karara itiraz yolu açık — denetim mekanizması iç değil, yarı-bağımsız bir hat üzerinden işler.

Şeffaflık notu

Açık kaynak değiliz — ama denetim verileri açık olacak.

Lansman sonrası (Faz 7) bağımsız üçüncü taraf güvenlik denetim raporları publish edilecek. Bunlar dahil: penetration testi, dependency CVE taraması, secret-rotation rapor. Kod tabanı kapalı kalır; sonuçlar açık.

Hukuki çerçeve

Veri işleme süreçleri KVKK + GDPR uyumlu. Toplanan/saklanan veri minimumdadır — neyi neden tuttuğumuzu Privacy Policy'de tek tek listeleriz.

Gizlilik Politikası →