Sigmamarkt · Güvenlik
Verileriniz nasıl korunur?
Her hesap, her ödeme, her satış makbuzu — kriptografi ve veritabanı seviyesinde garanti altında. Pazarlama dili değil; sistem garantisi.
- 01
Envelope encryption + KMS
Her hesap credential'ı (email, şifre, recovery, 2FA seed) uygulama veritabanına yalnızca şifreli yazılır. Şifreleme anahtarı kendisi de bir master key ile şifreli (envelope). Master key, uygulama sunucusunda asla bulunmaz; harici bir Key Management Service'te (KMS) saklanır. Decrypt çağrısı yalnızca işlem anında, denetlenmiş bir kanal üzerinden çağrılır.
- 02
Her tabloda Row Level Security
Postgres seviyesinde RLS policy'leri etkin. Bir kullanıcı, kendi olmayan hiçbir satıra erişemez — uygulama bug'ı olsa bile veritabanı doğrudan reddeder. Bu, defansif programlamadan daha güçlü bir garantidir: hata zinciri kırılır.
- 03
Para hareketi ACID transaction'ında
Escrow, ledger ve audit_log girişleri — para hareketinin üç ayağı — aynı veritabanı transaction'ında yazılır. İkisi yazılıp üçüncüsü düşemez; ya hepsi commit olur ya da hepsi rollback. Tutarsız bir 'ödendi ama log yok' veya 'log var ama escrow boş' durumu yaratılamaz.
- 04
Audit log eksiksiz ve imzalı
Vault credential erişimi, payout çağrısı, dispute kararı, Hand-off ceremony geçişi — her biri imzalı bir audit log girişi üretir. Geri dönülebilir, hash'lenmiş, sıralı. Bu log moderatörler için bile read-only.
- 05
HMAC zincirli provenance
Her satış makbuzu, önceki satışın imzasıyla zincirlenir — Bitcoin'in blok zinciri sezgisinde, ama düşük throughput'ta. Bu sayede hiçbir satış geçmişi sessizce yeniden yazılamaz: zincir kırılırsa hemen görünür.
- 06
Şeffaf yaptırım
Bir hesap askıya alınırsa sebep audit log'a yazılır ve kullanıcıya görünür kılınır. Gerekçesiz ban yok. Karara itiraz yolu açık — denetim mekanizması iç değil, yarı-bağımsız bir hat üzerinden işler.
Şeffaflık notu
Açık kaynak değiliz — ama denetim verileri açık olacak.
Lansman sonrası (Faz 7) bağımsız üçüncü taraf güvenlik denetim raporları publish edilecek. Bunlar dahil: penetration testi, dependency CVE taraması, secret-rotation rapor. Kod tabanı kapalı kalır; sonuçlar açık.
Hukuki çerçeve
Veri işleme süreçleri KVKK + GDPR uyumlu. Toplanan/saklanan veri minimumdadır — neyi neden tuttuğumuzu Privacy Policy'de tek tek listeleriz.
Gizlilik Politikası →