Veri şifreleme
- Rest'te şifreleme. Müşteri verisi, veritabanı volümünü AES-256 ile şifreleyen Supabase Postgres'te bulunur.
- Transit'te şifreleme. Her public endpoint'te (pazarlama sitesi, uygulama, API) TLS 1.3 zorunludur. Daha eski TLS sürümleri Cloudflare edge'inde reddedilir.
- Yedekler. Supabase üzerinden otomatik günlük yedekler, canlı veritabanıyla aynı key envelope ile rest'te şifrelenir.
Authentication
- Sağlayıcı. Supabase projemize karşı çalışan Supabase Auth (GoTrue). Şifreler depolamadan önce bcrypt ile hash'lenir; hiçbir şifre düz metin olarak inmez.
- Şifre kuralları. Minimum 8 karakter, en az bir harf ve bir rakam içermelidir. Have I Been Pwned k-anonymity kontrolü üzerinden yaygın-şifre koruması etkindir.
- Oturumlar. Access token'lar 1-saatlik JWT'lerdir. Refresh token'lar kullanımda rotate olur — bir refresh token tam olarak bir kez kullanılabilir; bu, sızdırılmış bir token'ın blast radius'unu sınırlar.
- Veri kaynaklarında OAuth. Her üçüncü-taraf entegrasyon (AppsFlyer, Google Ads, Meta Ads, RevenueCat, Stripe, Iyzico) OAuth üzerinden bağlanır. Kaynak-hesap şifrelerinizi asla görmez, saklamaz veya loglamayız.
Authorization
- Her tabloda Row Level Security. Şema genelinde Supabase RLS etkindir. Authenticated bir kullanıcının organizasyonuna ait olmayan bir satırı okuyup yazabileceği hiçbir tablo yoktur.
- Organizasyon-kapsamlı politikalar. RLS politikaları her okuma ve her yazmada `organization_id`'ye karşı eşleşir. Kullanıcının JWT'si `organization_id`'sini taşır; veritabanı uygulamayı zorunlu kılar.
- End-user JWT'lerden service-role bypass yok. Service-role anahtarı yalnızca güvenilen sunucu-taraflı worker'larda tutulur, bir tarayıcıya veya kullanıcı-tarafından-verilen JWT'ye asla maruz kalmaz. End-user istekleri service-role erişimine yükselemez.
API anahtarları ve secret'lar
- Depolama. Tüm üçüncü-taraf API anahtarları (Anthropic, Google Ads, Meta Ads, AppsFlyer, RevenueCat, Stripe, Iyzico) environment variable'larda saklanır — pazarlama yüzeyi için Cloudflare Workers secret binding'lerinde, uygulama için backend secret store'umuzda.
- Log yok. API anahtarları asla uygulama loglarına yazılmaz, asla hata mesajlarına serialize edilmez, asla URL'lere gömülmez.
- Rotasyon. Anahtarlar düzenli aralıklarla rotate edilir. Şüpheli her maruziyet, normal döngünün dışında derhal rotasyonu tetikler.
Veri ikameti
Müşteri verisi varsayılan olarak Supabase'in EU bölgesinde (Frankfurt) saklanır. Bölge-içi depolama gerektiren PDPL-hassas müşteriler için (KSA, BAE), talep üzerine uygun bölgede bir Supabase projesi yapılandırabiliriz — bu Enterprise tier onboarding'inin parçasıdır.
Yeni bölgeyi adlandıran açık bir data-processing-agreement eklentisi olmadan müşteri verisini bölgeler arasında taşımayız.
Audit loglama
Müşteri verisine dokunan Madar içindeki her aksiyon bir audit log'a kaydedilir. Üç tablo iz taşır:
- `agent_activities` — AI ajanlarından biri (Oracle, Forge, Sentinel, Curator, Scout, Drafter) tarafından alınan her aksiyon: user_id, organization_id, ajan adı, aksiyon, parametreler, sonuç, timestamp.
- `audits` — çalıştırılan her audit, kimin talep ettiği, hangi veri kaynaklarının alındığı, hangi bulguların üretildiği, ne zaman.
- `briefings` — üretilen her haftalık ve aylık brifing, kimin aldığı, ne zaman teslim edildiği.
Bu tablolar uyum incelemesi için talep üzerine organizasyonunuza sağlanabilir. Müşteri talebi üzerine audit kayıtlarını silmeyiz — hesabın ömrü artı yasal olarak gerekli saklama penceresi boyunca tutulurlar.
Güvenlik açığı bildirimi
Bir şey mi buldunuz? security@madarai.co'ya paylaşabildiğiniz kadar ayrıntıyla email atın — etkilenen URL, yeniden üretim adımları, gözlemlediğiniz etki.
Her bildirimi 48 saat içinde onaylıyor ve sorunu triyaj ettikten sonra bir remediation zaman çizelgesiyle takip ediyoruz. Şu anda parasal ödül sunmuyoruz, ancak raporu düzeltildikten sonra güvenlik sayfamızda adlandırılmaya razı olan araştırmacılara teşekkür ediyoruz.
Henüz yapmadıklarımız
Güvenlik iddiaları yalnızca neyin eksik olduğu konusunda dürüst oldukları sürece faydalıdır. Açık liste burada:
- SOC 2 sertifikasyonu yok. Harici bir denetçi ile SOC 2 Type II için çalışıyoruz; rapor imzalanana kadar sertifikalı olduğumuzu iddia etmiyoruz. Mevcut durum için /trust sayfasına bakın.
- Üçüncü-taraf penetration testing yok. Q3 2026 için planlandı, çoklu-ajan sistem bir pen-test'in hareketli bir hedefi değil gerçek saldırı yüzeyini test edecek kadar stabil olduğunda.
- Bug bounty programı yok. 50 müşteri sonrası planlandı, araştırmacıların ciddiye alacağı payout'ları finanse edecek kadar yeterli yüzey alanımız ve gelirimiz olduğunda. O zamana kadar, security@madarai.co üzerinden güvenlik açığı bildirimi tek yoldur.
- Formal ISMS veya ISO 27001 uyumu yok. SOC 2'den önce roadmap'te değil. Kazanmadığımız hiçbir sertifikayı iddia etmeyiz.
Bu boşluklardan herhangi biri güvenlik incelemeniz için bir blocker ise, bizimle konuşun — burada yayınlanandan genellikle NDA altında daha fazla ayrıntı paylaşabiliriz.