Güvenlik
Güvenliği bir uyumluluk kutusu olarak değil, bir mühendislik sorumluluğu olarak ele alıyoruz. Aşağıdaki kontroller bugün üretimde.
- SOC 2 Type II — harici bir denetçiyle sürüyor. Rapor imzalanana kadar sertifikalı olduğumuzu iddia etmiyoruz.
- Tüm müşteri verisi her satırda row-level security olan Supabase Postgres'te. Bir kullanıcının auth context'i hangi satırları okuyup yazabileceğini belirler — RLS'i atlayan bir süper-kullanıcı code path'i yoktur.
- Her public surface'te transit şifreleme (TLS 1.3). Veritabanı ve storage katmanında platform sağlayıcısı aracılığıyla rest'te şifreleme.
- Anthropic, prompt'ları bizim adımıza işler. Verileriniz hiçbir modelin eğitiminde kullanılmaz; production trafiği için zero-data-retention enterprise kaydını talep ettik, doğrulama beklemede.
- Secret'lar Cloudflare Workers secret binding'lerinde saklanır — asla kod veya istemci-okunabilir storage'da değil.
- Tüm authentication mevcut kimlik sağlayıcılarınıza karşı OAuth-only — Madar AppsFlyer, RevenueCat, Meta, Google veya başka herhangi bir source hesabınızın şifresini asla tutmaz.
Gizlilik
Madar AI KVKK (Türkiye), PDPL (Suudi Arabistan + UAE) ile uyumlu olacak şekilde tasarlanmıştır ve varsayılan olarak GDPR-hazırdır. Bu rejimler ayrıştığında, geçerli en katı standardı uygulamayı hedefliyoruz.
- Veri sahibi hakları — erişim, düzeltme, silme, taşınabilirlik — talep üzerine kullanılabilir. team@madarai.co'ya email yazın; 30 gün içinde yanıtlarız, çoğu durumda daha hızlı.
- Müşteri verisini satmayız, paylaşmayız veya kiralamayız. Nokta.
- Authenticated ürün yüzeylerinde üçüncü-taraf reklam takip araçları veya session-replay araçları çalıştırmayız.
- Veri ikameti: üretim verisi müşterilerimizin uyumluluk duruşunu karşılayan bölgelerde barındırılır. PDPL-hassas müşteriler için talep üzerine Suudi-bölge veri ikametini görüşebiliriz.
- Sub-processor değişiklikleri her hesap kontağına yürürlüğe girmeden en az 30 gün önce email ile duyurulur, itiraz hakkıyla.
Sub-processor'lar
Müşteri verisini bizim adımıza işleyen üçüncü tarafların kesin listesi, her birinin amacıyla birlikte.
| Supabase | Birincil veritabanı (Postgres) ve authentication | EU + talep üzerine bölgesel |
| Railway | Uzun süreli analiz işleri için backend compute | EU / US |
| Cloudflare | CDN, edge worker'lar, DNS, DDoS koruması | Global edge |
| Anthropic | LLM inference (ZDR enrollment requested) | US |
| OpenAI | Semantic search için embedding'ler (ZDR enrollment requested) | US |
| Resend | İşlemsel email (audit raporları, uyarılar, hesap) | EU / US |
Olay yanıtı
Verilerinizi etkileyen bir güvenlik olayı tespit edersek, etkilenen hesapları onaydan sonra 72 saat içinde bilgilendiririz. Bildirim şunları içerecek: ne oldu, hangi veri etkilendi, ne yaptık ve sizden ne yapmanızı istiyoruz.
Olay kanalımız mühendislik ekibi tarafından izlenir ve hızla triyaj edilir. Bir güvenlik açığı veya şüpheli bir olayı bildirmek için, 'security' konu satırıyla team@madarai.co'ya email yazın — anında ekibe yönlendirilir.