Güvenlik

Kurumsal Düzeyde Güvenlik

Son güncelleme: Mart 2026

CYNTMS, güvenliği sonradan eklenen bir özellik olarak değil, temel bir gereksinim olarak ele alınarak geliştirilmiştir. Platformun her katmanı — kimlik doğrulamadan veri depolamaya kadar — iş verilerinizi korumak için tasarlanmıştır.

Uygulama Güvenliği

Kimlik Doğrulama & Erişim Kontrolü

Parolalar, 10+ maliyet faktörü ile bcrypt kullanılarak hashlenir. Düz metin parolalar asla saklanmaz veya günlüğe kaydedilmez.
Rol Tabanlı Erişim Kontrolü (RBAC): Yönetici, Standart Kullanıcı ve Ortak Portalı rolleri, zorunlu izin sınırlarıyla kesin olarak ayrılmıştır.
Güvenli httpOnly oturum çerezleri, istemci tarafı betik erişimini engeller. Oturumlar, oturum sabitleme saldırılarını önlemek için her girişte yeniden oluşturulur.
Kaba kuvvet saldırılarını azaltmak için tekrarlanan başarısız giriş denemelerinden sonra hesap kilitleme uygulanır.

Enjeksiyon Önleme

SQL Enjeksiyonu: Tüm veritabanı sorguları parametrelenmiş girdilerle PDO prepared statements kullanır. Ham SQL birleştirmesine izin verilmez.
Çapraz Site Betik Çalıştırma (XSS): Tüm kullanıcı çıktıları ENT_QUOTES bayrağıyla htmlspecialchars() kullanılarak kaçırılır.
Çapraz Site İstek Sahteciliği (CSRF): Tüm POST isteklerinde kriptografik rastgele tokenlar doğrulanır.

OWASP İlk 10 Kapsamı: CYNTMS; enjeksiyon, bozuk kimlik doğrulama, hassas veri ifşası, XML harici varlıklar, bozuk erişim kontrolü, güvenlik yanlış yapılandırması, XSS, güvensiz serileştirme, savunmasız bileşenler ve yetersiz günlükleme dahil olmak üzere tüm OWASP İlk 10 güvenlik açığını azaltır.

HTTP Güvenlik Başlıkları

X-Content-Type-Options: nosniff — MIME türü algılamasını önler
X-Frame-Options: DENY — iframe gömme yoluyla tıklama hırsızlığını önler
X-XSS-Protection: 1; mode=block — Tarayıcı XSS filtrelemesini etkinleştirir
Referrer-Policy: strict-origin-when-cross-origin — Yönlendiren bilgi sızıntısını kontrol eder
Permissions-Policy — Tarayıcı özellik erişimini kısıtlar (kamera, mikrofon, konum)
Content-Security-Policy (CSP) — Enjeksiyon saldırılarını önlemek için kaynak yükleme kökenlerini kısıtlar

Altyapı Güvenliği

Veri Şifreleme

Aktarım halindeki tüm veriler TLS 1.2/1.3 şifreleme ile korunur. Beklemedeki hassas veriler şifreli depolama mekanizmaları kullanılarak saklanır. SSL sertifikaları otomatik yenileme ile tüm uç noktalarda zorunlu kılınmıştır.

Sunucu Güçlendirme

Bilgi sızıntısını önlemek için üretim ortamlarında PHP hata gösterimi devre dışı bırakılmıştır.
Sunucu dosya yapılarının yetkisiz taranmasını önlemek için dizin listeleme devre dışı bırakılmıştır.
Dosya yükleme doğrulaması, katı tür denetimi, boyut sınırları ve dosya adı temizleme uygular.
Veritabanı kimlik bilgileri asla istemci tarafı kodunda veya genel erişime açık dizinlerde ifşa edilmez.

Yedekleme & Kurtarma

Standart lisanslar için 30 günlük saklama süresiyle günlük otomatik yedeklemeler. Kurumsal lisanslar 90 günlük saklama süresini içerir.
Haftalık bütünlük doğrulaması, yedekleme tutarlılığını ve kurtarılabilirliğini sağlar.
Felaket kurtarma prosedürleri belgelenir ve üç ayda bir test edilir.

Denetim Günlüğü

CYNTMS, platform genelindeki tüm güvenlikle ilgili olayları kaydeden kapsamlı denetim günlükleri tutar:

IP adresi ve zaman damgasıyla tüm giriş ve çıkış olayları
Finansal belgeler üzerindeki tüm CRUD işlemleri (faturalar, makbuzlar, ortak kredileri)
Kaynak IP takibiyle başarısız kimlik doğrulama girişimleri
Yönetimsel yapılandırma değişiklikleri
PDF oluşturma ve belge dışa aktarma olayları

Günlükler değiştirilemez (yalnızca ekleme) ve değiştirilemez veya silinemez. Tüm denetim günlükleri en az 12 ay süreyle saklanır.

Olay Müdahalesi

GDPR Madde 33 uyarınca, doğrulanmış bir veri ihlalinden itibaren 72 saat içinde bildirim.
Kök neden analizi, etki değerlendirmesi ve iyileştirme adımlarını içeren tam olay raporu 14 gün içinde teslim edilir.
Etkilenen kullanıcılar, koruyucu önlemler hakkında açık rehberlik ile bireysel olarak bilgilendirilir.

Bir güvenlik açığını bildirmek için info@cyntourism.info adresinden bizimle iletişime geçin.

Sorumlu Açıklama

Güvenlik araştırma topluluğuna değer veriyoruz. Potansiyel bir güvenlik açığı keşfederseniz, herhangi bir kamuya açıklama yapmadan önce info@cyntourism.info adresinden bizimle özel olarak iletişime geçerek sorumlu bir şekilde açıklamanızı rica ederiz. Raporunuzu 48 saat içinde kabul etmeyi, sorunu anlamak ve çözmek için sizinle birlikte çalışmayı ve sorumlu açıklama uygulamalarını takip eden araştırmacıları tanımayı taahhüt ediyoruz.

Uyumluluk & Sertifikalar

CYNTMS, sektörde tanınan güvenlik standartları ve düzenleyici gereksinimlerle uyumlu olarak tasarlanmış ve işletilmektedir:

TURSAB Sertifikalı GDPR Uyumlu OWASP İlk 10 TLS 1.3 bcrypt Kimlik Doğrulama CSRF Koruması Parametreli SQL XSS Temizlenmiş

Ayrıntılı uyumluluk belgeleri için Uyumluluk sayfamızı ziyaret edin.