Kurumsal Düzeyde Güvenlik

Güvenlik ve Uyumluluk

Veri güvenliğiniz önceliğimizdir. Magia Menu, kurumsal düzeyde güvenlik ve uluslararası standartlara uyumluluk ile oluşturulmuştur.

Kapsam ve Sorumluluk

Magia Menu belirli guvenlik alanlarindan sorumluyken, mekanlar kendi islemlerini yonetir.

Magia Menu Sorumluluklari

  • Platform altyapisi ve API guvenligi
  • Kullanici hesabi korumalari ve kimlik dogrulama
  • Odeme isleme entegrasyonu (PCI-uyumlu saglayicilar araciligiyla)
  • Uygulama duzeyinde guvenlik kontrolleri
  • Olay izleme ve mudahale

Mekan Sorumluluklari

  • Kendi admin hesap guvenligi
  • Personel erisim yonetimi
  • Yerel ag guvenligi
  • Odeme terminali guvenligi (varsa)
  • Musteri veri isleme uyumlulugu

Kanitlar ve Yapitlar

Talepler dogrultusunda guvenlik dokumantasyonu ve uyumluluk kanitlari saglayabiliriz.

Sertifikalar ve Politikalar

Uyumluluk Standartları

Her standart için ayrıntılı belgeleri görüntülemek için tıklayın

GDPR

AB Genel Veri Koruma Yönetmeliği ile tam uyumluluk

Gizlilik Politikasını Görüntüle

Veri Saklama

Verilerinizi ne kadar süre sakladığımıza dair açık politikalar

Politikayı Görüntüle

PCI DSS

Ödeme verileri sertifikalı Seviye 1 sağlayıcı tarafından işlenir (Iyzico)

Doğrulandı

TLS 1.3

Tüm veriler en son protokollerle aktarım sırasında şifrelenir

Aktif
PCI DSS SAQ-A Modeli

Magia Menu, odeme islemlerini tamamen PCI DSS sertifikali ucuncu taraf saglayicilara devretmek icin SAQ-A uyumluluk modelini kullanir.

Nasil Calisir

  • 1
    Kart bilgileri dogrudan odeme saglayicisina gider
  • 2
    Magia Menu sunuculari hicbir zaman kart numaralarini gormez veya saklamaz
  • 3
    Tum odeme islemleri saglayicinin guvenli ortaminda gerceklesir
  • 4
    Sadece islem referanslari (tokenlar) sistemimizdedir

Odeme Saglayicilarimiz

Kaspi Pay, Halyk Bank ve diger bolgesel PCI DSS uyumlu saglayicilarla calisiyoruz.

GDPR Rolleri

Veri Sorumlusu

Magia Menu, platform hizmetleri icin veri islemede veri sorumlusu olarak hareket eder. Kullanici verilerinin nasil islenmesi gerektigini belirleriz.

Veri Isleyen

Mekanlar icin siparis verileri islerken, mekanin talimatlarini yerine getiren veri isleyicisi olarak hareket ederiz.

Veri Isleme Sozlesmesi

Isletme hesaplari icin, GDPR gereksinimlerini karsilayan kapsamli Veri Isleme Sozlesmeleri sunuyoruz.

Veri Sahibi Hakları

GDPR kapsamında verilerinizle ilgili kapsamlı haklara sahipsiniz.

Not: Gösterilen SLA süreleri iç hedeflerimizdir. GDPR yasal maksimum süresi tüm DSAR talepleri için 30 gün olup, karmaşık durumlar için 90 güne uzatılabilir.

Erişim Hakkı

30 gün (yasal)

Hakkınızdaki tüm verilerin kopyasını isteyin

Düzeltme Hakkı

7 gün (hedef)

Yanlış verilerin düzeltilmesini isteyin

Silme Hakkı

30 gün (yasal)

Verilerinizin silinmesini isteyin

Veri Taşınabilirliği

30 gün (yasal)

Verilerinizi makine tarafından okunabilir formatta alın

Talep Nasıl Yapılır

Uygulamadaki profil ayarlarınız üzerinden veya magiamenu@gmail.com adresine e-posta göndererek talep yapabilirsiniz.

Guvenlik Uygulamalari

OWASP ilkeleri ve endustri en iyi uygulamalarina dayanan guvenlik onlemleri uyguluyoruz.

Not: Herhangi bir resmi sertifikaya sahip oldugumuz iddiasindan ziyade, endustri tarafindan taninan metodolojilere dayanan guvenlik uygulamalarini benimsedigimizi belirtiyoruz.

Kimlik Dogrulama

  • JWT tokenlari httpOnly cerezlerde
  • OAuth 2.0 sosyal giris
  • Guvenli oturum yonetimi

Veri Koruma

  • Aktarimda TLS 1.3 sifreleme
  • Duran veriler icin AES-256
  • PII icin alan duzeyinde sifreleme

API Guvenligi

  • Kimlik dogrulama uzerinde hiz sinirlamasi
  • Giris dogrulama
  • CORS korumasi
Koruma Önlemleri

Verilerinizi Nasıl Koruyoruz

Şifreli Veri Depolama

Tüm veriler AES-256 şifreleme kullanılarak depolanır. Bilgileriniz depolama sırasında bile korunur.

TLS 1.3 Şifreleme

Aktarımdaki tüm veriler en son TLS 1.3 şifreleme protokolü ile korunur.

Erişim Kontrolleri

Rol tabanlı erişim kontrolü, yalnızca yetkili personelin hassas verilere erişmesini sağlar.

Düzenli Yedeklemeler

30 günlük saklama süreli otomatik günlük yedeklemeler verilerinizin asla kaybolmamasını sağlar.

7/24 İzleme

Sürekli güvenlik izleme ve şüpheli aktiviteler için anında uyarılar.

Olay Müdahalesi

Belgelenmiş olay müdahale prosedürleri ile özel güvenlik ekibi.

Erişim Kontrol Sistemi

Magia Menu, mekanların ihtiyaçlarına göre özel roller tanımlayabildiği esnek bir rol tabanlı erişim kontrolü (RBAC) sistemi kullanır.

Platform Rolleri

Sahip

Mekan yönetimi, personel, ayarlar, raporlar ve faturalandırmaya tam erişim

Misafir

Menülere göz atabilir, sipariş verebilir ve kendi sipariş geçmişini görüntüleyebilir

Özel Mekan Rolleri

Mekan sahipleri ayrıntılı izinlerle sınırsız özel rol oluşturabilir. Örnekler:

  • Yönetici - faturalandırma hariç tam mekan erişimi
  • Garson - siparişler ve masalar
  • Şef - sadece mutfak siparişleri
  • Tasarımcı - sadece marka ayarları
  • Kasiyer - ödemeler ve fişler

Tüm izin değişiklikleri güvenlik denetimi için kaydedilir.

Yedekleme ve Felaket Kurtarma

RPO (Kurtarma Noktası Hedefi)

24 saat

Maksimum veri kaybı günlük yedekleme aralığına eşittir

RTO (Kurtarma Süresi Hedefi)

4 saat

Felaket sonrası hizmeti geri yükleme hedef süresi

Yedekleme Programı

TypeScheduleRetentionEncrypted
Günlük Yedeklemeler03:00 UTC30 gün
Haftalık YedeklemelerPazar 04:00 UTC12 hafta
Aylık YedeklemelerAyın 1'i 05:00 UTC3 ay

Kurtarma Testi

Yedek bütünlüğü oluşturma sırasında doğrulanır. Tam geri yükleme testi büyük güncellemelerden önce yapılır.

Vulnerability Disclosure Policy

Report security vulnerabilities responsibly

Ödeme Güvenliği

Ödeme kartı bilgilerinizi asla saklamıyoruz. Tüm ödeme işlemleri PCI DSS Seviye 1 sertifikalı sağlayıcı tarafından gerçekleştirilir:

Iyzico

Güvenlik Soruları mı Var?

Güvenlik endişeleriniz varsa veya bir güvenlik açığı bildirmek istiyorsanız, güvenlik ekibimiz yardıma hazır.

Güvenlik Ekibiyle İletişime Geçin