Güvenliğe Genel Bakış
FeedbackPulse SaaS, güvenliği birinci öncelik olarak gözetilerek inşa edilmiştir. Bu sayfa, mevcut tüm güvenlik önlemlerini belgeler.
Güvenlik Katmanları
Aktarım Güvenliği
| Özellik | Uygulama |
|---|---|
| HTTPS | SESSION_SECURE_COOKIE=true ve yönlendirme ara katmanıyla uygulandı |
| HSTS | Strict-Transport-Security: max-age=31536000; includeSubDomains |
| Güvenlik Başlıkları | Her yanıtta SecurityHeaders ara katmanı tarafından uygulandı |
Kimlik Doğrulama
| Özellik | Uygulama |
|---|---|
| Şifre Hash'leme | 12 turla Bcrypt |
| İki Faktörlü Kimlik Doğrulama | Kimlik doğrulayıcı uygulamalar aracılığıyla TOTP (Google Authenticator, Authy) |
| Sosyal Giriş | Google ve GitHub ile OAuth2 |
| E-posta Doğrulama | Kontrol paneline erişmeden önce gerekli |
| İmzalı URL'ler | Ekip davetleri için kullanıldı (7 günlük süre) |
| Oturum Şifrelemesi | Oturumlar beklemede şifrelenir |
Yetkilendirme
| Özellik | Uygulama |
|---|---|
| Rol Tabanlı Erişim | 4 rol: superadmin, tenant_admin, tenant_staff, customer |
| Ara Katman Korumaları | Rota düzeyinde erişim kontrolü |
| Kiracı Yalıtımı | Global kapsam, kiracılar arası veri erişimini engeller |
| Plan Tabanlı Kapılar | Abonelik planının arkasında kilitli özellikler |
Uygulama Güvenliği
| Özellik | Uygulama |
|---|---|
| CSRF Koruması | Tüm formlarda Laravel CSRF token'ları (webhook'lar/widget hariç) |
| XSS Önleme | Blade {{ }} otomatik kaçış |
| SQL Enjeksiyonu | Eloquent parametreli sorgular |
| Toplu Atama | Model $fillable beyaz listelemesi |
| Hız Sınırlandırma | Rota başına kısıtlama (5-120 istek/dk) |
API Güvenliği
| Özellik | Uygulama |
|---|---|
| API Anahtarı Hash'leme | SHA256 hash'lenmiş depolama |
| Kiracı Başına Hız Sınırları | Kiracı başına dakikada 60 istek |
| Anahtar Döndürme | Eski anahtarları iptal edin, yeni anahtarlar oluşturun |
| Son Kullanım Takibi | Her kullanımda last_used_at zaman damgası güncellendi |
Veri Güvenliği
| Özellik | Uygulama |
|---|---|
| Hassas Veri Şifreleme | Platform ayarları beklemede şifrelenir |
| GDPR Uyumluluğu | Veri dışa aktarma, silme, anonimleştirme araçları |
| Veri Saklama | Plan saklama politikasına göre eski verileri otomatik silme |
| Denetim Günlüğü | Her önemli eylem, IP ve kullanıcı ajanıyla izlenir |
| CSV Enjeksiyon Önleme | Dışa aktarmalarda formül karakterleri temizlendi |
Webhook Güvenliği
| Özellik | Uygulama |
|---|---|
| HMAC İmzaları | Giden webhook'larda SHA256 imzaları |
| SSRF Koruması | Webhook URL'lerinde localhost, özel IP'leri engeller |
| Stripe Doğrulaması | Webhook imza doğrulaması |
| Olay Tekilleştirme | Olay kimliği takibi aracılığıyla çift işlemeyi önler |
HTTP Güvenlik Başlıkları
SecurityHeaders ara katmanı tarafından uygulandı:
X-Frame-Options: SAMEORIGIN
X-Content-Type-Options: nosniff
X-XSS-Protection: 1; mode=block
Strict-Transport-Security: max-age=31536000; includeSubDomains
Referrer-Policy: strict-origin-when-cross-origin
Content-Security-Policy: [dağıtıma göre yapılandırıldı]