# SSL VE GÜVENLİK POLİTİKASI

MADDE 1 – GÜVENLİK TAAHHÜDÜ
1.1. İŞLETİCİ; PLATFORM'u kullanan ziyaretçilerin ve üyelerin kişisel verilerini, ödeme bilgilerini ve tüm iletişim içeriklerini en üst düzeyde güvence altına almayı taahhüt eder.
1.2. Bu politika kapsamındaki güvenlik önlemleri, PLATFORM'un tüm sayfaları ve hizmetleri için geçerlidir.

MADDE 2 – SSL/TLS ŞİFRELEME
2.1. PLATFORM üzerindeki tüm veri iletimi, endüstri standardı 256-bit SSL/TLS (Secure Sockets Layer / Transport Layer Security) şifreleme protokolü ile korunmaktadır.
2.2. Kullanıcılar, tarayıcı adres çubuğundaki kilit simgesi ve "https://" önekiyle bağlantının şifreli olduğunu doğrulayabilir.
2.3. PLATFORM, güncel ve geçerli SSL/TLS sertifikası kullanır; sertifika periyodik olarak yenilenerek sürekli aktifliği sağlanır.

MADDE 3 – ÖDEME GÜVENLİĞİ
3.1. PLATFORM, kredi kartı veya banka kartı bilgilerini kendi sunucularında kayıt altına almaz; saklamamaktadır.
3.2. Tüm ödeme işlemleri, Bankacılık Düzenleme ve Denetleme Kurumu (BDDK) tarafından lisanslanmış yetkili ödeme hizmeti sağlayıcısının güvenli altyapısı üzerinden gerçekleştirilir.
3.3. Kartlı ödemelerde 3D Secure (3DS) doğrulama sistemi uygulanır; ALICI, bankasından gelen tek kullanımlık şifreyle kimliğini doğrular.
3.4. Ödeme sayfaları PCI-DSS (Payment Card Industry Data Security Standard) uyumlu altyapı üzerinde barındırılmaktadır.

MADDE 4 – PCI-DSS UYUMLULUĞU
4.1. PLATFORM'un ödeme altyapısı, uluslararası ödeme kartı güvenliği standartları olan PCI-DSS gereksinimlerini karşılayan yetkili servis sağlayıcılar aracılığıyla hizmet vermektedir.
4.2. Bu standart; kart sahibi verilerinin iletimi, işlenmesi ve saklanmasına dair kapsamlı güvenlik gerekliliklerini içermektedir.

MADDE 5 – SUNUCU VE AĞ KORUMALARI
5.1. PLATFORM sunucuları; güvenlik duvarları (firewall), izinsiz giriş tespit sistemleri (IDS) ve izinsiz giriş önleme sistemleri (IPS) ile donatılmıştır.
5.2. Olağandışı trafik örüntüleri anlık olarak izlenir; şüpheli faaliyetler otomatik uyarı sistemleriyle tespit edilir.
5.3. Sunucular, ISO 27001 sertifikalı veya eşdeğer güvenlik standartlarını karşılayan veri merkezlerinde barındırılmaktadır.

MADDE 6 – ŞİFRE GÜVENLİĞİ
6.1. PLATFORM'da kullanıcı şifreleri, geri döndürülmesi mümkün olmayan modern hash algoritmaları (bcrypt, Argon2 veya SHA-256 + salt gibi) kullanılarak saklanır.
6.2. PLATFORM yöneticileri dahil hiçbir çalışan kullanıcı şifrelerini açık metin olarak göremez.
6.3. Kullanıcılara en az 8 karakter uzunluğunda, büyük/küçük harf ile rakam içeren güçlü şifre oluşturmaları tavsiye edilir.

MADDE 7 – ERİŞİM YETKİLENDİRMESİ
7.1. PLATFORM altyapısına ve kullanıcı verilerine erişim, yalnızca yetkili teknik personelle sınırlandırılmıştır.
7.2. Erişim yetkileri; göreve ve sorumluluk alanına göre belirlenmiş rol bazlı yetki matrisi ile yönetilir.
7.3. Personel değişikliklerinde erişim yetkileri derhal güncellenir veya iptal edilir.

MADDE 8 – LOGLAMA VE İZLEME
8.1. PLATFORM'daki tüm teknik erişim ve işlemler, 5651 Sayılı Kanun ve ilgili mevzuat gereğince log kayıtlarına alınmaktadır.
8.2. Log kayıtları yetkisiz erişime karşı güvenli ortamda saklanır ve yasal saklama süresi boyunca muhafaza edilir.
8.3. Anormal giriş denemeleri, kaba kuvvet saldırıları ve şüpheli davranışlar otomatik olarak tespit edilerek engellenir.

MADDE 9 – GÜVENLİK TARAMALARI VE TESTLER
9.1. PLATFORM altyapısı, potansiyel güvenlik açıklarını tespit etmek amacıyla periyodik zafiyet taramalarından geçirilmektedir.
9.2. Kritik güncellemeler ve güvenlik yamaları en kısa sürede uygulanır.
9.3. Düzenli aralıklarla yetkili güvenlik uzmanlarınca sızma (penetrasyon) testleri yaptırılır.

MADDE 10 – VERİ YEDEKLEME VE İŞ SÜREKLİLİĞİ
10.1. PLATFORM verileri; veri kaybı riskini en aza indirgemek amacıyla otomatik yedekleme sistemleriyle düzenli aralıklarla yedeklenmektedir.
10.2. Yedekler, asıl sunuculardan bağımsız güvenli ortamlarda saklanır.
10.3. Olası sistem arızalarında veriler yedeklerden geri yüklenebilir; bu sayede iş sürekliliği sağlanır.

MADDE 11 – PHISHING VE SOSYAL MÜHENDİSLİK KORUMALARI
11.1. PLATFORM; alan adı koruma mekanizmaları ve e-posta doğrulama protokolleri (SPF, DKIM, DMARC) kullanarak kimlik avı girişimlerine karşı önlem almaktadır.
11.2. İŞLETİCİ; KULLANICILARA şifre, kart bilgisi veya kimlik bilgisi talep eden telefon, SMS veya e-posta göndermez. Bu tür iletişimler sahte olup KULLANICININ bu tür taleplere yanıt vermemesi tavsiye edilir.

MADDE 12 – TARAYICI VE CİHAZ GÜVENLİĞİ
12.1. Güvenli bir alışveriş deneyimi için KULLANICILAR; güncel tarayıcı sürümleri kullanmaları, işletim sistemi ve güvenlik yazılımlarını güncel tutmaları ve genel/ortak bilgisayarlardan işlem yapmaktan kaçınmaları konusunda bilgilendirilir.
12.2. PLATFORM; HTTP Strict Transport Security (HSTS), Content Security Policy (CSP) ve benzeri modern web güvenlik başlıklarını desteklemektedir.
12.3. Kullanıcının kendi cihazının ve ağının güvenliğinin sağlanması kullanıcının sorumluluğundadır.

MADDE 13 – OTURUM YÖNETİMİ
13.1. Kullanıcı oturumları belirli bir süre işlem yapılmaması halinde otomatik olarak sonlandırılır.
13.2. Tarayıcı kapatıldığında oturum çerezleri silinir.
13.3. Aynı hesaba aynı anda birden fazla aktif oturum açılması tespit edildiğinde KULLANICI bildirim alır.

MADDE 14 – VERİ MERKEZİ GÜVENLİĞİ
14.1. PLATFORM'un sunucuları; 7/24 güvenlik personeli, biyometrik erişim kontrolü ve kamera sistemleri ile donatılmış fiziksel güvenli veri merkezlerinde barındırılmaktadır.
14.2. Veri merkezleri; yangın söndürme, kesintisiz güç kaynağı (UPS) ve yedek jeneratör sistemleriyle desteklenmektedir.

MADDE 15 – GÜVENLİK İHLALİ MÜDAHALESI
15.1. Olası bir güvenlik ihlalinin tespit edilmesi durumunda etkilenen sistem bölümleri derhal izole edilerek incelemeye alınır.
15.2. İhlalden etkilendiği değerlendirilen KULLANICILAR, Gizlilik Politikası'nın 19. maddesi hükümleri çerçevesinde gecikmeksizin bilgilendirilir.
15.3. Kişisel veri ihlali niteliği taşıyan olaylar, yasal süre içinde Kişisel Verileri Koruma Kurulu'na bildirilir.

MADDE 16 – ÜÇÜNCÜ TARAF HİZMET GÜVENLİĞİ
16.1. PLATFORM'un ödeme, kargo takip ve analitik gibi işlevler için entegrasyon yaptığı üçüncü taraf hizmet sağlayıcıların güvenlik standartları düzenli olarak değerlendirilmektedir.
16.2. Üçüncü taraf sağlayıcılarla imzalanan sözleşmelerde veri güvenliği yükümlülükleri ayrıca düzenlenir.

MADDE 17 – PERSONEL EĞİTİMİ VE FARKINDALIK
17.1. PLATFORM'a erişim yetkisi bulunan tüm teknik ve operasyonel personel, bilgi güvenliği ve kişisel verilerin korunması konularında periyodik eğitimler almaktadır.
17.2. Gizlilik ve güvenlik taahhütnameleri, personelden istihdam başlangıcında alınır.

MADDE 18 – KULLANICI BİLGİLENDİRME SORUMLULUĞU
18.1. İŞLETİCİ; güvenlik önlemlerini sürekli geliştirmekle birlikte, güvenli bir alışveriş ortamı için KULLANICILARIN da kendi cihaz ve hesap güvenliğine dikkat etmesi gerektiğini hatırlatır.
18.2. Hesabında şüpheli bir aktivite fark eden KULLANICI, durumu derhal İŞLETİCİ'ye bildirmelidir.

MADDE 19 – POLİTİKA GÜNCELLEMELERİ
19.1. İŞLETİCİ; teknolojik gelişmelere, mevzuat değişikliklerine ve güvenlik tehditlerine bağlı olarak bu politikayı dilediği zaman güncelleme hakkını saklı tutar.
19.2. Önemli güncellemeler PLATFORM üzerinden KULLANICILARA duyurulur.

MADDE 20 – YÜRÜRLÜK
20.1. İşbu politika PLATFORM'da yayınlandığı tarihten itibaren yürürlüğe girer ve yeni bir versiyon yayınlanana dek geçerliliğini korur.