Security

Trust-first, səhifə deyil mədəniyyət.

Təhlükəsizlik bir checkbox deyil — hər kodun bir hissəsi. Burada necə işlədiyimizi, hansı sertifikatlarımız olduğunu və zəifliyi necə bildirə biləcəyinizi izah edirik.

Prinsiplər

Hər yerdə şifrələmə

Məlumatlar həm tranzitdə, həm istirahətdə müasir standartlarla şifrələnir. Şifrəli off-site backup-lar sənədli geri dönmə hədəfləri ilə.

Minimum giriş prinsipi

Hər mühəndis yalnız öz işi üçün lazımi rolu alır. Production access məcburi MFA + audit.

Audit loglar

Hər admin əməliyyatı 90 gün immutable log-da. Anomaliya hadisələri real-time monitorlanır.

İzole infrastruktur

Şəbəkə səviyyəsində izolyasiya, müasir web application firewall + IP reputasiya filtrləməsi, yalnız HTTPS public expose.

Secret hygiene

Bütün secret-lər env vault-da, kod içində yoxdur. Rotation 90 gündə bir.

Backup + recovery

Hardened managed databases gündəlik snapshot ilə. Şifrəli off-site backup, RPO ≤ 1 saat, sənədli RTO.

Uyğunluq

GDPRTətbiq olunur
Azərbaycan Şəxsi Məlumatlar QanunuTətbiq olunur
OWASP Top 10İllik audit
SOC 2 Type I2026 dördüncü rüb (planlaşdırılır)

Audit + monitoring

Illik penetrasiya testi Planlaşdırılır — kənar müstəqil təhlükəsizlik şirkəti tərəfindən; 2026 il ərzində tətbiq olunacaq.
Host integrity monitoring Tətbiq edilir — host bütövlüyü və intrusion detection; tam 24/7 əhatə konfiqurasiya mərhələsindədir.
Production-grade error tracking — xətalar real-time, secrets avtomatik redaction.
IP reputasiya + abuse filtrləmə — kollektiv threat intel; abuse IP-lər avtomatik bloklanır.

Bug bounty

Zəiflik tapdın? — mükafat var.

P0 (RCE, data leak): 1,500 AZN-ə qədər. P1 (auth bypass): 800 AZN. P2: 300 AZN. Etibarlı disclosure üçün hall of fame.

Zəifliyi bildirməzdən əvvəl Vulnerability Disclosure Policy-i oxuyun: qəbul edilən əhatə, istisna sistemlər, tədqiqat qaydaları və mükafat ödəmə şərtlərini əhatə edir.

security@community.tur.al