1. Güvenlik

Güvenlik

Kişisel verilerinizin güvenliği, Flo için her şeyden önce gelir. Uygulamadaki profilinizin son derece hassas kişisel veriler içerebileceğini anlıyoruz. Bu nedenle, sektördeki en iyi uygulamaları ve standartları uygulamak için elimizden geleni yapıyoruz.
Yasalara uygunluk
Flo; AB Genel Veri Koruma Yönetmeliği, California Tüketici Gizlilik Yasası ve diğer yönetmeliklerin gereksinimlerine uygun olarak güvenliğinize ve kişisel verilerinizin korunmasına büyük önem verir.
Üçüncü taraf denetlemeleri
Dahili güvenlik süreçlerimizi ve politikalarımızı izleyerek güçlendirmek amacıyla, tanınmış üçüncü taraf ajansların desteğiyle düzenli denetlemeler gerçekleştiririz.
Fiziksel güvenlik ve ortam güvenliği
Flo; fiziksel güvenlik, ortam güvenliği ve barındırma kontrolleri konusunda sektördeki en yüksek standartlarla uyumludur. Amazon Web Services tarafından işletilen Flo veri merkezleri, en yeni mimari ve mühendislik yaklaşımlarının avantajlarından yararlanır.
Ürün güvenliği
Sunucular ve ağ hizmetleri

Tüm üretim ortamımızı Amazon Web Services üzerinde barındırıyoruz. AWS; uygulamamız için güvenli, yüksek performanslı, dayanıklı ve verimli bir altyapı kurmamıza yardımcı olur. Tasarımı gereği güvenli olan AWS veri merkezleri SOC 1, SOC 2 ve SOC 3 sertifikalarına sahiptir. Tüm üretim sunucularımız kesintisiz çalışan ve sürekli olarak yamalanan Docker tabanlı sistemlerdir. Ayrıca VPC (Sanal Özel Bulut), AWS çok hesaplı altyapı ve EKS (Elastik Kubernetes Hizmeti) gibi ek AWS hizmetlerinden de yararlanıyoruz. Ağ iletişiminin güvenliğini sağlamak için, TLS (Taşıma Katmanı Güvenliği) ile şifrelenen HTTPS protokolünü kullanıyoruz. 

Tüm üretim ortamımızı Amazon Web Services üzerinde barındırıyoruz. AWS; uygulamamız için güvenli, yüksek performanslı, dayanıklı ve verimli bir altyapı kurmamıza yardımcı olur. Tasarımı gereği güvenli olan AWS veri merkezleri SOC 1, SOC 2 ve SOC 3 sertifikalarına sahiptir. Tüm üretim sunucularımız kesintisiz çalışan ve sürekli olarak yamalanan Docker tabanlı sistemlerdir. Ayrıca VPC (Sanal Özel Bulut), AWS çok hesaplı altyapı ve EKS (Elastik Kubernetes Hizmeti) gibi ek AWS hizmetlerinden de yararlanıyoruz. Ağ iletişiminin güvenliğini sağlamak için, TLS (Taşıma Katmanı Güvenliği) ile şifrelenen HTTPS protokolünü kullanıyoruz. 

Şifreleme

Çeşitli AWS hizmetlerinde ve uygulamamızda anahtarları yönetmek ve şifrelemenin kullanımını kontrol etmek için AWS KMS (Anahtar Yönetim Hizmeti) kullanıyoruz.

 

Çeşitli AWS hizmetlerinde ve uygulamamızda anahtarları yönetmek ve şifrelemenin kullanımını kontrol etmek için AWS KMS (Anahtar Yönetim Hizmeti) kullanıyoruz.

 

Depolama

Flo; meta veri, etkinlik, özgün dosyalar ve müşterinin verileri gibi tüm verileri farklı konumlarda depolar. Tüm veriler, depolandıkları yerde KMS tarafından şifrelenir.

Hassas son kullanıcı verileri günlüklerden silinir ve Flo mühendislerinin bu verilere hiçbir şekilde erişimi yoktur. 

Flo; meta veri, etkinlik, özgün dosyalar ve müşterinin verileri gibi tüm verileri farklı konumlarda depolar. Tüm veriler, depolandıkları yerde KMS tarafından şifrelenir.

Hassas son kullanıcı verileri günlüklerden silinir ve Flo mühendislerinin bu verilere hiçbir şekilde erişimi yoktur. 

İzole ortamlar

Üretim ağı; Hazırlık, Geliştirme ve Altyapı gibi diğer ortamlardan izoledir. Her ortam, ayrı VPC ağlarına sahip ayrı AWS hesaplarında yer alır.

 

Üretim ağı; Hazırlık, Geliştirme ve Altyapı gibi diğer ortamlardan izoledir. Her ortam, ayrı VPC ağlarına sahip ayrı AWS hesaplarında yer alır.

 

Müşteri ödeme verileri

Tüm ödemeler App Store, Google Play veya Strife tarafından işlenir ve ödeme işlemlerinin güvenliği bu taraflar tarafından üstlenilir. Flo herhangi bir kredi kartı bilgisi saklamaz.

 

Tüm ödemeler App Store, Google Play veya Strife tarafından işlenir ve ödeme işlemlerinin güvenliği bu taraflar tarafından üstlenilir. Flo herhangi bir kredi kartı bilgisi saklamaz.

 

Tasarımı gereği güvenli
Flo mühendisleri, geliştirme ve kalite kontrol süreçlerinin belgelenmesi gibi endüstri standartlarına uygun en iyi ürün geliştirme tekniklerinden yararlanır. Gizlilik, bütünlük ve kullanılabilirlik gibi güvenlik ilkelerinden yararlanarak uygulamamızı güvenlik açıklarına yol açabilecek hata risklerini azaltacak şekilde tasarlıyoruz.
Hizmet seviyeleri ve yedeklemeler
Flo altyapısı, gittikçe daha güvenilir bir kesintisiz çalışma sunmak için otomatik ölçeklendirme, yük dengeleme, görev sıraları ve düzenli güncelleme dağıtımı gibi çok katmanlı teknikler kullanır. Her gün veritabanlarımızı tam otomatik bir şekilde yedekleriz. Tüm yedekler şifrelenir.
Sistem izleme ve uyarılar
Flo'da üretim uygulamamız ve altyapı bileşenleri yılın 365 günü ve günde 24 saat özel izleme sistemleriyle izlenir. Bu sistemler tarafından oluşturulan kritik uyarılar yılın 365 günü ve günde 24 saat görev başındaki hizmet sahiplerine iletilerek uygun şekilde operasyon yönetimine aktarılır.
Sistem açıklarına (sızmalara) karşı test
Flo; ağ yapılandırması, altyapı ve uygulama katmanları için güvenlik açığı/sızma testleri gerçekleştirmek amacıyla sektörde lider konumda siber güvenlik şirketleriyle çalışır. Bu sistem açığı testlerinde, üretim ortamına gönderilmeden önce uygulamadaki açıkları belirlemek için bilinen web uygulaması güvenlik araç setleri ve tarayıcılar kullanılır.
Trafik yönetimi
Cloudfare güvenlik paketi, Flo uygulamasının zararlı trafiği otomatik olarak engellemesini ve uygulamanın güvenli olarak hizmet vermesini sağlar. Kullanıcılarımız nerede olurlarsa olsunlar akıllı trafik yönlendirmesi sayesinde Flo uygulaması, kullanıcıların akıllı telefonlarında sorunsuz bir şekilde çalışır. Uygulamanın içeriği de en yakın Cloudfare sunucusundan kullanıcıya gönderilir.
Olaylara Müdahale ve Veri İhlali bildirimleri
Flo, uluslararası kılavuzlar ve düzenleyici yasalarla uyum çerçevesinde Kişisel Veri İhlali de dahil olmak üzere Flo Health'in Olay olarak sınıflandırılan bir durumdan haberdar olması halinde gerçekleştirilecek eylemleri bir süreç olarak belirlemiştir.
Flo şirket kültürünün parçası olarak güvenlik
Flo Health'in dahili ve sözleşmeli çalışanlarına güvenlik farkındalığı eğitimi verilir. Bu kişiler ayrıca ilgili politikalar, prosedürler ve sözleşmelerle tutarlı şekilde güvenlikle ilgili görevleri ve sorumlulukları hakkında bilgi sahibi olacak şekilde eğitim alır. Flo güvenlik ekibi kurumsal güvenlik ve gizlilik programlarını sürekli olarak gözden geçirir, günceller, teste tabi tutar, yönetimini sağlar ve geliştirir.