Skip to content
GoDesk
HUKUKİ · GÜVENLİK

Güvenlik Uygulamaları

GoDesk'in nasıl inşa edildiği, şifrelendiği ve işletildiği, ayrıca bir güvenlik açığını nasıl bildireceğiniz hakkında. Henüz sertifikalandırmadığımız konularla ilgili dürüst yanıtlar.

Son güncelleme: 2026-05-06
TL;DR

Oturum içeriği (ekranınız, tuş vuruşları, aktarılmış dosyalar) X25519 anahtar değişimi ve AES-256-GCM ile uçtan uca şifrelenmiştir. Ara bağlayıcı sunucular yalnızca şifreli paketleri görür. Oturumlarınızı okuyamayız.

Henüz SOC 2 veya ISO 27001 sertifikasına sahip değiliz. Güvendiğimiz altyapı sağlayıcıları sertifikalıdır. Bir güvenlik açığı bulursanız, info@godeskflow.com adresine yazın.

İçerikler
  1. 01Kapsam
  2. 02Şifreleme
  3. 03Altyapı
  4. 04Kimlik doğrulama ve erişim kontrolü
  5. 05Uyum ve sertifikalar
  6. 06Denetim kaydı ve izleme
  7. 07Uç nokta ve kurumsal güvenlik
  8. 08Açık kaynak ve yeniden üretilebilirlik
  9. 09Sorumlu ifşa
  10. 10Kapsam Dışı
  11. 11Olay Yanıtı
  12. 12Değişiklikler

01Kapsam

Bu sayfa, GoDesk istemcisi ve godeskflow.com'da upDevTeam LTD tarafından işletilen ara bağlayıcı hizmetinin güvenlik mimarisini ve bize güvenlik açıklarını bildirme süreçlerini tanımlamaktadır.

Bu bilgilendiricidir. Sözleşmeye dayalı güvenlik taahhütleri Hizmet Şartları ve DPA'da bulunmaktadır.

02Şifreleme

Uçtan uca şifreleme, Servisin temel güvenlik özelliğidir. Ara bağlayıcı hiçbir zaman oturum içeriğini açık metin olarak tutmaz.

Oturum anahtar değişimi
X25519 eliptik eğri Diffie-Hellman, iki eş arasında doğrulanmış peer-ID genel anahtarları kullanılarak doğrudan gerçekleştirilir.
Oturum imzası
Her bir eşin kimliğini doğrulamak için X25519 el sıkışması üzerinden Ed25519.
Simetrik şifreleme
Eşleşme tamamlandıktan sonra tüm oturum verileri için AES-256-GCM.
Taşıma
Ara bağlayıcı kontrol düzlemi ve web uygulaması için TLS 1.3. Sadece modern şifreleme setleri; eski TLS sürümleri devre dışıdır.
Dinlenme anındaki şifreleme
Yedeklemeler ve herhangi bir kalıcı operasyonel veri için sunucu tarafında AES-256 şifreleme.

Kriptografik kütüphaneler, denetlenen yukarı akış sürümlerine pinlenmiştir ve belgelenmiş bir takvimde güncellenmektedir. Kendi ilkelimizi uygulamıyoruz.

03Altyapı

Üretim altyapısı aşağıdaki sağlayıcılarda çalışmaktadır:

  • Hetzner Online GmbH — Kıbrıs ve Almanya'da relay ve pazarlama sitesi için bare-metal ve sanal sunucular.
  • Supabase, Inc. — hesaplar ve meta veriler için yönetilen Postgres, eu-west-1 (Frankfurt) bölgesinde barındırılmaktadır.
  • Cloudflare, Inc. — godeskflow.com için DNS, CDN ve kenar DDoS koruması.
  • Stripe Payments Europe Ltd. — ödeme planları devreye girdiğinde kart işleme.
  • Üretim dağıtımları için sınırlı-yürütücü kendin yap (self-hosted) CI/CD, GitHub Actions ile.

Tüm sağlayıcılar, DPA'mızdaki yükümlülükleri yansıtan veri işleme anlaşmalarıyla bağlanmıştır.

04Kimlik doğrulama ve erişim kontrolü

Kullanıcı düzeyinde erişim kontrolleri:

  • Varsayılan olarak e-posta sihirli bağlantısı / OTP oturumu açma. Argon2id ile hashlenmiş şifreler ve ihlal-korpüs taraması ile isteğe bağlı şifre ile giriş.
  • Ücretli hesaplar için iki adımlı kimlik doğrulama (TOTP) mevcut, personel için zorunlu.
  • Oturum başlangıcında kontrol edilen taraf tarafından seçilen cihaz başına izin bayrakları (panoya kopyalama, dosya transferi, ses, yeniden başlatma).
  • Yasaklı eş-ID listesi upDevTeam LTD tarafından yönetilir ve relay'de uygulanır.

05Uyum ve sertifikalar

Bu sayfanın üstündeki tarihe göre dürüst durum: GoDesk ve upDevTeam LTD şu anda SOC 2, ISO 27001, ISO 27017, ISO 27018, HIPAA, PCI-DSS, FedRAMP veya başka bir resmi üçüncü taraf güvenlik standardı için sertifikalandırılmamıştır. Aksini iddia eden kamu beyanları yanlıştır.

Barındırma ve altyapı sağlayıcılarımız (Hetzner, Cloudflare, Supabase, Stripe) kendileri SOC 2 / ISO 27001 denetiminden geçmiştir; güvenliğimiz, onların denetiminden bazı güvenceler alır ama eşdeğer değildir.

2026 için dış güvenlik incelemesi yönünde çalışıyoruz ve sonuçlar yayınlandığında bu sayfada paylaşılacaktır. Sahip olmadığımız sertifikalara sahipmiş gibi davranmayacağız.

06Denetim kaydı ve izleme

Üretim sistemlerindeki idari işlemler, en az 90 günlük saklama süresi ile merkezi ve yalnızca ekleme yapılabilir bir kayda kaydedilmektedir. Kayıt, aktör, işlem, zaman damgası ve kaynak IP'yi kaydeder. Üretim erişimi, zorunlu iki adımlı kimlik doğrulama ile tanımlı az sayıda mühendise kısıtlanmıştır.

Çalışma süresi, hata oranları ve istismar ile ilgili sinyalleri (ani trafik artışları, brute-force denemeleri, eş-ID sıralaması) izliyoruz ve haftalık olarak nöbet değişimi yapıyoruz.

07Uç nokta ve kurumsal güvenlik

Üretim sistemlerine erişmek için kullanılan personel cihazları şunları sağlamalıdır:

  • tam disk şifrelemesi etkin bir desteklenen, güncel işletim sistemi çalıştırmak;
  • üretim erişimi için yönetilen bir şifre yöneticisi ve donanım destekli 2FA token (örn. WebAuthn) kullanmak;
  • uç nokta korumasına veya bir Linux eşdeğerine ve otomatik güvenlik güncellemelerine sahip olmak;
  • personel üyesi ayrıldığında silinmeli ve sertifikalar iptal edilmelidir.

08Açık kaynak ve yeniden üretilebilirlik

GoDesk istemcisi AGPL-3.0 altında açık kaynaklıdır. Herkes kaynak kodunu okuyabilir, derleyebilir ve iddia ettiğimiz işlevselliği doğrulayabilir. Relay kodu (hbbr / hbbs'in bir fork'u) benzer şekilde açıktır.

Yayınlanan her yükleyici için SHA-256 hash'lerini yayınlıyoruz. Windows için EV kod imzalama ve macOS için Apple onaylı yayın sürecini takip ediyoruz; mevcut inşaat durumu İndirme sayfasında yer almaktadır.

09Sorumlu ifşa

Bağımsız güvenlik araştırmacılarından gelen raporları memnuniyetle karşılıyoruz. Bir güvenlik açığı bildirmek için:

E-posta
info@godeskflow.com
PGP
Aynı sayfada yayınlanan PGP anahtar parmak izi; istismar detaylarını içeren herhangi bir rapor için şifreli raporlar tercih edilmektedir.
Yanıt süresi
İlk onay 3 iş günü içinde; durum güncellemesi 10 iş günü içinde; herhangi bir kamu paylaşımından önce koordine edilmiş bir açıklama anlaşması.
Güvenli liman
Bu politika ile uyumlu iyi niyetli araştırmalar upDevTeam LTD tarafından hukuki işlem görmeyecektir. Kullanıcı verilerine erişmemenizi, kendi hesaplarınız dışında test yapmamanızı ve personel üzerinde hizmet reddi veya sosyal mühendislik saldırıları gerçekleştirmemenizi rica ediyoruz.

Şu anda ücretli bir hata avı programı yürütmüyoruz. Sorunu çözdükten sonra, anlamlı raporları (izinle) bir şöhret listesi sayfasında kamuya duyuruyoruz.

Kritik bulgular (RCE, bozulmuş uçtan uca şifreleme, toplu kimlik doğrulama atlama) derhal nöbetçi mühendise iletilir ve planlı işlere öncelik verilir.

10Kapsam Dışı

Aşağıdakiler, bölüm 9 altında güvenli liman muamelesine uygun değildir ve raporlanabilir ancak güvenlik açığı olarak değerlendirilmeleri olası değildir:

  • herhangi bir sisteme karşı hizmeti engelleme veya hacimsel saldırılar;
  • upDevTeam çalışanları veya müşterilerine karşı sosyal mühendislik saldırıları;
  • ofislere veya veri merkezlerine yönelik fiziksel saldırılar;
  • kurbanın güvenilir olmayan yazılımlar yüklemesini gerektiren sorunlar;
  • çalışan bir istismar yolu olmaksızın en iyi uygulama sapmaları (örn. pazarlama sayfalarında eksik güvenlik başlıkları).

11Olay Yanıtı

Tespit, sınırlama, ortadan kaldırma, iyileşme ve olay sonrası değerlendirmeyi kapsayan yazılı bir olay yanıtı kılavuzu tutuyoruz. Kılavuz, en az yılda bir kez ve her önemli olaydan sonra gözden geçirilir.

Kişisel veri ihlali gerçekleşirse, Veri Gizliliği Politikamız ve DPA'daki bildirim zaman dilimleri geçerlidir.

12Değişiklikler

Mimari veya bu sayfadaki herhangi bir taahhüt önemli ölçüde değiştiğinde, 'Son güncelleme' tarihini günceller ve değişikliği değişiklik günlüğünde açıklarız.

Bir güvenlik iddiasını doğrulamanın en güvenilir yolu kaynak kodunu okumaktır. github.com/GoDeskFlow adresinden başlayın.