Cookie preferences

YARDtwin uses essential cookies for authentication and session management. We don’t currently set analytics or marketing cookies, but our cookie policy categorises them ahead of any future change. Read our Privacy Policy, GDPR Policy, and Cookie Policy.

YARDtwin'de Güvenlik

Müşteri verilerini nasıl koruduğumuz, platformun sürekliliğini nasıl sağladığımız ve EU GMP Annex 11, 21 CFR Part 11 ve GDPR uyumluluğunu nasıl sürdürdüğümüz.

Puan 4.8/5.00 pentest bulgusuEU/EEA veri yerleşimiGDPR uyumlu

Platform ve barındırma

YARDtwin, Norveç Doğu işlem ve İsveç Merkezi veri, kayıt defteri ve gizli dizi depolama ile Microsoft Azure üzerinde çalışır. Tüm müşteri verileri GDPR Madde 44–49 uyumlu olarak AB/AEA sınırları içinde kalır.

App Service (Linux Container) — Norveç Doğu
Azure PostgreSQL Flexible Server — İsveç Merkezi
Azure Blob Storage — Norveç Doğu, özel kapsayıcılar
Azure Key Vault — İsveç Merkezi, RBAC denetimli
Azure Front Door + WAF — Önleme modu
Log Analytics + Microsoft Sentinel — 90 günlük saklama

Ağ ve aktarım güvenliği

Kontrol	Uygulama	Durum
TLS	Azure üzerinden AES-256-GCM ile TLS 1.3	Doğrulandı
WAF	Azure Front Door WAF (Önleme modu)	Aktif
HSTS	Ön yükleme ile 2 yıllık max-age	Doğrulandı
Yalnızca HTTPS	App Service zorunlu kılındı	Doğrulandı
Veritabanı güvenlik duvarı	Yalnızca Azure + yönetici IP izin listesi	Doğrulandı

Kimlik doğrulama ve erişim denetimi

Kontrol	Uygulama	Durum
Parola politikası	8+ karakter, büyük harf, küçük harf, rakam, özel karakter	Zorunlu
İhlal kontrolü	Kayıt / değişiklik sırasında HIBP k-anonimlik sorgusu	Aktif
MFA	TOTP (Google/Microsoft Authenticator)	Mevcut
SSO/SAML	SAML 2.0 (Azure AD, Okta, Google Workspace)	Aktif
Kaba kuvvet	5 deneme, 15 dakika kilitleme (429)	Aktif
JWT token'ları	1 saatlik erişim, 7 günlük yenileme	Aktif
RBAC	Rota düzeyinde zorunlu kılınan 8 rol	Aktif
Kiracı izolasyonu	Her sorgu tenant_id ile filtrelenir	Doğrulandı

Veri koruma

Kontrol	Uygulama	Durum
Durağan veri şifreleme	Azure PostgreSQL AES-256	Aktif
İletim sırasında şifreleme	TLS 1.3	Aktif
Parola karma işlemi	bcrypt (12 tur)	Aktif
Parametreli SQL	154 sorgu, 0 birleştirme	Doğrulandı
Gizli anahtarlar	Azure Key Vault	Aktif
Denetim izi	Yalnızca ekleme yapılabilir, ALCOA+ uyumlu	Aktif

İçerik Güvenlik Politikası

Betikler için istek başına nonce kullanan katı CSP ( unsafe-inlineyok). Her yanıtta döndürülen tam güvenlik başlıkları: HSTS, X-Content-Type-Options, X-Frame-Options, Referrer-Policy, Permissions-Policy, Cross-Origin-Opener-Policy, Cross-Origin-Resource-Policy.

Test ve doğrulama

17–18 Nisan 2026 tarihinde bağımsız sızma testi (10 OWASP kategorisi, 36 yük): 0 güvenlik açığı.11 Nisan 2026'da 270 randevu genelinde 1.890'dan fazla API çağrısını kapsayan işlevsel güvenlik testi: 0 başarısızlık.Yıllık üçüncü taraf sızma testi planlandı ve SOC 2 Tip II denetimi devam etmektedir.

Uyumluluk

EU GMP Annex 11 — Veri bütünlüğü (ALCOA+), yalnızca ekleme yapılabilir denetim izi, elektronik kayıtlar, erişim denetimi, doğrulanmış
21 CFR Part 11 — Elektronik kayıtlar, denetim izi, atıf, mühür gözetim zinciri
GDPR — Veri taşınabilirliği (JSON + CSV), DSAR iş akışı, onay takibi, yalnızca AB/AEA yerleşimi
SOC 2 Type II — Denetim devam ediyor

Belgeler ve şablonlar

Veri İşleme Sözleşmesi (DPA) şablonu — kurumsal inceleme ve imza için
GDPR politikası
Gizlilik politikası
security.txt

Sorumlu açıklama

Güvenlik araştırmacılarının raporlarını memnuniyetle karşılıyoruz. Bulguyu ve yeniden üretme adımlarını açıklayarak admin@yardtwin.comadresine e-posta gönderin. Alındı bildirimini 2 iş günü içinde yaparız; kritik sorunları 7 gün içinde yamalamayı hedefleriz. Lütfen açıkları gidermemize fırsat tanımadan kamuoyuyla paylaşmayın.

Son güncelleme: Nisan 2026 · yardtwin.com

Merhaba! Ücretsiz denemenizi 2 dakikada başlatın — her şeyi kurmanıza yardımcı olurum!