Veri Koruma ve Güvenlik

Amazon dahil bağlı kanallar için veri koruma yaklaşımı

7islem, pazaryeri modülü içinde Amazon ve diğer bağlı kanallardan gelen verileri sipariş yönetimi, fulfillment, teslimat, kargo, fatura ve iade süreçlerini yürütmek amacıyla işler. Buyer PII verisi yalnızca operasyon için zorunlu olduğu kadar kullanılır.

Bu sayfa; kamuya açık web sitesinde veri kullanımı, restricted data gerekçesi, ağ koruması, şifreleme, yedekleme, loglama ve güvenlik süreçlerine ilişkin çerçeveyi görünür kılmak için hazırlanmıştır.

Restricted data neden gerekir?

  • Amazon buyer PII verisi sipariş fulfillment ve teslimat için gerekir.
  • Kargo etiketi, sevkiyat doğrulaması ve iade inceleme süreçlerinde gerekli alanlar kullanılır.
  • Fatura düzenleme gerektiğinde alıcı adı, adres ve iletişim verileri işlem akışına dahil edilir.
  • Buyer PII pazarlama veya ilgisiz analiz amaçlarıyla kullanılmaz.

Veri kullanım ve saklama çerçevesi

  • Veri, yalnızca sipariş, teslimat, kargo, fatura ve destek süreci için gerekli olan ekranlarda işlenir.
  • Authorization code, access token ve refresh token düz metin loglara yazılmaz.
  • Operasyonel buyer PII en fazla 31 gün tutulur; süre sonunda maskelenir veya silinir.
  • Hassas veriler operasyon amacı dışında tutulmaz; yasal kayıtlar ile operasyonel kopyalar aynı saklama düzeninde değerlendirilmez.
  • Test ve geliştirme ortamlarında gerçek buyer PII yerine sentetik veya maskelenmiş veri tercih edilir.

Dış teknik hizmet sağlayıcıları

  • Amazon SP-API ve LWA servisleri, sipariş ve yetkilendirme akışının teknik karşılığı olarak kullanılır.
  • Kargo ve belge entegrasyon sağlayıcıları, yalnızca teslimat veya yasal belge için gerekli alanlarla sınırlı çalışır.
  • CDN, WAF, barındırma ve yayın güvenliği servisleri ağırlıklı olarak trafik, erişim ve yayın güvenliği katmanında yer alır.
  • Dış hizmet sağlayıcılarına veri paylaşımı işin gerektirdiği minimum alan prensibiyle sınırlandırılır.

Ağ koruması

  • Veritabanı, dosya sunucuları ve yönetim uçları kamuya açık kullanım için tasarlanmaz.
  • Web yayını HTTPS üzerinden yürütülür; dış yüzey yalnızca gerekli servislerle sınırlandırılır.
  • Yetkisiz erişim denemeleri log, firewall ve yayın katmanı kayıtları üzerinden izlenir.
  • Amazon verisi işleyen yönetim ekranları rol ve erişim kontrolleriyle sınırlandırılır.

Varlık ve cihaz yönetimi

  • Amazon verisine erişim yetkisi görev bazlı verilir.
  • Kişisel cihaz, taşınabilir medya ve yetkisiz dış aktarım riskleri operasyonel güvenlik kontrolleriyle izlenir.
  • Şüpheli veri çıkarma veya yetkisiz kopyalama girişimleri incelemeye alınır.
  • Gerektiğinde erişim yetkileri geri çekilir ve olay kaydı oluşturulur.

Şifreleme ve anahtar yönetimi

  • Aktarım sırasında HTTPS/TLS kullanılır.
  • Token ve benzeri hassas değerler sunucu tarafında şifreli saklama yaklaşımıyla tutulur.
  • Yedekler veya arşivler şifreli depolama katmanında korunur.
  • Anahtar, parola ve gizli değerler uygulama kodu dışında yönetilir.

Yedekleme ve geri dönüş

  • Şifreli yedekleme politikası uygulanır.
  • Yedekler ana sistemden ayrık bir konum mantığıyla tutulur.
  • Geri dönüş sürecinde önce doğrulama, sonra canlıya alma yaklaşımı izlenir.
  • RTO ve RPO hedefleri operasyon planı içinde takip edilir.

Loglama, izleme ve olay yönetimi

  • Erişim, hata ve güvenlik kayıtları inceleme amacıyla tutulur.
  • Şüpheli aktivite, yetkisiz erişim ve anormal istek artışları araştırılır.
  • Güvenlik olayı halinde containment, inceleme ve düzeltme adımları işletilir.
  • Amazon tarafına bildirim gerektiren olaylarda ilgili temas ve zamanlama süreci uygulanır.

Kimlik bilgisi ve parola yönetimi

  • Amazon verisi işleyen sistemlerde erişim bilgileri görev bazlı yetkilendirilir.
  • Parola karmaşıklığı, uzunluk ve yenileme kuralları kurum politikası kapsamında uygulanır.
  • Gizli anahtarlar ve benzeri değerler paylaşılmaz, loglanmaz ve kaynak kod içinde tutulmaz.
  • Gerektiğinde erişim ve parola yenileme aksiyonları hızla uygulanır.

Testte PII koruması ve zafiyet yönetimi

  • Test ortamlarında gerçek buyer PII kullanılmaz; zorunlu hata incelemelerinde veri maskelenir.
  • Vulnerability scan ve güvenlik test bulguları takip edilerek kapatılır.
  • Geliştirme yaşam döngüsünde tespit edilen kod zafiyetleri canlıya alınmadan önce düzeltilir.
  • Çalışan sistemde tespit edilen kritik açıklar öncelikli remediation planına alınır.