v2
Panele Giriş
Bayi Paneli CRM & Operasyon S Sosyal β Bellona İstikbal
IT ekipleri için

Teknoloji ve güvenlik,
kısa sürede değerlendirilebilir.

SOMM'u işletmenize alıp almamaya karar veren IT ekiplerine yönelik özet. Mimari mantığımız, güvenlik katmanlarımız, KVKK uyumumuz ve entegrasyon standartlarımız — saldırı yüzeyi yaratmadan, değerlendirme için yeterli detayda.

Detay Paket İsteği SSS (IT için)
30 saniyede özet

TL;DR — teknik profil

☁️

SaaS, bulut-yerel

Çoklu bölge dağıtım, otomatik ölçekleme, kesintisiz güncelleme.

🔐

KVKK ve GDPR uyumlu

Veri minimizasyonu, açık rıza yönetimi, saklama süreleri, silme/ihracat hakları.

🤖

AI destekli güvenlik

Önde gelen AI platformlarıyla (Anthropic, OpenAI, Google) kurumsal iş birliği. Kod taramadan anomali tespitine.

🛡️

Katmanlı güvenlik

Uçtan uca TLS, at-rest şifreleme, RBAC, 2FA, audit log, düzenli sızma testi.

Mimari özet

Modüler, API-öncelikli, çoklu kiracı SaaS

Detaylı mimari dosyası ve ağ topolojisi NDA altında paylaşılır. Aşağıdaki akış, kamuya uygun genel çalışma mantığıdır.

Kullanıcı katmanı
🌐 Tarayıcı
📱 Tablet
📱 Mobil
↓ TLS 1.2+ (HTTPS)
Giriş noktası
🛡️ WAF / CDN / DDoS
⚖️ Yük dengeleyici
Uygulama katmanı
🏬 Mağaza panelleri
📊 Bayi paneli
🎯 CRM servisi
🔌 API gateway
↓ Şifreli, kimliğe bağlı
Veri katmanı
🗄️ Primary DB (TLS + AES-256)
🔁 Read replica
💾 Yedek bölge
↔ Kuyruk + retry + HMAC
Entegrasyon köprüleri
🔗 SAP B1
💬 WhatsApp Cloud API
✉️ SMTP sağlayıcı
🔐 Kimlik sağlayıcı
Çoklu kiracı (multi-tenant): Her bayi verisi mantıksal olarak izole; erişim veri katmanında kontrol edilir.
Otomatik ölçeklendirme: Trafiğe göre uygulama katmanı yatayda ölçeklenir; kullanıcı deneyimi etkilenmez.
Dağıtık dağıtım: Birden fazla erişilebilirlik bölgesi. Tek bir bölge kesintisi hizmeti durdurmaz.
Standartlar & teknolojiler

Kurumsal standartlarla uyumlu

Kullanılan ve desteklenen güvenlik standartları ve teknoloji yığını. Kurulum tipine göre (SaaS, on-premise, hibrit) bazı seçenekler değişebilir; detaylar değerlendirme sürecinde paylaşılır.

🗄️

Veri katmanı

Oracle Database Kurumsal on-premise kurulumlarda desteklenen seçenek
PostgreSQL Standart bulut kurulumunda ilişkisel veritabanı
SAP HANA SAP ekosistemi entegrasyonunda analitik katmanı
Read replica mimari Okuma/yazma ayrımı ile yüksek erişilebilirlik
🔐

Şifreleme

AES-256 At-rest veri şifreleme (kimlik numaraları, hassas alanlar)
TLS 1.3 Uçtan uca taşıma katmanı güvenliği
bcrypt (12+ round) Parola hashleme
HMAC-SHA256 Webhook imzalama ve API doğrulama
PBKDF2 / Argon2 Anahtar türetme ve hash güçlendirme
🆔

Kimlik & yetkilendirme

OAuth 2.0 API kimlik doğrulama
OpenID Connect (OIDC) Modern SSO standardı
SAML 2.0 Kurumsal SSO (Azure AD, Okta, Google Workspace)
JWT (JSON Web Token) Kısa ömürlü oturum belirteçleri
TOTP (RFC 6238) İki faktörlü kimlik doğrulama (Google/Microsoft Authenticator)
WebAuthn / FIDO2 Donanım güvenlik anahtarı ve biyometrik destek (kurumsal)
🌐

Ağ & altyapı

HTTP/2, HTTP/3 Modern protokoller, düşük gecikme
HSTS, CSP, SRI Tarayıcı seviyesi güvenlik başlıkları
WAF (Web Application Firewall) OWASP Top 10 koruması
DDoS koruma Dağıtık reddi-hizmet saldırılarına karşı üstyapı koruma
mTLS (mutual TLS) Servisler arası çift yönlü kimlik doğrulama
Rate limiting / Circuit breaker Kötü amaçlı trafik ve kaskad hatalara karşı
📜

Standartlar & uyum

KVKK (6698) Türkiye veri koruma kanunu uyumluluğu
GDPR Avrupa veri koruma yönetmeliği uyumu
ISO 27001 çerçevesi Bilgi güvenliği yönetim sistemi referans alınır
OWASP ASVS Uygulama güvenliği doğrulama standardı
NIST Cybersecurity Framework Operasyonel güvenlik kontrol çerçevesi
Not: Belirli ürün sürümleri, bağımlılık detayları ve altyapı vendor bilgileri güvenlik gereği kamuya açık olarak listelenmez. Kurumsal değerlendirme sürecinde NDA altında detay dokümantasyon paylaşılır.
Yapay Zeka

Güvenlik ve geliştirmede aktif AI kullanımı

Önde gelen yapay zeka platformlarıyla kurumsal iş birliği içinde çalışıyoruz. AI, sisteme yaptırmak değil — savunmayı güçlendirmek, hata örüntülerini erken yakalamak ve saldırı yüzeyini küçültmek için kullanılıyor.

🔍

AI destekli kod güvenlik taraması

Her kod değişikliği AI destekli statik analiz araçlarından geçer. SQL injection, XSS, yetkisiz erişim örüntüleri erken yakalanır.

📡

AI destekli anomali tespiti

Trafik, oturum ve kullanıcı davranışlarındaki sapmalar gerçek zamanlı AI motoruyla analiz edilir. Şüpheli aktivite anında uyarı yaratır.

🧪

AI destekli kod incelemesi

Her pull request, insan incelemecisine ek olarak AI analizden geçer. Hata örüntüleri, güvenlik kokuları, performans sorunları ön raporda işaretlenir.

🎯

AI destekli tehdit modelleme

Yeni özellikler tasarlanırken AI destekli saldırı yüzeyi analizi yapılır. Potansiyel tehdit senaryoları önceden listelenir.

📚

AI destekli test üretimi

Kenar durum testleri ve regresyon senaryoları AI ile otomatik türetilir. Manuel test yazılımın kaçırdığı senaryolar kapsama girer.

AI destekli olay yanıtı

Güvenlik olaylarında AI log ve metrik korelasyonu yapar. Kök sebep analizini hızlandırır, yanıt süresini kısaltır.

Kurumsal iş birlikleri

Geliştirme ve güvenlik akışımızda aktif olarak kullandığımız, kurumsal hesap ve iş birliklerimizin bulunduğu platformlar:

Anthropic
Claude — kod inceleme, güvenlik analizi, dokümantasyon
Kurumsal iş birliği
OpenAI
GPT — geliştirme araçları, içerik üretim yardımcıları
Kurumsal hesap
Google
Gemini — çoklu modal analiz, entegrasyon yardımcıları
Kurumsal hesap
GitHub
Copilot — kod tamamlama, inceleme önerileri (ekip içi)
Business plan
Güvenlik tarama platformları
Bağımlılık ve konteyner zafiyet taraması
Kurumsal
Gözlemlenebilirlik (observability)
AI destekli log korelasyonu ve anomali tespiti
Kurumsal

Not: AI kullanımımızda hassas veri politikası uygulanır. Müşteri verileri, müşteri kimlik bilgileri ve üretim ortamı sırları hiçbir AI platformuna gönderilmez. AI araçları yalnızca anonimleştirilmiş kod ve operasyonel telemetri üzerinde çalışır.

Güvenlik

6 katmanda savunma

Hiçbir katman tek başına yeterli değildir. Üst üste birikerek bütünü güvende tutarlar.

🌐

Ağ & taşıma güvenliği

  • Tüm trafik TLS 1.2+ zorunlu, HSTS aktif
  • HTTP/2 + HTTP/3 destekli
  • CDN arkasında, DDoS koruma katmanı mevcut
  • Sertifikalar otomatik yenileme, kısa ömürlü
🛡️

Uygulama güvenliği

  • Kimlik doğrulama: parola (bcrypt hash) + opsiyonel 2FA (TOTP)
  • Kurumsal hesaplarda SSO (SAML 2.0 / OIDC) desteği
  • RBAC (Rol Tabanlı Erişim Kontrolü) — rolünüze göre yetki
  • CSRF, XSS, SQL injection için temel önlemler uygulamada
  • Oturum yönetimi: kısa ömürlü token + yenileme, uzak oturum kapatma
💾

Veri katmanı

  • Hassas alanlar at-rest şifreli (AES-256)
  • TC kimlik, iletişim bilgileri erişim log altında
  • Yedekler ayrı bölgede, şifreli depo
  • Parola/secret yönetimi ayrı güvenli servis üzerinden
👁️

İzleme & denetim

  • Audit log: kim, ne zaman, hangi kaydı değiştirdi (7 yıl saklama)
  • 7/24 sistem sağlığı izlemi, anormallik uyarıları
  • Güvenlik olayı kaydı ve periyodik inceleme
  • Yılda iki bağımsız güvenlik testi
🔑

Operasyon & erişim

  • En az ayrıcalık (least privilege) prensibi
  • Üretim erişimi sadece belirli mühendislerde, MFA zorunlu
  • Her üretim erişimi zaman damgalı loglanır
  • Çalışan ayrılışında erişimler aynı gün kapatılır
🧪

Kod güvenliği (SDLC)

  • Her değişiklik en az bir kod incelemesinden geçer
  • Otomatik testler (birim + entegrasyon + e2e)
  • Bağımlılık zafiyet taraması sürekli
  • Staging ortamı canlı verinin anonimleştirilmiş örneği ile
  • Blue-green deploy, anlık geri alma (rollback)
KVKK & gizlilik

KVKK uyumu, sözde değil, belgede

KVKK, sadece bir "gizlilik politikası" yayınlamak değildir. Verinin toplandığı, işlendiği, saklandığı, silindiği her aşamanın yazılı olarak tanımlanması ve denetlenebilir olmasıdır.

📋

Açık rıza ve aydınlatma

Platform kullanıcıları ve mağaza müşterileri için ayrı aydınlatma metinleri. Rıza alınması ve kaydı platform içinde tutulur.

🌍

Veri bölgesi (data residency)

Standart kurulumda Avrupa bölgesi; kurumsal talep halinde Türkiye içi veya on-premise. Yurt dışı aktarım varsa sözleşme zemini yazılı tanımlı.

👤

Veri sahibi hakları

Bilgi isteme, düzeltme, silme, ihracat, itiraz — KVKK m.11 kapsamındaki başvurular 30 gün içinde ücretsiz cevaplanır.

⏱️

Saklama süreleri

Her veri tipi için belirlenmiş yasal ve meşru saklama süresi. Süre dolunca otomatik silme/anonimleştirme.

🗃️

VERBİS ve kayıt

Platform operatörü olarak VERBİS kaydı mevcut. Bayi tarafı da kendi VERBİS kaydını gerçekleştirmelidir; süreçte dokümantasyon destek veririz.

📄

DPA (Veri İşleme Sözleşmesi)

Her bayi abonelik sözleşmesine ek olarak KVKK m.12 kapsamında DPA imzalanır. Alt işleyen (sub-processor) listesi güncel tutulur.

Veri sahipliği

Vendor lock-in endişesine son

SOMM size bir hizmet sunar, verinize değil. Dilediğiniz an export alıp başka bir sisteme taşınabilirsiniz. Kapalı format yok, anahtar-değer tabular her zaman erişilebilir.

Veri sizindir

Platform sizin verinizi işler — sahiplik devredilmez. İstediğiniz an tam export alabilirsiniz.

Kilitlenme endişesi yok

Dışa açık REST API, CSV/Excel export, BI araçlarına doğrudan bağlantı. İstediğiniz gün başka sisteme taşıyabilirsiniz.

Silme talebi

Abonelik sona erdiğinde verileriniz 30 gün sonra kalıcı silinir. Bu süre içinde tam export alma hakkınız var.

Anonimleştirme

Analitik için kullanılan veriler anonimleştirilir. Kişi kimliği platformunuzun dışına hiçbir zaman çıkmaz.

Uptime & kurtarma

Yedeklemeler, bilmeniz gerekenler

SLA sözleşmesinde sayısal taahhüt yazılı olarak tanımlanır. Burada operasyonel çerçeveyi görebilirsiniz.

Erişilebilirlik hedefi
SLA sözleşmesinde
Yedekleme sıklığı
Günlük tam + saatlik delta
Yedek saklama
12 ay
Coğrafi yedek
İki ayrı bölge
Kurtarma süresi (RTO)
Sözleşmede yazılı
Veri kaybı toleransı (RPO)
Dakika mertebesinde
Planlı bakım
En az 72 saat önceden bildirim
Canlı durum sayfası
Olaylar ve geçmiş yayında
Entegrasyon standartları

Kurumsal standartlarla uyumlu

🔗

SAP Business One

Service Layer + DI API. Çift yönlü senkron. Kuyruk ve retry mekanizması.

💬

WhatsApp Cloud API

Meta Business resmi. Şablon onayı destekli. Webhook ile gelen mesaj yönetimi.

✉️

SMTP / E-posta

SPF + DKIM + DMARC. Transactional sağlayıcılarla entegre (SES, SendGrid, MailGun).

🔐

Kimlik sağlayıcı (SSO)

SAML 2.0 ve OIDC desteği. Azure AD, Google Workspace, Okta uyumlu.

📊

BI araçları

Read-replica veritabanı erişimi veya API üzerinden veri export'u. Metabase, Power BI, Looker uyumlu.

REST API & Webhook

OpenAPI belgeli. Bearer token auth, rate limiting, idempotency key, HMAC imzalı webhook'lar.

Olay yönetimi

Bir şey ters giderse — yol haritası hazır

Güvenli sistemler sorun yaşamaz değildir; sorun çıktığında öngörülebilir ve şeffaf davranır.

01

Tespit

Otomatik monitoring anomali tespit eder, nöbetçi ekip anlık uyarı alır.

02

Triage

Olay sınıflandırılır (P1 kritik → P4 düşük). Ilk müdahale süresi sınıfa göre SLA'da.

03

Bilgilendirme

Etkilenen müşterilere panel içi bildirim + e-posta. Canlı durum sayfasında güncelleme.

04

Çözüm

Acil durumda geçici çözüm (workaround) yayınlanır. Kalıcı düzeltme planı netleştirilir.

05

Post-mortem

Sebep analizi, öğrenimler, tekrarlamayı önleme aksiyonları yazılı paylaşılır.

📦

Kurumsal değerlendirme paketi

NDA imzası sonrası ileri değerlendirme için paylaşılan belgeler:

Mimari özet dokümanıBileşenler, akış, ölçekleme
Güvenlik kontrol listesiUygulanan kontroller ve kanıtlar
Sızma testi özetiSon testin kapsamı ve kapanış durumu
SLA taslağıUptime, destek, telafi koşulları
DPA örneğiKVKK m.12 kapsamında veri işleyen yükümlülükleri
Sub-processor listesiKullanılan üçüncü parti hizmet sağlayıcılar
Yedekleme & DR planıRTO/RPO hedefleri ve test tutanakları
API / webhook referansıOpenAPI dokümantasyonu
Paketi Talep Et NDA sonrası 3 iş günü içinde paylaşılır.
SSS

IT ekipleri için sıkça sorulanlar

Kurumsal değerlendirme sürecinde en çok gelen sorular. Aradığınız cevap yoksa iletişim formundan ulaşın.

Altyapı nerede çalışıyor, hangi bulut sağlayıcısı kullanılıyor?
Standart kurulum kurumsal seviye AB bölgesi veri merkezlerinde. Belirli sağlayıcı adı güvenlik gereği kamuya açıklanmaz; due diligence sürecinde imzalı NDA ile paylaşılır. Kurumsal müşteriler için Türkiye içi ya da on-premise kurulum seçenekleri mevcut.
Hangi teknolojileri kullanıyorsunuz?
Modern web yığını (TypeScript, React, Node.js), ilişkisel veritabanı, modern CDN, managed queue/cache servisleri. Teknoloji seçimlerimizi NDA altında detaylı paylaşırız; bu tür bilgi saldırı yüzeyini daralttığımız için kamuya açıkça belirtmiyoruz.
Sistem bir pentest (sızma testi) yapıldı mı?
Evet. Yılda en az iki kez bağımsız bir güvenlik firması tarafından uygulama ve altyapı seviyesinde sızma testi yapılıyor. Test sonrası özet rapor (kapsam + bulgu sayısı + giderilme durumu) kurumsal değerlendirmeler için imzalı NDA ile paylaşılır.
Kendi sunucumuzda kurabilir miyiz (on-premise)?
Evet, kurumsal abonelik tiplerinde destekleniyor. On-premise kurulumda bakım/güncelleme sorumluluğu paylaşım modeli ayrı sözleşmede düzenlenir. Hibrit (kritik veri içeride, işlem bulutta) seçenek de değerlendirilebilir.
API dokümantasyonu açık mı?
REST API'nin OpenAPI belgesi mevcut. Müşteri oturumundan "API Anahtarı" üretilebilir. Rate limit, authentication, webhook şemaları teknik wiki'de açıktır.
Veri dışa aktarma (export) hangi formatlarda?
Excel (XLSX), CSV, JSON. Tam export için panel içinde "Veri İhracatı" ekranı; büyük ihracatlar için zaman alabilir, tamamlandığında e-posta bildirim gelir. API üzerinden programatik export de mümkün.
Üçüncü parti (sub-processor) listesi var mı?
Evet. Sözleşme ekinde güncel sub-processor listesi paylaşılır. Yeni eklenen herhangi bir alt işleyen için müşterilere önceden bildirim yapılır; itiraz hakkı saklıdır.
Audit log'ları dışarıdan çekebilir miyim?
Evet, kurumsal planda audit log'lar API veya düzenli otomatik export (SIEM entegrasyonu) ile kendi sisteminize akıtılabilir.
Bayi adına müşteri verisi işlerken biz veri sorumlusu muyuz?
Bu senaryoda bayi, kendi müşterilerinin verilerinin "veri sorumlusu" olur; SOMM ise "veri işleyen" sıfatıyla hizmet verir. DPA'da sorumluluklar yazılı olarak tanımlanır.
Verileri yurt dışına aktarıyor musunuz?
Standart kurulumda uygulama sunucuları AB bölgesinde. Türkiye dışına veri aktarımı söz konusuysa KVK Kurulu'nun öngördüğü güvenceler (açık rıza veya yeterli korunma) dokümante edilir.

Güvenli bir değerlendirme için bir görüşme yeter.

IT ekibinizle birlikte 45 dakikalık teknik brifing düzenleyebiliriz. NDA altında detaylı mimari ve güvenlik dokümanları paylaşılır.

Teknik Brifing Talep Et Görüşme Talep Et