Güvenlik
Verilerinizi korumak ve platformumuzun bütünlüğünü sağlamak için kapsamlı güvenlik kontrolleri uyguladık.
Güvenlik önlemlerimiz, OWASP Top 10 dahil olmak üzere endüstri standart çerçeveleriyle uyumludur ve modern güvenlik tehditlerine karşı kurumsal düzeyde koruma sağlar.
Erişim tokenları asimetrik RS256 imzalama kullanır ve kullanıcı kimliği, oturum izleme ve otomatik son kullanma tarihi içerir. Her token kriptografik olarak doğrulanır ve gerektiğinde oturumlar anında iptal edilebilir.
Kullanıcı oturumları, güvenli, yalnızca HTTP çerezleri ve kısa ömürlü oturum tokenleri kullanılarak korunur. Oturumlar, hareketsizlik dönemlerinden sonra otomatik olarak sona erer ve tokenlar güvenli bir şekilde saklanır ve çıkış yapıldığında veya şüpheli aktivite durumunda geçersiz kılınır. Oturum verileri asla istemci tarafı betiklerine maruz kalmaz, bu da oturum ele geçirme riskini azaltır.
Eğitim materyalleri ve yüklenen dosyalar, 60 saniye sonra süresi dolan kısa ömürlü ön imzalı URL'ler aracılığıyla sunulur, hassas içerik için maruz kalma penceresini en aza indirir.
Aktarım sırasındaki tüm veriler, HTTP Strict Transport Security (HSTS) etkinleştirilmiş endüstri standardı HTTPS kullanılarak korunur. Content Security Policy (CSP) uygularız, frame koruması uygularız ve yaygın tarayıcı tabanlı saldırılara karşı korumak için içerik türü algılamasını devre dışı bırakırız.
Tüm API anahtarları, depolamadan önce endüstri standardı algoritmalar kullanılarak hash'lenir. Giden webhook'lar HMAC imzaları kullanılarak kriptografik olarak imzalanabilir, bu da platformumuzdan gönderilen verilerin özgünlüğünü doğrulamanıza olanak tanır.
URL tabanlı içe aktarmalar ve uzak kaynak alma işlemleri sıkı bir şekilde doğrulanır. Yalnızca standart HTTP/HTTPS protokollerine izin veririz ve dahili ağlara, özel IP aralıklarına ve diğer potansiyel olarak tehlikeli hedeflere yapılan istekleri otomatik olarak engelleriz.
Üretim API erişimi, yalnızca yetkili domainlerin verilerinizle etkileşime girebilmesini sağlayan katı bir CORS beyaz listesi tarafından korunur. HTTP parametre kirliliği saldırıları, yinelenen parametrelerin reddedilmesi yoluyla otomatik olarak engellenir.
Gösterge paneli üçüncü taraf framelere yerleştirilemez, clickjacking saldırılarına ve yetkisiz yerleştirmeye karşı koruma sağlar.
Platformumuz, farklı chatbotlar ve hesaplar arasında katı izolasyon uygular. Her chatbotun kaynakları tamamen ayrıdır, yetkisiz kiracılar arası erişimi önler.
Kuruluşunuzdaki her chatbot, okuma ve yazma erişim kontrollerini uygulayan ayrıntılı izinlerle korunur. Ekip üyeleri yalnızca görüntülemeye veya değiştirmeye açıkça yetkili oldukları kaynaklara erişebilir, uygun görev ayrımı sağlanır.
Konuşma verileri, chatbot seviyesinde yapılandırılan paylaşım politikalarına saygı gösterir. Konuşmaların belirli ekip üyeleriyle sınırlı olması veya daha geniş paylaşılması durumunda, bu izinler sunucu tarafında uygulanır ve atlanamaz.
Kullanıcı şifreleri endüstri standardı algoritmalar kullanılarak hash'lenir ve asla düz metin olarak saklanmaz. Şifre sıfırlama akışları, yeniden kullanılamayan veya taklit edilemeyen kriptografik olarak imzalanmış, zaman sınırlı tokenlar kullanır.
Oturum açma denemeleri hem e-posta adresi hem de IP adresine göre izlenir. Tekrarlanan başarısız oturum açma denemeleri otomatik geçici kilitlenmeleri tetikler, hesapları kimlik bilgisi doldurma saldırılarına karşı korur.
Her chatbotun eğitim verileri ve bilgi tabanı, izole edilmiş vektör veritabanı ad alanlarında saklanır, farklı chatbotlar veya hesaplar arasında çapraz kontaminasyon olasılığını ortadan kaldırır.
Tüm hassas kimlik bilgileri AWS Secrets Manager'da saklanır ve asla kod veya yapılandırma dosyalarına commit edilmez. Veritabanı bağlantıları, zorunlu şifreleme ile güvenli RDS proxileri aracılığıyla yönlendirilir.
Hareketli pencere algoritması kullanılarak tüm sohbet uç noktalarında kapsamlı hız sınırlama uygulanır. Bu, hizmet reddi saldırılarına ve otomatik kötüye kullanıma karşı koruma sağlarken meşru kullanıcıların kesintisiz hizmet deneyimlemesini garanti eder.
Playbook yapılandırmaları, chatbot adları, kurallar ve tetikleyiciler dahil olmak üzere tüm kullanıcı tarafından oluşturulan içerik, endüstri standardı HTML sanitizasyon kütüphaneleri kullanılarak depolamadan önce otomatik olarak temizlenir. Bu, kötü niyetli scriptlerin platforma enjekte edilmesini önler.
Platformumuz, kalıcı IP kara liste yetenekleri ile akıllı spam algılama kullanır. Meşru trafik, kötü niyetli aktörlere karşı güçlü korumayı sürdürürken yanlış pozitifleri en aza indirmek için beyaz listeye alınır.
Yüklenen dosyalar, dosya adı sanitizasyonu, dosya türü doğrulama ve boyut sınırları dahil katı doğrulamadan geçer. Kötü niyetli dosya yolları, dizin geçişi saldırılarını önlemek için otomatik olarak reddedilir.
Gösterge panelindeki arama sorguları ve kullanıcı girdileri, uzunluk kısıtlamalarına ve hız sınırlamasına tabidir, enjeksiyon girişimleri ve kötüye kullanım için saldırı yüzeyini azaltır.
Widget gömmeler, parent domain doğrulama ile belirli domainlerle sınırlandırılabilir. Zaman tabanlı aktif saatler, chatbotunuza ne zaman erişilebileceğini sınırlayarak maruz kalmayı daha da azaltır.
Yetkilendirme hataları, hız sınırı ihlalleri, kota aşımları ve reddedilen dosya yüklemeleri dahil olmak üzere güvenlikle ilgili tüm olaylar günlüğe kaydedilir. Bu, karmaşık güvenlik analizi ve ayrıntılı uyumluluk gereksinimleri için kapsamlı denetim izleri sağlar.
Hem backend altyapımız hem de gösterge paneli uygulamamız kurumsal düzeyde hata izleme aracılığıyla izlenir. Bu, hatalar oluştuğunda otomatik olarak etkinleşen ayrıntılı oturum tekrar oynatma özelliklerini içerir, hızlı tanı ve çözüm sağlar.
Yüklenen tüm dosyalar ve uzaktan içe aktarılan içerik, saklanmadan veya işlenmeden önce sunucu taraflı antivirüs koruması kullanılarak taranır. Bu, eğitim materyallerini, avatar görsellerini ve harici URL'lerden içe aktarılan tüm içeriği içerir.
Katı beyaz listeler, farklı amaçlar için hangi dosya türlerinin yüklenebileceğini yönetir. Dosya boyutları kaynak tükenme saldırılarını önlemek için sınırlandırılmıştır ve içerik işlemeden önce doğrulanır.
Sohbet widget'ları ve gömmeler IP adresi veya coğrafi konuma göre sınırlandırılabilir. Bu kısıtlamalar, yapılandırmanıza göre gerçek zamanlı olarak uygulanır.
Otomatik bot trafiği tespit edilir ve analizlerden ve telemetriden filtrelenir, etkileşim metriklerinizin gerçek kullanıcı etkileşimlerini yansıtmasını sağlar.
Giden webhook'lar, isteklerin gerçekten platformumuzdan kaynaklandığından emin olmak için doğrulayabileceğiniz HMAC imzalarını içerir. Webhook sırları güvenli bir şekilde oluşturulur ve istediğiniz zaman döndürülebilir.
Stripe webhook olayları, fatura olaylarının gerçek ve değiştirilmemiş olduğunu garanti etmek için resmi imza doğrulama yöntemleri kullanılarak doğrulanır.
WhatsApp, Instagram ve diğer mesajlaşma platformlarıyla entegrasyonlar, sahte mesajları ve tekrar saldırılarını önlemek için doğrulama tokenları, olay tekilleştirme ve özgünlük kontrolleri kullanır.