Dört katman, bağımsız üçüncü taraflarca yıllık denetlenir. Nerede ne olduğunun ayrıntıları.
Tüm müşteri verileri AES-256 ile dinlenirken şifrelenir — simetrik veri şifrelemesi için mevcut sektör standardı. Hassas alanlar (kimlik belgeleri, kaynak doğrulama kanıtları) alan düzeyinde ek olarak şifrelenir ve anahtarlar ayrı bir anahtar yönetim hizmetinde (HSM destekli) tutulur. İletimde tüm trafik TLS 1.3 kullanır.
İki faktörlü kimlik doğrulama zorunludur ve devre dışı bırakılamaz. İki yöntem destekliyoruz: TOTP uygulamaları (Google Authenticator, Authy, 1Password) ve WebAuthn donanım anahtarları (YubiKey, Titan). Güvenlik bilinçli kullanıcılar için WebAuthn'i açıkça öneriyoruz — kimlik avına karşı bağışıktır, SMS tabanlı 2FA'nın aksine (ki onu hiç sunmuyoruz).
Invistium paranızın saklayıcısı değildir. Müşteri fonları SPK lisanslı prime brokerlarda ayrıştırılmış hesaplarda tutulur. Bu özellikle şu anlama gelir: (1) paranız Invistium kurumsal sermayesinden yasal olarak ayrıştırılmıştır, (2) Invistium iflası gibi pek olası olmayan durumda fonlarınız iflas masasının parçası değildir, (3) her prime broker SPK düzenlemesi altındadır ve TMSF kapsamı dahilindedir.
Invistium saklayıcı değildir. Teknoloji hizmet sağlayıcısıyız. Paranız SPK lisanslı brokerlarda ayrıştırılmış hesaplarda — Invistium'da değil.
Dahili olarak sıfır güven modelinde çalışıyoruz: hiçbir çalışan ve hiçbir iç servis açık yetkilendirme olmadan müşteri verisine erişemez. Tüm erişim logları 12 ay tutulur ve yıllık denetimlerde incelenir. Üretim sistemleri ile geliştirme ortamları katı şekilde ayrılmıştır.
İki coğrafi olarak ayrılmış veri merkezinde (İstanbul ve Frankfurt) tamamen yedekli altyapı işletiyoruz. Günlük şifreli yedekler 30 gün saklanır. Kurtarma Süresi Hedefi (RTO): 4 saatten az. Kurtarma Noktası Hedefi (RPO): 15 dakikadan az.
Açık bildirin. Potansiyel güvenlik açığı keşfederseniz [email protected]'ya yazın. 24 saat içinde alındığını onaylarız.