Güvenlik & Kullanıcı Yetkilendirme

Hizmet işletmelerinde hız kadar güvenlik de vazgeçilmezdir. Müşteri verileri, ödeme bilgileri ve operasyon kayıtları; yanlış kişilerin eline geçerse finansal ve itibar riski yaratır. Bu nedenle sistem; rol tabanlı yetkilendirme (RBAC), menü/alan kısıtları, denetim izleri, oturum & cihaz güvenliği, dışa aktarma politikaları ve KVKK uyumu ile tasarlanmıştır. Amaç; “gereken kadar erişim” prensibini uygulayarak hem üretkenliği hem de güvenliği aynı anda sağlamaktır.

Rol Tabanlı Yetkilendirme (RBAC)

Kullanıcılar; rollere atanır ve her rolün belirli izinleri vardır. Örnek roller: kasa (ödeme ekle–fatura gör), atölye (durum değiştir–etiket), kurye (alım/teslim–rota), yönetici (rapor–konfigürasyon), muhasebe (e-belge–cari). İzinler; menü düzeyinde (gör/ekle/sil/dışa aktar), kayıt düzeyinde (kendi şubesi/ tüm şubeler) ve alan düzeyinde (tutar maskeleme, telefon maskeleme) ayrıntılandırılabilir.

Menü, Kayıt ve Alan Düzeyi Kısıtlar

• Menü bazlı: Örn. “Raporlar” yalnızca yöneticide görünür; “Bordro İndir” izni sadece muhasebede.
• Kayıt bazlı: Kullanıcı kendi şubesindeki kayıtları görür; merkez tüm şubeleri filtreleyebilir.
• Alan bazlı: Tutar/telefon/e-posta gibi hassas alanlar maskelenebilir; ihtiyaç halinde tek tıkla “geçici göster” (loglanır).

Oturum, Cihaz ve IP Güvenliği

• Oturum yönetimi: Zaman aşımı, tekil oturum (same-user single session) ve uzak cihazdan oturum sonlandırma.
• İki adımlı doğrulama (2FA): Opsiyonel olarak SMS/Authenticator ile ek güvenlik katmanı.
• IP/cihaz kısıtı: Belirli IP aralığına izin ver; mobil cihaz kaybolduğunda cihaz belirtecini iptal et.
• Şifre politikası: Minimum uzunluk, karmaşıklık, periyodik değişim ve kötü parola kara listesi.

Denetim İzleri (Audit Logs)

Sistem; kritik hareketleri zaman damgası, kullanıcı ve eski–yeni değerlerle loglar. Örnek: “cari limit 10.000 → 12.500”, “fatura iptal isteği”, “kullanıcı X, rapor indir” gibi olaylar. Denetim izleri; iç kontrol ve dış denetimde kanıt sağlar. Logların silinmesi kural dışıdır; saklama süresi ve erişim izni konfigüre edilebilir.

Dışa Aktarma ve Paylaşım Politikaları

• Excel/PDF kontrolü: “Rapor indir” izni rol bazlıdır; indirilen dosyaya tarih/filigran eklenebilir.
• Gizlilik etiketleri: “İç Kullanım/Özel” benzeri etiketler; PDF üstbilgi/altbilgide otomatik yer alır.
• Paylaşım sınırı: Link süreli ve tekil olabilir; indir–görüntüle ayrımı yapılabilir.

Veri Koruma: Şifreleme ve Maskeleme

• İletişim güvenliği: Tüm trafik TLS ile şifrelenir; oturum belirteçleri güvenli çerezlerde saklanır.
• Depolama: Hassas alanlar (örn. token/anahtar) ayrı kasada; parolalar tek yönlü karma (hash).
• Maskeleme: Telefon, TCKN/VKN veya tutar alanları maske ile görüntülenir; tam görüntüleme ayrı izne tabidir.

KVKK ve Uyum

Veri minimizasyonu ilkesi gereği yalnızca gerekli alanlar toplanır. Aydınlatma metni, saklama süreleri ve silme/anonimleştirme politikaları tanımlanır. Müşteri; iletişim iznini (opt-in) ve kanalları (SMS/WhatsApp/e-posta) profilinde yönetebilir. “Veri sahibi talebi” (erişim/düzeltme/silme) süreçleri kayıt altına alınır.

Çoklu Şube ve Ayrıştırılmış Erişim

Çoklu şube senaryosunda; veri görünürlüğü rol–şube eşleşmesiyle yönetilir. “Sadece kendi şubesi” veya “bölge şubeleri” görme yetkisi atanabilir. Merkez kullanıcıları tüm şubeleri görebilir; ancak indirme/aktarımı yine rol belirler.

İş Sürekliliği ve Yedek

Konfigürasyon ve veri yedekleri periyodik olarak alınır; geri yükleme testleri planlı yapılır. Kritik raporların özetleri e-posta/SFTP gibi kanallar üzerinden güvenli biçimde saklanabilir. Kesintide offline kuyruk senaryoları (saha formları) veri kaybını engeller.

Onboarding / Offboarding Kontrol Listesi

1. Onboarding: Rol atama, şube yetkisi, 2FA, şifre politikası bilgilendirmesi, gizlilik eğitimi.
2. Offboarding: Oturum kapatma, cihaz belirteci iptali, parola sıfırlama, erişim loglarının arşivlenmesi.

İzleme ve Anomali Uyarıları

Sistem; hatalı oturum denemeleri, olağan dışı indirme hacmi, kısa sürede çok sayıda kayıt değişikliği gibi anomali örüntülerinde uyarı üretir. IP değişiminde yeniden doğrulama istenebilir.

En İyi Uygulamalar

• Asgari yetki: Kullanıcıya işini yapması için gereken en dar izin setini verin.
• İki göz kuralı: Fatura iptali, cari limit artışı gibi kritik işlemlere çift onay uygulayın.
• Şablonlu raporlar: İndirme yetkisi olan kullanıcılar için filigranlı şablonlar kullanın.
• Eğitim: Paylaşım ve veri güvenliği konularında kısa, tekrarlı eğitimler planlayın.

SSS

2FA zorunlu mu? Opsiyoneldir; yüksek riskli roller için zorunlu kılmanızı öneririz.

Telefon/tutar maskelemesini kim açabilir? Sadece yetkisi olan kullanıcı; aç/kapa işlemi loglanır.

Excel/PDF indirmenin sınırı var mı? Rol ve kota politikasıyla sınır konabilir; linkler süreli olabilir.

Şube çalışanı başka şubeyi görebilir mi? Yetkiye bağlıdır; varsayılan “kendi şubesi” ile sınırlıdır.