Güvenlik
Redi platformunun güvenlik uygulamaları ve uyum taahhütleri.
Kart Verisi ve PCI DSS
Redi, hiçbir aşamada müşterilerinizin kart verilerini işlemez, saklamaz veya görüntülemez. Tüm ödeme akışı PayTR ve iyzico gibi PCI DSS Level 1 sertifikalı ödeme sağlayıcılarının güvenli iframe çözümleri üzerinden yürütülür. Bu sayede Redi, PCI DSS SAQ A kapsamında en düşük yük profilinde çalışır.
KVKK ve Veri Koruma
- Tüm müşteri verileri Türkiye'deki veri merkezlerinde barındırılır.
- KVKK aydınlatma metni her müşteri oturumu başlangıcında onay ile kaydedilir.
- Kişisel veri silme talepleri 30 gün içinde yerine getirilir.
- Veri işleme sorumlusu ve iletişim için: kvkk@redi.app
Teknik Güvenlik Önlemleri
- TLS 1.3 zorunlu — tüm trafik şifreli.
- HSTS ile HTTPS zorunluluğu (
max-age=1 yıl). - Güvenlik başlıkları: X-Content-Type-Options, X-Frame-Options, Referrer-Policy, Permissions-Policy.
- Şifreler bcrypt (12 round) ile hashlenir.
- API rate limiting ile kötüye kullanıma karşı koruma.
- JWT tabanlı oturum yönetimi, HTTP-only secure cookie ile saklanır.
- Tüm kritik işlemler (silme, ödeme) audit log'a kaydedilir.
- Veri tabanı günlük yedeklenir, point-in-time recovery aktiftir.
NFC Modülü Güvenliği
- Mobile auth: Redi NFC Android app, HS256 imzalı JWT ile kimlik doğrular. Token 30 gün TTL, audience
redi-nfc-mobileile sınırlı. - Tag UID: Yazma sonrası UID kaydedilir, sahte tag tespiti için referans. Tag fiziksel olarak NXP üretici imzalı (originality signature).
- Scan event:KVKK uyumlu — IP saklanmaz, User-Agent günlük rotate edilen salt ile SHA-256 hash'lenir. 90 gün sonra otomatik silinir. Üçüncü parti analitik veya reklam SDK'sı yok.
- Tag locking:Pro+ tier'da yazma sonrası tag NDEF read-only moda alınır — kötü niyetli yeniden programlamaya karşı koruma.
- Restoran izolasyonu: Tüm NFC API endpoint'leri
restaurantIdbazlı filtrelenir — başka restoranın tag'ine erişim/yazma 404 döner.
Açık Güvenlik
Redi'de bir güvenlik açığı tespit ederseniz lütfen sorumlu şekilde bildirin: security@redi.app. Yapıcı bildirimlere yanıt 48 saat içinde verilir.
Uyum Sertifikaları
- PCI DSS SAQ A (ödeme sağlayıcıları üzerinden)
- KVKK Veri Sorumluları Sicili (VERBİS) kayıtlı
- ISO 27001 uyum süreci (2026 hedefi)
Son güncelleme: 2026-05-15
