HUKUKİ · GÜVENLİK

Güvenlik Uygulamaları

Tenvo'in nasıl inşa edildiği, şifrelendiği ve işletildiği, ayrıca bir güvenlik açığını nasıl bildireceğiniz hakkında. Henüz sertifikalandırmadığımız konularla ilgili dürüst yanıtlar.

Son güncelleme: 2026-05-06

TL;DR

Oturum içeriği (ekranınız, tuş vuruşları, aktarılan dosyalar) cihaz başına benzersiz bir sertifika kullanılarak TLS ile şifrelenir. Doğrudan eşler arası bağlantılar uçtan uca şifrelenir. İstemci açık kaynaklıdır; böylece şifreleme bağımsız olarak denetlenebilir.

Henüz SOC 2 veya ISO 27001 sertifikasına sahip değiliz. Güvendiğimiz altyapı sağlayıcıları sertifikalıdır. Bir güvenlik açığı bulursanız, support@tenvoai.com adresine yazın.

İçerikler

01Kapsam
02Şifreleme
03Altyapı
04Kimlik doğrulama ve erişim kontrolü
05Uyum ve sertifikalar
06Denetim kaydı ve izleme
07Uç nokta ve kurumsal güvenlik
08Açık kaynak ve yeniden üretilebilirlik
09Sorumlu ifşa
10Kapsam Dışı
11Olay Yanıtı
12Değişiklikler

01Kapsam

Bu sayfa, Tenvo istemcisi ve tenvoai.com'da upDevTeam LTD tarafından işletilen ara bağlayıcı hizmetinin güvenlik mimarisini ve bize güvenlik açıklarını bildirme süreçlerini tanımlamaktadır.

Bu bilgilendiricidir. Sözleşmeye dayalı güvenlik taahhütleri Hizmet Şartları ve DPA'da bulunmaktadır.

02Şifreleme

Bağlantılar TLS ile şifrelenir. Her cihaza sertifika otoritemiz tarafından benzersiz bir sertifika verilir. Doğrudan eşler arası bağlantılarda oturum iki cihaz arasında uçtan uca şifrelenir; doğrudan bağlantı mümkün olmadığında trafik aktarılarak iletim sırasında şifrelenir.

Taşıma şifrelemesi: Bağlantıların sessizce zayıflatılamaması veya ele geçirilememesi için sabitlenmiş bir güvenilir sertifika otoritesi setiyle TLS.
Cihaz başına kimlik: Her cihaza CA'mız tarafından imzalanmış benzersiz bir sertifika verilir; doğrudan bağlantılar, herhangi bir oturum verisi aktarılmadan önce bunu doğrular (sertifika kimliği cihaz kimliğiyle eşleşmelidir).
Şifreler: TLS tarafından müzakere edilen modern AEAD şifreleri (AES-256-GCM veya ChaCha20-Poly1305 gibi); eski ve zayıf şifreler devre dışı bırakılmıştır.
Taşıma: Ara bağlayıcı kontrol düzlemi ve web uygulaması için TLS 1.3. Sadece modern şifreleme setleri; eski TLS sürümleri devre dışıdır.
Veri beklemede şifreleme: Hesap verileri ve yedekler, yönetilen veritabanı sağlayıcımız tarafından beklemede şifrelenir.

Kriptografik kütüphaneler, denetlenen yukarı akış sürümlerine pinlenmiştir ve belgelenmiş bir takvimde güncellenmektedir. Kendi ilkelimizi uygulamıyoruz.

03Altyapı

Üretim altyapısı sınırlı sayıda sağlayıcı üzerinde çalışır:

VPS barındırma sağlayıcımız — relay'i, hesap hizmetini ve pazarlama sitesini çalıştıran sunucular.
Supabase, Inc. — hesaplar ve faturalama meta verileri için yönetilen PostgreSQL.
Stripe Payments Europe Ltd. — ücretli planlar için kart işleme.
GitHub, Inc. — istemci derlemeleri için kaynak barındırma ve CI/CD.
E-posta, üçüncü taraf bir e-posta işlemcisi yerine kendi altyapımızda çalıştırdığımız bir posta sunucusundan gönderilir.

Kişisel verileri işleyen her sağlayıcı bir veri işleme sözleşmesine tabidir. İşleme EEA dışındaki bir yerde gerçekleşiyorsa, AB Standart Sözleşme Maddeleri gibi uygun güvencelere dayanıyoruz.

04Kimlik doğrulama ve erişim kontrolü

Kullanıcı düzeyinde erişim kontrolleri:

Varsayılan olarak e-posta sihirli bağlantısı / OTP oturumu açma. Argon2id ile hashlenmiş şifreler ve ihlal-korpüs taraması ile isteğe bağlı şifre ile giriş.
Ücretli hesaplar için iki adımlı kimlik doğrulama (TOTP) mevcut, personel için zorunlu.
Oturum başlangıcında kontrol edilen taraf tarafından seçilen cihaz başına izin bayrakları (panoya kopyalama, dosya transferi, ses, yeniden başlatma).
Yasaklı eş-ID listesi upDevTeam LTD tarafından yönetilir ve relay'de uygulanır.

05Uyum ve sertifikalar

Bu sayfanın üstündeki tarihe göre dürüst durum: Tenvo ve upDevTeam LTD şu anda SOC 2, ISO 27001, ISO 27017, ISO 27018, HIPAA, PCI-DSS, FedRAMP veya başka bir resmi üçüncü taraf güvenlik standardı için sertifikalandırılmamıştır. Aksini iddia eden kamu beyanları yanlıştır.

Barındırma, veritabanı (Supabase) ve ödeme (Stripe) sağlayıcılarımızın kendileri SOC 2 / ISO 27001 denetiminden geçmişlerdir; bizim güvenliğimiz onlarınkinden kısmi güvence devralır ancak onunla eşit değildir.

2026 için dış güvenlik incelemesi yönünde çalışıyoruz ve sonuçlar yayınlandığında bu sayfada paylaşılacaktır. Sahip olmadığımız sertifikalara sahipmiş gibi davranmayacağız.

06Denetim kaydı ve izleme

Üretim sistemlerindeki idari işlemler, en az 90 günlük saklama süresi ile merkezi ve yalnızca ekleme yapılabilir bir kayda kaydedilmektedir. Kayıt, aktör, işlem, zaman damgası ve kaynak IP'yi kaydeder. Üretim erişimi, zorunlu iki adımlı kimlik doğrulama ile tanımlı az sayıda mühendise kısıtlanmıştır.

Çalışma süresi, hata oranları ve istismar ile ilgili sinyalleri (ani trafik artışları, brute-force denemeleri, eş-ID sıralaması) izliyoruz ve haftalık olarak nöbet değişimi yapıyoruz.

07Uç nokta ve kurumsal güvenlik

Üretim sistemlerine erişmek için kullanılan personel cihazları şunları sağlamalıdır:

tam disk şifrelemesi etkin bir desteklenen, güncel işletim sistemi çalıştırmak;
üretim erişimi için yönetilen bir şifre yöneticisi ve donanım destekli 2FA token (örn. WebAuthn) kullanmak;
uç nokta korumasına veya bir Linux eşdeğerine ve otomatik güvenlik güncellemelerine sahip olmak;
personel üyesi ayrıldığında silinmeli ve sertifikalar iptal edilmelidir.

08Açık kaynak ve yeniden üretilebilirlik

Tenvo istemcisi AGPL-3.0 altında açık kaynaklıdır. Herkes kaynak kodunu okuyabilir, derleyebilir ve iddia ettiğimiz işlevselliği doğrulayabilir. Relay kodu (hbbr / hbbs'in bir fork'u) benzer şekilde açıktır.

Yayınlanan her yükleyici için SHA-256 hash'lerini yayınlıyoruz. Windows için EV kod imzalama ve macOS için Apple onaylı yayın sürecini takip ediyoruz; mevcut inşaat durumu İndirme sayfasında yer almaktadır.

09Sorumlu ifşa

Bağımsız güvenlik araştırmacılarından gelen raporları memnuniyetle karşılıyoruz. Bir güvenlik açığı bildirmek için:

E-posta: support@tenvoai.com
PGP: Aynı sayfada yayınlanan PGP anahtar parmak izi; istismar detaylarını içeren herhangi bir rapor için şifreli raporlar tercih edilmektedir.
Yanıt süresi: İlk onay 3 iş günü içinde; durum güncellemesi 10 iş günü içinde; herhangi bir kamu paylaşımından önce koordine edilmiş bir açıklama anlaşması.
Güvenli liman: Bu politika ile uyumlu iyi niyetli araştırmalar upDevTeam LTD tarafından hukuki işlem görmeyecektir. Kullanıcı verilerine erişmemenizi, kendi hesaplarınız dışında test yapmamanızı ve personel üzerinde hizmet reddi veya sosyal mühendislik saldırıları gerçekleştirmemenizi rica ediyoruz.

Şu anda ücretli bir hata avı programı yürütmüyoruz. Sorunu çözdükten sonra, anlamlı raporları (izinle) bir şöhret listesi sayfasında kamuya duyuruyoruz.

Kritik bulgular (RCE, bozuk oturum şifrelemesi, kitlesel kimlik doğrulama atlatması) derhal görevdeki mühendise yükseltilir ve planlı işlere göre önceliklendirilir.

10Kapsam Dışı

Aşağıdakiler, bölüm 9 altında güvenli liman muamelesine uygun değildir ve raporlanabilir ancak güvenlik açığı olarak değerlendirilmeleri olası değildir:

herhangi bir sisteme karşı hizmeti engelleme veya hacimsel saldırılar;
upDevTeam çalışanları veya müşterilerine karşı sosyal mühendislik saldırıları;
ofislere veya veri merkezlerine yönelik fiziksel saldırılar;
kurbanın güvenilir olmayan yazılımlar yüklemesini gerektiren sorunlar;
çalışan bir istismar yolu olmaksızın en iyi uygulama sapmaları (örn. pazarlama sayfalarında eksik güvenlik başlıkları).

11Olay Yanıtı

Tespit, sınırlama, ortadan kaldırma, iyileşme ve olay sonrası değerlendirmeyi kapsayan yazılı bir olay yanıtı kılavuzu tutuyoruz. Kılavuz, en az yılda bir kez ve her önemli olaydan sonra gözden geçirilir.

Kişisel veri ihlali gerçekleşirse, Veri Gizliliği Politikamız ve DPA'daki bildirim zaman dilimleri geçerlidir.

12Değişiklikler

Mimari veya bu sayfadaki herhangi bir taahhüt önemli ölçüde değiştiğinde, 'Son güncelleme' tarihini günceller ve değişikliği değişiklik günlüğünde açıklarız.

Bir güvenlik iddiasını doğrulamanın en güvenilir yolu kaynak kodunu okumaktır. github.com/GoDeskFlow adresinden başlayın.