Kulübünüzün verisini nasıl koruyoruz.
Pazarlama tumturaklığı olmadan.
Futbol istihbaratı hassastır. Sızdırılan bir kısa liste anlaşmaya, sızdırılan bir medikal rapor bir kariyere mal olur. Aşağıda Scout Atlas’ın tam güvenlik modeli yer alıyor — ne yapıyoruz, nasıl yapıyoruz ve açıkça ne yapmamayı seçiyoruz.
Altı taahhüt. Denetlenebilir.
Sütun 01
Varsayılanda şifreli
Aktarımda TLS 1.3. Durağanda AES-256-GCM. Deal Room mesajları, oda başına okuyamadığımız anahtarlarla uçtan uca şifreli.
Sütun 02
Kimlik doğrulanmış
Magic-link auth + isteğe bağlı TOTP MFA. Domain’e bağlı kurumsal e-postalar. Rol atamaları admin onayı ister, kişinin işaretlemesi yetmez.
Sütun 03
Satır seviyesinde izolasyon
Postgres RLS, kulüp sınırlarını veritabanı katmanında zorunlu kılar. Uygulamadaki bir hata başka kulübün verisini açığa çıkaramaz.
Sütun 04
Varsayılanda denetim
Doğrulanmış her eylem — görüntüleme, skor, mesaj, geçersiz kılma — değiştirilemez şekilde loglanır. Kulüp adminleri organizasyonlarının denetim kayıtlarını talep üzerine dışa aktarabilir.
Sütun 05
Uyumluluk farkındalıklı
GDPR, KVKK, Q4 2026 için SOC 2 Type II hedefi. Kurucu liderliğinde veri koruma sorumlusu, her talebi 30 gün içinde yönetir.
Sütun 06
Onaysız model eğitimi yok
Match ve Vision halka açık veri setleriyle eğitilir. Üye kulüp özel verisi, kulüp başına anahtarlarla şifrelenir ve yazılı onay olmadan asla kulüpler arası modellerde kullanılmaz.
Tam liste, alana göre.
Güvenlik ekibinizin satınalma anketi varsa, bu bölüm yaklaşık %70’ini yanıtlar. Geri kalanını seve seve dolduracağız.
Kimlik doğrulama & erişim
- Supabase magic-link OTP, isteğe bağlı donanım anahtarı TOTP
- Middleware + RLS’te zorunlu rol-bazlı izin matrisi
- Davet, rol ve iptali kulüp adminleri yönetir
- Oturum süresi: 7 gün boşta, 30 gün mutlak; org bazında yapılandırılabilir
Veri koruma
- Hassas sütunlarda durağanda AES-256-GCM (PII, biyometrik veri)
- Aktarımda TLS 1.3, HSTS preload, yalnızca modern şifre paketleri
- Özel GPS/biyometrik akışlar için kulüp başına anahtar zarfları
- Kulüp kapsamlı her tabloda Postgres satır seviyesi güvenlik
Uygulama güvenliği
- Sıkı Content-Security-Policy + Trusted Types
- Her endpoint’te girdi doğrulama (allowlist, max-length, tip dönüşümü)
- Yalnızca prepared statement — SQL’de string birleştirme yok
- Her commit’te Dependabot + secret scanning aktif
Operasyonel
- Bağımsız bir firma tarafından çeyreklik sızma testi (yıl 2’den itibaren)
- Sicil doğrulamalı mühendisler; offshore prod erişimi yok
- Şifreli yedekler, 30 gün saklama, çeyreklik test
- Kurucu nöbetli olay yanıt runbook’u
Gizlilik
- GDPR + KVKK Madde 15/Madde 17 talepleri 30 gün içinde yanıtlanır
- Veri satışı yok. Reklam izleme yok. Bağlamlar arası analitik yok.
- Analyst kademesi ve üzerinde AB-bölgesi veri ikametgâhı seçeneği
- Talep üzerine veri silme: 30 gün soft delete, ardından kriptografik silme
Deal Room mesajları nasıl gizli kalır.
Deal Room mesajlaşması, Signal ile aynı temel yapı taşlarıyla — X3DH anahtar anlaşması ve Double Ratchet ile — uçtan uca şifrelenir ve tamamen tarayıcıda Web Crypto API üzerinde çalışır. Sunucu yalnızca şifreli metni ve açık ön-anahtarları aktarır; bir görüşmeyi çözen anahtarları asla tutmaz.
Adım 01
X3DH anahtar anlaşması
Her üye bir Ed25519 imzalama anahtarı ve bir X25519 ECDH anahtarı tutar. Bir kanal açmak için başlatan taraf, alıcının ön-anahtar paketini — bir imzalı ön-anahtar ve mümkünse tek kullanımlık bir ön-anahtar — getirir ve üçlü Diffie-Hellman (3-DH) el sıkışması yürütür. İmzalı ön-anahtar, paketin sunucu tarafından taklit edilmediğini, gerçekten alıcıya ait olduğunu kanıtlar.
Adım 02
Double Ratchet
Paylaşılan gizli anahtar bir Double Ratchet besler. HKDF-SHA256 simetrik anahtar zinciri her mesajda ilerler; böylece sızan bir anahtar, daha önceki mesajlar hakkında hiçbir şey ele vermez (ileri gizlilik). Yeni geçici anahtarlarda atılan bir Diffie-Hellman ratchet adımı, bir cihaz kısa süreliğine ele geçirilse bile oturumu iyileştirir (ele geçirme sonrası güvenlik).
Adım 03
AES-256-GCM mesaj mührü
Her mesaj-başına anahtar, açık metni AES-256-GCM ile mühürler (kimlik doğrulamalı şifreleme, 96-bit IV). Sunucu yalnızca şifreli metni, IV’yi ve gönderenin açık geçici anahtarını saklar. İstemcide türetilen mesaj anahtarlarına erişimi yoktur.
Sunucunun asla tutmadığı anahtarlar.
Özel kimlik, ön-anahtar ve ratchet anahtarları üye cihazlarında üretilir ve orada tutulur. Paket uç noktası yalnızca opak açık ön-anahtarları saklar; mesaj anahtarları yalnızca tarayıcı belleğinde bulunur. Pratik sonuç: Scout Atlas bile Deal Room içeriğini okuyamaz — zorlanabilecek bir sunucu tarafı anahtarı yoktur.
Bugün bulunduğumuz nokta.
Bu, şu anda erken bir aşamada (v0) yayında olan şifreleme tasarımıdır. Kriptografi uygulanmıştır ve testlerle çalıştırılmaktadır, ancak henüz bağımsız bir üçüncü taraf denetiminden geçmemiştir ve henüz üretim için sertleştirilmiş olarak tanımlamıyoruz. Ön-anahtar kanalı zarif biçimde düşer — tek kullanımlık ön-anahtarlar bir yedek tabanı taşır; böylece tükenmiş bir havuz, açık başarısızlık yerine yalnızca imzalı-ön-anahtarlı X3DH’ye geri döner. Tasarım olgunlaştıkça ve incelendikçe bu sayfayı güncelleyeceğiz.
AB bölgesi ikametgâhı ve aktarım dayanağı.
AB merkezli üye kulüpler, Analyst katmanı ve üzerinde AB bölgesinde veri ikametgâhı talep edebilir. Kişisel veriler AEA veya Birleşik Krallık dışına aktarıldığında, Avrupa Komisyonu’nun Standart Sözleşme Maddeleri’ne (SCC) veya geçerli bir yeterlilik kararına dayanırız; Türkiye dışına aktarımlar KVKK 9. madde gereği gerekli güvenceler altında yürütülür. Tam politika, veri koruma bildirimimizde yer alır.
Asla taviz vermediğimiz şeyler.
Verinizi satmak veya paylaşmak.
Veri satışı yok, broker ortaklığı yok, arka ofiste “anonim” veri seti yok. Kadronuz size ait.
Onaysız özel veriyle model eğitmek.
Üye kulüp özel girdileri (GPS, biyometri, medikal) hiçbir modeli eğitmez. Nokta. Halka açık veri setleri kamuya açıklanmıştır.
Deal Room mesajlarınızı okumak.
Deal Room mesajlaşması uçtan uca şifrelidir. Mahkeme kararı bile gelse içeriği üretemeyiz.
Olayları gömmek.
Üye verisini etkileyen tüm güvenlik olayları, etkilenen kulüplere 72 saat içinde, 14 gün içinde yazılı post-mortem ile birlikte açıklanır.
Bir açık mı buldunuz? Sizi duymak istiyoruz.
Açık ve sorumlu zafiyet bildirim programı yürütüyoruz. security@scoutatlas.co adresine ayrıntılar ve yeniden üretim adımları ile yazın. 48 saat içinde yanıtlar, yamalar yayına girdiğinde araştırmacılara değişiklik notlarımızda yer veririz.