Kulübünüzün verisini nasıl koruyoruz.
Pazarlama tumturaklığı olmadan.
Futbol istihbaratı hassastır. Sızdırılan bir kısa liste anlaşmaya, sızdırılan bir medikal rapor bir kariyere mal olur. Aşağıda Scout Atlas’ın tam güvenlik modeli yer alıyor — ne yapıyoruz, nasıl yapıyoruz ve açıkça ne yapmamayı seçiyoruz.
Altı taahhüt. Denetlenebilir.
Sütun 01
Varsayılanda şifreli
Aktarımda TLS 1.3. Durağanda AES-256-GCM. Deal Room mesajları, oda başına okuyamadığımız anahtarlarla uçtan uca şifreli.
Sütun 02
Kimlik doğrulanmış
Magic-link auth + isteğe bağlı TOTP MFA. Domain’e bağlı kurumsal e-postalar. Rol atamaları admin onayı ister, kişinin işaretlemesi yetmez.
Sütun 03
Satır seviyesinde izolasyon
Postgres RLS, kulüp sınırlarını veritabanı katmanında zorunlu kılar. Uygulamadaki bir hata başka kulübün verisini açığa çıkaramaz.
Sütun 04
Varsayılanda denetim
Doğrulanmış her eylem — görüntüleme, skor, mesaj, geçersiz kılma — değiştirilemez şekilde loglanır. Kulüp adminleri organizasyonlarının denetim kayıtlarını talep üzerine dışa aktarabilir.
Sütun 05
Uyumluluk farkındalıklı
GDPR, KVKK, Q4 2026 için SOC 2 Type II hedefi. Kurucu liderliğinde veri koruma sorumlusu, her talebi 30 gün içinde yönetir.
Sütun 06
Onaysız model eğitimi yok
Match ve Vision halka açık veri setleriyle eğitilir. Üye kulüp özel verisi, kulüp başına anahtarlarla şifrelenir ve yazılı onay olmadan asla kulüpler arası modellerde kullanılmaz.
Tam liste, alana göre.
Güvenlik ekibinizin satınalma anketi varsa, bu bölüm yaklaşık %70’ini yanıtlar. Geri kalanını seve seve dolduracağız.
Kimlik doğrulama & erişim
- Supabase magic-link OTP, isteğe bağlı donanım anahtarı TOTP
- Middleware + RLS’te zorunlu rol-bazlı izin matrisi
- Davet, rol ve iptali kulüp adminleri yönetir
- Oturum süresi: 7 gün boşta, 30 gün mutlak; org bazında yapılandırılabilir
Veri koruma
- Hassas sütunlarda durağanda AES-256-GCM (PII, biyometrik veri)
- Aktarımda TLS 1.3, HSTS preload, yalnızca modern şifre paketleri
- Özel GPS/biyometrik akışlar için kulüp başına anahtar zarfları
- Kulüp kapsamlı her tabloda Postgres satır seviyesi güvenlik
Uygulama güvenliği
- Sıkı Content-Security-Policy + Trusted Types
- Her endpoint’te girdi doğrulama (allowlist, max-length, tip dönüşümü)
- Yalnızca prepared statement — SQL’de string birleştirme yok
- Her commit’te Dependabot + secret scanning aktif
Operasyonel
- Bağımsız bir firma tarafından çeyreklik sızma testi (yıl 2’den itibaren)
- Sicil doğrulamalı mühendisler; offshore prod erişimi yok
- Şifreli yedekler, 30 gün saklama, çeyreklik test
- Kurucu nöbetli olay yanıt runbook’u
Gizlilik
- GDPR + KVKK Madde 15/Madde 17 talepleri 30 gün içinde yanıtlanır
- Veri satışı yok. Reklam izleme yok. Bağlamlar arası analitik yok.
- Analyst kademesi ve üzerinde AB-bölgesi veri ikametgâhı seçeneği
- Talep üzerine veri silme: 30 gün soft delete, ardından kriptografik silme
Asla taviz vermediğimiz şeyler.
Verinizi satmak veya paylaşmak.
Veri satışı yok, broker ortaklığı yok, arka ofiste “anonim” veri seti yok. Kadronuz size ait.
Onaysız özel veriyle model eğitmek.
Üye kulüp özel girdileri (GPS, biyometri, medikal) hiçbir modeli eğitmez. Nokta. Halka açık veri setleri kamuya açıklanmıştır.
Deal Room mesajlarınızı okumak.
Deal Room mesajlaşması uçtan uca şifrelidir. Mahkeme kararı bile gelse içeriği üretemeyiz.
Olayları gömmek.
Üye verisini etkileyen tüm güvenlik olayları, etkilenen kulüplere 72 saat içinde, 14 gün içinde yazılı post-mortem ile birlikte açıklanır.
Bir açık mı buldunuz? Sizi duymak istiyoruz.
Açık ve sorumlu zafiyet bildirim programı yürütüyoruz. security@scoutatlas.co adresine ayrıntılar ve yeniden üretim adımları ile yazın. 48 saat içinde yanıtlar, yamalar yayına girdiğinde araştırmacılara değişiklik notlarımızda yer veririz.