Güvenlik

Veriler, Avrupa Birliği'nde (Frankfurt / Almanya) konumlanan Supabase (Amazon Web Services) altyapısında saklanır ve işlenir. KVKK bakımından yurt dışı aktarım niteliği taşır; ayrıntılar için KVKK Aydınlatma Metni.

• Aktarımda: tüm trafik TLS (HTTPS) ile şifrelenir.
• Beklemede (at-rest): veriler ve yedekler altyapı katmanında AES-256 ile şifrelenir.
• Parolalar geri döndürülemez biçimde özetlenir; düz metin olarak saklanmaz.

Erişim, e-posta + parola ile kimlik doğrulamasının ardından rol bazlı (doktor / asistan / sekreter) yetkilerle sınırlanır. Yetki kuralları veritabanı düzeyinde satır bazlı güvenlik (RLS) ile uygulanır; uygulama hatası olsa dahi yetkisiz erişim engellenir.

Çok kiracılı (multi-tenant) mimaride her klinik yalnızca kendi verisine erişir. Bir kliniğin verisi diğer kliniklerden veritabanı düzeyinde tamamen yalıtılmıştır.

Hassas işlemler (oluşturma, güncelleme, silme, dışa aktarma) değişmez denetim kaydına(audit log) yazılır. Kim, neyi, ne zaman yaptı izlenebilir.

• Veriler, yönetilen altyapıda otomatik ve şifreli olarak yedeklenir.
• Klinik yöneticileri, hasta verilerini panelden taşınabilir biçimde (JSON) dışa aktarabilir veya kalıcı olarak silebilir.
• Hesabın kapatılması halinde veriler ilgili mevzuat ve saklama süreleri çerçevesinde silinir veya anonimleştirilir.