Güvenlik
Güvenlik ve veri koruma.
Raavio, cihazlarınıza yüksek yetkiyle erişen bir RMM platformudur. Bu yüzden güvenlik yaklaşımımızı pazarlama diliyle değil, doğrulanabilir teknik gerçeklerle anlatıyoruz.
Veri nerede tutuluyor?
Raavio'nun tüm uygulama ve veritabanı altyapısı Türkiye merkezli, yerli sunucularda barındırılır. Müşteri verisi yurt dışına aktarılmaz. Bu, KVKK kapsamında veri yerleşimi (data residency) beklentisi olan MSP'ler ve kurumsal IT ekipleri için doğrudan bir uyum avantajıdır.
- Uygulama ve veritabanı: Türkiye merkezli yerli sunucu
- Veritabanı: PostgreSQL
- Müşteri verisi yurt dışına aktarılmaz
Aktarım güvenliği
Panel, API ve agent trafiğinin tamamı şifreli kanaldan geçer. Sertifikalar otomatik yenilenir; şifresiz (HTTP) bağlantı kabul edilmez, tüm istekler HTTPS'e yönlendirilir.
- TLS 1.2 ve TLS 1.3 desteklenir
- HTTP → HTTPS zorunlu yönlendirme
- HSTS (Strict-Transport-Security) aktif
- Agent bağlantısı: gRPC üzerinden TLS ile şifreli
Agent bağlantısı: giden (outbound) bağlantı
Windows agent, sunucuya kendisi bağlanır. Yani cihazlarınızda dışarıya port açmanız, güvenlik duvarında gelen bağlantı kuralı tanımlamanız veya sabit IP vermeniz gerekmez. Bu, saldırı yüzeyini ciddi biçimde daraltır.
- Agent → sunucu yönünde giden bağlantı (outbound)
- Gelen (inbound) port açma gereksinimi yok
- Bağlantı gRPC üzerinden TLS ile şifrelenir
- Agent, cihaz durumunu düzenli olarak merkezi panele bildirir
Uzak masaüstü güvenliği
Uzak masaüstü oturumları WebRTC ile eşler arası (peer-to-peer) kurulur. Görüntü ve girdi trafiği, teknisyen ile cihaz arasında doğrudan akar. NAT arkasındaki cihazlara erişim için STUN/TURN kullanılır.
- WebRTC tabanlı peer-to-peer bağlantı
- Tarayıcıdan çalışır; teknisyen tarafında istemci kurulumu gerekmez
- NAT geçişi için STUN/TURN
- Oturum kaydı ve denetim için oturum geçmişi tutulur
Kimlik doğrulama ve erişim kontrolü
Parolalar hiçbir zaman düz metin olarak saklanmaz; endüstri standardı bcrypt algoritmasıyla hash'lenir. Oturumlar süreli JWT ile yönetilir ve hassas işlemler için kısa ömürlü token kullanılır.
- Parolalar bcrypt ile hash'lenir (düz metin saklanmaz)
- Oturum yönetimi: süreli JWT (24 saat)
- Hassas işlemler için kısa ömürlü (5 dakika) token
- Rol tabanlı erişim kontrolü (RBAC) ve özel izin şablonları
Çoklu müşteri (multi-tenant) izolasyonu
Raavio bir MSP'nin birden çok müşteri şirketini tek panelden yönetmesi için tasarlandı. Her şirketin verisi uygulama katmanında şirket bazında izole edilir ve sorgular bu izolasyonu zorunlu kılar. Şirket, müşteri ve cihaz kayıtları API ile agent tarafında tahmin edilemez UUID değerleriyle tanımlanır; sıralı sayısal kimlik dışarıya verilmez. Bu, kimlik tahmini (enumeration) ve yetkisiz nesne erişimi (IDOR) risklerini azaltır.
- Şirket bazlı veri izolasyonu; bir müşterinin verisi diğerinin panelinde görünmez
- Şirket, müşteri ve cihaz kimlikleri UUID ile taşınır (sıralı ID kullanılmaz)
- Agent ve tenant çözümlemesi UUID üzerinden yapılır
- Kullanıcılar yalnızca yetkili oldukları şirketin verisine erişir
- Rol ve izin şablonlarıyla ekip içi yetki ayrımı
Yedekleme ve süreklilik
Veritabanı günlük olarak yedeklenir. Servis erişilebilirliği kesintisiz izlenir ve uptime verisi kayıt altında tutulur.
- Günlük veritabanı yedeği
- Sürekli uptime izleme (30 saniyede bir kontrol)
- Son 30 günlük uptime: %99,90
- SSL sertifikası geçerlilik takibi
Ödeme güvenliği
Abonelik tahsilatı, BDDK lisanslı ödeme kuruluşu Iyzico üzerinden yapılır. Kart bilgileriniz Raavio sunucularında saklanmaz; kart verisi doğrudan Iyzico tarafından işlenir ve saklanır.
- Ödeme altyapısı: Iyzico (BDDK lisanslı)
- 3D Secure ile doğrulama
- Kart bilgisi Raavio tarafında saklanmaz
Alt işleyenler
Hizmeti sunmak için kullandığımız üçüncü taraf servislerin tam listesi. Bu liste değiştiğinde sayfa güncellenir.
| Sağlayıcı | Amaç | İşlenen veri | Konum |
|---|---|---|---|
| Iyzico | Abonelik tahsilatı ve ödeme işleme | Ödeme ve fatura bilgileri | Türkiye |
| Google Analytics | Pazarlama sitesi kullanım istatistiği | Anonimleştirilmiş kullanım verisi (IP anonimleştirme aktif) | Global |
Raavio uygulama ve veritabanı altyapısı kendi Türkiye merkezli sunucularımızda çalışır; barındırma için üçüncü taraf bir bulut sağlayıcı kullanılmaz.
Sık sorulan güvenlik soruları
Verilerim Türkiye'de mi tutuluyor?
Evet. Raavio'nun uygulama ve veritabanı altyapısı Türkiye merkezli yerli sunucularda barındırılır ve müşteri verisi yurt dışına aktarılmaz.
Agent için güvenlik duvarımda port açmam gerekir mi?
Hayır. Agent sunucuya giden (outbound) bağlantı kurar. Gelen bağlantı için port açmanıza, sabit IP tanımlamanıza veya güvenlik duvarı kuralı yazmanıza gerek yoktur.
Parolalar nasıl saklanıyor?
Parolalar düz metin olarak saklanmaz. Endüstri standardı bcrypt algoritmasıyla hash'lenerek saklanır ve geri çevrilemez.
Bir müşterimin verisini diğer müşterim görebilir mi?
Hayır. Veriler şirket bazında izole edilir ve kullanıcılar yalnızca yetkilendirildikleri şirketin verisine erişebilir. Şirket ve cihaz kimlikleri dışarıya sıralı sayısal ID olarak değil, tahmin edilemez UUID olarak taşınır.
Kart bilgilerim Raavio'da saklanıyor mu?
Hayır. Ödeme işlemleri BDDK lisanslı Iyzico üzerinden yapılır; kart verisi Iyzico tarafından işlenir ve saklanır, Raavio sunucularında tutulmaz.
Güvenlik açığı bulursam ne yapmalıyım?
Lütfen [email protected] adresine bildirin. Bildirimleri ciddiyetle değerlendirip en kısa sürede dönüş yapıyoruz. Açığı kamuya açıklamadan önce bize ulaşmanızı rica ederiz.
Güvenlik açığı bildirimi
Bir güvenlik açığı tespit ettiyseniz, kamuya açıklamadan önce bize ulaşmanızı rica ederiz. Bildiriminizi ciddiyetle inceleyip en kısa sürede dönüş yapıyoruz.
[email protected]Son güncelleme: 14 Temmuz 2026
Başlamaya hazır mısınız?
14 gün ücretsiz deneyin. Trial süresince ücret alınmaz, istediğiniz zaman iptal edin.
14 gün ücretsiz · Trial süresince ücret yok · İstediğin zaman iptal