Güvenlik Modeli
CASTOVIA'nın operasyonlarınızı, verilerinizi, abonelerinizi ve altyapınızı nasıl koruduğu.
Platform Güvenliği
SaaS Kontrol Düzlemi: Castovia yönetilen bir SaaS'tır. Kaynak kodu teslim edilmez. Kendi sunucunda barındırma seçeneği yoktur. Altyapı Castovia tarafından yönetilir.
Kiracı İzolasyonu: Her sağlayıcı mantıksal olarak izole edilmiş bir kiracı içinde çalışır. Sağlayıcılar diğer sağlayıcıların verilerine, abonelerine, akışlarına veya yapılandırmasına erişemez.
RBAC (Rol Tabanlı Erişim Kontrolü): Dört rol: super_admin, admin (sağlayıcı), supplier, viewer. Her rolün sıkı şekilde sınırlandırılmış izinleri vardır.
Plan Uygulaması: API düzeyinde yumuşak + katı uygulamalı 7 katmanlı plan modeli. Kritik ticari rotalarda katı uygulama aktiftir.
Kimlik Doğrulama ve Erişim
Parola Güvenliği: Parolalar bcrypt ile hash'lenir. Admin/supplier hesapları için düz metin saklama yoktur.
Düğüm Kimlik Doğrulaması: Sağlayıcı düğümleri, yönetici panosundan bağımsız olarak döndürülebilen, kapsamı belirlenmiş ve düğüme özel sunucu token'larıyla kimlik doğrular.
Hız Sınırlama: Brute-force saldırılarını önlemek için giriş, kayıt, iletişim formları ve API uç noktaları IP başına hız sınırına tabidir.
Oturum Yönetimi: 24 saatlik süre sonu olan JWT tabanlı oturumlar.
Şüpheli Etkinlik Tespiti: Şüpheli giriş desenlerinin otomatik tespiti ve kaydı.
Veri Koruması
sourceUrl Açığa Çıkmaz: Dahili akış kaynak URL'leri hiçbir zaman son kullanıcı cihazlarına veya istemci tarafı koda açılmaz.
storagePath Açığa Çıkmaz: Dahili depolama yolları yalnızca sunucu tarafında kalır.
İmzalı Oynatma URL'leri: Oynatma URL'leri süre sınırlıdır ve kriptografik olarak imzalanır. Süresi dolan URL'ler reddedilir.
İmzalı Oynatma Meta Verisi: Son kullanıcı cihazları yalnızca güvenli meta veri alır. Dahili altyapı ayrıntıları yoktur.
Denetim Kayıtları: Yönetimsel işlemler hesap verebilirlik için kaydedilir.
CDN/DRM Kimlik Bilgisi Güvenliği
CDN API Anahtarları: Veritabanında şifreli olarak saklanır. API yanıtlarında asla döndürülmez. UI'da maskelenir.
DRM Sırları: Şifreli olarak saklanır. Asla istemci cihazlarına açılmaz. Uygulama günlüklerinde ham lisans sırları yoktur.
Origin Secret Açığa Çıkmaz: CDN origin secret'ları asla son kullanıcı cihazlarına açılmaz.
Stripe ve Faturalama Güvenliği
Stripe Secret Key: Yalnızca sunucu tarafında kullanılır. İstemci tarafı kodda veya API yanıtlarında asla açığa çıkmaz.
Webhook İmza Doğrulaması: Tüm Stripe webhook olayları işlenmeden önce HMAC imzasıyla doğrulanır.
Tekrarlanmaz İşleme: Webhook olayları çift işlemeyi önlemek için tekilleştirilir.
Publishable Key: İstemci tarafı ödeme akışlarında yalnızca publishable key (salt okunur) kullanılır.
Yasal Konumlandırma ve Kötüye Kullanım Önleme
İçerik Sağlanmaz: Castovia TV/video içeriği sağlamaz, barındırmaz veya dağıtmaz. Sağlayıcılar yasal içerik haklarından tamamen sorumludur.
Kötüye Kullanım Bildirimi: Herkese açık kötüye kullanım bildirim mekanizması. Bildirimler incelenir ve işlem yapılır.
Hesap Askıya Alma: Castovia, içeriği yasa dışı dağıtan hesapları askıya alma hakkını saklı tutar.
Log Saklama: İlgili loglar, mevzuat gereği uyumluluk için gerekli olduğunda saklanabilir.
Kabul Edilebilir Kullanım Politikası: Tüm sağlayıcılar kabul etmelidir. İhlaller anında askıya alma ile sonuçlanabilir.