Güvenlik
Security Center
CuratoTrip güvenlik yaklaşımı — HTTPS, env secrets, KVKK/GDPR, erişim kontrolü ve incident response.
HTTPS / SSL
Production trafiği HTTPS üzerinden sunulur. www.curatotrip.com HSTS ile korunur (Vercel).
Environment variables
Gizli anahtarlar yalnızca server-side env'de tutulur. NEXT_PUBLIC_ prefix yalnızca güvenli public değerler için kullanılır.
Server-only secret policy
SUPABASE_SERVICE_ROLE_KEY, API keys ve payment secrets asla client bundle'a girmez. ENV_REGISTRY ile doğrulanır.
Supabase / database security
Row Level Security (RLS) aktif. Service role yalnızca server-side. Production hardening devam ediyor.
KVKK / GDPR yaklaşımı
KVKK ve GDPR uyumluluk çerçevesi legal dokümanlarda tanımlı. Detay: /legal/kvkk, /legal/gdpr
AI provider security
AI provider anahtarları server-only. Demo aşamasında rule-based Brain; LLM entegrasyonu production gate ile gelecek.
Access control roadmap
Admin/office Supabase auth. End-user auth, SSO ve multi-tenant enterprise — roadmap'te.
Incident response
Incident response prosedürü production launch öncesi finalize edilecek. İletişim: security@curatotrip.com
FAQ
Gizli anahtarlar client'ta mı?
Hayır — server-only env policy ile korunur.
Güvenlik iletişimi?
security@curatotrip.com
Son güncelleme: 2026-07-03 · Yönetim Ofisi