Güvenlik Mimari
ozDNA katmanlı bir platformdur: AI gateway, model router, prompt kayıt defteri, RAG, maliyet motoru ve gözlemlenebilirlik — Findbelow Ventures tarafından işletilir. Her dış istek, çıkarım veya retrieval alt sistemlerine ulaşmadan önce kimlik doğrulamalı gateway sınırlarından girer.
- Çevre: Yalnızca HTTPS public uç noktalar; özel beta sırasında yalnızca davetle API anahtarları
- Gateway: İş akışı yürütmeden önce kimlik doğrulama, hız limitleri ve denetim kancaları
- İzolasyon: Ortam ayrımlı sandbox (api.sandbox.ozdna.com) ve üretim (api.ozdna.com)
- En az ayrıcalık: Kapsamlı API anahtarları; ücretli iş akışlarında anonim çıkarım yok
- Dikey sınırlar: Moda özel prompt'lar ve corpus'lar (akademik, hukuk, finans)
Dinlenme Halinde Şifreleme
Dinlenmedeki müşteri verisi altta yatan bulut sağlayıcılarının şifrelemesini devralır. ozDNA ham API anahtarlarını düz metin olarak saklamaz.
| Varlık | Yaklaşım | Durum |
|---|---|---|
| API keys (stored) | Salted hashes only; plaintext shown once at creation | Canlı |
| Database | Provider-native encryption (managed Postgres roadmap) | Devam Ediyor |
| Object / vector storage | Provider-managed encryption for RAG corpora | Yol Haritası |
| Yedeklemeler | Encrypted backup volumes per provider policy | Planlandı |
Aktarım Halinde Şifreleme
Tüm müşteriye yönelik trafik TLS gerektirir. Dahili sağlayıcı bağlantıları upstream LLM ve embedding API'lerine HTTPS kullanır.
- Web ve dokümantasyon: ozdna.com'da TLS 1.2+ (Netlify CDN)
- Platform API: api.ozdna.com ve sandbox uç noktalarında HTTPS zorunlu
- Sağlayıcı çağrıları: OpenAI ve yönlendirilen çıkarım sağlayıcılarına TLS
- Webhook'lar: Giden geri çağrılarda HMAC-SHA256 imzaları (X-OzDNA-Signature)
Gizli Yönetimi
Gizliler asla istemci tarafı kodda, public repo'larda veya statik pazarlama varlıklarında dağıtılmaz.
- Sağlayıcı anahtarları ve veritabanı kimlik bilgileri için ortam kapsamlı yapılandırma
- Sandbox ve üretim ortamları için ayrı gizliler
- API anahtarları için dashboard (yol haritası) ve bugün manuel iptal ile rotasyon desteklenir
- CI/CD gizlileri dağıtım anında enjekte eder — konteyner imajlarına gömülmez
API Kimlik Doğrulama
Tüm platform uç noktaları geçerli Bearer token gerektirir. Kimlik doğrulamasız istekler çıkarım mantığına ulaşmadan 401 alır.
| Mekanizma | Ayrıntı | Durum |
|---|---|---|
| Bearer tokens | Authorization: Bearer ozdna_sk_* | Canlı |
| Key prefixes | ozdna_sk_test_ / ozdna_sk_live_ | Canlı |
| Revocation | Immediate invalidation on key delete | Canlı |
| SSO / SAML | Dashboard and enterprise identity | Planlandı |
Entegrasyon ayrıntıları için API dokümantasyonuna bakın.
Hız Sınırlama
Hız limitleri platform kararlılığını korur ve gateway katmanında plan kotalarını uygular.
- İş akışı dağıtımından önce anahtar başına istek kotaları uygulanır
- Limit aşıldığında yeniden deneme rehberiyle 429 yanıtları
- Faturalama kotası tükendiğinde 402
- Organizasyon başına yapılandırılabilir limitler — kurumsal yol haritası
DDoS Koruması
Public yüzeyler CDN ve barındırma sağlayıcılarından DDoS azaltımını devralır.
- Pazarlama ve dokümantasyon: Netlify CDN edge koruması ve otomatik TLS
- API gateway: Dağıtım hedefinde sağlayıcı düzeyinde ağ filtreleme (Fly.io / Railway / AWS yol haritası)
- Uygulama katmanı: Birinci savunma kötüye kullanım kontrolü olarak hız sınırlama ve kimlik doğrulama
- WAF: Dedicated Web Application Firewall — Planlandı for production API
Günlükleme
Yapılandırılmış günlükler gereksiz payload içeriği saklamadan güvenlikle ilgili olayları yakalar.
- X-Request-Id on every API response for trace correlation
- Kimlik doğrulama başarı/başarısızlık, hız limiti isabetleri ve kota olayları günlüklenir
- Çıkarım başına prompt hash ve model ID — varsayılan günlüklerde tam prompt metni değil
- RAG ingest, retrieve, and eval events with org scope
- Exportable audit logs for enterprise — Devam Ediyor
Audit logging details: Güven Merkezi — Audit Günlükleme
İzleme
Platform sağlığı ve anomali tespiti kullanılabilirlik, gecikme ve hata oranlarını kapsar.
| Sinyal | Kapsam | Durum |
|---|---|---|
| Health checks | GET /health, gateway status | Canlı |
| Error rates | 4xx/5xx by endpoint and org | Canlı |
| Latency & cost | Per-workflow metrics dashboard | Devam Ediyor |
| Public status page | Platform availability | Canlı |
| On-call paging | 24/7 for enterprise tier | Planlandı |
Yedeklemeler
Backup and recovery procedures align with disaster recovery targets documented in the Güven Merkezi.
- Automated database backups on managed Postgres migration — Yol Haritası
- Nokta-in-time kurtarma hedefi: RPO < 1 saat (kurumsal yol haritası)
- Quarterly restore drills — Planlandı
- Git destekli prompt deposu ile yapılandırma ve prompt kayıt defteri sürümleme
DR objectives: Güven Merkezi — Disaster Recovery
Güvenlik Açığı Bildirimi
Araştırmacılar, müşteriler ve topluluktan iyi niyetli güvenlik bildirimlerini memnuniyetle karşılıyoruz.
- İletişim: security@ozdna.com (placeholder — monitored by Findbelow Ventures security contact)
- Makine okunabilir: /.well-known/security.txt (RFC 9116)
- Kapsam: ozdna.com, api.ozdna.com, api.sandbox.ozdna.com ve ozDNA platform hizmetleri
- Kapsam dışı: Üçüncü taraf sağlayıcılar (OpenAI, Netlify), sosyal mühendislik, fiziksel saldırılar
- Yanıt: 3 iş günü içinde onay; kritik konular 24 saat içinde triyaj
Sorumlu Açıklama Politikası
ozDNA müşterilerini korumak için bildirimcilerden koordineli açıklama izlemelerini rica ediyoruz.
- Güvenlik açıklarını yeniden üretim adımları ve etki değerlendirmesiyle security@ozdna.com adresine özel olarak bildirin.
- Kamuya açıklamadan önce düzeltme için makul süre tanıyın — genellikle 90 gün, kritik konularda yama sonrası daha erken.
- Sorunu göstermek için gerekenden fazla müşteri verisine erişmeyin, değiştirmeyin veya dışarı aktarmayın.
- ozDNA personeline veya müşterilerine karşı hizmet reddi, spam veya sosyal mühendislik yapmayın.
- Yazılı yetkilendirme olmadan üretim müşteri iş yüklerine karşı test yapmayın.
Taahhüt ediyoruz:
- Bildiriminizin alındığını onaylamak
- Makul aralıklarla durum güncellemeleri sağlamak
- Sorun çözüldüğünde sizi bilgilendirmek
- Teşekkür sayfamızda araştırmacıları kredilendirmek (onayınızla)
Bu politika geçerli yasayı ihlal eden testleri yetkilendirmez. Araştırmanızın izinli olup olmadığından emin değilseniz, devam etmeden önce bizimle iletişime geçin.
Güvenlik contact
Güvenlik açıklarını bildirin, güvenlik incelemesi talep edin veya kontrollerimiz hakkında sorun.