Təhlükəsizlik mərkəzi
Platforma təhlükəsizlik qatlarını tətbiq səviyyəsində qurur, amma heç bir sayt “100% hack olunmaz” deyil. Prod mühitində davamlı patch, monitorinq, backup, pentest və insident planı vacibdir.
Hesab təhlükəsizliyi
- Argon2id parol hash-i və minimum güclü şifrə siyasəti
- HttpOnly, Secure, SameSite session cookie
- E-poçt təsdiqi və birdəfəlik hash-lənmiş tokenlər
- Login bloklama və rate limit
Tətbiq qoruması
- Origin yoxlaması və sərt Content Security Policy
- RBAC və hər həssas əməliyyatda server-side icazə yoxlaması
- Validasiya, parametrli PostgreSQL sorğuları və audit log
- Ödəniş üçün idempotency və imzalı webhook adapteri
Əməliyyat təhlükəsizliyi
- API açarları environment secret kimi saxlanılır
- Gündəlik backup, bərpa testi və least-privilege DB istifadəçisi tələb olunur
- Dependency və image scan CI mərhələsinə əlavə edilməlidir
Zəiflik bildirimi
Məsuliyyətli bildirim üçün security@aytisnik.az ünvanına texniki detal göndər. Real istifadəçi məlumatına toxunma və xidməti dayandırma.
Prod-a çıxmazdan əvvəl müstəqil pentest vacibdir.