Giriş, JWT oturumları ile Supabase Auth (GoTrue) kullanır. Token'lar, Supabase SSR istemcisi aracılığıyla HTTP-only, Secure, SameSite çerezlerinde saklanır. Google veya Apple ile giriş OAuth 2.0 / OIDC kullanır; sağlayıcı parolalarını asla görmeyiz.

Parolalar (e-posta/parola ile kayıt kullanıldığında) sektör tarafından önerilen maliyet düzeyinde bcrypt ile özetlenir. Düz metin parolaları asla kayda almaz veya iletmeyiz.

Hassas işlemler (parola değişikliği, hesap silme) yeniden kimlik doğrulama veya tek seferlik e-posta kodu gerektirebilir. Şüpheli aktivite hız limitlerini tetikler ve hesap incelemesine yol açabilir.

Tüm kamuya açık trafik yalnızca HTTPS'tir. Pazarlama sitesi ve web uygulaması: TLS, Vercel ve Cloudflare'in edge'inde sonlandırılır. API ve Auth: TLS, otomatik Let's Encrypt sertifikaları kullanan Caddy ters proxy'mizde sonlandırılır; önde Cloudflare proxy bulunur (Full Strict modu).

Strict HSTS, preload tarzı max-age değeriyle etkindir; X-Content-Type-Options, Referrer-Policy ve Permissions-Policy başlıkları sunduğumuz yanıtlarda gönderilir.

Dinlenme halindeki veriler, Almanya'daki şifreli Hetzner birimlerinde yer alır. Veritabanı erişimi, en az ayrıcalık ilkesine göre kapsamlandırılmış, kimlik doğrulamalı kimlik bilgileri gerektirir.

Kullanıcı tarafından yüklenen dosyalar özel bir Supabase Storage kovasında saklanır; imzalı URL'ler kısa ömürlüdür ve talep eden kullanıcının çalışma alanıyla sınırlandırılmıştır.

Üretim sunucusu (Hetzner, Falkenstein) Ubuntu LTS çalıştırır; UFW, gelen tüm trafiği varsayılan olarak reddedecek şekilde yapılandırılmıştır; yalnızca 22 (SSH), 80 ve 443 portları kamuya açıktır. SSH yalnızca anahtar tabanlıdır.

Dahili servisler (PostgreSQL, embeddings, DECIMER, Supabase) kapsayıcıları içinde 127.0.0.1'e bağlanır ve diğer servislere yalnızca özel bir Docker köprü ağı üzerinden erişilebilir; kamuya açık internete sunulmazlar.

Ters proxy (Caddy 2), api.cheemly.com'u NestJS API'ye, auth.cheemly.com'u ise Supabase Kong ağ geçidine yönlendirir. DDoS azaltma ve edge filtreleme için önde Cloudflare bulunur.

Konteyner imajları GitHub Container Registry'den çekilir; dağıtım, imajları yayımlayan ve sunucuda kontrollü bir `docker compose up -d` tetikleyen imzalı bir GitHub Actions iş akışı ile yapılır.

Çalışma alanı ayrımı uygulama katmanında zorunlu kılınır: her API isteği geçerli bir Supabase JWT gerektirir, kullanıcı tanımlayıcısı sunucu tarafında çıkarılır ve veritabanı sorguları bu tanımlayıcıya göre filtrelenir; böylece kullanıcılar yalnızca kendi konularına, dosyalarına, gömme vektörlerine, referanslarına, çalışma oturumlarına ve raporlarına erişebilir.

CORS izin listesi https://cheemly.com (üretim) ve yapılandırılmış pazarlama kaynağı ile sınırlandırılmıştır.

Girdiler class-validator (NestJS DTO'ları) ve Pydantic (FastAPI) ile doğrulanır; bu da birçok enjeksiyon sınıfını önler.

Sırlar; üretim sunucusunda root'a sınırlandırılmış, 600 dosya modunda ortam dosyalarında, kaynak kontrolünün dışında tutulur. GitHub Actions dağıtım anahtarı üretim sanal makinesine kapsamlandırılmıştır ve döndürülebilirdir.

Her kimya yanıtı, kullanıcıya ulaşmadan önce deterministik bir Python kontrolünden geçirilir: SMILES, RDKit ile ayrıştırılır, reaksiyonlar için atom sayıları dengelenir, IUPAC isimleri OPSIN üzerinden gidiş-dönüş edilir ve atıflar açık akademik API'lerle çözümlenir.

Kapı başarısız olursa, yanıt yeniden istemlenir veya düşük güvenli olarak işaretlenir; halüsinasyon bir yapıyı sessizce göndermeyiz.

ASCII sanatı yapılar istem kuralıyla yasaklanmıştır ve eleştirici tarafından tespit edilir; model, RDKit ile gerçek bir yapıyı yeniden üretmek zorunda kalır.

Tüm ödeme bilgileri (kart numarası, CVC, bankacılık kimlik bilgileri) PCI-DSS Seviye 1 sertifikalı bir işlemci olan Stripe tarafından ele alınır. Cheemly yalnızca abonelik durumunu, paketi, fatura meta verisini ve Stripe müşteri/abonelik tanımlayıcılarını saklar.

Stripe'tan gelen webhook olayları, işlenmeden önce webhook imzalama sırrı ile doğrulanır. Faturalandırma mutabakatı denetim amacıyla kayıt altına alınır.

Operasyonel günlükler; hataları, gecikmeleri, başarısız işleri, kimlik doğrulama olaylarını ve kota muhasebesini kapsar. Günlüklerde kişisel veri en aza indirilir; tam istem gövdeleri ve dosya içerikleri rutin olarak günlüğe alınmaz.

Kimlik doğrulama olayları; kullanıcıların “nerede oturum açtım” incelemesine yardımcı olmak amacıyla IP adresini, user-agent'ı ve ayrıştırılmış bir cihaz parmak izini saklar.

Güvenlikle ilgili olaylar (giriş, çıkış, parola değişikliği, dosya yükleme, konu oluşturma, paket değişikliği) için dahili bir aktivite günlüğü tutarız. Kullanıcılar privacy@cheemly.com aracılığıyla kendi aktivite günlüklerinin bir kopyasını talep edebilir.

PostgreSQL günlük rotasyonlu bir çizelgeyle yedeklenir. Yedekler şifrelenir ve ayrı bir Hetzner biriminde tutulur.

Kurtarma süresi hedefi (RTO): tam veritabanı geri yüklemesi için 4 saat. Kurtarma noktası hedefi (RPO): 24 saat.

Periyodik olarak geri yükleme tatbikatları yapar ve yıkıcı olmayan testler için ayrı bir hazırlık (staging) ortamı çalıştırırız.

Her ajana bir koruma istemi verilir: Moll asla altta yatan modelin adını veya sağlayıcısını açıklamaz, alan dışı talepleri reddeder ve kabul edilebilir kullanım politikasını ihlal eden iş akışlarını reddeder.

Derin araştırma modu, yürütmeden önce kullanıcı onayı gerektirir; planlama, getirme ve sentez aşamaları kullanıcının gözlemleyip iptal edebileceği fazlarda gerçekleşir.

Kota sunucu tarafında zorunlu kılınır; istemciler sayacı atlayamaz.

Belgelenmiş bir olay müdahale sürecini takip ederiz: tespit etme, kontrol altına alma, ortadan kaldırma, kurtarma, bildirme ve olay sonrası inceleme.

Kişisel veri ihlalinin kullanıcı haklarına risk oluşturma olasılığı bulunduğunda, yetkili denetim makamına 72 saat içinde bildirimde bulunuruz (GDPR md. 33) ve riskin yüksek olduğu hallerde etkilenen kullanıcıları gereksiz gecikme olmaksızın bilgilendiririz (GDPR md. 34). KVKK md. 12(5) de aynı 72 saatlik hedef olarak ele alınır.

Bildirimler; ne olduğunu, etkilenen veriyi, yapılan eylemleri ve önerilen kullanıcı adımlarını içerir.

Güvenlik araştırmacılarını memnuniyetle karşılıyoruz. Lütfen yeniden üretim adımlarını, etkilenen URL'leri, etki değerlendirmesini ve iletişim bilgilerini security@cheemly.com adresine e-posta ile gönderin. Makine tarafından okunabilir bir özet de /.well-known/security.txt adresinde yayımlanır.

Lütfen diğer kullanıcıların verilerine erişmeyin, değiştirmeyin, silmeyin veya dışarı sızdırmayın; yıkıcı testler, spam, kimlik avı, sosyal mühendislik veya hizmet engelleme saldırıları yapmayın. Geçerli raporları 5 iş günü içinde teyit edecek ve kritik sorunları 30 gün içinde gidermeyi hedefleyeceğiz. Şu anda ücretli bir ödül programı yürütmüyoruz; talep üzerine araştırmacıları sürüm notlarında zikredeceğiz.

Bu politikaya uygun olarak iyi niyetli yürütülen araştırma, tarafımızdan yasal işleme konu edilmeyecektir.

Cheemly; küçük bir AI ürün işletmecisi için geçerli olan GDPR, Birleşik Krallık GDPR, Türkiye KVKK, İsviçre FADP ve CCPA/CPRA yükümlülükleriyle uyumlu olacak şekilde tasarlanmıştır.

Şu anda SOC 2, ISO 27001 veya HIPAA sertifikalarına sahip değiliz. Resmi üçüncü taraf denetim raporları gerektiren kurumsal müşteriler, ihtiyaçlarını sales@cheemly.com adresiyle görüşebilir.

Bir Veri İşleme Sözleşmesi, alt-işleyici listesi dışa aktarımı, güvenlik anketi yanıtı veya aktarım etki değerlendirmesi gerekiyorsa lütfen legal@cheemly.com adresine yazın.