Evernote kullanıcıları milyarlarca notu, projesi ve fikri konusunda bize güveniyor. Bu güven, bu verileri hem özel hem de güvenli tutmamıza dayanıyor. Bu sayfadaki bilgiler, bu verileri nasıl koruduğumuz konusunda şeffaflık sağlamayı amaçlamaktadır. Yeni güvenlik özellikleri ekledikçe ve ürünlerimizde güvenlik iyileştirmeleri yaptıkça bu bilgileri çoğaltmaya ve güncellemeye devam edeceğiz.
Güvenlik, Evernote içerisinde özel bir ekiptir. Güvenlik ekibimizin ana sözleşmesi, hizmetimizde sakladığınız verileri koruyor. Şu odak noktalarını içeren bir güvenlik programı yürütüyoruz: Ürün güvenliği, altyapı kontrolleri (fiziksel ve mantıksal), politikalar, çalışan farkındalığı, izinsiz giriş tespiti ve değerlendirme faaliyetleri.
Güvenlik ekibi, kurum içi bir Olay Müdahale ("Incident Response" - “IR”) programı yürütür ve Evernote çalışanlarına şüpheli etkinliklerin nasıl bildirileceği konusunda rehberlik sağlar. IR ekibimizin, güvenlik sorunlarına yanıt vermeye elverişli prosedürleri ve araçları vardır ve ekip, altyapımıza, hizmetimize ve çalışanlarımıza yönelik saldırıları tespit etme yeteneğimizi geliştirmek için yeni teknolojileri değerlendirmeye devam etmektedir.
Güvenlik açıkları için altyapımızın ve uygulamalarımızın hassas noktalarını periyodik olarak değerlendirir ve müşteri verilerinin güvenliğini etkileyebilecek olanları düzeltiriz. Güvenlik ekibimiz, bu değerlendirmelerin kapsamını ve derinliğini artırmak için sürekli olarak yeni araçları değerlendirir.
Evernote, ağ sınırlarını yük dengeleyiciler, güvenlik duvarları ve VPN'lerin bir kombinasyonunu kullanarak tanımlar. Bunları, hangi hizmetleri İnternet'e maruz bıraktığımızı kontrol etmek ve üretim ağımızı bilgi işlem altyapımızın geri kalanından ayırmak için kullanırız. Üretim altyapımıza kimlerin erişimi olacağını iş ihtiyaçlarına göre sınırlandırır ve bu erişimi güçlü bir şekilde doğrularız.
Evernote, şifrenizi asla düz metin olarak saklamaz. Kimliğinizi doğrulamak için hesap parolanızı güvenli bir şekilde saklamamız gerektiğinde, her kimlik bilgisi için benzersiz bir anahtar güvenlik değeriyle PBKDF2 (Parola Tabanlı Anahtar Türetme İşlevi 2) kullanırız. Karma yinelemelerin sayısını, kullanıcı deneyimi ile şifre kırma zorluğu arasında bir denge kuracak şekilde seçiyoruz.
Karmaşık bir şifre belirlemenizi zorunlu tutmasak da şifre gücü ölçerimiz sizi güçlü bir şifre seçmeniz için teşvik edecektir. Şifre tahmin saldırılarını yavaşlatmak için başarısız oturum açma girişimlerini hem hesap bazında hem de IP adresi bazında sınırlandırıyoruz.
Evernote, tüm hesaplar için iki faktörlü veya çok faktörlü kimlik doğrulamaolarak da bilinen iki adımlı doğrulama (“2SV”)sunar. İki Adımlı Doğrulama mekanizmamız, zamana dayalı tek seferlik şifre algoritmasına (TOTP) dayanmaktadır. Tüm kullanıcılar, mobil cihazlarındaki bir uygulamayı kullanarak yerel kod oluşturabilir veya kodların kısa mesaj olarak teslim edilmesini seçebilir.
Evernote, benzersiz bir Evernote e-posta adresinee-posta göndererek hesabınızda notlar oluşturmanın bir yolunu sunar. Sizi kötü amaçlı içerikten korumak için, bir ticari anti-virüs tarama motoru kullanarak aldığımız tüm e-postaları tararız.
Evernote'tan bir e-posta aldığınızda, bunun gerçekten bizden geldiğinden emin olmanızı istiyoruz. Evernote'tan aldığınız e-postanın meşru olduğuna dair güveninizi artırmak için zorunlu bir DMARC politikası yayınlıyoruz. Aşağıdaki alan adlarından gönderdiğimiz her e-posta, DKIM kullanılarak kriptografik olarak imzalanacak ve SPF kaydımızda yayınladığımız bir IP adresinden kaynaklanacaktır.
Evernote:
İnternete yönelik web hizmetimizi güvence altına almak, verilerinizi korumak için kritik öneme sahiptir. Güvenlik ekibimiz, kod güvenliği genel uygulamasını iyileştirmek için bir uygulama güvenlik programı yürütür ve hizmetimizi, CSRF, ekleme saldırıları (XSS, SQLi), oturum yönetimi, URL yeniden yönlendirme ve tıklama kaçırma dahil olmak üzere yaygın uygulama güvenliği sorunları için periyodik olarak değerlendirir.
Web hizmetimiz, OAuth kullanarak tüm üçüncü taraf istemci uygulamalarının kimliğini doğrular. OAuth, uygulamaya giriş kimlik bilgilerinizi vermenize gerek kalmadan bir üçüncü taraf uygulamasını hesabınıza bağlamanız için sorunsuz bir yol sağlar. Evernote'ta başarılı bir şekilde kimlik doğrulaması yaptığınızda, o noktadan sonra erişiminizi doğrulamak için istemciye bir kimlik doğrulama belirteci göndeririz. Bu, üçüncü taraf bir uygulamanın kullanıcı adınızı ve şifrenizi cihazınızda saklaması ihtiyacını ortadan kaldırır.
Hizmetimize hitab eden her istemci uygulaması, tüm eylemler için iyi tanımlanmış bir ikincil API kullanır. Bu API aracılığıyla tüm iletişimlere aracılık ederek, uygulama inşasında temel bir yapı olarak yetkilendirme kontrolleri oluşturabiliyoruz. Hizmet içinde doğrudan nesne erişimi yoktur ve istemcinin kimliğinin doğrulandığından ve belirli bir nota veya not defterine erişme yetkisine sahip olduğundan emin olmak için her müşterinin kimlik doğrulama belirteci, hizmete her erişimde kontrol edilir. Daha fazla bilgi için lütfen dev.evernote.com adresine bakın.
Evernote hizmeti çok kiracılıdır ve verilerinizi diğer kullanıcıların verilerinden ayırmaz. Verileriniz, başka bir kullanıcının verileriyle aynı sunucularda bulunabilir. Verilerinizi size özel olarak görürüz ve siz açıkça paylaşmadığınız sürece başka bir kullanıcının bu verilere erişmesine izin vermeyiz.
Notları ve/veya not defterlerini silmek için açık adımlar atmadığınız sürece Evernote içeriğinizi korur. Notların nasıl silineceği hakkında bilgi için lütfen bu yardım merkezi makalesini inceleyin. Saklama politikalarımız hakkında bilgi için lütfen gizlilik politikamızın“Bilgi Silme” başlıklı bölümüne bakın.
Kullanıcı verilerini depolamak için kullanılmışsa, tüm depolama ortamlarını güvenli bir şekilde siler veya imha ederiz. Bunu yapabilmek için NIST'in özel yayın 800-88'deki rehberliğini takip ediyoruz. Bozuk sabit diskleri nasıl güvenli bir şekilde imha ettiğimize dair bir örnek için lütfen bu blog makalesine göz atın.
Yerel diskler, kalıcı diskler ve Google Bulut Depolama paketleri dahil olmak üzere Google'ın Bulut Platformu'ndaki (“GCP”) çeşitli depolama seçeneklerini kullanıyoruz. Depolamayı başka bir amaçla kullanmanın özel müşteri verilerinin açığa çıkmasıyla sonuçlanmasını önlemek için Google'ın kriptografik silme işlemlerinden yararlanıyoruz.
Evernote hizmeti, hizmetlerimizle istemci etkileşimlerinin sunucu tarafında günlük kaydını gerçekleştirir. Buna web sunucusu erişim günlüğünün yanı sıra API'miz aracılığıyla gerçekleştirilen eylemler için etkinlik günlüğü de dahildir. Ayrıca, müşteri uygulamalarımızdan etkinlik verilerini topluyoruz. Hesap Ayarlarınızın Erişim Geçmişi bölümünde, hesabınıza bağlı her uygulama için son erişim zamanlarını ve IP adreslerini görüntüleyebilirsiniz.
Evernote, aktarım sırasında verilerinizi korumak için endüstri standardı şifreleme kullanır. Bu genellikle aktarma katmanı güvenliği (“TLS”) veya güvenli yuva katmanı (“SSL”) teknolojisi olarak adlandırılır. Ayrıca, Evernote hizmeti (www.evernote.com) için HTTP Kesin Aktarma Güvenliği'ni (“HSTS”) destekliyoruz. Tarayıcılar ve onu destekleyen istemciler için güçlü bir şifreleme dengesi ve buna ihtiyaç duyan eski istemciler için geriye dönük uyumluluk dengesi sağlamak için bir dizi şifre paketini ve TLS protokolünü destekliyoruz. Verilerinizi koruma taahhüdümüzü desteklemek için aktarma güvenliği duruşumuzu iyileştirmeye devam etmeyi planlıyoruz.
Hem gelen hem de giden e-posta için STARTTLS'yi destekliyoruz. Posta hizmeti sağlayıcınız TLS'yi destekliyorsa, e-postanız hem Evernote hizmetine, hem de Evernote hizmetinden aktarma sırasında şifrelenecektir.
TLS veya GCM-AES-128 şifreleme ile IPSEC kullanarak veri merkezimiz ile Google Cloud Platformu arasında akan tüm müşteri verilerini koruyoruz.
2016'nın sonlarında Evernote hizmetini Google Cloud Platform'a (“GCP”) taşımaya başladık. GCP'de depoladığımız müşteri verileri, Google bünyesindeki beklemede şifreleme özellikleri kullanılarak korunacaktır. Daha teknik bir anlatımla, beklemedeki tüm verileri AES-256 kullanarak şeffaf ve otomatik olarak şifrelemek için Google'ın sunucu tarafı şifreleme özelliğini, Google tarafından yönetilen şifreleme anahtarlarıyla birlikte kullanıyoruz. Beklemede şifrelemenin verilerinizi nasıl koruduğu ile ilgili ek bilgileri burada bulabilirsiniz.
Evernote'un ihtiyacınız olduğunda yanınızda olmasını sağlamak için hataya dayanıklı bir mimari kullanıyoruz.
Buna, hem fiziksel veri merkezlerimizde hem de bulut altyapımızda, şunlar dahildir:
Hem Google hem de ortak yerleşim sağlayıcımız, güç, HVAC ve yangın söndürme dahil olmak üzere hataya dayanıklı tesis hizmetleri sunar.
Hizmet kullanılabilirliğimizle ilgili canlı ve geçmiş durum güncellemelerini şurada sağlarız: https://twitter.com/evernotestatus ve http://status.evernote.com.
Tüm müşteri içeriğini günde en az bir kez yedekleriz. Yedeklemeler için taşınabilir veya çıkarılabilir medya kullanmıyoruz.
Evernote hizmetini, bulut hizmetleri ve fiziksel veri merkezlerinin bir kombinasyonunu kullanarak işletiyoruz.
Veri merkezlerimiz için, altyapımızı 365 gün 7/24 izlenen özel, kilitli bir kafeste güvence altına alıyoruz. Bu veri merkezlerine erişim, en az iki faktörlü kimlik doğrulama gerektirir, ancak üçüncü bir faktör olarak biyometri içerebilir. Veri merkezlerimizin her biri, altyapımızı fiziksel olarak güvence altına alma yeteneklerini doğrulayan bir SOC-1 Tip 2 denetiminden geçmiştir. Yalnızca Evernote operasyon personeli ve veri merkezi personelinin bu altyapıya fiziksel erişimi vardır ve birisi kafesimize her eriştiğinde, operasyon ekibimiz, olayın video kaydını da içeren bir uyarı alır.
Bulut hizmetlerimiz için Google Cloud Platformu'nu kullanıyoruz. Google, Evernote'un verilerini fiziksel olarak güvence altına alma becerisini doğrulayan birden çok sertifikalandırma aşamasından geçmiştir. Google Cloud Platformu'nun güvenliği hakkında daha fazla bilgiyi buradan okuyabilirsiniz.
Tüm Evernote verileri Amerika Birleşik Devletleri'nde bulunur.
Daha fazla bilgi için lütfen gizlilik merkezimize göz atın. Bir Hizmet Organizasyonu Kontrolü (“SOC”) raporu yayınlamıyoruz.
