Interna güvenlik modeli: içerik-körü yönetim

Interna’da yönetici çalışma alanını yönetir, yazışmayı okuyamaz. Üç bağımsız kilit bu sınırı kodda, veritabanı yetkisinde ve şifrelemede çizer.

Demo talep edin

Üç bağımsız teknik kilit

  1. Kod katmanı

    Yönetim panelinin kodu mesaj servisine ulaşamaz. Admin modülleri mesaj servisini import edemez; bu sınırı ekip alışkanlığı değil, derlemede çalışan lint kuralı zorlar.

  2. Veritabanı rolü

    Yönetici rolünün mesaj tablolarında SELECT yetkisi bile yok. Panel veritabanına ayrı bir PostgreSQL rolüyle bağlanır; o role mesaj, sohbet ve dosya tablolarında okuma izni tanımlı değildir.

  3. Şifreleme

    Mesaj içeriği sunucuda şifreli durur. İçerik AES-256-GCM ile, her şirket için ayrı türetilen anahtarla şifrelenir; yanlış yazılmış bir sorgu bile düz metin döndüremez.

Sözleşme değil, veritabanı reddediyor.

İçerik-körü yönetim nedir?

İçerik-körü yönetim, yönetim yetkisinin mesaj içeriğini kapsamamasıdır: yönetici çalışma alanını yönetir, yazışmayı okuyamaz. Interna bu sınırı sözleşme maddesine değil mimariye yazar; panel kodu, veritabanı yetkisi ve şifreleme aynı çizgiyi üç ayrı katmanda çizer.

Aynı sınır iki tarafa iki ayrı güvence verir. Çalışan tarafında bu güvence mahremiyettir: işvereniniz mesajlarınızı okuyamaz, çünkü panelin ulaşabildiği hiçbir yüzeyde mesaj içeriği yoktur. İşveren tarafında güvence, karar yükünün kalkmasıdır: teknik olarak erişemediğiniz içerik için gözetim kararı vermek zorunda kalmazsınız; panel üyelik, cihaz ve politika verisiyle çalışır.

Yukarıdaki üç kilit bu tanımın mühendislik karşılığıdır. Tanımı taşıyan şey kilit sayısı değil, kilitlerin birbirinden bağımsız çalışmasıdır.

Üç kilit birbirinden neden bağımsızdır?

Üç kilit bağımsızdır çünkü her biri ayrı bir katmanda yaşar: birincisi derlemede, ikincisi veritabanı yetkisinde, üçüncüsü şifrelemenin kendisinde çalışır. Birinin aşıldığı senaryoda kalan ikisi içeriği kapalı tutar.

Birinci kilit kod katmanındadır. Yönetim panelinin modülleri mesaj servisini içe aktaramaz; sınırı ekip alışkanlığı değil, derlemede çalışan bir lint kuralı tutar. Kuralı ihlal eden değişiklik derleme denetiminden geçmez.

İkinci kilit veritabanı yetkisindedir. Panel, PostgreSQL’e mesajlaşma servisinden ayrı bir rolle bağlanır; bu role mesaj, sohbet ve dosya tablolarında SELECT yetkisi tanımlanmamıştır. Yetkinin olmadığı yerde sorgu da yoktur: veritabanı, panelden gelen bir içerik sorgusunu sonuçla değil hatayla yanıtlar.

Üçüncü kilit şifrelemededir. Mesaj gövdesi sunucuda AES-256-GCM ile şifreli durur; anahtar, HKDF ile her çalışma alanı için ayrı türetilir. İlk iki katmanın delindiği varsayımda bile ele geçen şey düz metin değil, şifreli gövdedir.

İçerik böyle kapanır. Yönetimin görebildiği alan ise dardır ve tek tek sayılabilir.

Yönetici panelde neyi görür?

Yönetici panelde yedi veri alanıyla çalışır:

  • Personel kayıtları: ad, unvan, departman, dahili ve konum; hesap açma ve devre dışı bırakma
  • Davetler: üretme, iptal etme, yeniden gönderme
  • Cihazlar ve oturumlar: cihaz görünümü, oturum düşürme, uzaktan silme
  • Çalışma alanı politikaları: bildirimde içerik gizleme gibi alan geneli kurallar
  • Grup üyelikleri: grubun adı, üyeleri ve üyelik hareketleri
  • KVKK metinleri: sürümler ve kabul oranı
  • Denetim defteri: panelde yapılan işlemlerin kaydı

Listede olmayan iki kalem sabittir: mesaj içeriği ve 1:1 sohbetlerin dökümü. İçerik üç kilidin arkasındadır; 1:1 sohbetler panelde hiç listelenmez.

Grup gözetimi neden üye listesiyle sınırlıdır?

Grup gözetimi üye listesiyle sınırlıdır çünkü panel yalnız üyelik verisi okur; iletiler ikinci kilidin arkasında kalır. Yönetici bir grubun kim tarafından kurulduğunu ve kimleri içerdiğini görür, konuşulanı görmez. 1:1 sohbetlerin panelde hiç görünmemesi aynı ilkenin devamıdır: kimin kiminle yazıştığının haritası, içeriğin kendisi kadar mahremdir ve yönetime açılmaz.

Denetim defteri neyi kaydeder?

Denetim defteri, panelde yapılan işlemleri kaydeder: kim davet üretti, hangi cihaz düşürüldü, hangi politika değişti. Defter iki ayrı düzlemde tutulur; platform tarafında yapılan her operasyon şirketin defterine de düşer. “Yönetim ne yaptı” sorusunun cevabı böylece yorum değil, kayıttır.

Neyi göremeyiz?

Platform işletmecisi olarak biz de mesaj içeriğinizi göremeyiz. Süper-admin düzlemi veritabanına ayrı bir rolle bağlanır; o rolün mesaj tablolarında okuma yetkisi yoktur. İçeriğe erişim isteği bir onay sürecine değil, tanımlı olmayan bir yetkiye çarpar.

Bu modelin adı uçtan uca şifreleme değildir; biz de öyle adlandırmayız. Uçtan uca şifrelemede anahtar yalnız cihazlarda durur. Interna’da içerik sunucuda şifreli saklanır ve mesajı alıcıya taşıyan servis, işi gereği içeriği işler; kilitlerin ayırdığı şey taşıma servisi değil, yönetim düzlemleridir. İki modelin farkını uçtan uca şifreleme rehberinde ayrıntısıyla anlatıyoruz.

Görünür kalanı da saklamayız: üyelikler, cihaz kayıtları, grup üyelikleri ve denetim kayıtları yönetime açıktır. İçerik-körlük bir perde değil, çizgisi belli bir erişim ayrımıdır.

On-prem kurulumda tablo bir adım daha sadeleşir: platform işletmecisi müşterinin kendi BT ekibidir, sunucu şirketin binasındadır ve şifreleme anahtarını siz üretirsiniz. Bu ayrım On-prem paketine özgüdür; Bulut paketinde işletmeci biziz ve yukarıdaki yetki sınırı bize de aynı biçimde uygulanır.

KVKK metinleri nasıl yönetilir?

KVKK metni Interna’da sürümle yönetilir. Çalışan, daveti kabul ederken metni görür ve onaylar; onay, hesabına ve metnin o günkü sürümüne bağlı olarak kaydedilir. Yayımlanan sürüm sonradan değiştirilemez: hangi onayın hangi metne verildiği sorusu kayıt düzeyinde kapalıdır.

Yönetici panelden sürümleri ve kabul oranını izler. Metin yönetimi, uyumun kayıt ayağıdır; aydınlatmadan veri yerleşimine uzanan bütünü KVKK uyumlu mesajlaşma sayfasında ele alıyoruz.

Sık sorulan sorular

İşveren Interna’da çalışan mesajlarını okuyabilir mi?

Hayır. Yönetim panelinin kodu mesaj servisine bağlanamaz, yönetici veritabanı rolünün mesaj tablolarında SELECT yetkisi yoktur ve içerik her şirket için ayrı anahtarla şifreli saklanır. Panel üyelik, cihaz ve politika verisiyle çalışır; yazışmanın kendisi üç kilidin arkasındadır.

Interna uçtan uca şifreli mi?

Hayır. Uçtan uca şifrelemede anahtar yalnız cihazlarda durur; Interna’da içerik sunucuda AES-256-GCM ile, çalışma alanına özel anahtarla şifreli saklanır ve yönetim düzlemleri içeriğe teknik olarak erişemez. Mesajı alıcıya taşıyan servis içeriği işler; bu yüzden model uçtan uca şifreleme sayılmaz. Farkın ayrıntısı uçtan uca şifreleme rehberimizdedir.

Yönetici grup sohbetlerinde neyi görür?

Grubun adını, üyelerini ve üyelik hareketlerini görür; iletileri görmez. 1:1 sohbetler panelde hiç listelenmez.

Platform işletmecisi verilerimize erişebilir mi?

Mesaj içeriğine erişemez. Süper-admin düzlemi veritabanına ayrı bir PostgreSQL rolüyle bağlanır; bu rolün mesaj, sohbet ve dosya tablolarında okuma yetkisi tanımlı değildir. Platformun yaptığı her operasyon şirketin denetim defterine düşer. On-prem kurulumda işletmeci zaten sizsiniz; sunucu da anahtar da şirketinizde kalır.

Çalışan ayrılınca cihazdaki yazışmalar ne olur?

Yönetici hesabı devre dışı bırakır ve uzaktan silme başlatır; komut cihaza üç ayrı yoldan ulaşır: açık bağlantı, sessiz bildirim ve oturum denetimi. Cihazdaki yerel veri zaten şifreli durur (SQLCipher, iOS Data Protection). Çalışan tarafında da ilke aynıdır: “Çıkış yap ve verileri sil” cihazdaki şirket verisini temizler.

Güvenlik modelini demoda yerinde görün

Demo talep edin