Intrvio güvenlik

Adaylar, işverenler ve Intrvio arasındaki tüm trafik modern şifre paketleriyle TLS 1.3 kullanır; HSTS preload ile etkindir.

Kalıcı veriler Supabase üzerindeki Postgres'te disk seviyesinde AES-256 şifrelemeyle depolanır. Ses kayıtları ve transkriptler, sağlayıcı tarafından yönetilen nesne seviyesi şifreleme anahtarlarıyla nesne depolamada tutulur.

Veritabanı yedekleri şifrelidir; hassas alanlar (aday tanımlayıcıları, OAuth token'lar) uygun olduğunda ek sütun seviyesi şifreleme kullanır.

Parola kimlik doğrulaması, kullanıcı bazlı tuzlarla bcrypt karması kullanır. TOTP tabanlı MFA tüm işveren hesapları için mevcuttur ve workspace genelinde zorunlu kılınabilir.

SAML 2.0 single sign-on Scale planında kurumsal IdP'ler için kullanılabilir (Okta, Azure AD/Entra ID, Google Workspace).

Üçüncü taraf entegrasyonlar (ATS, takvimler) en az ayrıcalık kapsamlarıyla OAuth 2.0 üzerinden kimlik doğrular; refresh token'ları döndürülür ve iptal edilebilir.

Trafik, DDoS koruması ve yapılandırılmış WAF kural setiyle önünde Cloudflare bulunan Vercel Edge tarafından sunulur.

Form uç noktalarında (kayıt, aday katılımı, hassas eylemler) bot/kötüye kullanım kapısı olarak Cloudflare Turnstile kullanılır.

Rota bazlı rate limit zorlanır; şüpheli IP'ler kısıtlanır ve denetim logunda gösterilir. Veri ikamet yeri ve AI Yasası bölgesel raporlamayı desteklemek için istek anında bölge etiketleme uygulanır.

Tüm pazarlama ve ürün yüzeylerinde sıkı bir Content-Security-Policy zorunludur; form gönderimlerine CSRF koruması yerleşiktir; çerezler HttpOnly, SameSite=Lax ve Secure'dur.

Postgres'te kiracı izolasyonu Supabase Row-Level Security politikalarıyla zorlanır; erişim yalnızca API kenarında değil, her istekte doğrulanır.

Her mülakat eylemi — başlangıç, model çıktısı, recruiter geçersiz kılma, dışa aktarım, silme — oturuma anahtarlı yalnızca-ekleme denetim loguna kaydedilir.

Açıklıkları security@intrvio.com adresine bildirin. 2 iş günü içinde alındı bilgisi vermeyi, 7 gün içinde triaj güncellemesi sağlamayı ve ilk rapordan itibaren 90 gün içinde koordineli açıklama yapmayı taahhüt ediyoruz.

Bu politikaya uyan iyi niyetli güvenlik araştırmalarına karşı yasal işlem tehdidinde bulunmuyor veya başvurmuyoruz. Müşteri verisi taraması, veri sızdırma veya hizmet kesintisinden lütfen kaçının.

3. Çeyrek 2026'dan itibaren yıllık üçüncü taraf sızma testi planlanmaktadır (ileriye yönelik; ilk angajman henüz gerçekleşmedi).

SOC 2 Tip I süreç aşamasındadır, hedef 4. Çeyrek 2026. ISO 27001 sertifikasyonu 2027 yol haritasındadır.

Güvenliği değişiklik yönetimi yaşam döngüsünün bir parçası olarak ele alıyoruz: bağımlılık taramaları her pull request'te çalışır, altyapı değişiklikleri akran denetiminden geçer ve erişim incelemeleri üç aylık olarak yapılır.