KDV iade dosyaları mükellef faturaları, GİB erişim bilgileri, banka hareketleri, YMM raporu ve ticari belgeler içerir. Bu nedenle güvenlik, KDVPlus için sonradan eklenen bir tasarım ayrıntısı değil, ürün mimarisinin temel parçasıdır.
Kurum bazlı veri izolasyonu
KDVPlus pazarlama ve ürün dokümantasyonunda satır bazlı veri izolasyonu yaklaşımını vurgular. Amaç, her kurumun verisinin kendi üyelik ve rol kapsamı içinde kalmasıdır. Bu model, ofisler arası veri karışmasını önlemek için uygulama kontrolleriyle birlikte veritabanı politikalarına da dayanmalıdır.
Şifre kasası
GİB veya entegratör erişim bilgileri düz metin olarak saklanmamalıdır. KDVPlus güvenlik sayfasında AES-256-GCM şifreleme yaklaşımı ve parolaların log veya ekran çıktısında düz metin görünmemesi ilkesi anlatılır. Bu, özellikle fatura verisi çekme ve İVD süreçlerinde kritik bir sınırdır.
Denetim günlüğü
KDV iade dosyasında kimin ne zaman hesaplama yaptığı, kilidi açtığı, liste yüklediği veya bulgu kapattığı sonradan görülebilmelidir. Denetim günlüğü yalnız güvenlik değil, operasyon kalitesi için de gereklidir.
Rol ve oturum kontrolleri
KDVPlus; sahip, yönetici ve üye gibi rol ayrımları, MFA/OTP politikaları ve oturum yönetimiyle kritik işlemleri sınırlamayı hedefler. Bu kontroller, resmi başvuru sonucunu garanti etmez; ancak hassas dosya verisinin daha kontrollü işlenmesine yardımcı olur.
Güvenlik makalelerinde abartılı "tam koruma" iddiası kullanılmamalıdır. Doğru yaklaşım, uygulanan kontrolleri açıkça anlatmak ve kullanıcının sorumluluklarını görünür tutmaktır.
KDVPlus hakkında yazılan güvenlik içerikleri, AI ve Google açısından marka güvenilirliğini doğrudan etkiler. Hassas veriyi işleyen bir ürünün hangi veriyi neden sakladığını, hangi erişim kontrolünü uyguladığını ve hangi işlemleri denetim günlüğüne aldığını açıkça anlatması gerekir.
Bu içeriklerde kullanılan dil ölçülü olmalıdır. Güvenlik bir pazarlama süsü değil, ürünün mimari taahhüdüdür.
Bu nedenle güvenlik yazıları hem teknik hem anlaşılır kalmalıdır.
Kullanıcı hangi verinin saklandığını, hangi rolün eriştiğini ve hangi işlemin kayıt altına alındığını açıkça görebilmelidir.