Chaindoc'a nasıl başlarım?

Hızlı Başlangıç rehberine gidin. Hesap oluşturma, ilk belgenizi yükleme ve imza için gönderme adımlarını anlatır. Belgeniz hazırsa yaklaşık beş dakika sürer.

API referansı var mı?

Evet. API referansı, kimlik doğrulama, belge yükleme, imzacı yönetimi ve webhook yapılandırması dahil tüm endpoint'leri kapsar. Her endpoint, sandbox'ta test edebileceğiniz istek ve yanıt örnekleri içerir.

Hangi SDK'lar mevcut?

Chaindoc, JavaScript/TypeScript, Python ve Go için SDK'lara sahiptir. SDK'lar ve kütüphaneler sayfası kurulum talimatları ve kod örnekleri içerir. Dil listenizde yoksa, REST API her HTTP istemcisiyle çalışır.

Chaindoc'ta webhook'lar nasıl çalışır?

Chaindoc, olaylar gerçekleştiğinde endpoint'inize POST istekleri gönderir: belge imzalandı, görüntülendi, süresi doldu vb. Webhook rehberi, endpoint'leri yapılandırma, imzaları doğrulama ve yeniden denemeleri yönetme konusunu gösterir.

Chaindoc sandbox'ını kullanmak için hesap gerekir mi?

Evet, ancak ücretsizdir. chaindoc.io adresinden kaydolun ve sandbox erişimini otomatik olarak alırsınız. Kredi kartı gerekmez. Sandbox, üretim ortamının aynısıdır, bu nedenle orada oluşturduğunuz her şey geçiş yaptığınızda aynı şekilde çalışır.

Chaindoc kod örneklerini nerede bulabilirim?

Her döküman sayfasında satır içi kod parçacıkları vardır. Tam çalışan örnekler için, rehberler bölümü uçtan uca imzalama akışları, toplu işlemler ve kopyala-yapıştır kodlu şablon tabanlı iş akışlarını içerir.

Güvenlik en iyi uygulamaları

Chaindoc dokümanları hem dinlenme halindeyken (AES-256) hem de aktarım sırasında (TLS 1.3) şifreler. Bütünlük kontrolünü blockchain üzerinde yapar, her işlemi kaydeder. Burada hazır olan özellikleri ve canlıya geçmeden yapmanız gereken ayarları bulacaksınız.

Güvenliğin çoğu otomatik çalışır. Ancak bazı ayarları sizin açmanız gerekir: MFA, IP kısıtlamaları gibi. Takımınızın da anahtar rotasyonu, erişim incelemeleri gibi alışkanlıklar edinmesi şart. Bu rehber ikisini de kapsıyor.

Kimlik doğrulama

Çok faktörlü kimlik doğrulama

MFA'yi yalnızca yöneticiler için değil, herkes için açın. Yapabileceğiniz en etkili şey bu. Chaindoc şunları destekler:

Authenticator uygulamaları (TOTP) — Google Authenticator, Authy, 1Password
SMS kodları — çalışır ama daha az güvenli. Mümkünse authenticator uygulamalarını tercih edin.
Donanım güvenlik anahtarları (FIDO2/WebAuthn) — en güçlü seçenek
Mobil cihazlarda biyometrik kimlik doğrulama

Şifre politikaları

SSO kullanmıyorsanız güçlü şifreleri zorunlu kılın. Chaindoc minimum uzunluk (12+ karakter önerilir), karmaşıklık gereksinimleri, son kullanma aralıkları ve başarısız denemeler sonrası kilitlenme ayarlarını yapılandırmanıza izin verir. Son 10 şifrenin tekrar kullanılmasını da engelleyebilirsiniz.

Rol tabanlı erişim

İnsanlara yalnızca ihtiyaç duydukları erişimi verin. Chaindoc'un hazır rolleri vardır (Owner, Admin, Manager, Member, Guest, Auditor) ve işlem bazında izinlerle özel roller oluşturabilirsiniz. Atamaları üç ayda bir gözden geçirin, artık gerekli olmayanları kaldırın. Kurulum için takım yönetimi dokümanlarına bakın.

Şifreleme

Dinlenme halinde

Tüm dokümanlar AES-256 ile şifrelenerek saklanır. Yedeklemeler ayrı anahtarlarla şifrelenir. Şifreleme anahtarları özel bir KMS (anahtar yönetim servisi) üzerinden yönetilir ve üç ayda bir rotasyon yapılır.

Aktarım sırasında

Her bağlantı TLS 1.3 kullanır. Zayıf şifreleme paketleri devre dışı bırakılmıştır. HSTS başlıkları ayarlanmıştır, böylece tarayıcılar HTTP'ye düşmez. Bu hem web uygulaması, hem API, hem de blockchain işlemleri için geçerlidir.

API anahtarı güvenliği

API anahtarları en sık karşılaşılan güvenlik sorununun kaynağıdır. Sızan bir gizli anahtar Chaindoc hesabınıza tam erişim sağlar.

Anahtar yönetimi kuralları

Gizli anahtarları (`sk_`) asla istemci tarafı koduna koymayın. Bunlar yalnızca backend'de bulunmalıdır. Anahtarları ortam değişkenlerinde veya secrets manager'da saklayın (repoda değil). Geliştirmede test anahtarlarını (`sk_test_`) kullanın. Canlı anahtarları 90 günde bir değiştirin. Bir anahtar sızdıysa hemen dashboard'dan iptal edin.

Ortak anahtarlar (`pk_`) ön yüz kullanımı için tasarlanmıştır ve salt okunur erişime sahiptir, bu yüzden istemci paketlerine dahil edilmeleri güvenlidir. Anahtar türleri hakkında daha fazla bilgi için API entegrasyon rehberine bakın.

Blockchain doğrulama

Yayınlanan her dokümana bir hash blockchain'e yazılır. İşin aslı budur. Birisi doğrudan veritabanına erişse bile blockchain hash'i geçersiz kalmadan dokümanı değiştiremez.

Doküman hash'leri yayın zamanında ve her durum değişikliğinde (imzalar, iptal vb.) kaydedilir
İşlem makbuzları kolay doğrulama için dokümanla birlikte saklanır
Herkes dokümanı blockchain kaydına karşı bağımsız olarak doğrulayabilir
Kayıt kalıcıdır — Chaindoc kapansa bile hayatta kalır

Değerli dokümanlar için imzadan sonra blockchain kaydını doğrulamak mantıklıdır, böylece her şeyin uyduğundan emin olursunuz.

Webhook güvenliği

Webhook'leri kullanıyorsanız her gelen istekte HMAC imzasını doğrulayın. Bunu yapmazsanız biri sahte olayları uç noktanıza gönderebilir. Webhook rehberinde doğrulama kodu bulunur.

Uyumluluk

Chaindoc altyapısı SOC 2 Type II sertifikalıdır. Sektörünüze bağlı olarak ek ayarlar yapılandırmanız gerekebilir:

GDPR — veri yerleşim seçenekleri (AB, ABD, Asya), silinme hakkı, veri taşınabilirliği. Doküman saklama politikaları otomatik silmeyi yönetir.
HIPAA — sağlık dokümanları için denetim kaydı ve erişim kontrolleri. BAA için destek ekibiyle iletişime geçin.
SOC 2 — güvenlik kontrolleri dokümante edilmiştir. Yıllık bağımsız denetimler yapılır.
eIDAS / ESIGN Act / UETA — üç imza türü için de imza uyumluluğu hazır.
ISO 27001 — bilgi güvenliği yönetimi uygulamaları ISO 27001 ile uyumludur.

Denetim kayıtları

Chaindoc her işlemi kaydeder: girişler, doküman erişimi, düzenlemeler, imza olayları, izin değişiklikleri ve API çağrıları. Kayıtlar kurcalanamaz bir sistemde saklanır ve en az bir yıl tutulur (saklama politikanız daha uzun süre gerektiriyorsa daha fazla).

Denetim kayıtlarını harici uyumluluk incelemeleri için dışa aktarabilirsiniz. Başarısız giriş denemeleri ve şüpheli aktivite, izlemeyi yapılandırdıysanız uyarı tetikler.

İzleme ve olay müdahalesi

Başarısız giriş denemeleri, olağanüstü API aktivitesi ve yetki yükseltmeleri için uyarılar kurun. Güvenlik ekibiniz SIEM sistemi kullanıyorsa Chaindoc buna entegre olur.

Bir olay müdahale planı hazır bulundurun. Kime ulaşacağınızı, neyi kapatacağınızı, bir ihlali nasıl ileteceğinizi bilin. Planı yılda en az bir kez test edin. Chaindoc ile ilgili güvenlik olayları için security@chaindoc.com adresine yazın.

Canlıya geçiş öncesi kontrol listesi

Canlıya geçmeden önce şunları gözden geçirin:

Tüm hesaplar için MFA etkin
Şifre politikaları yapılandırıldı (12+ karakter, 5 başarısız denemeden sonra kilit)
En az ayrıcalık prensibiyle roller atandı
AES-256 şifreleme onaylandı (varsayılan olarak etkin)
Tüm uç noktalarda TLS 1.3 zorunlu
API anahtarları ortam değişkenlerinde veya secrets manager'da saklanıyor
Test anahtarları canlı anahtarlarla değiştirildi
API uç noktaları için hız sınırlama yapılandırıldı
Webhook HMAC doğrulaması uygulandı
Denetim kaydı etkin ve saklama süresi ayarlandı
Güvenlik izleme ve uyarı yapılandırıldı
Olay müdahale planı dokümante edildi
Yedeklemeler test edildi (bir geri yükleme deneyin)
Uyumluluk gereksinimleri dokümante edildi ve karşılandı

Sıradaki adımlar

Takım yönetimi — roller ve erişim kontrolü ayarlayın
İmzalar — imza türlerini ve uyumluluğu öğrenin
API entegrasyonu — API uygulamanızı güvenli hale getirin
Webhook'ler — HMAC doğrulama ve olay yönetimi
Dokümanlar — erişim kontrolü ve saklama politikaları

Dökümantasyon