PayCal Technologies Inc.

Doğrulama ve Yönetim Şeffaflığı

Bu sayfada PayCal'ın davranışı doğrulamak ve üretimde operasyonel korumaları uygulamak için kullandığı kontroller açıklanmaktadır.

Published:

Yönetişimden Ne Kast Ediyoruz?

Bizim için yönetişim, kod yollarına, sınırlara, testlere ve dağıtım kontrollerine kodlanmış politika anlamına gelir. Bu yalnızca belgeye dayalı bir vaat değildir.

Aşağıdaki referanslar, iddiaların bağımsız olarak doğrulanabilmesi için bu veri havuzundaki uygulama noktalarına eşlenmektedir.

Doğrulama Meta Verileri

Meta verileri yönlendir

  • Rota: /transparency/verification-governance/
  • Son doğrulanma tarihi:
  • Bir sonraki incelemenin zamanı:
  • Doğrulama kapsamı: açıklanan geçit uygulamalarının mevcut kancalara, CI boru hattı kontrollerine ve çalışma zamanı kontrol yollarına göre manuel olarak incelenmesi.

Bilinen sınırlamalar

  • Kapı açıklamaları manuel olarak korunur; bu sayfa ile kanca/boru hattı yapılandırması arasında otomatik çapraz referansın üç ayda bir kapatılması planlanmaktadır.
  • Çalışma zamanı sınır değerleri varsayılanları yansıtır; Ortama özgü geçersiz kılmalar, geliştirme dışı örneklerde farklılık gösterebilir.

Bu meta veriler, yönetim denetimi kapanışının bir parçası olarak üç ayda bir güncellenir.

Mevcut Güvenlik Denetim Durumu

2026-03-24 itibarıyla PayCal, BRS-01'den BRS-05'e kadar genişletme ve takip sürümü hijyen senkronizasyonundan sonra PASS durumunda kalmaya devam ediyor.

Kamu durumu ayrıntıları ve kanıt referansları şu adreste yayınlanmaktadır: /transparency/security-audit/.

1) Yerel Politika Kapıları (Git Hooks)

Yerel kancalar, kod paylaşılan dallara ulaşmadan önce güvenli olmayan birleştirmeleri engeller.

  • githooks/pre-commit runs PHPStan Level 9 on staged PHP files under html/.
  • githooks/pre-commit blocks baseline usage in phpstan.neon and blocks phpstan-baseline.neon.
  • githooks/pre-push runs full-repo PHPStan Level 9 and applies the same baseline-blocking policy.

Bu kapılar politika sapması ve sessiz kalite gerilemesi olasılığını azaltır.

2) CI Doğrulama İşlem Hattı

CI iş akışı, hızlı doğrulamadan stres tarzı doğrulamaya kadar giderek daha derin test katmanları çalıştırır.

  • .github/workflows/phpunit.yml Stage 2: composer run test:all (unit + integration + contract).
  • .github/workflows/phpunit.yml Stage 3: composer run test:random (order-randomized).
  • .github/workflows/phpunit.yml Stage 3: composer run test:coverage.
  • .github/workflows/phpunit.yml Stage 4: mutation test job.

Representative contract/integration suites include html/tests/Integration/KekContractTest.php, html/tests/Integration/RedisContractTest.php, and contract tests under html/tests/Contract/.

3) Çalışma Zamanı Hız Limitleri ve Giriş Yönetişimi

Operasyonel uç noktalar, açık istek pencereleri ve yük doğrulama kurallarıyla sınırlanır.

  • html/src/Domain/RateLimiter.php defines per-minute endpoint and IP limits, including telemetry (90/minute).
  • html/src/Controllers/TelemetryController.php enforces authentication and telemetry rate limits before accepting events.
  • html/src/Controllers/TelemetryController.php bounds event type format with a strict regex to control key cardinality.
  • html/src/Controllers/EmailVerificationController.php applies retry windows with TTL-backed rate-limit keys.

Bu kontrollerin amacı, hem normal hem de kötü amaçlı trafik düzenleri altında davranışı öngörülebilir tutmaktır.

4) TTL ve Güvenlik Limiti Yönetişimi

Güvenliğe duyarlı akış sınırları merkezi olarak tanımlanır ve min/maks kısıtlamalarla sınırlandırılır.

  • html/src/system-limits-master.php includes enable_rate_limiting and account-recovery controls.
  • Hesap kurtarma sınırları arasında kod TTL'si, yeniden gönderme bekleme süreleri, maksimum doğrulama denemeleri, yeniden oynatma pencereleri ve karma IP engelleme TTL'leri bulunur.
  • html/src/Domain/AccountRecoveryAbuseGuard.php records replay telemetry and applies automatic hashed-IP blocking when thresholds are exceeded.
  • html/src/Domain/AccountRecoveryTransaction.php enforces transaction/proof/bootstrap expiries from system limits.

Bu yapı, yazılan sınırları atlamadan kontrollü politika güncellemelerine olanak tanır.

5) CSP ve Varlık Teslim Kontrolleri

Herkese açık sayfalar, açık İçerik Güvenliği Politikasına ve önceden farkında olunmayan komut dosyası/stil oluşturmaya tabidir.

  • html/header.php builds and emits CSP directives including default-src 'none' and strict script-src/style-src policies.
  • html/header.php includes Trusted Types policy directives.
  • html/src/Domain/Render.php supports nonce-based module script rendering.

Bu kontroller yürütülebilir yüzeyleri kısıtlar ve temel yönetişim modelimizin bir parçasıdır.

Bu İddialar Nasıl Doğrulanır?

Geliştiriciler doğrulama sinyallerini doğrudan bu depoda yeniden oluşturabilirler:

# Static analysis gates
bash githooks/pre-commit
bash githooks/pre-push

# Test pipeline equivalents
cd html
composer run test:all
composer run test:random
composer run test:coverage

Son güncelleme: March 24, 2026.