Güvenlik Açığı Bildirim Politikası

Bu politika, güvenlik açığı bildirimlerinin nasıl yapılacağını, hangi sistemlerin kapsam dahilinde olduğunu, hangi testlerin kabul edilmediğini ve bildirim sürecinde bizden ne bekleyebileceğinizi açıklar.

Güvenlik açığı nasıl bildirilir?

Bir güvenlik açığı tespit ettiğinizi düşünüyorsanız, lütfen bildiriminizi aşağıdaki adrese gönderin:

[email protected]

Bildiriminizi mümkün olduğunca açık, teknik ve yeniden üretilebilir şekilde paylaşmanız, sorunu daha hızlı değerlendirmemize yardımcı olur.

Lütfen bildiriminizde mümkünse şu bilgilere yer verin:

• Etkilenen web sayfası, uygulama ekranı, API işlemi veya sistem bileşeni
• Sorunu yeniden oluşturmak için izlenen adımlar
• Beklenen davranış ile gözlemlenen davranış arasındaki fark
• Güvenlik açığının olası etkisi
• Kullanılan cihaz, işletim sistemi, tarayıcı veya uygulama sürümü
• Varsa ekran görüntüsü, kısa video, log kaydı veya kavram kanıtı
• Güvenlik açığının kötüye kullanılmadan nasıl doğrulanabileceğine dair açıklama

Lütfen bildiriminizde gerçek kullanıcı verilerini, gereksiz kişisel verileri, üçüncü kişilere ait hesap bilgilerini veya hassas içerikleri paylaşmayın. Bir güvenlik açığını doğrulamak için minimum düzeyde bilgi yeterliyse, daha fazlasını toplamaktan veya iletmekten kaçının.

Kapsam dahilindeki varlıklar

Bu politika, CardWho tarafından doğrudan işletilen ve kontrol edilen dijital varlıkları kapsar.

Kapsam dahilindeki varlıklar genel olarak şunlardır:

• CardWho’nun resmi web siteleri
• CardWho tarafından işletilen resmi alt alan adları
• CardWho’nun resmi iOS ve Android mobil uygulamaları
• CardWho’ya ait API servisleri
• CardWho’ya ait yönetim panelleri
• CardWho tarafından işletilen diğer resmi uygulama, servis ve sistem bileşenleri

Kapsam, yalnızca CardWho’nun doğrudan kontrol ettiği sistemlerle sınırlıdır. Üçüncü taraf sağlayıcılar tarafından işletilen sistemler, yalnızca CardWho yapılandırması veya entegrasyonu nedeniyle ortaya çıkan ve CardWho kullanıcılarını doğrudan etkileyen açıklar bakımından değerlendirilebilir.

Kapsam dışındaki varlıklar ve hizmetler

Aşağıdaki sistemler ve hizmetler bu politikanın doğrudan kapsamı dışındadır:

• Apple App Store
• Google Play
• Cloudflare
• OVH
• Ödeme altyapısı sağlayıcıları
• E-posta servis sağlayıcıları
• Analitik, bildirim, hata izleme veya pazarlama araçları
• CardWho tarafından işletilmeyen üçüncü taraf web siteleri, API’ler, uygulamalar ve servisler

Bu tür üçüncü taraf hizmetlerde tespit edilen güvenlik açıkları, ilgili sağlayıcının kendi güvenlik bildirim kanalları üzerinden raporlanmalıdır.

Ancak bir üçüncü taraf entegrasyonunun CardWho tarafındaki yapılandırmasından kaynaklanan ve CardWho kullanıcılarını doğrudan etkileyen bir güvenlik riski tespit ederseniz, bunu bize bildirebilirsiniz.

Kabul edilen güvenlik açığı türleri

Aşağıdaki türdeki güvenlik açıkları kapsam dahilinde değerlendirilebilir:

• Yetkisiz erişim
• Kimlik doğrulama veya oturum yönetimi hataları
• Yetki yükseltme açıkları
• Kullanıcılar arası veri erişimi
• Hassas verilerin yetkisiz şekilde görüntülenmesi
• API güvenlik açıkları
• Sunucu tarafı güvenlik açıkları
• Mobil uygulama güvenlik açıkları
• İş mantığı hataları
• Güvenlik etkisi açıkça gösterilebilen yanlış yapılandırmalar
• Ödeme, abonelik veya kullanıcı hesabı süreçlerinde güvenlik etkisi doğuran açıklar
• Kullanıcı gizliliğini veya veri bütünlüğünü etkileyen zafiyetler

Bir bulgunun kapsam dahilinde değerlendirilebilmesi için gerçekçi ve açıklanabilir bir güvenlik etkisinin bulunması gerekir.

Kapsam dışı bulgular

Aşağıdaki bildirimler genellikle kapsam dışı kabul edilir:

• Güvenlik etkisi gösterilmeyen otomatik tarama sonuçları
• Yalnızca bilgilendirici nitelikteki HTTP başlık eksiklikleri
• Güvenlik etkisi kanıtlanmamış sürüm ifşaları
• Kanıtlanabilir etki göstermeyen teorik açıklar
• Kullanıcı etkileşimi gerektiren ve güvenlik etkisi sınırlı Self-XSS bulguları
• Zaten ele geçirilmiş cihaz, tarayıcı, işletim sistemi veya kullanıcı hesabı gerektiren senaryolar
• Sosyal mühendislik
• Phishing denemeleri
• Fiziksel güvenlik testleri
• Çalışanlara, kullanıcılara, iş ortaklarına veya hizmet sağlayıcılarına yönelik testler
• Hizmet reddi saldırıları
• Trafik yoğunluğu oluşturan testler
• Brute force, credential stuffing veya parola deneme saldırıları
• Spam, toplu e-posta, toplu form gönderimi veya otomatik kayıt denemeleri
• Gerçek kullanıcı verilerinin indirilmesi, değiştirilmesi, silinmesi veya ifşa edilmesi
• Üçüncü taraf servis sağlayıcıların kendi altyapılarındaki açıklar
• CardWho tarafından işletilmeyen alan adları, uygulamalar veya sistemler
• Yalnızca kullanıcıların kendi cihazlarında veya kendi yerel ortamlarında etkili olan sorunlar
• Güvenlik etkisi açıkça gösterilmeyen en iyi uygulama önerileri

CardWho, güvenlik etkisi bulunmayan, doğrulanamayan veya kapsam dışı kalan bildirimleri değerlendirme dışında bırakma hakkını saklı tutar.

Güvenlik araştırması sırasında uyulması gereken kurallar

Güvenlik araştırması yaparken aşağıdaki kurallara uymanızı bekleriz:

• Yalnızca kapsam dahilindeki sistemler üzerinde test yapın.
• Testlerinizi minimum etkiyle gerçekleştirin.
• Gerçek kullanıcı verilerine erişmeye, bu verileri indirmeye, değiştirmeye veya silmeye çalışmayın.
• Bir güvenlik açığını doğrulamak için gerekli olan en düşük seviyede test yapın.
• Sistemlerin çalışmasını bozabilecek testlerden kaçının.
• Hizmet kesintisine, performans düşüşüne veya veri kaybına neden olabilecek işlemler yapmayın.
• Başka kullanıcıların hesaplarına, verilerine veya cihazlarına erişmeye çalışmayın.
• Sosyal mühendislik, phishing, fiziksel saldırı veya çalışan hedefleme yöntemleri kullanmayın.
• Bulduğunuz güvenlik açığını kamuya açıklamadan önce bize makul bir değerlendirme ve düzeltme süresi tanıyın.
• Güvenlik açığını üçüncü kişilerle paylaşmayın.
• Elde ettiğiniz bilgileri yalnızca güvenlik açığını bildirmek amacıyla kullanın.

Bu kurallara aykırı davranışlar, bu politika kapsamında iyi niyetli güvenlik araştırması olarak değerlendirilmez.

Yanıt sürecimiz

Geçerli bir güvenlik bildirimi aldığımızda, bildirimi mümkün olan en kısa sürede incelemeye çalışırız.

Hedef yanıt sürelerimiz aşağıdaki gibidir:

Aşama	Hedef süre
Bildirimin alındığını teyit etme	2 iş günü içinde
İlk teknik değerlendirme	7 takvim günü içinde
Öncelik ve etki değerlendirmesi	10 takvim günü içinde
Kritik bulgular için düzeltme veya azaltıcı önlem	Hedef olarak 14 gün içinde
Yüksek öncelikli bulgular için düzeltme veya azaltıcı önlem	Hedef olarak 30 gün içinde
Orta ve düşük öncelikli bulgular	Risk, etki ve teknik kapsam doğrultusunda planlanır

Bu süreler hedef niteliğindedir. Güvenlik açığının karmaşıklığı, üçüncü taraf bağımlılıkları, platform onay süreçleri, mobil uygulama mağazası incelemeleri veya teknik gereklilikler nedeniyle süreler değişebilir.

Gerekli durumlarda sizden ek bilgi talep edebiliriz. Bildiriminizin değerlendirilmesi, sağlanan bilgilerin yeterliliğine ve güvenlik etkisinin doğrulanabilir olmasına bağlıdır.

Önceliklendirme

Güvenlik açıklarını değerlendirirken aşağıdaki kriterleri dikkate alırız:

• Kullanıcı verilerine etkisi
• Yetkisiz erişim ihtimali
• Etkilenen kullanıcı veya sistem sayısı
• Açığın kötüye kullanılabilirliği
• Açığın uzaktan istismar edilip edilemeyeceği
• İş sürekliliği ve hizmet güvenilirliği üzerindeki etkisi
• Ödeme, abonelik veya hesap güvenliği üzerindeki etkisi
• Mevcut azaltıcı kontroller

CardWho, bildirilen bir güvenlik açığının önceliğini ve ciddiyet seviyesini kendi teknik ve operasyonel değerlendirmesine göre belirler.

Kamuya açıklama

Bildirilen güvenlik açıklarının kamuya açıklanması, yalnızca CardWho ile önceden yazılı mutabakat sağlanması halinde yapılmalıdır.

Lütfen aşağıdaki durumlar gerçekleşmeden güvenlik açığını kamuya açık şekilde paylaşmayın:

• Bildirimin tarafımıza ulaşması
• Açığın teknik olarak değerlendirilmesi
• Gerekli düzeltme veya azaltıcı önlemlerin uygulanması
• Açıklama zamanı ve içeriği konusunda mutabakat sağlanması

Uygun durumlarda ve talebiniz olması halinde, katkınızı kamuya açık şekilde teşekkür ederek duyurabiliriz. Ancak kullanıcı güvenliği, veri gizliliği, devam eden incelemeler veya kötüye kullanım riski nedeniyle bazı durumlarda kamuya açıklama yapılmayabilir.

İyi niyetli bildirimler

Bu politika kapsamında, iyi niyetle yapılan, kapsam dahilinde kalan, kullanıcı verilerine zarar vermeyen, hizmet sürekliliğini bozmayan ve güvenlik açığını sorumlu şekilde bildiren araştırmaları olumlu şekilde değerlendiririz.

İyi niyetli güvenlik araştırması şu anlama gelir:

• Testlerin kapsam dahilindeki sistemlerle sınırlı tutulması
• Kullanıcı verilerine izinsiz erişilmemesi
• Erişilmesi halinde verinin görüntülenmemesi, kopyalanmaması, saklanmaması veya paylaşılmaması
• Hizmet kesintisine neden olunmaması
• Açığın kötüye kullanılmaması
• Açığın üçüncü kişilerle paylaşılmaması
• CardWho’ya makul değerlendirme ve düzeltme süresi tanınması

Bu politika; kötü niyetli faaliyetlere, veri ihlallerine, hizmet kesintisi yaratmaya, üçüncü kişilere zarar vermeye veya kapsam dışı sistemlerde test yapmaya izin vermez.

CardWho, her bildirimi kendi koşulları içinde değerlendirme ve gerektiğinde yasal haklarını saklı tutma hakkına sahiptir.

Gizlilik ve veri koruma

Güvenlik açığı bildiriminiz kapsamında bizimle paylaştığınız kişisel veriler, yalnızca bildiriminizi değerlendirmek, sizinle iletişim kurmak, güvenlik açığını doğrulamak, düzeltmek ve gerekli kayıtları tutmak amacıyla işlenir.

Bildiriminizde üçüncü kişilere ait kişisel verileri paylaşmaktan kaçınmanızı rica ederiz. Bir güvenlik açığının doğrulanması sırasında kişisel veriye eriştiğinizi fark ederseniz, lütfen erişimi derhal durdurun ve bu durumu bildiriminizde açıkça belirtin.

CardWho, güvenlik bildirimi sürecinde elde edilen bilgileri kullanıcı güvenliğini sağlamak, sistemlerini korumak ve yasal yükümlülüklerini yerine getirmek amacıyla değerlendirebilir.

İletişim

Güvenlik açıkları ve güvenlikle ilgili bildirimler için bizimle aşağıdaki adresten iletişime geçebilirsiniz:

[email protected]

Güvenlik bildirimi dışındaki genel destek, iş birliği veya kullanıcı talepleri için lütfen CardWho’nun resmi iletişim formunu kullanın.