1. Giriş
Akçansa olarak bilgi güvenliğini en üst seviyede tutmayı hedefliyoruz.
Ürünlerimizde, uygulamalarımızda veya altyapımızda bir güvenlik açığı tespit eden araştırmacıları sorumlu şekilde bildirim yapmaya davet ediyoruz.
Bu politika, araştırmacıların bizimle nasıl iletişime geçebileceğini, hangi kurallara uyması gerektiğini ve Akçansa’nın süreç boyunca sağlayacağı güvenceleri açıklamaktadır.
2. Bildirim Kanalları
Aşağıdaki yöntemleri kullanarak bize güvenli bir şekilde ulaşabilirsiniz:
E-posta: [email protected]
PGP Public Key: https://www.akcansa.com.tr/pgp/akcansa-pgp-public.asc
PGP Fingerprint: 2AC898996F6F4533B87824875BACEA1CC17AA1D7
Security.txt: https://www.akcansa.com.tr/.well-known/security.txt
Zafiyet Bildirim Formu: (isteğe bağlı eklenebilir)
3. Araştırmacılar İçin Kurallar (Safe Harbor)
Aşağıdaki kurallara uymanız durumunda iyi niyetli araştırmanızı engellemeyiz ve hukuki sürece başvurmayız:
Hizmet kesintisine neden olacak DoS/DDoS saldırıları gerçekleştirmeyin
Sosyal mühendislik, phishing, fiziksel erişim gibi yöntemler kullanmayın
Kişisel veya hassas verileri indirmeyin, işlemeyin, paylaşmayın
Sadece kendi hesabınızı veya size verilmiş test hesaplarını kullanın
PoC veya kanıt paylaşırken asgari veriyi paylaşın
İstismar kodunu kamuya açık şekilde yayımlamayın
Bu politikanın amacı, güvenlik araştırmacıları için güvenli bir iş birliği ortamı sağlamaktır.
4. Süreç ve Zaman Çizelgesi
Alındı teyidi: 3 iş günü içinde
Ön değerlendirme (Triage): 7 gün içinde
Giderim süresi (CVSS değerine göre):
Kritik ≥ 9.0 → 7 gün
Yüksek 7.0–8.9 → 14 gün
Orta 4.0–6.9 → 30 gün
Düşük 0.1–3.9 → planlı bakım süreci
KEV (Known Exploited Vulnerabilities) veya aktif istismar tespiti yapılırsa süreç hızlandırılır.
5. Doğrulama ve Testler
Testler mümkün olduğunca üretim dışı ortamda yapılır
CVSS v3/v4 puanlaması yapılır
Düzeltme sonrası yeniden test (retest) gerçekleştirilir
6. Embargo ve Koordinasyon
Varsayılan embargo süresi 90 gündür. Yama hazır olduğunda advisory yayımlanır. Gerekirse süre karşılıklı anlaşma ile uzatılabilir veya kısaltılabilir.
7. Araştırmacı Kredisi (Hall of Fame)
Araştırmacı izin verirse ismi veya takma adı teşekkür listesinde yayımlanabilir.
8. Sorumluluk Reddi
Bu politika yalnızca iyi niyetli araştırma kapsamını korur. Kasıtlı zarar verme, veri sızdırma ve yasa dışı aktiviteler Safe Harbor kapsamında değildir.
9. İletişim
Sorular için: [email protected]