Sorumlu Güvenlik Bildirimi Politikası
Eventurk Güvenlik Politikası
Bu politika, güvenlik açıklarının güvenli, kontrollü ve izlenebilir şekilde raporlanması için esasları tanımlar.
İletişim
Raporlarınızı [email protected] adresine iletiniz. Değerlendirme sürecinin hızlanması için konu satırında [Security Report] ifadesini kullanınız ve her bulguyu ayrı başlık altında sununuz.
[email protected]Süreç
Ön inceleme
Bildirim teknik doğrulanabilirlik ve kapsam uygunluğu açısından değerlendirilir.
Triyaj
Bulgular etki seviyesi ve risk düzeyine göre önceliklendirilir.
Düzeltme ve kapanış
Düzeltme uygulanır, doğrulama testleri tamamlanır ve kayıt kapatılır.
Kapsam Dahili
- Web uygulaması, oturum yönetimi ve yetkilendirme akışları
- API erişim kontrolleri, veri ifşası ve bütünlük riskleri
- Hesap ele geçirme ve yetki yükseltme senaryoları
- XSS, CSRF, SSRF, SQL/NoSQL injection ve RCE sınıfı açıklar
Kapsam Dışı
- Sosyal mühendislik, fiziksel erişim ve kimlik avı testleri
- Hizmet sürekliliğini etkileyebilecek DoS/DDoS ve stres testleri
- PoC içermeyen veya teknik olarak doğrulanmamış tarama çıktıları
- Eventurk operasyonel kontrolü dışındaki üçüncü taraf sistemler
Rapor Standardı
- Etkilenen URL/endpoint, parametre ve kullanıcı rolünü açıkça belirtiniz.
- Tekrar üretim adımlarını sıralı ve net biçimde paylaşınız.
- PoC, log kaydı veya ekran görüntüsü gibi teknik kanıt ekleyiniz.
- Beklenen davranış ile gözlemlenen sonucu kısa ve ölçülebilir şekilde karşılaştırınız.
Sorumlu Açıklama İlkeleri
Düzeltme tamamlanmadan açık detaylarının kamuya açık paylaşılmaması esastır. Test faaliyetleri sırasında veri değişikliği/silme, kullanıcı etkisi veya hizmet kesintisine yol açabilecek işlemlerden kaçınılmalıdır.
Bu politika periyodik olarak güncellenir. En güncel sürüm /security-policy ve /.well-known/security.txt adreslerinde yayımlanır.