← Yasal belgeler

Güvenlik Açığı Bildirim Politikası

Son güncelleme:

1. Bildirim Kanalı

Güvenlik e-postası: [security@marfin.com.tr VEYA GÜNCEL ADRES TAMAMLANACAK]

E-posta konusu:

Güvenlik Açığı Bildirimi

olmalıdır.

Acil telefon: [BİLGİ TAMAMLANACAK]


2. Kapsam

Aksi belirtilmedikçe kapsam:

  • marfin.com.tr,
  • Marfin web uygulaması,
  • Marfin mobil uygulaması,
  • belgelenmiş Marfin API'leri,
  • Marfin'e ait olduğu açıkça doğrulanan alt alanlardır.

3. Kapsam Dışı

  • üçüncü taraf sağlayıcının kendi sistemi,
  • müşteriye ait bağımsız sistemler,
  • sosyal medya hesapları,
  • Marfin'e ait olduğu doğrulanmamış alanlar,
  • fiziksel tesisler

kapsam dışıdır.


4. İyi Niyetli Araştırma

Araştırmacı:

  • yalnızca gerekli asgari testi yapar,
  • veri erişimini en aza indirir,
  • hizmeti aksatmaz,
  • gerçek müşteri verisini indirmez,
  • açığı üçüncü kişilerle paylaşmaz,
  • düzeltme için makul süre verir.

5. Yasaklı Testler

Yazılı izin olmadan:

  • hizmet engelleme veya yük testi,
  • yoğun otomatik tarama,
  • sosyal mühendislik,
  • çalışanları hedefleme,
  • fiziksel erişim,
  • fidye yazılımı veya zararlı kod,
  • veri silme veya değiştirme,
  • başka hesaba kalıcı erişim,
  • kimlik bilgisi ele geçirme,
  • müşteriyle doğrudan iletişim

yasaktır.


6. Veriyle Karşılaşılması

Kişisel veya gizli veri görülürse:

  1. Test durdurulur.
  2. Veri indirilmez veya çoğaltılmaz.
  3. Yalnızca asgari kanıt tutulur.
  4. Marfin'e gecikmeksizin bildirilir.
  5. Veri yayımlanmaz.

7. Test Hesabı

Mümkünse araştırmacı kendi hesabı ve kendi verileriyle test yapmalıdır.

Başka kişiye veya şirkete ait hesap kullanılamaz.


8. Otomatik Araçlar

Otomatik tarama:

  • düşük hızda,
  • kapsamla sınırlı,
  • hizmete zarar vermeden

yapılmalıdır.

Yoğun tarama için önceden yazılı izin gerekir.


9. Bildirim İçeriği

Bildirim mümkün olduğunca:

  • etkilenen alan veya uç nokta,
  • açık açıklaması,
  • yeniden üretim adımları,
  • beklenen ve gerçekleşen sonuç,
  • olası etki,
  • tarih ve saat,
  • kullanılan test hesabı,
  • sınırlı ekran görüntüsü veya kanıt

içermelidir.

Parola, tam token veya gereksiz kişisel veri gönderilmemelidir.


10. Kanıt Sınırı

Kanıt:

  • açığın varlığını gösterecek kadar,
  • başka veriyi açığa çıkarmayacak kadar

sınırlı olmalıdır.

Tam veri tabanı veya çok sayıda gerçek kayıt gönderilmez.


11. Güvenli İletişim

PGP anahtarı / güvenli form: [BİLGİ TAMAMLANACAK]

Henüz güvenli kanal yoksa e-postada gereksiz hassas ayrıntı paylaşılmamalıdır.


12. Marfin'in Süreci

Marfin:

  1. bildirimi kayda alır,
  2. alındığını teyit eder,
  3. kapsam ve etkiyi değerlendirir,
  4. gerekirse ek bilgi ister,
  5. düzeltme planı oluşturur,
  6. uygun ölçüde durum bilgisi verir.

13. Hedef Süreler

Taslak hedefler:

  • alındı teyidi: 3 iş günü
  • ilk değerlendirme: 10 iş günü
  • durum güncellemesi: risk ve karmaşıklığa göre

Kesin süreler operasyonla doğrulanmalıdır.

Bu süreler kesin çözüm garantisi değildir.


14. Önceliklendirme

Açıklar:

  • etki,
  • istismar kolaylığı,
  • veri kapsamı,
  • ayrıcalık,
  • yaygınlık,
  • aktif istismar

bakımından değerlendirilir.


15. Düzeltme

Düzeltme süresi:

  • kritik risk,
  • mimari karmaşıklık,
  • üçüncü taraf bağımlılığı,
  • test ihtiyacı

nedeniyle değişebilir.

Geçici azaltma önlemi uygulanabilir.


16. Kamuya Açıklama

Araştırmacı:

  • Marfin yazılı onay vermeden,
  • açık giderilmeden,
  • makul koordinasyon süresi geçmeden

teknik ayrıntıları kamuya açıklamamalıdır.


17. Güvenli Liman Yaklaşımı

Araştırmacı:

  • bu Politikaya uyar,
  • iyi niyetle hareket eder,
  • zarar vermez,
  • veriyi kötüye kullanmaz,
  • kapsamı aşmazsa

Marfin yalnızca bu yetkili araştırma nedeniyle hukuki işlem başlatmamayı hedefler.

Bu yaklaşım emredici hukuku ve üçüncü kişi haklarını ortadan kaldırmaz.


18. Güvenli Liman Dışı Davranışlar

  • veri çalma veya yayımlama,
  • şantaj,
  • ödeme tehdidi,
  • hizmet engelleme,
  • sosyal mühendislik,
  • kalıcı erişim,
  • zarar verici değişiklik,
  • açığı satma veya kötüye kullanma

güvenli liman kapsamında değildir.


19. Ödül

Bu Politika:

  • para ödülü,
  • iş teklifi,
  • kamuya teşekkür,
  • hediye

taahhüdü oluşturmaz.

Ayrı ödül programı varsa ayrıca yayımlanır.


20. Araştırmacı Gizliliği

Marfin araştırmacının iletişim bilgilerini:

  • bildirimi yönetmek,
  • hukuki yükümlülük,
  • güvenlik incelemesi

dışında gereksiz yere paylaşmamayı hedefler.

Kamuya teşekkür araştırmacının onayıyla yapılır.


21. Üçüncü Taraf Açıkları

Bulgu üçüncü taraf sağlayıcıyı etkiliyorsa Marfin:

  • ilgili sağlayıcıya yönlendirebilir,
  • koordineli bildirim yapabilir,
  • kendi müşterilerini koruyacak önlem alabilir.

Marfin üçüncü taraf adına ödül veya çözüm süresi taahhüt edemez.


22. Mobil Uygulama Bildirimleri

Mobil açıkta:

  • işletim sistemi,
  • uygulama sürümü,
  • cihaz modeli,
  • yeniden üretim adımları

belirtilmelidir.

Mağaza incelemesi yayın tarihini etkileyebilir.


23. API Bildirimleri

API açığında:

  • ortam,
  • uç nokta,
  • yöntem,
  • kapsam,
  • durum kodu,
  • maskelenmiş istek/yanıt

sunulmalıdır.

Gerçek API anahtarı veya müşteri verisi paylaşılmaz.


24. Kimlik Avı ve Marka Kötüye Kullanımı

Marfin'i taklit eden:

  • alan adı,
  • e-posta,
  • uygulama,
  • sosyal medya hesabı,
  • sahte destek iletişimi

info@marfin.com.tr adresine bildirilebilir.


25. Açık Sayılmayabilecek Bildirimler

Tek başına:

  • sürüm bilgisi,
  • genel iyi uygulama önerisi,
  • etkisi gösterilemeyen tarama sonucu,
  • spam veya otomatik rapor,
  • desteklenmeyen tarayıcı davranışı

güvenlik açığı sayılmayabilir.

Anlamlı etki gösterilirse incelenir.


26. Değişiklikler

Politika:

  • sistem kapsamı,
  • güvenlik organizasyonu,
  • ödül programı,
  • iletişim kanalı

değişiklikleriyle güncellenebilir.


27. İletişim

Güvenlik: [GÜVENLİK E-POSTASI TAMAMLANACAK]
Genel: info@marfin.com.tr
Adres: Mevlana Mah. Yunus Emre Cad. No: 60 İç Kapı No: A, Gebze/Kocaeli


28. Yayın Öncesi Kontrol

  • Güvenlik e-posta adresi oluşturuldu.
  • Kapsamdaki alan adları doğrulandı.
  • PGP veya güvenli form kararı verildi.
  • Bildirim takip sistemi kuruldu.
  • Yanıt sorumluları atandı.
  • Güvenli liman metni hukukçu tarafından incelendi.
  • Hedef süreler operasyonla doğrulandı.
  • Yürürlük tarihi eklendi.

BELGE SONU