Güvenlik Açığı Bildirim Politikası
Son güncelleme:
1. Bildirim Kanalı
Güvenlik e-postası: [security@marfin.com.tr VEYA GÜNCEL ADRES TAMAMLANACAK]
E-posta konusu:
Güvenlik Açığı Bildirimi
olmalıdır.
Acil telefon: [BİLGİ TAMAMLANACAK]
2. Kapsam
Aksi belirtilmedikçe kapsam:
marfin.com.tr,- Marfin web uygulaması,
- Marfin mobil uygulaması,
- belgelenmiş Marfin API'leri,
- Marfin'e ait olduğu açıkça doğrulanan alt alanlardır.
3. Kapsam Dışı
- üçüncü taraf sağlayıcının kendi sistemi,
- müşteriye ait bağımsız sistemler,
- sosyal medya hesapları,
- Marfin'e ait olduğu doğrulanmamış alanlar,
- fiziksel tesisler
kapsam dışıdır.
4. İyi Niyetli Araştırma
Araştırmacı:
- yalnızca gerekli asgari testi yapar,
- veri erişimini en aza indirir,
- hizmeti aksatmaz,
- gerçek müşteri verisini indirmez,
- açığı üçüncü kişilerle paylaşmaz,
- düzeltme için makul süre verir.
5. Yasaklı Testler
Yazılı izin olmadan:
- hizmet engelleme veya yük testi,
- yoğun otomatik tarama,
- sosyal mühendislik,
- çalışanları hedefleme,
- fiziksel erişim,
- fidye yazılımı veya zararlı kod,
- veri silme veya değiştirme,
- başka hesaba kalıcı erişim,
- kimlik bilgisi ele geçirme,
- müşteriyle doğrudan iletişim
yasaktır.
6. Veriyle Karşılaşılması
Kişisel veya gizli veri görülürse:
- Test durdurulur.
- Veri indirilmez veya çoğaltılmaz.
- Yalnızca asgari kanıt tutulur.
- Marfin'e gecikmeksizin bildirilir.
- Veri yayımlanmaz.
7. Test Hesabı
Mümkünse araştırmacı kendi hesabı ve kendi verileriyle test yapmalıdır.
Başka kişiye veya şirkete ait hesap kullanılamaz.
8. Otomatik Araçlar
Otomatik tarama:
- düşük hızda,
- kapsamla sınırlı,
- hizmete zarar vermeden
yapılmalıdır.
Yoğun tarama için önceden yazılı izin gerekir.
9. Bildirim İçeriği
Bildirim mümkün olduğunca:
- etkilenen alan veya uç nokta,
- açık açıklaması,
- yeniden üretim adımları,
- beklenen ve gerçekleşen sonuç,
- olası etki,
- tarih ve saat,
- kullanılan test hesabı,
- sınırlı ekran görüntüsü veya kanıt
içermelidir.
Parola, tam token veya gereksiz kişisel veri gönderilmemelidir.
10. Kanıt Sınırı
Kanıt:
- açığın varlığını gösterecek kadar,
- başka veriyi açığa çıkarmayacak kadar
sınırlı olmalıdır.
Tam veri tabanı veya çok sayıda gerçek kayıt gönderilmez.
11. Güvenli İletişim
PGP anahtarı / güvenli form: [BİLGİ TAMAMLANACAK]
Henüz güvenli kanal yoksa e-postada gereksiz hassas ayrıntı paylaşılmamalıdır.
12. Marfin'in Süreci
Marfin:
- bildirimi kayda alır,
- alındığını teyit eder,
- kapsam ve etkiyi değerlendirir,
- gerekirse ek bilgi ister,
- düzeltme planı oluşturur,
- uygun ölçüde durum bilgisi verir.
13. Hedef Süreler
Taslak hedefler:
- alındı teyidi: 3 iş günü
- ilk değerlendirme: 10 iş günü
- durum güncellemesi: risk ve karmaşıklığa göre
Kesin süreler operasyonla doğrulanmalıdır.
Bu süreler kesin çözüm garantisi değildir.
14. Önceliklendirme
Açıklar:
- etki,
- istismar kolaylığı,
- veri kapsamı,
- ayrıcalık,
- yaygınlık,
- aktif istismar
bakımından değerlendirilir.
15. Düzeltme
Düzeltme süresi:
- kritik risk,
- mimari karmaşıklık,
- üçüncü taraf bağımlılığı,
- test ihtiyacı
nedeniyle değişebilir.
Geçici azaltma önlemi uygulanabilir.
16. Kamuya Açıklama
Araştırmacı:
- Marfin yazılı onay vermeden,
- açık giderilmeden,
- makul koordinasyon süresi geçmeden
teknik ayrıntıları kamuya açıklamamalıdır.
17. Güvenli Liman Yaklaşımı
Araştırmacı:
- bu Politikaya uyar,
- iyi niyetle hareket eder,
- zarar vermez,
- veriyi kötüye kullanmaz,
- kapsamı aşmazsa
Marfin yalnızca bu yetkili araştırma nedeniyle hukuki işlem başlatmamayı hedefler.
Bu yaklaşım emredici hukuku ve üçüncü kişi haklarını ortadan kaldırmaz.
18. Güvenli Liman Dışı Davranışlar
- veri çalma veya yayımlama,
- şantaj,
- ödeme tehdidi,
- hizmet engelleme,
- sosyal mühendislik,
- kalıcı erişim,
- zarar verici değişiklik,
- açığı satma veya kötüye kullanma
güvenli liman kapsamında değildir.
19. Ödül
Bu Politika:
- para ödülü,
- iş teklifi,
- kamuya teşekkür,
- hediye
taahhüdü oluşturmaz.
Ayrı ödül programı varsa ayrıca yayımlanır.
20. Araştırmacı Gizliliği
Marfin araştırmacının iletişim bilgilerini:
- bildirimi yönetmek,
- hukuki yükümlülük,
- güvenlik incelemesi
dışında gereksiz yere paylaşmamayı hedefler.
Kamuya teşekkür araştırmacının onayıyla yapılır.
21. Üçüncü Taraf Açıkları
Bulgu üçüncü taraf sağlayıcıyı etkiliyorsa Marfin:
- ilgili sağlayıcıya yönlendirebilir,
- koordineli bildirim yapabilir,
- kendi müşterilerini koruyacak önlem alabilir.
Marfin üçüncü taraf adına ödül veya çözüm süresi taahhüt edemez.
22. Mobil Uygulama Bildirimleri
Mobil açıkta:
- işletim sistemi,
- uygulama sürümü,
- cihaz modeli,
- yeniden üretim adımları
belirtilmelidir.
Mağaza incelemesi yayın tarihini etkileyebilir.
23. API Bildirimleri
API açığında:
- ortam,
- uç nokta,
- yöntem,
- kapsam,
- durum kodu,
- maskelenmiş istek/yanıt
sunulmalıdır.
Gerçek API anahtarı veya müşteri verisi paylaşılmaz.
24. Kimlik Avı ve Marka Kötüye Kullanımı
Marfin'i taklit eden:
- alan adı,
- e-posta,
- uygulama,
- sosyal medya hesabı,
- sahte destek iletişimi
info@marfin.com.tr adresine bildirilebilir.
25. Açık Sayılmayabilecek Bildirimler
Tek başına:
- sürüm bilgisi,
- genel iyi uygulama önerisi,
- etkisi gösterilemeyen tarama sonucu,
- spam veya otomatik rapor,
- desteklenmeyen tarayıcı davranışı
güvenlik açığı sayılmayabilir.
Anlamlı etki gösterilirse incelenir.
26. Değişiklikler
Politika:
- sistem kapsamı,
- güvenlik organizasyonu,
- ödül programı,
- iletişim kanalı
değişiklikleriyle güncellenebilir.
27. İletişim
Güvenlik: [GÜVENLİK E-POSTASI TAMAMLANACAK]
Genel: info@marfin.com.tr
Adres: Mevlana Mah. Yunus Emre Cad. No: 60 İç Kapı No: A, Gebze/Kocaeli
28. Yayın Öncesi Kontrol
- Güvenlik e-posta adresi oluşturuldu.
- Kapsamdaki alan adları doğrulandı.
- PGP veya güvenli form kararı verildi.
- Bildirim takip sistemi kuruldu.
- Yanıt sorumluları atandı.
- Güvenli liman metni hukukçu tarafından incelendi.
- Hedef süreler operasyonla doğrulandı.
- Yürürlük tarihi eklendi.