Güvenlik Açığı Bildirim Politikası

Socialinsider - bir Code Path SRL ürünü

Socialinsider, kullanıcılarının güvenliğini bilgilerinin korunmasıyla sağlama konusunda kararlı. Bu politika, güvenlik araştırmacılarına güvenlik açığı tespit faaliyetleri için yönergeler ve açıkları bize nasıl bildireceklerine dair talimatlar sunar.

Bu politika, hangi sistemlerin ve araştırma türlerinin kapsandığını, bize nasıl güvenlik açığı raporu ileteceğini ve açıkların kamuya açıklanmasından önce ne kadar beklenmesi gerektiğini açıklar. Sistemlerimizdeki potansiyel açıkları bildirmek için bizimle iletişime geçmeni teşvik ediyoruz.

Güvenlik araştırman sırasında bu politikaya uymak için iyi niyetle çabalarsan, araştırmanı yetkili kabul edeceğiz ve sorunu hızlıca anlamak ve çözmek için seninle birlikte çalışacağız. Socialinsider, araştırmanla ilgili hukuki işlem önermeyecek veya başlatmayacak. Bu politikaya uygun şekilde yapılan faaliyetler nedeniyle üçüncü bir taraf tarafından sana karşı hukuki işlem başlatılırsa, bu yetkilendirmeyi bildiririz.

Rehberler

Bu politika kapsamında, "araştırma" şu faaliyetleri kapsar:

Herhangi bir güvenlik sorununu tespit ettiğinde en kısa sürede bize bildir.
Gizlilik ihlallerini, kullanıcı deneyimi bozulmalarını, üretim sistemlerinde kesinti ve veri yok etme veya manipülasyonunu önlemek için her türlü çabayı göster.
Bir zafiyetin varlığını doğrulamak için yalnızca gerekli olduğu kadar exploit kullan. Exploit’i kullanarak veriyi ele geçirme, dışarı çıkartma, kalıcı komut satırı erişimi sağlama veya başka sistemlere geçiş yapma.
Kamuya açıklamadan önce sorunu çözmemiz için bize makul bir süre tanı.
Düşük kaliteli, çok sayıda rapor gönderme.

Raporları anlamamıza yardımcı olmak için, gönderinin aşağıdakileri içermesini öneriyoruz:

Zafiyetin keşfedildiği yeri ve sömürülmesinin olası etkilerini açıklasın.
Zafiyeti yeniden oluşturmak için gereken adımları ayrıntılı şekilde anlat. Ekran görüntüsü veya video kaydı eklemen faydalı olur.
Gönderiyi İngilizce yaz.

Bir güvenlik açığı olduğunu tespit ettiğinde veya herhangi bir hassas veriyle karşılaştığında (kişisel olarak tanımlanabilir bilgiler, finansal bilgiler veya herhangi bir tarafın özel ya da ticari sırları dahil), testine hemen son ver. Bize derhal haber ver. Bu verileri başka kimseyle paylaşma.

Yasaklanan uygulamalar

Aşağıdaki test yöntemlerine izin verilmez:

Denial of service (DoS veya DDoS) testleri ya da sistemlere erişimi engelleyen diğer testler
Teknik olmayan zafiyet testleri

Bu politika, aşağıdaki sistem ve hizmetler için geçerlidir:

https://www.socialinsider.io
https://app.socialinsider.io

Yukarıda açıkça belirtilmeyen hizmetler, örneğin bağlantılı servisler, kapsam dışındadır ve test edilmelerine izin verilmez.
Ayrıca, tedarikçi sistemlerinde bulunan zafiyetler bu politikanın kapsamına girmez ve varsa kendi açıklama politikalarına göre doğrudan tedarikçiye bildirilmelidir.
Bir sistemin kapsamda olup olmadığından emin değilsen, araştırmaya başlamadan önce security@socialinsider.io adresinden bize ulaş.

Eğer kapsam dışında olup test edilmesi gerektiğini düşündüğün belirli bir sistem varsa, öncelikle bizimle iletişime geçip bunu konuş. Bu politikanın kapsamı zaman içinde genişletilebilir.

Bir güvenlik açığı bildir

Bu politika kapsamında gönderilen bilgiler yalnızca savunma amaçlı kullanılacaktır. Hedef, açıkları azaltmak veya gidermektir.

Bulguların yalnızca Socialinsider için değil, bir ürün ya da hizmetin tüm kullanıcılarını etkileyen yeni açıkları içeriyorsa, raporunu üçüncü taraflarla paylaşabiliriz. Orada kendi güvenlik açığı paylaşım süreçlerinde ele alınır.

Açıkça izin vermedikçe iletişim bilgilerini paylaşmayız.
Açık raporlarını security@socialinsider.io üzerinden kabul ediyoruz. Raporlarını istersen anonim gönderebilirsin.

İletişim bilgilerini bizimle paylaşmayı seçtiğinde, seninle olabildiğince açık ve hızlı iletişim kurmaya söz veriyoruz.