Güvenlik Açığı Bildirim Politikası

Socialinsider - bir Code Path SRL ürünüdür

Socialinsider, kullanıcılarının güvenliğini bilgilerinin korunmasıyla sağlamaya kararlı. Bu politika, güvenlik araştırmacılarına açık bulma faaliyetleri için yönergeler ve bize güvenlik açıklarının nasıl iletileceğine dair talimatlar sunar.

Bu politika, hangi sistemlerin ve araştırma türlerinin kapsama girdiğini, bize güvenlik açığı raporlarının nasıl gönderileceğini ve güvenlik açıklarını kamuya açıklamadan önce ne kadar beklemen gerektiğini açıklar. Sistemlerimizdeki olası açıkları bize bildirmek için bizimle iletişime geçmeni öneriyoruz.

Security research sürecinde bu politikaya iyi niyetle uymaya çalışırsan, araştırmanı yetkili olarak kabul edeceğiz. Sorunu hızlıca anlamak ve çözmek için seninle birlikte hareket edeceğiz. Socialinsider, araştırmanla ilgili yasal işlem önermeyecek veya başlatmayacak. Bir üçüncü taraf bu politika çerçevesinde yaptığın çalışmalar için yasal işlem başlatırsa, bu yetkilendirmeyi bildiririz.

Yönergeler

Bu politika kapsamında, “araştırma” aşağıdaki faaliyetleri kapsar:

  • Herhangi bir güvenlik sorunu tespit ettiğinde, bize en kısa sürede bildir.
  • Gizlilik ihlalleri, kullanıcı deneyiminde bozulma, üretim sistemlerinin kesintiye uğraması ve veri yok etme veya manipülasyonundan kaçınmak için elinden geleni yap.
  • Bir açığın varlığını doğrulamak için sadece gerekli ölçüde exploit kullan. Exploit ile verileri tehlikeye atma, veri çıkarma, kalıcı komut satırı erişimi sağlama veya başka sistemlere geçiş için kullanma.
  • Sorunu kamuya açıklamadan önce çözmemiz için bize makul süre tanı.
  • Düşük kaliteli ve yüksek hacimli rapor gönderme.

Raporları daha iyi anlamamıza yardımcı olmak için, gönderimin şu şekilde olmasını öneririz:

  • Açığın tespit edildiği yeri ve olası istismar etkisini açıkla.
  • Açığı yeniden oluşturmak için gerekli adımları detaylı olarak anlat. Ekran görüntüleri veya video kayıtları faydalı olur.
  • Gönderini İngilizce yaz.

Bir güvenlik açığı tespit ettiğinde veya herhangi bir hassas veriyle (kişisel tanımlayıcı bilgiler, finansal bilgiler ya da herhangi bir tarafa ait gizli veya ticari sır bilgileri dahil) karşılaştığında, testi durdurmalı, bize hemen haber vermeli ve bu verileri kimseyle paylaşmamalısın.

Yasaklı uygulamalar

Aşağıdaki test yöntemlerine izin verilmez:

  • Servis engelleme (DoS veya DDoS) testleri veya sistemlere erişimi kısıtlayan diğer testler
  • Teknik olmayan güvenlik açığı testleri

Bu politika aşağıdaki sistemler ve servisler için geçerlidir:

  • https://www.socialinsider.io
  • https://app.socialinsider.io

Yukarıda açıkça belirtilmeyen tüm servisler, bağlantılı servisler dahil, kapsam dışıdır ve test için yetkilendirilmemiştir.
Ayrıca, tedarikçilerimize ait sistemlerde bulunan güvenlik açıkları bu politikanın dışında kalır ve varsa onların bildirim politikasına göre doğrudan tedarikçiye raporlanmalıdır.
Bir sistemin kapsamda olup olmadığından emin değilsen, araştırmaya başlamadan önce bize security@socialinsider.io adresinden ulaş.

Eğer kapsamında olmayan ve test edilmesi gerektiğini düşündüğün belirli bir sistem varsa, lütfen önce bizimle iletişime geçip bunu konuş. Bu politikanın kapsamı zamanla genişletilebilir.

Bir güvenlik açığı bildir

Bu politika kapsamında iletilen bilgiler yalnızca savunma amaçlı kullanılacak — açıklıkları azaltmak veya gidermek için.

Bulguların yalnızca Socialinsider'ı değil, bir ürün veya hizmetin tüm kullanıcılarını etkileyen yeni açıklıkları içeriyorsa, raporunu üçüncü taraflarla paylaşabiliriz. Bu durumda raporun, ilgili tarafların koordineli güvenlik açığı açıklama süreçlerine göre işlenir.

Açık iznin olmadan iletişim bilgilerini paylaşmayız.
Güvenlik açığı bildirimlerini security@socialinsider.io adresinden kabul ediyoruz. Bildirimleri istersen anonim gönderebilirsin.

İletişim bilgilerini bizimle paylaşmayı seçtiğinde, seninle olabildiğince açık ve hızlı şekilde iletişim kurma taahhüdü veriyoruz.

  • 7 iş günü içinde raporunu aldığımızı bildireceğiz.
  • Güvenlik açığının varlığını sana onaylayacağız ve düzeltme sürecinde attığımız adımlar hakkında mümkün olduğunca şeffaf olacağız.
  • Sorunlar hakkında iletişimi sürdüreceğiz.