Güvenlik Açığı Bildirim Politikası
Son Güncelleme: 2024-12-19
1. Politika Amacı
Whispie olarak, kullanıcılarımızın güvenliğini en üst düzeyde tutmayı taahhüt ediyoruz. Bu politika, güvenlik araştırmacılarının Whispie sistemlerinde ve üçüncü taraf entegrasyonlarında (Stripe, Supabase, Facebook, Google Analytics, Twilio vb.) buldukları güvenlik açıklarını sorumlu bir şekilde bildirmeleri için rehberlik sağlar.
Dünya genelindeki güvenlik araştırmacılarıyla çalışmanın kullanıcılarımızı güvende tutmak için çok önemli olduğuna inanıyoruz. Keşfettiğiniz potansiyel güvenlik açıklarını bize bildirmenizi teşvik ediyoruz.
2. Kapsam
✅ Kapsam İçi Sistemler
- whispieapp.com ve tüm alt domain'leri
- Whispie mobil uygulamaları (iOS & Android)
- Tüm API endpoint'leri ve servisleri
- Üçüncü taraf entegrasyonları ve servisleri:
- Stripe ödeme sistemleri
- Supabase veritabanı ve kimlik doğrulama
- Twilio SMS doğrulama
- Facebook/Meta reklam entegrasyonları
- Google Analytics implementasyonu
- Cloudflare güvenlik servisleri
- Resend e-posta servisleri
- Sentry hata izleme sistemleri
❌ Kapsam Dışı
- Fiziksel güvenlik değerlendirmeleri
- Sosyal mühendislik saldırıları
- DDoS saldırıları veya hacimsel testler
- Whispie çalışanlarına veya altyapısına yönelik saldırılar
- Whispie ile doğrudan entegre olmayan üçüncü taraf servisler
- Kanıt-of-concept içermeyen teorik güvenlik açıkları
- Gösterilmiş etkisi olmayan eksik güvenlik başlıkları
3. Sorumlu Bildirim Kuralları
✅ Yapılması Gerekenler
- Potansiyel bir güvenlik açığı keşfettikten sonra derhal bizi bilgilendirin
- Güvenlik açığını göstermek için gereken minimum hassas veriyi kullanın
- Bulgularınızın detaylı dokümantasyonunu sağlayın
- Güvenlik açığı hakkındaki iletişimi gizli tutun
- Açığı ele almamız için makul bir süre tanıyın
- Mümkün olduğunca kendi hesaplarınız veya test verileriniz üzerinde test yapın
❌ Yapılmaması Gerekenler
- Veri silme, değiştirme veya çalma
- Hizmet kesintisine neden olabilecek testler yapma
- Diğer kullanıcıların gizliliğini ihlal etme
- Çalışanlara veya kullanıcılara karşı sosyal mühendislik kullanma
- Altyapımıza karşı fiziksel saldırılar gerçekleştirme
- Güvenlik açıklarını ele almamız için zaman tanımadan halka açıklama
- Güvenlik açığı raporları için ödeme veya tazminat talep etme
4. Üçüncü Taraf Entegrasyonları İçin Özel Kurallar
🔵 Facebook (Meta) Entegrasyonu
- Facebook API'larını kötüye kullanmaktan veya oran limitlerini aşmaktan kaçının
- Yetkisiz olarak kullanıcı verilerine erişmeye çalışmayın
- Facebook'un kendi güvenlik politikalarına ve hata ödül programına uyun
- Facebook'a özgü güvenlik açıklarını uygun olduğunda kendi güvenlik ekibine bildirin
🟢 Google Analytics Entegrasyonu
- Analitik veri toplama mekanizmalarını test ederken dikkatli olun
- Testlerde gerçek kullanıcı verileri kullanmaktan kaçının
- Google'ın Hizmet Koşulları'na uyun
- Google'ın altyapısı yerine Whispie'nin implementasyonuna odaklanın
🟣 Stripe Entegrasyonu
- Canlı ödeme işlemleriyle test yapmayın
- Yalnızca test kartları ve test ortamlarını kullanın
- Stripe'ın güvenlik politikalarına ve açıklama yönergelerine uyun
- Stripe'a özgü güvenlik açıklarını kendi güvenlik ekibine bildirin
🟠 Supabase Entegrasyonu
- Gerçek kullanıcı verilerine erişmeden veritabanı güvenliğini test edin
- Mümkün olduğunda test hesapları ve veritabanları kullanın
- Supabase'ın güvenlik yönergelerine uyun
- Supabase servislerinin Whispie implementasyonuna odaklanın
5. Bildirim Süreci
1
İlk Rapor
Bulgularınızı
[email protected] adresine aşağıdaki bilgilerle e-posta ile gönderin:
- Güvenlik açığının açıklaması
- Yeniden üretme adımları
- Potansiyel etki
- Önerilen düzeltmeler (varsa)
2
Doğrulama
Güvenlik ekibimiz 24-48 saat içinde alındı onayı verecek ve güvenlik açığını 3 iş günü içinde doğrulayacaktır.
3
Düzeltme
Güvenlik açığının ciddiyetine ve karmaşıklığına bağlı olarak bir düzeltme geliştireceğiz.
4
Bildirim
İlerleme durumumuz hakkında sizi güncel tutacağız ve güvenlik açığı çözüldüğünde sizi bilgilendireceğiz.
5
Halka Açıklama
Düzeltme dağıtıldıktan sonra, katkınızı (izin verirseniz) halka açık şekilde kabul edebiliriz.
6. Yanıt Süreleri
- İlk Yanıt: 24-48 saat
- Güvenlik Açığı Doğrulama: 3 iş günü
- Düzeltme Geliştirme: Ciddiyet ve karmaşıklığa göre değişir
- Halka Açıklama: Düzeltmeden 30 gün sonra
Not: Karmaşık güvenlik açıkları uygun şekilde düzeltilmek için ek zaman gerektirebilir.
8. Yasal Korumalar
Bu politika kapsamında gerçekleştirilen güvenlik araştırmaları için yasal işlem başlatmayacağız. Bu politika ile tutarlı olarak gerçekleştirilen faaliyetleri Bilgisayar Dolandırıcılığı ve Kötüye Kullanım Yasası kapsamında "yetkili" faaliyetler olarak değerlendiriyoruz.
Ancak, eylemleriniz bu politika tarafından yetkilendirilmemiş faaliyetler içeriyorsa, yasal yollara başvurma da dahil olmak üzere tüm uygun önlemleri alma hakkımız saklıdır.
9. Tanıma Programı
Şu anda resmi bir hata ödül programı işletmiyor olsak da, güvenlik araştırmacılarının değerli katkılarını takdir etmeye inanıyoruz. İzninizle şunları yapabiliriz:
- İsminizi Güvenlik Şeref Listemize eklemek
- Katkınızı halka açık şekilde kabul etmek
- Profesyonel portföyünüz için bir tanıma mektubu sağlamak
Güvenlik tanıma programlarımızı sürekli değerlendiriyoruz ve gelecekte parasal ödüller sunabiliriz.
10. Politika Güncellemeleri
Bu politikayı zaman zaman güncelleyebiliriz. Bu sayfanın en üstündeki "Son Güncelleme" tarihi, en son değişikliklerin ne zaman yapıldığını gösterir. Bu politikayı periyodik olarak gözden geçirmenizi tavsiye ederiz.