Sorumlu Bildirim Politikası

Talya Bilişim’de, yüksek Bilişim Teknolojileri güvenlik standartlarımızı korumamıza yardımcı olan BT güvenliği araştırmacılarının ve siber güvenlik topluluklarının üyelerinin desteğine büyük değer veriyoruz. Web sitelerimizden herhangi biriyle ilgili bir BT güvenlik açığı tespit ederseniz, gerekli önlemleri alabilmemiz için lütfen güvenlik açığını dış dünyaya açıklamadan önce derhal bize bildirin. Bu sorumlu açıklama olarak bilinir. Lütfen keşfedilen güvenlik açığıyla ilgili tüm bilgileri en az 90 günlük bir süre boyunca tüm üçüncü taraflardan gizli tutun; bu, bildirdiğiniz sorunu çözmek için gereken önlemleri belirlememize ve uygulamamıza olanak tanır. Bize nasıl haber verirsiniz? Bir güvenlik açığı belirlediyseniz, lütfen aşağıdaki şekilde ilerleyin: Bildiriminizi en kısa sürede [email protected] adresine e-posta ile gönderin. Lütfen aşağıdaki bilgileri raporunuza ekleyin:

• iletişim bilgileriniz (yani ad, e-posta adresi vb.)
• tanımlanan güvenlik açığı türü
• güvenlik açığından etkilenen hizmet/cihaz/uygulama
• karşılaşılan sorunun ayrıntılı bir açıklaması
• güvenlik açığının tespit edildiği IP adresi/adresleri, keşif tarihi ve saati ile birlikte
• kusurun yeniden oluşturulmasına yardımcı olabilecek herhangi bir dosya (ör. ekran görüntüleri, resimler, açıklama ayrıntılarına sahip metin dosyaları, kaynak kodu, komut dosyaları, günlükler, kaynak IP adresleri vb.) içeren sıkıştırılmış bir arşiv (zip).

Lütfen tanımlanan güvenlik açığını keşfetmenizle ilgili olarak sorumlu davranın. Sorunu belirlemek ve doğrulamak için gerekenin ötesine geçen herhangi bir işlem yapmayın. Lütfen tanımlanan güvenlik açığını kendi yararınıza kullanmayın ve sorun sonucunda elde edilen gizli verileri saklamaktan kaçının. Dikkate alacağımız güvenlik açıkları örnekleri

• Enjeksiyon ve seri durumdan çıkarma güvenlik açıkları (SQL enjeksiyonu, komut enjeksiyonu, nesne serisini kaldırma)
• Bozuk kimlik doğrulama ve bozuk erişim denetimi güvenlik açıkları (yanlış kimlik doğrulama uygulaması, oturum yönetimi, erişim denetimi)
• Hassas verilere maruz kalma (veri sızıntısına neden olabilecek güvenlik açıkları)
• Siteler arası komut dosyası oluşturma
• Siteler arası istek sahtekarlığı
• Sunucu tarafı istek sahtekarlıkları
• Güvenlik açıklarını yeniden yönlendirme
• Korumasız API

  Göz önünde bulundurmayacağımız güvenlik açıkları örnekleri Güvenlik sorunlarını ve yanlış yapılandırmaları belirlemek için internete maruz kalan varlıklarımızı sürekli olarak izliyoruz ve bu nedenle, gerçek bir istismara yol açmıyorlarsa aşağıdaki öğeleri bildirmekten kaçınmanızı rica ediyoruz:

• TLS protokolünün zayıf konfigürasyonları
• en iyi uygulamalarla uyumsuzluk raporları (ör. SPF/DKIM/DMARC yapılandırması, içerik güvenliği politikası, TLS yanlış yapılandırmaları için)
• iyi bilinen otomatik araçların/çözümlerin çıktısı.

  Nasıl cevap vereceğiz? Yukarıda belirtilen web sitelerimizden herhangi biriyle ilgili bir güvenlik açığı bildirirseniz, bildiriminizi aşağıdaki şekilde işleyeceğiz:

• Raporunuzun alındığını iki iş günü içinde onaylayacağız.
• Soruna ilişkin değerlendirmemizi ve beklenen çözüm tarihini belirten yanıtımızı, alındı onayının ardından beş iş günü içinde size göndereceğiz. Bazı özel durumlarda, uygun bildirimde bulunarak bu süreyi uzatma hakkımız saklıdır.
• Raporunuzu gizli tutacağız ve kanunen zorunlu olmadıkça bilgilerinizi üçüncü şahıslarla paylaşmayacağız.

Şu anda güvenlik açıklarını bildiren bir ödül programı yürütmüyoruz. Gizlilik bildirimi Sorumlu Açıklama Programı kapsamında kişisel verilerinizi nasıl kullandığımız hakkında daha fazla bilgi için gizlilik politikasına başvurabilirsiniz.