Güvenlik Açığı Bildirim Politikası (VDP)

Güvenlik araştırmalarını takdir ediyor ve iyi niyetli bildirimleri memnuniyetle karşılıyoruz. Şu anda harici pentestleri kabul etmiyoruz .

Kapsam

• skyalo.com, *.skyalo.com

• Skyalo mobil uygulamaları (en güncel herkese açık sürümler)

Kapsam dışı: üçüncü taraf hizmetler, DoS/traffic flooding, brute force, sosyal mühendislik, fiziksel saldırılar, spam/DMARC raporları, etki olmadan sürüm ifşası, etkisi gösterilmeden clickjacking, istismar olmadan eksik güvenlik başlıkları.

Etkileşim Kuralları

• İyi niyetle hareket edin ve gizlilik ihlallerinden veya hizmetin kötüleşmesine yol açacak durumlardan kaçının.

• Yalnızca kendi hesaplarınızı/verilerinizi kullanın.

• Size ait olmayan verilere erişmeyin veya bunları değiştirmeyin. İstemeden herkese açık olmayan verilere erişirseniz, hemen durun ve bizi bilgilendirin.

• Erişilebilirliği veya kararlılığı etkileyen otomatik tarama yapılmaz.

Nasıl Bildirilir

E-posta [email protected] ile:

• Etkilenen host/endpoint ve ortam

• Net yeniden üretim adımları

• Minimum PoC (HTTP istek/yanıt, ekran görüntüleri)

• Etki değerlendirmesi ve tahmini önem derecesi (CVSS v3.1 tercih edilir)

• Test zaman aralığı ve kaynak IP’ler

Lütfen sırları paylaşmayın (kimlik bilgileri, token’lar, ham veritabanı dökümleri) e-postaya eklemeyin; hassas verileri sansürleyin veya maskeleyin. Şifreleme gerekiyorsa bizimle iletişime geçin; güvenli bir yöntem ayarlarız.

Güvenli Liman

Bu politikaya uyarsanız, hukuki işlem başlatmayacağız ve araştırmanızı, sorunu bildirme gibi sınırlı amaç kapsamında yetkilendirilmiş kabul edeceğiz.

Ödüller ve Tanınma

Şu anda ödül olarak para vermiyoruz. Doğrulanan ve mükerrer olmayan sorunlar için herkese açık teşekkür (Hall of Fame) ve talep üzerine bir teşekkür mektubu sunuyoruz. Mükerrer bildirimler ek tanınma olmadan kapatılabilir; kredi, aldığımız ilk geçerli bildirime verilir.

Zaman Çizelgeleri ve SLA’lar

• Onay: 3 iş günü içinde

• Ön inceleme durumu güncellemesi: değerlendirme sonrası

• Koordine ifşa: düzeltme hazır olana kadar lütfen ayrıntıları kamuya açıklamayın (en fazla 90 gün)

Hedef düzeltme süresi: Kritik: 7 gün; Yüksek: 30 gün; Orta: 90 gün; Düşük: backlog/planlandıkça.