Tekno Borsa

Güvenlik Açığı Bildirim Politikası · Hukuki Merkez · Tekno Borsa

3. Kapsam (In-Scope)

Aşağıdaki sistemler Politika kapsamındadır. Bu sistemler üzerinde, Politikada belirtilen kurallara uyulmak kaydıyla güvenlik araştırması yapılabilir.

Varlık	Tip	Notlar
teknoborsa.com	Web — public	Üretim ortamı; sınırlı test
*.teknoborsa.com	Web — alt alanlar	Marketing siteleri ve üretim alt alanları
api.teknoborsa.com	REST API	Üretim API; rate limit kurallarına uyulmalı
app.teknoborsa.com (mobile web)	PWA	Üretim PWA — manifest, service worker
Android: com.teknoborsa.app	Mobil uygulama	Google Play yayını
iOS: com.teknoborsa.app	Mobil uygulama	App Store yayını
admin.teknoborsa.com	Web — yetkili erişim	Yalnızca kendi hesabınız üzerinden test
Public sub-processor entegrasyonları	Servis	Yalnızca Tekno Borsa tarafına yönelik kısım

4. Kapsam Dışı (Out-of-Scope)

Aşağıdaki sistemler ve test türleri Politika kapsamı dışındadır; bu sistemlere yönelik testler yapılamaz, yapılması hâlinde safe harbor güvencesi geçerli olmaz.

Kapsam Dışı	Sebep	Yönlendirme
Üçüncü taraf sub-processor (Supabase, Vercel, Upstash, Resend, Sentry, Firebase)	Tekno Borsa'ya ait değildir	İlgili sağlayıcının VDP'sine bildirin
Tekno Borsa bayilerinin kendi web siteleri	Bayinin kendi sistemi	Doğrudan bayi ile iletişim
blog.teknoborsa.com (varsa SaaS)	Üçüncü taraf platform	Platform sağlayıcısına bildirim
DNS sağlayıcısı, CDN, e-posta sağlayıcı	Tekno Borsa'ya ait değildir	Sağlayıcıya bildirim
Tekno Borsa kurumsal ofis ağı, çalışan cihazları	Fiziksel/iç ağ	YASAK
Çalışanlara veya bayilere yönelik phishing	Sosyal mühendislik	YASAK — TCK m.243
DDoS, DoS, hacim tabanlı saldırılar	Hizmet kesintisi yaratır	YASAK — TCK m.244
Otomatik tarayıcı ile yüksek hacimli istek	Servis bütünlüğüne zarar	Rate limit'e tabi

5. Safe Harbor — Yasal Çerçeve ve Güvence

Tekno Borsa, işbu Politikanın koşullarına uygun biçimde gerçekleştirilen iyi niyetli güvenlik araştırmasını, 6098 sayılı Türk Borçlar Kanunu m.26 ve m.27 kapsamında "sözleşme özgürlüğü" ile 5237 sayılı TCK m.26 (hakkın kullanılması) anlamında geçerli bir izin olarak tanır.

Safe harbor güvencesinin kapsamı aşağıdaki şartların eş zamanlı sağlanmasına bağlıdır.

Test, yalnızca "Kapsam (In-Scope)" başlığı altında listelenen sistemlere yönelik olmalıdır.
Gerçek kullanıcı verisi (PII, ödeme bilgisi, mesaj içeriği vb.) elde edilmemiş; tesadüfen elde edildiyse derhâl silinmiş ve bildirilmiş olmalıdır.
Hizmet sürekliliğine zarar verecek (DDoS, hacimli istek, veri silme/değiştirme) eylemler yapılmamalıdır.
Sosyal mühendislik, fiziksel erişim, çalışana yönelik phishing kullanılmamış olmalıdır.
Açık, üçüncü taraflara satılmamış, kötüye kullanılmamış ve embargo süresince ifşa edilmemiş olmalıdır.
Bildirim, security@teknoborsa.com adresine veya Politika formuna yapılmış olmalıdır.
Türk Ceza Kanunu, KVKK, 5651 sayılı Kanun ve sair mevzuat hükümlerine uyulmuş olmalıdır.

6. Bildirim Akışı ve Yanıt SLA'sı

Bildirim akışı, ISO/IEC 30111 "Vulnerability Handling Process" standardına uyumlu olarak aşağıdaki adımlardan oluşur.

Bildirim gönderimi — /legal/basvuru/guvenlik-acigi formu üzerinden veya security@teknoborsa.com adresine PGP ile şifreli olarak iletilir.
Otomatik onay — Bildirim alındığında 1 saat içinde otomatik makbuz gönderilir; takip numarası tahsis edilir.
İlk yanıt (Acknowledgement) — 24 saat içinde Güvenlik Ekibi tarafından kişisel yanıt gönderilir.
Üçleme (Triage) — 7 gün içinde açık doğrulanır, yeniden üretilir ve CVSS skoru atanır.
Çözüm planı (Remediation Plan) — Şiddet düzeyine göre çözüm planı ve tahmini takvim paylaşılır.
Yamalama (Patch) — SLA'ya uygun süre içinde düzeltme uygulanır ve test edilir.
Doğrulama (Verification) — Araştırmacıdan, varsa, çözümün etkinliğini doğrulaması ricasında bulunulur.
Açıklama (Disclosure) — Embargo süresi sonunda araştırmacı ile koordineli olarak kamuoyu bilgilendirmesi yapılır.
Hall of Fame ve teşekkür — Araştırmacının onayı ile katkı /legal/seffaflik-raporu sayfasında duyurulur.

Aşama	SLA	Sorumlu	Çıktı
Otomatik makbuz	1 saat	Sistem	Takip numarası
İlk yanıt (Ack.)	24 saat	Güvenlik Ekibi	Kişisel cevap
Üçleme	7 gün	Güvenlik Ekibi	Doğrulama + CVSS
Çözüm planı	14 gün	Mühendislik	Yol haritası
Patch (kritik)	7 gün	Mühendislik	Üretim yaması
Patch (yüksek)	30 gün	Mühendislik	Üretim yaması
Patch (orta)	60 gün	Mühendislik	Üretim yaması
Patch (düşük)	90 gün	Mühendislik	Üretim yaması
Açıklama	Embargo sonu	Güvenlik + Hukuk	Public advisory

7. CVSS Şiddet Matrisi

Açıkların şiddet derecelendirmesi FIRST.org tarafından yayımlanan Common Vulnerability Scoring System (CVSS) v3.1 ve v4.0 standartlarına göre yapılır. Skor aralıkları ve örnek senaryolar aşağıdaki tabloda yer almaktadır.

Düzey	CVSS Aralığı	Tipik Senaryo	Çözüm SLA
Kritik (Critical)	9.0 - 10.0	RCE, kimlik doğrulamasız veri tabanı erişimi, ödeme akışına müdahale, kitlesel PII sızıntısı	7 gün
Yüksek (High)	7.0 - 8.9	Auth bypass, ayrıcalık yükseltme, sızdırılan token ile başka hesaba erişim, depolanmış XSS (yetkili sayfada)	30 gün
Orta (Medium)	4.0 - 6.9	IDOR (sınırlı veri), yansıtılan XSS, CSRF (önemli işlem), bilgi sızıntısı (sınırlı)	60 gün
Düşük (Low)	0.1 - 3.9	Eksik güvenlik başlığı, bilgi sızıntısı (önemsiz), self-XSS, açık redirect	90 gün
Bilgilendirici (None)	0.0	Best practice tavsiyesi, hardening önerisi	SLA yok

8. İzin Verilen Test Türleri

Aşağıdaki test türleri, kapsam dahilindeki sistemlerde Politika koşullarına uyulmak şartıyla yapılabilir.

Test Türü	Koşul	Notlar
XSS (Reflected, Stored, DOM)	Yalnızca kendi hesabınızda PoC	alert(1) yeterli; veri sızdırma yasak
CSRF	Kendi hesabınız üzerinde	PoC HTML; başka kullanıcı hedefi yasak
IDOR / Erişim kontrolü	Kendi hesabınız + test hesabınız	Üçüncü kullanıcı verisi alma yasak
SQL Injection	Tablo enumerasyonu yasak	Boolean tabanlı PoC kabul
SSRF	Iç ağ taraması yasak	Tek istek PoC
Authentication Bypass	Kendi hesabınızla	Token leak gösterilebilir
Authorization / Privilege Escalation	Test hesapları arası	Üretim verisi alma yasak
RCE	Yalnızca whoami / hostname	Dosya okuma/yazma yasak
Open Redirect	Domain ispatı	Phishing kullanım yasak
Token / API key leak	Public kaynak tespiti	Anahtarı kullanma yasak
Misconfigured S3/Storage	Listing PoC	İçerik indirme yasak
Race condition	Kendi hesabınızda	Çift fatura/iade yaratma yasak

9. Yasaklı Test Türleri

Yasaklı Eylem	Hukuki Sonuç	Açıklama
DDoS / DoS / hacimli yük testi	TCK m.244 (sistemi engelleme)	1-5 yıl hapis
Veri silme, değiştirme, bozma	TCK m.244/2	6 ay - 3 yıl hapis
Banka/kart sistemine müdahale	TCK m.245	4-8 yıl hapis + adli para
Sosyal mühendislik, çalışana phishing	TCK m.243 + 5237 sair	Yetkisiz erişim
Fiziksel saldırı, ofis ziyareti, USB drop	TCK m.243 + 5237 sair	Mülke izinsiz giriş
Gerçek kullanıcı verisi indirme	TCK m.136 + KVKK m.18	2-4 yıl hapis + idari para
Üçüncü kullanıcıyı hedef alma	TCK m.243	Yetkisiz erişim
Spam, e-posta bombardımanı	TCK m.244 + 5651	Sistemi engelleme
Açığı üçüncü tarafa satma / sızdırma	TCK m.246 + sair	Tüzel kişi sorumluluğu
Yedeklere, log'lara, salt-okunur sistemlere müdahale	TCK m.244	1-5 yıl hapis

11. Embargo ve Açıklama Penceresi

Tekno Borsa, Google Project Zero modeline uyumlu olarak "90 + 30" gün açıklama penceresi uygular. Embargo süresi, bildirimin alındığı tarihte başlar.

Senaryo	Embargo Süresi	Açıklama
Standart bildirim	90 gün	Yamanın yayınlanması için süre
Yamayı zamanında yayımlama	+30 gün ek	Kullanıcıların güncellemesi için ek süre
Aktif sömürü tespit edilirse (in-the-wild)	7 gün	Project Zero standardı
Yamanın hazırlanmasında 14 günlük gecikme	+14 gün ek (grace period)	Üretici talebi üzerine
Karşılıklı mutabakat	Esnek	Daha erken/geç açıklama

13. Hall of Fame, Takdir ve Bug Bounty

Tekno Borsa, geçerli ve yeni (yinelenen olmayan) güvenlik bildirimlerinde bulunan araştırmacılara aşağıdaki takdirleri sunar.

Takdir Türü	Sunum	Ön Koşul
Hall of Fame yayını	/legal/seffaflik-raporu sayfasında ad/rumuz	Araştırmacı onayı
Resmi teşekkür sertifikası	PDF, dijital imzalı	Geçerli bildirim
Public advisory atfı	Açıklama metninde adlandırma	Embargo bitişi
CVE ortak başvurusu	Tekno Borsa CNA aracılığı	Şiddete bağlı
Tekno Borsa kurumsal hediye paketi	Posta ile gönderim	Yüksek/Kritik bulgular
Bug Bounty parasal ödülü	ŞU AN YOK	İleride duyurulacak

14. Üçüncü Taraf Servisler ve Sub-processor

Tekno Borsa'nın altyapısında kullanılan üçüncü taraf servisler kendi güvenlik açığı bildirim politikalarına tabidir. Bu sistemlerdeki açıklar için ilgili sağlayıcının resmi kanalına bildirim yapılmalıdır.

Sağlayıcı	Hizmet	VDP / Bildirim Kanalı
Supabase	Veritabanı, Auth, Storage	security@supabase.io
Vercel	Hosting, Edge	security.vercel.com
Upstash	Redis cache	security@upstash.com
Resend	E-posta gönderimi	security@resend.com
Sentry	Hata izleme	security@sentry.io
Firebase / Google	Push bildirim	g.co/vulnz
Cloudflare (varsa)	CDN/WAF	cloudflare.com/disclosure

Tekno Borsa

Tekno Borsa

Tekno Borsa

Tekno Borsa

Güvenlik Açığı Bildirim Politikası

1. Politikanın Amacı

2. Tanımlar

3. Kapsam (In-Scope)

4. Kapsam Dışı (Out-of-Scope)

5. Safe Harbor — Yasal Çerçeve ve Güvence

6. Bildirim Akışı ve Yanıt SLA'sı

7. CVSS Şiddet Matrisi

8. İzin Verilen Test Türleri

9. Yasaklı Test Türleri

10. İletişim Güvenliği ve PGP

11. Embargo ve Açıklama Penceresi

12. KVKK ve Veri Sızdırma Yasağı

13. Hall of Fame, Takdir ve Bug Bounty

14. Üçüncü Taraf Servisler ve Sub-processor

15. Yıllık Şeffaflık Raporu

16. İletişim

17. Yürürlük ve Değişiklikler