Sisal Şans olarak ICT sistemlerimizin ve ağ sitelerimizin güvenliğini önemsiyoruz. Bu nedenle mümkün olan en yüksek güvenlik önlemlerini alıyoruz. Bilişim güvenliği konusunda gösterdiğimiz hassasiyet ve titizliğe rağmen, herhangi bir ürün, hizmet, sistemde tespit edilen potansiyel zafiyetlerin veya güvenlik kaygılarının bildirilmesi amacıyla güvenlik araştırmacılarının bizimle iletişime geçmesini teşvik etmekteyiz.
Sistemimizi daha iyi korumak ve herhangi bir güvenlik açığını en kısa sürede gidermek için birlikte çalışmak istiyoruz. Genel bir “hata avcılığı ödül programı” uygulamadığımız ve potansiyel güvenlik kaygılarının veya güvenlik zafiyetlerinin bildirilmesi karşılığında hiçbir ödül veya ödeme teklifinde bulunmadığımız göz önüne alınarak “Sorumlu İfşa Politikamız”, iş ağımızın zayıf noktalarını keşfetmek için aktif olarak taramaya yönelik bir çağrı değildir.
Potansiyel bir zafiyet veya güvenlik kaygısı tespit ettiğinize inanıyorsanız lütfen aşağıdaki adımları izleyerek bu durumu bizimle paylaşın. Tüm meşru bildirimleri inceleyecek ve her türlü sorunu gidermeye çalışacağız.
Güvenlik Açığını Bildirin
- Bulgularınızı responsibledisclosure@sisalsans.com adresine bildirin.
- Güvenlik açığının yeniden meydana gelmesini engellemek için, olabildiğince çabuk çözebilmemiz için yeterli bilgi verin. Genellikle, etkilenen sistemin IP adresi veya URL’si ve güvenlik açığının açıklaması yeterlidir, ancak daha karmaşık güvenlik açıkları için daha fazla bilgi gerekli olabilir.
- Sorunun ne zaman tespit edildiği
- Sorunun nasıl tekrar ortaya çıkartılabileceği
- Keşif sırasında kullanılan hedef, adımlar, araçlar ve nesneler (Videolar ve ekran görüntüsü göndermeniz tercih edilir.)
- Varsa sorunu çözebileceğini veya hafifletebileceğini düşündüğünüz fikirleriniz
- Sizinle iletişim kurabilmemiz için iletişim bilgilerinizi (e-posta adresi veya telefon numarası) ekleyin.
- Güvenlik açığı ile ilgili bilgileri, konu çözülene kadar başkalarıyla paylaşmayın.
- Güvenlik açığı hakkındaki yeterliliğinizden sorumlu olun. Gerekli olanın ötesinde hiçbir işlem yapmayın.
Zayıf noktaları kötüye kullanmayın
Bir güvenlik açığı bulursanız, bundan yararlanmayın. Örneğin:
- Kötü amaçlı yazılım yüklemeyin.
- Sistemdeki verileri kopyalamayın, değiştirmeyin/silmeyin veya bir dizin listesi oluşturmayın.
- Sistemde değişiklikler yapmayın.
- Tekrar sisteme erişim kazanmaya veya başkalarıyla erişim paylaşmaya çalışmayın.
- Sistemimizde yanal ya da daha fazla hareket etmeyin.
- Sistemlere erişmek için kaba kuvvet kullanmayın.
- Hizmet reddi veya sosyal mühendislikten yararlanmayın.
Bildiriminizi nasıl ele alıyoruz?
Üç iş günü içerisinde bildiriminizin ulaştığına dair bize ulaştığınız e-posta üzerinden onay alacaksınız.
Sorunu giderme konunda atılan adımlar ve gelişmeler hakkında sizi bilgilendireceğiz.
Bildiriminizi gizlilik ilkeleri çerçevesinde ele alacağız ve kişisel verilerinizi sizin izniniz olmadan üçüncü şahıslarla paylaşmayacağız.
Kapsam Dışı Zafiyet ve Güvenlik Kaygıları
Kapsam dışı zafiyet ve güvenlik kaygıları şunları içermektedir:
- Sisal Şans tesislerinin veya veri merkezlerinin test edilmesi
- Kimlik avı (diğer bir deyişle, çerezleri çalma denemeleri, kimlik bilgilerine ulaşmak için sahte oturum açma sayfaları düzenleme vb.) dahil sosyal mühendislik
- Hizmeti Engelleme saldırıları
- Sisal Şans’ın üçüncü taraf ortağının işlettiği uygulamalardaki, internet sitelerindeki veya çevrimiçi hizmetlerdeki güvenlik sorunları*
*Bu çevrimiçi hizmetler Sisal Şans tarafından yönetilmemektedir.
