Doküman Kapsamı
Bu politika; dış araştırmacıların, iş ortaklarının, müşterilerin ve kullanıcıların Firisbe'ye olası güvenlik açıklarını nasıl bildireceğini açıklar.
Politika; Firisbe tarafından veya Firisbe adına işletilen web siteleri, portallar, mobil uygulamalar, API'ler, SDK'lar, ödeme altyapısı, dokümantasyon yüzeyleri ve ilgili dijital hizmetler için geçerlidir.
Doküman ID
FRB-MPOC-D4A3-005
Standart referansı
PCI MPoC v1.1, Domain 4A-3
Gözden geçirme
Yıllık olarak veya önemli bir güvenlik, ürün, uyumluluk ya da operasyon değişikliğinden sonra gözden geçirilir.
Güvenlik Açığı Bildirme
Olası bir güvenlik açığı tespit ederseniz raporunuzu security@firisbe.com adresine gönderin. Güvenlik konuları için birincil bildirim kanalı budur.
Lütfen bulguyu doğrulamak için gerekli olmayan hassas kişisel veri, canlı ödeme verisi, production secret veya istismar materyali göndermeyin.
Birincil iletişim
security@firisbe.com
security.txt
Kanonik dosya /.well-known/security.txt adresinde yayınlanır.
PGP public key
Public key dosyası /security-pgp-key.txt adresinde yayınlanabilir. Gerçek anahtar yayınlanana kadar şifreli işlem talebinizi security@firisbe.com üzerinden iletin.
Diller
Firisbe güvenlik açığı bildirimlerini Türkçe veya İngilizce kabul eder.
Raporda Bulunması Gerekenler
Açık, yeniden üretilebilir bir rapor; bulgunun hızlı doğrulanmasını ve doğru ekibe yönlendirilmesini sağlar.
Etkilenen yüzey
Ürün, servis, alan adı, API endpoint'i, mobil uygulama, SDK versiyonu veya ortam.
Etki
Saldırganın bu açıkla neye erişebileceği, neyi değiştirebileceği, kesintiye uğratabileceği, atlatabileceği veya çıkarım yapabileceği.
Yeniden üretme adımları
Davranışı güvenli şekilde yeniden üretmek için gereken net adımlar, istekler, ekran görüntüleri, loglar veya PoC detayları.
Araştırmacı iletişimi
Gerekirse ek bilgi isteyebilmemiz ve durum paylaşabilmemiz için yanıt adresi ve isteğe bağlı ad ya da kuruluş bilgisi.
Sorumlu Test Kuralları
Araştırma sınırlı, kontrollü ve operasyonel, hukuki, gizlilik veya ödeme sistemi riski yaratmadan bulguyu gösterecek kapsamda kalmalıdır.
Minimum erişim kullanın
Yalnızca açığı doğrulamak için gerekli olana erişin. İlgisiz verileri görüntülemeyin, değiştirmeyin, saklamayın veya dışarı aktarmayın.
Kesinti yaratmayın
Denial-of-service testi, yük testi, yıkıcı otomasyon, sosyal mühendislik, spam veya phishing çalışması yapmayın.
Secret ve verileri koruyun
Kimlik bilgilerini, token'ları, kart hamili verilerini, kişisel verileri veya gizli bilgileri üçüncü taraflarla paylaşmayın.
Açıklamadan önce koordine edin
Firisbe yazılı olarak farklı bir süreç onaylamadıkça, konu araştırılıp kapatılmadan kamuya açıklama yapmayın.
Kapsam Dışı Faaliyetler
Aşağıdaki faaliyetler bu politika kapsamında yetkilendirilmez ve bir açık bulunsa bile kötüye kullanım olarak değerlendirilebilir.
Erişilebilirlik saldırıları
DoS, DDoS, kaynak tüketimi, kuyruk şişirme veya servis güvenilirliğini bozan testler.
Sosyal mühendislik
Phishing, vishing, kimliğe bürünme, fiziksel erişim girişimleri veya Firisbe çalışanları, müşterileri ya da iş ortaklarına baskı uygulanması.
Ödeme kötüye kullanımı
Dolandırıcılık girişimi, canlı işlem manipülasyonu, kart deneme, ödeme kontrollerini atlatma veya gerçek kart hamili verisi kullanımı.
Üçüncü taraf sistemler
Firisbe'nin sahip olmadığı veya işletmediği sistemler; Firisbe yazılı olarak açıkça izin vermedikçe kapsam dışıdır.
Firisbe Yanıt Taahhütleri
Firisbe güvenlik bildirimlerini iyi niyetle inceler, bulguları önem derecesi ve operasyonel etkisine göre önceliklendirir, kapatma sürecini ilgili mühendislik, ürün, uyumluluk veya iş ortağı akışıyla yürütür.
Alındı onayı
Raporu 5 iş günü içinde aldığımızı teyit etmeyi hedefleriz.
İlk değerlendirme
Rapor yeterli detay içeriyorsa ilk triyajı 10 iş günü içinde tamamlamayı hedefleriz.
Durum güncellemesi
Önemli durum değişikliklerinde veya ek bilgi gerektiğinde güncelleme paylaşırız.
Koordineli açıklama hedefi
Genel hedef 90 günlük koordineli açıklama penceresidir; önem derecesi, bağımlılıklar, regülasyon veya ödeme ağı yükümlülüklerine göre uyarlanabilir.
Yasal Güvence
Firisbe; iyi niyetle hareket eden, bu politikaya uyan, gizlilik veya hizmet kesintisi yaratmayan ve güvenlik açıklarını onaylı kanal üzerinden hızlıca bildiren araştırmacılara karşı hukuki işlem başlatmayı amaçlamaz.
Bu güvence; şantaj, dolandırıcılık, veri hırsızlığı, koordinasyondan önce kamuya açıklama, kalıcılık sağlama, zararlı yazılım veya Firisbe'ye, müşterilerine, iş ortaklarına, kullanıcılarına ya da ödeme operasyonlarına zarar veren faaliyetler için geçerli değildir.
Bir testin izinli olup olmadığından emin değilseniz, devam etmeden önce security@firisbe.com üzerinden bize ulaşın.
Teşekkür ve Tanıma
Firisbe, geçerli, daha önce bilinmeyen bir güvenlik açığını bu politikaya uygun şekilde bildiren araştırmacılara teşekkür edebilir. Teşekkür isteğe bağlıdır; araştırmacı onayı, bulgunun geçerliliği ve uygulanabilir gizlilik yükümlülüklerine bağlıdır.
Firisbe şu anda herkese açık bir bug bounty programı işletmemektedir. Firisbe ayrıca yazılı olarak kabul etmedikçe parasal ödül taahhüt edilmez.
Politika Güncellemeleri
Firisbe; ürünler, güvenlik süreçleri, sertifikasyon gereklilikleri veya bildirim kanalları değiştikçe bu politikayı güncelleyebilir. En güncel politika bu sayfada yayınlanır; kanonik security.txt dosyası da güncel politika URL'sine işaret eder.