RESPONSIBLE DISCLOSURE POLICY
Giriş
Transatel, kendisine emanet edilen bilgilerin kullanılabilirliğini, bütünlüğünü, gizliliğini ve izlenebilirliğini korumayı taahhüt eder.
Ancak Transatel ile ilgili bir güvenlik ihlali, zafiyet veya veri sızıntısı tespit edilmesi durumunda, bu sayfa zafiyet bildirimlerinin ele alınması ve sorunların tarafımıza iletilmesi için sorumlu bildirim (Responsible Disclosure) politikamızı açıklamaktadır.
Aşağıdaki koşullara uymanız şartıyla, güvenlik araştırmacısı, geliştirici, müşteri veya bireysel kullanıcı olmanız fark etmeksizin tüm bildirimler memnuniyetle karşılanır:
Ancak Transatel ile ilgili bir güvenlik ihlali, zafiyet veya veri sızıntısı tespit edilmesi durumunda, bu sayfa zafiyet bildirimlerinin ele alınması ve sorunların tarafımıza iletilmesi için sorumlu bildirim (Responsible Disclosure) politikamızı açıklamaktadır.
Aşağıdaki koşullara uymanız şartıyla, güvenlik araştırmacısı, geliştirici, müşteri veya bireysel kullanıcı olmanız fark etmeksizin tüm bildirimler memnuniyetle karşılanır:
Koşullar
- Keşfedilen zafiyetlere ilişkin bilgileri gizli tutmak.
- Sosyal mühendislik (oltalama, dolandırıcılık vb.), hizmet engelleme saldırıları (DoS, DDoS), spam, dolandırıcılık veya fiziksel güvenliği tehlikeye atan eylemler gibi otomatik araçlar veya saldırı yöntemleri kullanmamak.
- Zafiyetleri gereğinden fazla istismar etmemek; örneğin gerekli olandan daha fazla veri indirmemek veya başkalarının veri bütünlüğünü tehlikeye atmamak.
- Bildiriminizin sonucu hakkında bilgilendirilmek istiyorsanız, sizinle iletişime geçebilmemiz için bir iletişim yöntemi sağlamak.
- Sonuçları security-disclosure[at]transatel.com adresine e-posta ile göndermek (Bu adres yalnızca zafiyet bildirimleri içindir; diğer talepler işleme alınmayacaktır).
- Veya Fransa Dijital Cumhuriyet Yasası’nın 47. maddesi uyarınca yetkili makam olarak CERT-FR’ye bildirimde bulunmak: cert-fr[at]ssi.gouv.fr
- Bu politika kapsamında açıkça izin verilenler dışında herhangi bir yasa veya düzenlemeyi ihlal etmemek.
- Bildiriminizin işlenebilmesi için gizlilik politikamızı koşulsuz olarak kabul etmek.
Bildiriminizde
- Kişisel verileri anonimleştirin.
- Güvenlik sorununu yeniden üretmek veya doğrulamak için gerekli tüm bilgileri ekleyin (IP adresi, URL, zafiyet açıklaması, OWASP, CVE veya ATT&CK referansı), ekran görüntüleri ve etkilenen ürün ve hizmetlerin listesi.
- Uygulanabilir ise, oluşturulan test hesaplarına ilişkin bilgileri belirtin.
İşlem ve gizlilik
Bildiriminiz alındıktan sonra, güvenlik ekibi tarafından en kısa sürede incelenecektir.
Bildiriminizin, yasal ve düzenleyici gereklilikler çerçevesinde gizli olarak ele alınacağını garanti ederiz.
Bildirim sürecine katılım, herhangi bir fikri mülkiyet hakkı sağlamaz.
Zafiyetler, Responsible Disclosure Policy politikamıza uygun olarak keşfedilir ve bildirilirse, bildirimde bulunan kişilere karşı herhangi bir yasal işlem başlatılmayacaktır. Ancak, bu kurallara uyulmaması durumunda tüm yasal haklarımız saklıdır.
Son olarak, şu anda herhangi bir Bug Bounty programı sunmadığımızı veya bu tür bir programa katılmadığımızı belirtmek isteriz.
Bildiriminizin, yasal ve düzenleyici gereklilikler çerçevesinde gizli olarak ele alınacağını garanti ederiz.
Bildirim sürecine katılım, herhangi bir fikri mülkiyet hakkı sağlamaz.
Zafiyetler, Responsible Disclosure Policy politikamıza uygun olarak keşfedilir ve bildirilirse, bildirimde bulunan kişilere karşı herhangi bir yasal işlem başlatılmayacaktır. Ancak, bu kurallara uyulmaması durumunda tüm yasal haklarımız saklıdır.
Son olarak, şu anda herhangi bir Bug Bounty programı sunmadığımızı veya bu tür bir programa katılmadığımızı belirtmek isteriz.