Son Güncelleme Tarihi: 01.07.2026

1. Amaç

Bu Güvenlik Açığı Bildirim Politikası, UHEX System Bilgi ve İletişim Teknolojileri (“UHEX System”, “Şirket”, “biz”) tarafından sunulan sistem, uygulama, hizmet ve altyapılarda tespit edilen güvenlik açıklarının sorumlu, etik ve koordineli şekilde bildirilmesini teşvik etmek amacıyla hazırlanmıştır.

Amacımız, güvenlik araştırmacıları ile iş birliği içerisinde hareket ederek kullanıcılarımızın ve sistemlerimizin güvenliğini artırmaktır.


2. Kapsam

Bu politika, UHEX System tarafından işletilen veya yönetilen aşağıdaki varlıkları kapsayabilir:

  • uhexsystem.com alan adı ve alt alan adları

  • Kurumsal web uygulamaları

  • Müşteri panelleri

  • API servisleri

  • Mobil uygulamalar

  • Bulut altyapıları

  • Sunucu sistemleri

  • Yönetim panelleri

  • UHEX System tarafından geliştirilen diğer dijital hizmetler

Üçüncü taraf sistemler veya UHEX System tarafından işletilmeyen hizmetler bu politikanın kapsamı dışındadır.


3. Güvenlik Araştırmacılarından Beklentilerimiz

Güvenlik araştırmacılarının aşağıdaki ilkelere uygun hareket etmelerini bekleriz:

  • İyi niyetli davranmaları,

  • Açığı mümkün olan en kısa sürede tarafımıza bildirmeleri,

  • Kullanıcı verilerinin gizliliğine saygı göstermeleri,

  • Hizmet sürekliliğini olumsuz etkileyecek işlemlerden kaçınmaları,

  • Bulguları kamuya açıklamadan önce makul süre boyunca düzeltme imkânı tanımaları,

  • Yürürlükteki mevzuata uygun hareket etmeleri.


4. Yasaklanan Test Faaliyetleri

Aşağıdaki faaliyetler bu politika kapsamında kabul edilmez:

  • Hizmet engelleme (DoS/DDoS) testleri,

  • Fiziksel güvenlik testleri,

  • Sosyal mühendislik girişimleri,

  • Kimlik avı (phishing) çalışmaları,

  • Zararlı yazılım yükleme,

  • Veri silme veya değiştirme,

  • Yetkisiz kullanıcı hesaplarına erişim,

  • Veri indirme, kopyalama veya ifşa etme,

  • Üçüncü taraf hizmet sağlayıcılarına yönelik testler,

  • Sistemin kararlılığını bozabilecek yoğun yük testleri.


5. Bildirilmesi İstenen Güvenlik Açıkları

Aşağıdaki örnekler bu listeyle sınırlı olmamak üzere bildirilmesi beklenen güvenlik açıklarıdır:

  • Kimlik doğrulama zafiyetleri

  • Yetkilendirme hataları

  • SQL Injection

  • Cross-Site Scripting (XSS)

  • Cross-Site Request Forgery (CSRF)

  • Server-Side Request Forgery (SSRF)

  • Remote Code Execution (RCE)

  • Dosya yükleme güvenlik açıkları

  • Bilgi ifşası

  • Güvenlik yapılandırma hataları

  • API güvenlik açıkları

  • Oturum yönetimi zafiyetleri

  • Yetki yükseltme açıkları

  • Hassas veri sızıntıları


6. Bildirim İçeriği

Güvenlik açığı bildiriminizin aşağıdaki bilgileri içermesi önerilir:

  • Açığın kısa açıklaması

  • Etkilenen sistem veya URL

  • Açığın yeniden üretilebilmesi için gerekli adımlar

  • Beklenen ve gerçekleşen davranış

  • Etki değerlendirmesi

  • Ekran görüntüsü veya kayıtlar (varsa)

  • İletişim bilgileriniz

Eksiksiz bilgiler, bildirimin daha hızlı değerlendirilmesini sağlar.


7. Değerlendirme Süreci

UHEX System, kendisine iletilen güvenlik açıklarını aşağıdaki esaslar doğrultusunda değerlendirir:

  • Bildirimin alındığının makul süre içerisinde teyit edilmesi,

  • Güvenlik açığının teknik olarak incelenmesi,

  • Risk seviyesinin değerlendirilmesi,

  • Gerekli düzeltmelerin planlanması,

  • Uygun görüldüğü takdirde bildirim sahibine süreç hakkında bilgilendirme yapılması.

Her bildirimin belirli bir süre içerisinde çözüleceği yönünde garanti verilmez.


8. Gizlilik

Güvenlik araştırmacıları tarafından paylaşılan bilgiler yalnızca güvenlik açığının değerlendirilmesi ve giderilmesi amacıyla kullanılacaktır.

Araştırmacılar da, açık giderilmeden önce güvenlik açığını kamuya açıklamamayı kabul eder.


9. Ödül Programı

Bu politika, aksi açıkça belirtilmediği sürece herhangi bir ödül, ücret veya “Bug Bounty” programı oluşturmaz.

UHEX System, tamamen kendi takdirine bağlı olarak teşekkür belgesi, kamuya açık teşekkür veya benzeri bir takdir sunabilir.


10. Hukuki Yaklaşım

İyi niyetli, bu politikaya uygun ve sistemlere zarar vermeyen güvenlik araştırmalarını destekliyoruz.

Ancak;

  • Yetkisiz erişim,

  • Veri kopyalama,

  • Veri ifşası,

  • Hizmet kesintisine neden olma,

  • Kullanıcı hesaplarını ele geçirme,

  • Ticari sırların paylaşılması,

  • Kötü niyetli faaliyetler

bu politika kapsamında değerlendirilmez ve ilgili hukuki süreçlerin başlatılmasına neden olabilir.


11. Politikanın Güncellenmesi

UHEX System, bu politikayı teknolojik gelişmeler, güvenlik ihtiyaçları veya yürürlükteki mevzuat doğrultusunda güncelleme hakkını saklı tutar.

Güncel sürüm yayımlandığı tarihten itibaren yürürlüğe girer.


12. İletişim

Güvenlik açıklarını aşağıdaki iletişim kanalı üzerinden bize bildirebilirsiniz:

UHEX System Bilgi ve İletişim Teknolojileri

Web Sitesi: uhexsystem.com

E-posta: security@uhexsystem.com (Bu adres kullanılmıyorsa info@uhexsystem.com adresini kullanabilirsiniz.)

Bildiriminizde mümkün olduğunca ayrıntılı teknik bilgi paylaşmanız, inceleme sürecinin daha hızlı ve sağlıklı yürütülmesine katkı sağlayacaktır.