Güvenlik Açığı Bildirim Politikası
- Home
- Güvenlik Açığı Bildirim Politikası
Son Güncelleme Tarihi: 01.07.2026
1. Amaç
Bu Güvenlik Açığı Bildirim Politikası, UHEX System Bilgi ve İletişim Teknolojileri (“UHEX System”, “Şirket”, “biz”) tarafından sunulan sistem, uygulama, hizmet ve altyapılarda tespit edilen güvenlik açıklarının sorumlu, etik ve koordineli şekilde bildirilmesini teşvik etmek amacıyla hazırlanmıştır.
Amacımız, güvenlik araştırmacıları ile iş birliği içerisinde hareket ederek kullanıcılarımızın ve sistemlerimizin güvenliğini artırmaktır.
2. Kapsam
Bu politika, UHEX System tarafından işletilen veya yönetilen aşağıdaki varlıkları kapsayabilir:
uhexsystem.com alan adı ve alt alan adları
Kurumsal web uygulamaları
Müşteri panelleri
API servisleri
Mobil uygulamalar
Bulut altyapıları
Sunucu sistemleri
Yönetim panelleri
UHEX System tarafından geliştirilen diğer dijital hizmetler
Üçüncü taraf sistemler veya UHEX System tarafından işletilmeyen hizmetler bu politikanın kapsamı dışındadır.
3. Güvenlik Araştırmacılarından Beklentilerimiz
Güvenlik araştırmacılarının aşağıdaki ilkelere uygun hareket etmelerini bekleriz:
İyi niyetli davranmaları,
Açığı mümkün olan en kısa sürede tarafımıza bildirmeleri,
Kullanıcı verilerinin gizliliğine saygı göstermeleri,
Hizmet sürekliliğini olumsuz etkileyecek işlemlerden kaçınmaları,
Bulguları kamuya açıklamadan önce makul süre boyunca düzeltme imkânı tanımaları,
Yürürlükteki mevzuata uygun hareket etmeleri.
4. Yasaklanan Test Faaliyetleri
Aşağıdaki faaliyetler bu politika kapsamında kabul edilmez:
Hizmet engelleme (DoS/DDoS) testleri,
Fiziksel güvenlik testleri,
Sosyal mühendislik girişimleri,
Kimlik avı (phishing) çalışmaları,
Zararlı yazılım yükleme,
Veri silme veya değiştirme,
Yetkisiz kullanıcı hesaplarına erişim,
Veri indirme, kopyalama veya ifşa etme,
Üçüncü taraf hizmet sağlayıcılarına yönelik testler,
Sistemin kararlılığını bozabilecek yoğun yük testleri.
5. Bildirilmesi İstenen Güvenlik Açıkları
Aşağıdaki örnekler bu listeyle sınırlı olmamak üzere bildirilmesi beklenen güvenlik açıklarıdır:
Kimlik doğrulama zafiyetleri
Yetkilendirme hataları
SQL Injection
Cross-Site Scripting (XSS)
Cross-Site Request Forgery (CSRF)
Server-Side Request Forgery (SSRF)
Remote Code Execution (RCE)
Dosya yükleme güvenlik açıkları
Bilgi ifşası
Güvenlik yapılandırma hataları
API güvenlik açıkları
Oturum yönetimi zafiyetleri
Yetki yükseltme açıkları
Hassas veri sızıntıları
6. Bildirim İçeriği
Güvenlik açığı bildiriminizin aşağıdaki bilgileri içermesi önerilir:
Açığın kısa açıklaması
Etkilenen sistem veya URL
Açığın yeniden üretilebilmesi için gerekli adımlar
Beklenen ve gerçekleşen davranış
Etki değerlendirmesi
Ekran görüntüsü veya kayıtlar (varsa)
İletişim bilgileriniz
Eksiksiz bilgiler, bildirimin daha hızlı değerlendirilmesini sağlar.
7. Değerlendirme Süreci
UHEX System, kendisine iletilen güvenlik açıklarını aşağıdaki esaslar doğrultusunda değerlendirir:
Bildirimin alındığının makul süre içerisinde teyit edilmesi,
Güvenlik açığının teknik olarak incelenmesi,
Risk seviyesinin değerlendirilmesi,
Gerekli düzeltmelerin planlanması,
Uygun görüldüğü takdirde bildirim sahibine süreç hakkında bilgilendirme yapılması.
Her bildirimin belirli bir süre içerisinde çözüleceği yönünde garanti verilmez.
8. Gizlilik
Güvenlik araştırmacıları tarafından paylaşılan bilgiler yalnızca güvenlik açığının değerlendirilmesi ve giderilmesi amacıyla kullanılacaktır.
Araştırmacılar da, açık giderilmeden önce güvenlik açığını kamuya açıklamamayı kabul eder.
9. Ödül Programı
Bu politika, aksi açıkça belirtilmediği sürece herhangi bir ödül, ücret veya “Bug Bounty” programı oluşturmaz.
UHEX System, tamamen kendi takdirine bağlı olarak teşekkür belgesi, kamuya açık teşekkür veya benzeri bir takdir sunabilir.
10. Hukuki Yaklaşım
İyi niyetli, bu politikaya uygun ve sistemlere zarar vermeyen güvenlik araştırmalarını destekliyoruz.
Ancak;
Yetkisiz erişim,
Veri kopyalama,
Veri ifşası,
Hizmet kesintisine neden olma,
Kullanıcı hesaplarını ele geçirme,
Ticari sırların paylaşılması,
Kötü niyetli faaliyetler
bu politika kapsamında değerlendirilmez ve ilgili hukuki süreçlerin başlatılmasına neden olabilir.
11. Politikanın Güncellenmesi
UHEX System, bu politikayı teknolojik gelişmeler, güvenlik ihtiyaçları veya yürürlükteki mevzuat doğrultusunda güncelleme hakkını saklı tutar.
Güncel sürüm yayımlandığı tarihten itibaren yürürlüğe girer.
12. İletişim
Güvenlik açıklarını aşağıdaki iletişim kanalı üzerinden bize bildirebilirsiniz:
UHEX System Bilgi ve İletişim Teknolojileri
Web Sitesi: uhexsystem.com
E-posta: security@uhexsystem.com (Bu adres kullanılmıyorsa info@uhexsystem.com adresini kullanabilirsiniz.)
Bildiriminizde mümkün olduğunca ayrıntılı teknik bilgi paylaşmanız, inceleme sürecinin daha hızlı ve sağlıklı yürütülmesine katkı sağlayacaktır.
