Son guncelleme: Nisan 2026
Guvenlik, Enravo'da insa ettigimiz her seyin merkezindedir. Guvenlik arastirmacilarin calismalarina deger veriyor ve zaafiyetlerin sorumlu bir sekilde bildirilmesini tesvik ediyoruz. Herhangi bir Enravo hizmetinde guvenlik sorunu buldugunuza inaniyorsaniz, sizden duymak isteriz.
Bu politika; Enravo web sitesi, Enravo Core, Enravo Trust, Rakton urunleri, API'ler ve ilgili tum altyapi dahil olmak uzere tum Enravo hizmetleri icin gecerlidir.
Enravo ile entegre edilen ucuncu taraf hizmetleri kapsam disindadir. Ucuncu taraf bir bilesende sorun bulursaniz, lutfen ilgili saglayiciya bildirin.
Raporunuzu support@enravo.com adresine gonderin. Tercih ederseniz mesajinizi PGP anahtarimizla sifreleyin (talep uzerine saglanir).
Zaafiyetin net bir aciklamasini, yeniden uretme adimlarini, potansiyel etkisini ve varsa kavrami kanitlayan kod veya ekran goruntulerini ekleyin.
Takip edebilmemiz icin iletisim bilgilerinizi saglayin. Alindisini 48 saat icinde teyit edecegiz.
Herhangi bir kamuya aciklama yapmadan once sorunun arastirilmasi ve giderilmesi icin bize makul sure taniyin. Kritik zaafiyetleri 14 gun icinde cozmeyi hedefliyoruz.
Diger kullanicilara ait verilere erismeyin, degistirmeyin veya silmeyin. Zaafiyetleri gosterirken test hesaplari ve kendi verilerinizi kullanin.
Hizmet engelleme saldirilari, sosyal muhendislik, oltalama veya fiziksel guvenlik testleri yapmayın.
Zaafiyeti, sorunu gostermek icin gerekli olanin otesinde kullanmayin.
Raporunuzu 48 saat icinde teyit edecek ve 5 is gunu icinde ilk degerlendirmeyi saglayacagiz.
Duzeltme surecinin ilerleyisi hakkinda sizi bilgilendirecek ve sorun cozuldugunde bildirecegiz.
Bu politikayi iyi niyetle takip eden arastirmacilara karsi yasal islem baslatmayacagiz.
Zaafiyet cozuldugunde (isterseniz) sizi kamuya acik olarak takdir edecegiz; anonim kalmayi tercih ederseniz buna saygi gosterecegiz.
Uzaktan kod calistirma, SQL injection, kimlik dogrulama atlama, yetkilendirme hatalari, cross-site scripting (XSS), cross-site request forgery (CSRF), server-side request forgery (SSRF) ve onemli veri ifsasi.
Guard Pipeline, PoP dogrulamasi, cihaz baglama, Policy Engine veya uygulama butunluk mekanizmalarindaki zaafiyetler ozellikle ilgi alanımızdadir.
Olasi olmayan kullanici etkilesimi, eski tarihli tarayicilar veya zaten bilinen zaafiyetler gerektiren sorunlar gecerli sayilmayabilir.
Hassas islem icermeyen sayfalarda clickjacking.
Dogrudan bir istismara yol acmayan eksik HTTP guvenlik basliklari.
Kimlik dogrulama disindaki endpoint'lerde hiz sinirlamasi veya kaba kuvvet sorunlari.
Zaten kamuya aciklanmis ucuncu taraf hizmetleri veya bagimliliklardaki zaafiyetler.
Manuel dogrulama yapilmadan yalnizca otomatik tarama araclariyla olusturulan raporlar.
Gecerli zaafiyetleri sorumlu bir sekilde bildiren arastirmacilar icin bir onur listesi tutuyoruz. Takdir edilmek istiyorsaniz, raporunuzda bize bildirin.
Su anda parasal odul sunmuyoruz, ancak resmi bir bug bounty programi uzerinde calismaktayiz.
Guvenlik raporlari icin support@enravo.com adresinden bize ulasin. Bu politika hakkinda genel sorular icin legal@enravo.com adresinden veya iletisim sayfamiz uzerinden iletisime gecebilirsiniz.