Sorumlu Bildirim Politikasi
Son guncelleme: Nisan 2026
Guvenlik, Enravo'da insa ettigimiz her seyin merkezindedir. Guvenlik arastirmacilarin calismalarina deger veriyor ve zaafiyetlerin sorumlu bir sekilde bildirilmesini tesvik ediyoruz. Herhangi bir Enravo hizmetinde guvenlik sorunu buldugunuza inaniyorsaniz, sizden duymak isteriz.
1. Kapsam
Bu politika; Enravo web sitesi, Enravo Core, Enravo Trust, Rakton urunleri, API'ler ve ilgili tum altyapi dahil olmak uzere tum Enravo hizmetleri icin gecerlidir.
Enravo ile entegre edilen ucuncu taraf hizmetleri kapsam disindadir. Ucuncu taraf bir bilesende sorun bulursaniz, lutfen ilgili saglayiciya bildirin.
2. Nasil Bildirilir
Raporunuzu support@enravo.com adresine gonderin. Tercih ederseniz mesajinizi PGP anahtarimizla sifreleyin (talep uzerine saglanir).
Zaafiyetin net bir aciklamasini, yeniden uretme adimlarini, potansiyel etkisini ve varsa kavrami kanitlayan kod veya ekran goruntulerini ekleyin.
Takip edebilmemiz icin iletisim bilgilerinizi saglayin. Alindisini 48 saat icinde teyit edecegiz.
3. Sizden Beklentilerimiz
Herhangi bir kamuya aciklama yapmadan once sorunun arastirilmasi ve giderilmesi icin bize makul sure taniyin. Kritik zaafiyetleri 14 gun icinde cozmeyi hedefliyoruz.
Diger kullanicilara ait verilere erismeyin, degistirmeyin veya silmeyin. Zaafiyetleri gosterirken test hesaplari ve kendi verilerinizi kullanin.
Hizmet engelleme saldirilari, sosyal muhendislik, oltalama veya fiziksel guvenlik testleri yapmayın.
Zaafiyeti, sorunu gostermek icin gerekli olanin otesinde kullanmayin.
4. Bizim Taahhutlerimiz
Raporunuzu 48 saat icinde teyit edecek ve 5 is gunu icinde ilk degerlendirmeyi saglayacagiz.
Duzeltme surecinin ilerleyisi hakkinda sizi bilgilendirecek ve sorun cozuldugunde bildirecegiz.
Bu politikayi iyi niyetle takip eden arastirmacilara karsi yasal islem baslatmayacagiz.
Zaafiyet cozuldugunde (isterseniz) sizi kamuya acik olarak takdir edecegiz; anonim kalmayi tercih ederseniz buna saygi gosterecegiz.
5. Gecerli Zaafiyetler
Uzaktan kod calistirma, SQL injection, kimlik dogrulama atlama, yetkilendirme hatalari, cross-site scripting (XSS), cross-site request forgery (CSRF), server-side request forgery (SSRF) ve onemli veri ifsasi.
Guard Pipeline, PoP dogrulamasi, cihaz baglama, Policy Engine veya uygulama butunluk mekanizmalarindaki zaafiyetler ozellikle ilgi alanımızdadir.
Olasi olmayan kullanici etkilesimi, eski tarihli tarayicilar veya zaten bilinen zaafiyetler gerektiren sorunlar gecerli sayilmayabilir.
6. Kapsam Disi
Hassas islem icermeyen sayfalarda clickjacking.
Dogrudan bir istismara yol acmayan eksik HTTP guvenlik basliklari.
Kimlik dogrulama disindaki endpoint'lerde hiz sinirlamasi veya kaba kuvvet sorunlari.
Zaten kamuya aciklanmis ucuncu taraf hizmetleri veya bagimliliklardaki zaafiyetler.
Manuel dogrulama yapilmadan yalnizca otomatik tarama araclariyla olusturulan raporlar.
7. Takdir
Gecerli zaafiyetleri sorumlu bir sekilde bildiren arastirmacilar icin bir onur listesi tutuyoruz. Takdir edilmek istiyorsaniz, raporunuzda bize bildirin.
Su anda parasal odul sunmuyoruz, ancak resmi bir bug bounty programi uzerinde calismaktayiz.
Guvenlik raporlari icin support@enravo.com adresinden bize ulasin. Bu politika hakkinda genel sorular icin legal@enravo.com adresinden veya iletisim sayfamiz uzerinden iletisime gecebilirsiniz.