Ürün Güvenliği ve Koordineli Güvenlik Zafiyeti İlamı (CVD) Politikası

ePati Siber Güvenlik, Türkiye’nin önde gelen Siber güvenlik ürün geliştiricilerinden biridir. Ürünlerimizin en yüksek güvence standartlarına uygun olması ve ürün/yazılım geliştirme yaşam döngüsünde “Güvenli Ürün” felsefesini önceliklemektedir.

Müşterilerimizin güvenliğine olan bağlılığımız ve araştırma-geliştirme çevikliğimiz ile müşterilerimizle güçlü bir işbirliği sürdürmekteyiz.

1. Kapsam

Ürün güvenliği politikalarımız aşağıdaki ürün, hizmet ve sistemleri kapsamaktadır:

Yaşam Döngüsü Desteklenen Ürün / Sürümler
Tarafımızdan geliştirilen Mobil, Masaüstü ve Web uygulamaları.

Bu politika, Yaşam Sonu (End-of-Life) aşamasına ulaşmış ürünler için geçerli değildir.

2. Zafiyet Raporlama Süreci

Güvenlik araştırmacılarının, yasalara uygun hareket etmeleri ve iyi niyetli olmaları esastır. ePati, bağımsız araştırmacılardan, sektör kuruluşlarından, tedarikçilerden, müşterilerden ve ürün veya ağ güvenliğiyle ilgilenen diğer kaynaklardan gelen raporları memnuniyetle karşılar.

Raporlama yapacak kişilerin aşağıdaki adımları izlemesi beklenir:

2.1. İletişim Kanalı

Zafiyetler, sadece şifreli iletişim kanalı üzerinden, aşağıdaki resmi Güvenlik İrtibat Noktası (PSIRT) e-posta adresine bildirilmelidir:

E-posta: psirt@epati.com.tr

2.2. Gerekli Bilgiler

Rapor, sorunu yeniden oluşturmamızı sağlayacak yeterli teknik detayı içermelidir:

Zafiyetin adı/türü (Örn: XSS, SQLi, Buffer Overflow).
Etkilenen Ürün Modeli ve Sürümü.
Zafiyeti yeniden oluşturmak için adım adım talimatlar ve ispat kodları (PoC).
Zafiyetin potansiyel etkisi ve risk seviyesi (CVSS puanı önerisi).
Araştırmacının iletişim bilgileri.

2.3. Sorumlu Davranış (Responsible Disclosure)

Araştırmacılar, zafiyeti rapor etmeden veya bir düzeltme/güncelleme yayınlanmadan önce herhangi bir üçüncü tarafa, genel kanala veya sosyal medyaya açıklamamayı taahhüt eder. Bu, müşterilerimizin korunması için hayati önem taşır.

3. Müdahale ve Çözüm Süreci

Ürünlerimize yapılan zafiyet bildirimleri, aşağıdaki PSIRT (Ürün Güvenlik Olayı Müdahale Ekibi) prosedürüne göre yönetilecektir:

3.1. Onay (5 İş Günü)

Raporun alınmasından itibaren en geç beş (5) iş günü içinde, raporu gönderen kişiye alındı bilgisi gönderilir ve bir takip numarası (Case ID) atanır.

3.2. Değerlendirme ve Doğrulama (15 İş Günü)

PSIRT, zafiyeti doğrular ve zafiyetin CVSS (Common Vulnerability Scoring System) skorunu kullanarak bir risk önceliği belirler. Gerekli görülürse, araştırmacıdan ek bilgi talep edilir.

3.3. Onarım ve Planlama (Müzakere Edilen Süre)

Kritik zafiyetler için hızlı onarım planı başlatılır.
Çözüm süresi, zafiyetin karmaşıklığına bağlı olarak belirlenir. Standart çözüm hedefimiz 90 gündür, ancak bu süre, zafiyetin niteliğine göre araştırmacı ile iş birliği içinde müzakere edilebilir.
Bu süre zarfında, ürün güvenliğini sağlamak için geçici çözümler (Workaround) ve imzalar oluşturulabilir (örneğin NGFW IPS imzası).

3.4. İlan Koordinasyonu (CVD)

Güvenlik güncellemesi hazırlandığında, ePati, zafiyetin ve çözümün kamuoyuna duyurulacağı bir tarih belirler (Genellikle yamanın yayınlandığı gün).
ePati, zafiyet için resmi bir Güvenlik Tavsiyesi (Security Advisory) yayınlar.
Araştırmacının talebi üzerine, politika kurallarına uyulması koşuluyla, yayınlanan tavsiyede ismine yer verilebilir.

4. Ürün Güvenliği ve Bütünlüğü

ePati Güvenli Geliştirme Yaşam Döngüsü (SDLC) politikamız, “Tasarım ve Varsayılan Ayarlarda Güvenlik” (Secure by Design, Secure by Default) ilkesini temel almaktadır.

Ürün güvenliğini sağlamak adına aşağıdakiler dahil olmak üzere kapsamlı araçlar ve test süreçleri işletilmektedir:

Derleme (build) süreçlerine entegre edilmiş Statik Uygulama Güvenlik Testleri (SAST).
Açık kaynaklı yazılımlar (OSS) ve üçüncü taraf kütüphanelerdeki risklerin tespiti için Yazılım Malzeme Listesi (SBOM) analizi.
Uzman mühendislerimiz tarafından gerçekleştirilen manuel kod denetimleri.
Periyodik olarak yürütülen dahili sızma (penetrasyon) testleri.

Bu çalışmalar sırasında tespit edilen tüm zafiyetler titizlikle ele alınır.

5. Yasal Yükümlülük Reddi

Bu politika, güvenlik araştırmacılarına ürün üzerinde araştırma yapma yetkisi verirken, araştırmacıların aşağıdaki eylemlerden kesinlikle kaçınması gerektiğini belirtir:

ePati’ye, sistemlere veya uygulamalara potansiyel veya gerçek zarar vermek.
Yetkisiz verilere erişim veya veri sızdırma girişiminde bulunmak.
Hizmet reddi (DoS) saldırıları yapmak veya ürünün normal işleyişini bozmak.
Zafiyeti kamuya açık hale getirmeden önce diğer taraflarla paylaşmak.
ePati çalışanlarına veya müşterilerine yönelik sosyal mühendislik girişiminde bulunmak.

Güvenlik araştırmanızın ePati haricindeki üçüncü taraflara ait ağ, sistem, veri veya uygulamaları kapsaması durumunda, ilgili tarafların yasal yollara başvurabileceğini lütfen unutmayın. ePati olarak, başka kuruluşlara ait varlıklar üzerinde yapılacak güvenlik araştırmaları için izin verme yetkimiz bulunmamaktadır.

İletilen raporları gizli tutmayı ilke edinsek de, mahkeme kararı veya yasal zorunluluk hallerinde bu bilgileri paylaşmamız gerekebileceğini hatırlatırız.

Ayrıca belirtmek isteriz ki; bu politika, eylemlerinizden kaynaklı olarak üçüncü tarafların başlatabileceği hukuki süreçlerde sizi savunacağımız, tazmin edeceğimiz veya koruyacağımız anlamına gelmemektedir.
Bu kurallara uyulmaması durumunda, ePati yasal haklarını kullanma hakkını saklı tutar.

Antikor Tümleşik Siber Güvenlik Sistemi

Antikor Dual Layer SD-WAN

Antikor MVZ - Çok Bölgeli SSO SSL VPN Gateway

Antikor ZTSA - Zero Trust Service Access

Portal

Yaşam Döngüsü

Blog

Dokümanlar

Çözüm Ortaklığı Programı

Çözüm Ortağı Olun

Erişim

epati Siber Güvenlik

Basın

Kariyer

Gizlilik