TitanNav — Güvenlik Açığı Raporlama Politikası (Responsible Disclosure)

Metin kodu: LEGAL-25 Versiyon: 1.0 Yürürlük tarihi: [[LANSMAN TARİHİ]] Son güncelleme: 22 Nisan 2026 Uygulanabilir mevzuat: 6698 KVKK Madde 12 (ihlal bildirim), 5651 İnternet K. Madde 4 (erişim engeli), 5237 TCK Madde 243-245 (bilişim suçları) — iyi niyetli araştırmacıları kovuşturmayız, Computer Fraud and Abuse Act (ABD, referans), Standard "security.txt" RFC 9116

Bu belge runtime'da company_info tablosundan render edilir. {{company.xxx}} ifadeleri admin panelden doldurulur.

Veri Sorumlusu: {{company.ticaret_unvani}}

🔴 İMZA/LANSMAN ÖNCESİ BLOKAJ (Dahili not — kullanıcıya gösterilmeden silinecek)

Bu metin bir TASLAKtır ve aşağıdaki ön koşullar karşılanmadan resmi olarak yürürlüğe girmemeli/imzalanmamalıdır:

1. ToffeSoft Ltd. Şti. kimlik bilgileri (MERSİS, Vergi No, açık adres) MERSİS sorgusu ile doğrulanıp tüm [[XXXX]] / [[Kastamonu adresi]] alanlarına yerleştirilmeli — bkz. 29-MARKA-VE-DEVELOPER-ACCOUNT-YAPISI.md
2. Avukat denetimi: En az 1 tam hukuk bürosu gözden geçirmesi tamamlanmalı — 00-INDEX.md üst uyarısı
3. Fatih'in rol yapısı (contractor / danışman / ortak) netleşmeli — LEGAL-29 §4

Bu kutu uygulamaya gömülmeden önce tamamen silinmeli. Dahili sürüm kontrolü içindir.

1. Amaç

TitanNav, kullanıcılarının verilerini ve platformun güvenliğini korumayı birinci öncelik olarak görür. Dış güvenlik araştırmacılarıyla şeffaf ve iyi niyetli çalışmayı taahhüt eder.

Bu politika, bir güvenlik açığı tespit eden araştırmacıların bize nasıl bildirimde bulunacağını ve bu bildirimin nasıl işleneceğini düzenler.

2. Kapsam

2.1. Kapsam DAHİLİ

Aşağıdaki varlıklarda bulunan güvenlik açıkları kapsam dahilidir:

• *.titannav.com alan adları (production)
• iOS TitanNav uygulaması (App Store)
• Android TitanNav uygulaması (Google Play, AppGallery)
• Web admin paneli
• Public API uç noktaları

2.2. Kapsam DIŞI

Aşağıdakiler kapsam dışıdır:

• Üçüncü taraf servisler (HERE, Google, AWS — bu sağlayıcıların kendi güvenlik programlarına bildirin)
• Staging/dev ortamları (staging.titannav.com, dev.titannav.com)
• Social engineering (çalışanlara phishing gibi)
• Fiziksel güvenlik (ofis, data center)
• DDoS / flooding (etik testler bile yasaklıdır)
• Çalışan cihazları
• Üçüncü kişi hesaplarının ele geçirilmesi (siz bir hesap yaratıp o hesap üzerinde test yapın, başkasının hesabını hedef almayın)

3. Test kuralları

3.1. İzin verilen

• Kendi hesabınızda test
• Özel olarak oluşturulmuş test hesapları
• Kaba (gentle) fuzzing (1 saniyede en fazla 5 istek)
• Otomatik araçlar ancak rate-limit uyumlu kullanımı
• Sömürüye bağlanan kavramsal ispat (PoC)

3.2. Yasak

• Başka kullanıcıların hesaplarına erişme, verilerini görme
• Production veriyi değiştirme/silme
• DDoS, flooding, volume-based test
• Brute-force login (captcha testi sayılmaz — 10 deneme yeterli)
• Hizmet kesintisi test (test yaparken ürünümüz yavaşlar)
• Spam / kamu bildirgesi (sosyal medya) öncesi açıklama

3.3. Safe Harbor

İyi niyetli araştırmacılara TCK 243-245 (bilişim suçları) kapsamında kovuşturma başlatılmaz aşağıdaki şartlar sağlandığında:

• Bu politika kapsamında test yapılıyor
• Sadece açığı göstermek/doğrulamak için gerekli asgari erişim
• Keşfedilen veri 3. kişilerle paylaşılmaz
• Bize en fazla 90 gün önce bildirim (ya da anlaşmalı süre)
• Sosyal medyada public disclosure yalnızca bizim onayımızdan sonra

Bu Safe Harbor, sizi hukuki riske karşı tam koruma garanti etmez — özellikle 3. kişilerin (etkilenen kullanıcıların) açabileceği davalar. Ancak TitanNav tarafından suç duyurusunda bulunulmaz.

4. Nasıl bildirim yapmalıyım?

4.1. İletişim kanalı

• E-posta (öncelikli): guvenlik@titannav.com
• PGP anahtarı: {{config.pgp_fingerprint}} — https://titannav.com/.well-known/security.txt
• Alternatif: security@toffesoft.com

4.2. security.txt

RFC 9116 standardına uyumlu security.txt dosyası yayınlanacaktır:

# https://titannav.com/.well-known/security.txt
Contact: mailto:guvenlik@titannav.com
Expires: 2027-04-22T00:00:00Z
Preferred-Languages: tr, en
Canonical: https://titannav.com/.well-known/security.txt
Policy: https://titannav.com/legal/guvenlik-aciklari

4.3. Bildirim içeriği

Lütfen şunları ekleyin:

• Açığın kısa başlığı
• Etkilediği varlık (URL, uygulama ekranı, API endpoint)
• Tekrar üretim adımları (step-by-step)
• Proof of concept (ekran görüntüsü, video, kod)
• Etkileyebileceği kullanıcı/sistem sayısı
• Risk seviyesi tahmin (Düşük / Orta / Yüksek / Kritik)
• İletişim bilgileriniz + kamuya açıklama zaman çizelgeniz

5. Cevap süremiz

Araştırmacıya her aşamada bilgi verilir.

6. Kritik açık (veri ihlali) durumunda

Eğer bildirilen açık zaten sömürülmüş ise ve kişisel veri ihlali varsa:

• KVKK Madde 12/5 uyarınca Kurul'a 72 saat içinde bildirim yapılır
• Etkilenen kullanıcılara 72 saat içinde bildirim yapılır
• Araştırmacıya durum bilgisi verilir
• Ödül/teşekkür süreci, ihlal yönetiminden bağımsız yürütülür

7. Açık kategorileri ve örnekler

7.1. Kritik 🔴

• Authenticated olmayan SQL injection
• RCE (remote code execution)
• Full account takeover
• Bulk kişisel veri sızıntısı
• Hardcoded API key / secret (canlı/production)

7.2. Yüksek 🟠

• Privilege escalation (user → admin)
• IDOR (Insecure Direct Object Reference) kritik veri
• Cross-site scripting (stored)
• Bypass OTP/MFA
• Ödeme manipülasyonu

7.3. Orta 🟡

• Reflected XSS
• CSRF (önemli işlemlerde)
• Session fixation
• Information disclosure (error stack trace)
• Weak cryptography

7.4. Düşük 🟢

• Missing HTTP security header
• SSL misconfig (TLS 1.0/1.1)
• Version disclosure
• Low-impact open redirect
• UI/UX phishing riski

7.5. Kapsam dışı / informasyonel

• Email enumeration (CSRF ile bilinen)
• Clickjacking (modern tarayıcılar default korur)
• Missing SPF/DMARC (domain reputation, ama tehlike düşük)
• Tabnabbing
• Log4j / eski lib (eğer kullanılmıyorsa)

8. Ödül programı (Bug Bounty)

TitanNav geçerli güvenlik raporlarını Hall of Fame + parasal ödül ile karşılar. İki paralel kanal işler:

8.1. Hall of Fame + teşekkür

• Geçerli her rapor https://titannav.com/guvenlik/tesekkur sayfasında (araştırmacının onayı dahilinde) listelenir
• Ayrıntılı teşekkür mektubu + TitanNav markalı hediye (sticker, şapka vb.)

8.2. Parasal ödül

Ödeme kanalı:

• Kanal A: HackerOne veya BugCrowd platform aboneliği aktifken — platform üzerinden
• Kanal B: Platform aboneliği kurulu değilse — banka havalesi veya hediye kartı ile manuel

⚙️ Build-now-activate-later: HackerOne/BugCrowd aboneliği bütçe bağımlıdır; abonelik açılana kadar Kanal B aktif kalır ve geçerli rapor karşılıksız bırakılmaz. Kanallar arası geçiş güvenlik politikasını değiştirmez; yalnızca ödeme mekaniği değişir.

8.3. Ödeme koşulları

• Ödül, bulgunun doğrulanması ve düzeltilmesinin ardından ödenir
• Vergi yükümlülüğü araştırmacıya aittir; TitanNav stopaj yapmaz (araştırmacı kendi ülkesinin mevzuatına göre hareket eder)
• Aynı açık için birden fazla rapor gelirse ilk geçerli rapor ödüllendirilir
• Duplicate, informasyonel veya kapsam dışı raporlar ödüllendirilmez

9. Sorumlu açıklama (Coordinated Disclosure)

9.1. Timeline

• Raporlanmış açığın ilk 7 günü: Araştırmacı sessiz kalır
• Düzeltme gününe kadar: Araştırmacı sessiz kalır (90 gün tavan)
• Düzeltme sonrası: Araştırmacı kamuya açıklayabilir (şirket onayı ile)

9.2. Eş-duyuru

Araştırmacı ve TitanNav, düzeltme sonrası koordineli bir blog yazısı/duyuru yayınlayabilir. Araştırmacı bu duyuruda isimle (veya rumuzla) anılır.

9.3. CVE rezervasyonu

Uygun durumlar için TitanNav veya araştırmacı CVE numarası rezerve edebilir.

10. Yasal bağlam

• KVKK Madde 12 — Veri sorumlusunun güvenlik yükümlülüğü
• KVKK Madde 12/5 — Veri ihlal bildirimi
• TCK 243-245 — Bilişim sistemine girme/bozma/veri değiştirme (iyi niyetli araştırmacıları kapsamaz — Safe Harbor §3.3)
• 6698 sayılı Kanun'a Dair Kurul kararları — Özellikle 2018/10 (Teknik ve İdari Önlemler Rehberi)

11. Değişiklikler

Bu politikada değişiklik yapılırsa:

• Sürüm numarası artar
• security.txt güncellenir
• Aktif raporu olan araştırmacılara bildirim yapılır

12. İletişim özeti

Değişiklik tarihçesi