Güvenlik Politikası

Son güncelleme: 2026-05-13

Güvenliği ciddiye alıyoruz. Bu politika, bir güvenlik açığının nasıl bildirileceğini, buna karşılık verdiğimiz taahhütleri ve kapsamı açıklar. Güvenlik araştırmacıları için resmi meta veriler ayrıca /.well-known/security.txt (RFC 9116) adresinde bulunur.

1. Bildirim Nasıl Yapılır

[email protected] adresine e-posta gönderin (talep üzerine PGP anahtarı sağlanır) veya https://hackerone.com/elido adresinden özel bir bildirim açın. Her iki yol da aynı nöbetçi ekip kuyruğuna ulaşır. Lütfen yeniden üretim adımlarını, etkilenen URL/uç noktayı ve gözlemlediğiniz etkiyi ekleyin. Bir düzeltme üzerinde koordinasyon sağlanana kadar ayrıntıları kamuya açık şekilde paylaşmayın.

2. Yanıt SLA'sı

İlk yanıt: 24 saat içinde. Önem derecesi ile triyaj: 5 iş günü içinde. Çözüm hedefi: Yüksek/Kritik için 14 gün, Orta/Düşük için 30 gün. Bir düzeltmenin daha uzun sürmesi gerekiyorsa (örneğin üçüncü taraf bağımlılık beklemesi), sizi haftalık olarak bilgilendireceğiz.

3. Kapsam İçinde

elido.app (pazarlama sitesi), app.elido.app (panel), api.elido.app (REST + GraphQL), elido.me / f.elido.me / s.elido.me / b.elido.me (yönlendirme katmanları), docs.elido.app, Elido iOS ve Android uygulamaları, elidoapp/elido-* npm paketleri ve Elido MCP sunucusu (packages/mcp-server).

4. Kapsam Dışında

Kullandığımız üçüncü taraf hizmetler (kimlik doğrulama ve kimlik sağlayıcımız, destek sohbet sağlayıcımız, Cloudflare, Anthropic, monobank Plata, Coinbase Commerce, WorkOS, Resend) - lütfen bunları doğrudan ilgili tarafa bildirin. Hız sınırlaması (rate-limit) uygulanan uç noktalara kaba kuvvet (brute-force) saldırıları (bunları kendimiz test ediyoruz). Elido personelini hedefleyen sosyal mühendislik. Hacimsel / DoS saldırıları. Mağdurun Elido dışında kötü amaçlı yazılım kurmasına bağlı bulgular. Kısa bağlantının kendisi aracılığıyla açık yönlendirme (open redirect) - bu, hizmetin doğasıdır.

5. Güvenli Liman

Bu politikaya iyi niyetle uymaya çalışırsanız, yasal işlem başlatmayacak ve sorunu anlamak ve çözmek için sizinle birlikte çalışacağız. Özellikle: yalnızca kendi hesaplarınız üzerinde test yapmanız, üretim verilerini dışarı sızdırmamanız, diğer müşterileri etkilememeniz ve bir düzeltme yayınlanmadan önce durumu kamuya açıklamamanız şartıyla.

6. Ödüller

Elido, HackerOne üzerinde ücretli bir bug bounty (hata ödül) programı yürütür. Gösterge niteliğindeki ödüller (USD): Kritik $3000, Yüksek $1500, Orta $500, Düşük $200, Önemsiz $50 değerinde hediye eşdeğeri. Nihai tutar; etkiye, yeniliğe ve bildirimin kalitesine bağlıdır. Onayınızla, ücretsiz olan geçerli bildirimleri de /legal/security-acknowledgments sayfasında listeleriz.

7. Teşekkürler

Bize yardımcı olan araştırmacıları /legal/security-acknowledgments sayfasında kamuya açık şekilde onurlandırırız - tercihinize göre takma ad veya gerçek adınızla, ve yalnızca sorun düzeltildikten sonra.