Güvenlik ve Sorumlu Açıklama

Alvest güvenliğini derinlemesine savunma (defense-in-depth) ilkesiyle tasarladık:

• Ulaşım katmanı: Tüm trafik TLS 1.2+ ile şifrelenir. HSTS etkindir, HTTP Strict Transport Security preload listesinde yer alırız.
• Kimlik doğrulama: Argon2 parola hash altyapısı, opsiyonel 2FA, brute-force koruması.
• Oturum yönetimi: HttpOnly + Secure + SameSite=Lax çerezler, JWT ile kısa ömürlü access token, refresh token rotasyonu.
• Yetkilendirme: Row-Level Security (RLS) politikaları ile kullanıcı düzeyinde veri izolasyonu.
• Veritabanı: AES-256 ile at-rest şifreleme, günlük şifreli yedek, 35 gün rotasyon.
• API anahtarları (borsa): Sıfır güven modeli - anahtarlar yalnızca istemcide, kullanıcı kimliğine bağlı türetilmiş anahtarla şifrelenir.
• İçerik bütünlüğü: CSP (Content Security Policy), X-Frame-Options DENY, Referrer-Policy strict-origin-when-cross-origin.
• Bağımlılık güvenliği: Otomatik SCA/SAST taramaları, haftalık bağımlılık güncellemeleri.
• Barındırma: SOC 2 Type 2 sertifikalı bulut altyapısı (DDoS koruması, WAF, edge caching).
• Log ve izleme: Güvenlik olayı logları 12 ay, olağan erişim logları 90 gün saklanır.

Alvest'te bir güvenlik açığı keşfettiyseniz, onu kamuya duyurmadan önce bize bildirin. Bu yaklaşım, kullanıcıların zarar görmesini önler ve bizim açığı mümkün olan en kısa sürede kapatmamızı sağlar.

Kurallar:

• Açığı yalnızca bulgularınızı doğrulamak için gereken minimum düzeyde test edin
• Kullanıcı verilerine erişmeyin, kopyalamayın, paylaşmayın; gerçek veri gördüğünüzde derhal durun ve bize bildirin
• Hizmet'e zarar vermeyin (silme, değiştirme, DDoS, otomatik tarama fırtınası)
• Sosyal mühendislik, phishing veya fiziksel saldırıları bu programın kapsamına dahil etmeyin
• Açığı kamuoyuyla paylaşmadan önce bize en az 90 gün süre tanıyın
• Açığın çözülmesi için makul şekilde işbirliği yapın

Bu kurallara uyan araştırmacılara karşı yasal işlem başlatılmaz ve teşekkür ederiz. Henüz nakit ödüllü bir program yürütmüyor olsak da önemli bulgular için tanınırlık ve minnettarlık yazısı sunuyoruz; tüzel kişilik kurulduktan sonra Bug Bounty programı başlatılması planımızda yer alıyor.

Kapsam dahilinde:

• alvest.app ve tüm alt alan adları
• Alvest tarafından yayımlanan API endpoint'leri (/api/*)
• Alvest kaynak kodu kamuya açık olan kısımları (varsa)
• Alvest resmi mobil uygulama (gelecekte)

Kapsam dışında:

• Üçüncü taraf altyapı sağlayıcılarımıza yönelik açıklar (ödeme, veritabanı, barındırma, e-posta, AI) - doğrudan ilgili sağlayıcıya bildirin. Güncel alt işleyici listesi: /subprocessors
• Borsalar (Binance, BTCTurk vb.) - ilgili borsaya bildirin
• Sosyal mühendislik, phishing kampanyaları
• Fiziksel saldırılar
• DDoS / yoğun trafik testleri (önceden yazılı onay olmaksızın)
• Rate limit test edilmesi (kapsamlı rate limit dokümantasyonumuz var, ayrıca test gerekmez)
• Outdated browser warnings
• Yalnızca teoride mümkün olan, pratikte sömürülemeyecek durumlar
• Kullanıcı tarafı ayar seçenekleri (örn. kullanıcının zayıf parola seçimi)

Güvenlik açığını privacy@alvest.app adresine "Security Disclosure" konusu ile e-posta ile bildirin. Bildiriminizde mümkün olduğunca aşağıdaki bilgileri ekleyin:

• Açığın tipi (XSS, SQL injection, IDOR, SSRF, CSRF, RCE, yetki yükseltme vb.)
• Etkilenen URL / endpoint / özellik
• Yeniden üretmek için adım adım talimat (proof-of-concept)
• Etki ve olası sömürü senaryosu
• CVSS 3.1 skoru (opsiyonel ama yararlı)
• Ekran görüntüleri veya video (varsa)
• İletişim bilgileriniz (anonim kalmayı tercih ederseniz belirtin)

PGP ile şifreli iletişim: Güvenli iletişim için PGP anahtarımızı /.well-known/pgp-key.asc adresinden alabilirsiniz (yayımlanacak).

Bildirim aldığımızda sizden aşağıdaki yanıtları bekleyin:

• 24 saat içinde: Bildiriminizin alındığına dair onay ve vaka numarası
• 5 iş günü içinde: İlk triage değerlendirmesi - geçerlilik, önem derecesi, etki analizi
• 30 gün içinde: Orta ve yüksek önemli açıkların kapatılması
• 90 gün içinde: Kritik olmayan tüm açıkların kapatılması

Kritik açıklar (örn. kimlik doğrulama bypass, veritabanı erişimi, tüm kullanıcıları etkileyen RCE) 24-72 saat içinde sıcak yama ile kapatılır.

Süreç sonunda sizinle iletişim halinde kalır, açığı kapattığımızı doğrular ve izin verirseniz tanınırlık listemizde adınızı belirtiriz.

Aşağıdaki bildirim tipleri bu program kapsamında değildir:

• Otomatik tarayıcı çıktıları (Nessus, Nikto, ZAP vb.) detaylı PoC olmadan
• "best practice" önerileri (örn. "email gönderim rate limit yok")
• Sosyal mühendislik ile elde edilmiş bilgiler
• Phishing test raporları
• CVE yayınlanmış kütüphanelerin kullanımı (zaten biliniyor ve güncelleniyor; yeni exploit tespit ederseniz bildirin)
• Outdated DNSSEC / SPF / DMARC yapılandırma önerileri (mevcut yapılandırmamız var; ciddi açık varsa bildirin)

Müşterileri etkileyen ciddi güvenlik olaylarını:

• E-posta ile: Etkilenen kullanıcılara 72 saat içinde KVKK m.12/5 ve GDPR Art. 33-34 uyarınca
• Değişiklik günlüğü: /changelog sayfasında retro-aktif olarak
• Durum sayfası: status.alvest.app (yayımlanacak)
• RSS: Güvenlik bildirimleri feed'i (yayımlanacak)

ile duyururuz. Şeffaflığımızı kanıtlamak için her ciddi olay sonrası "post-mortem" raporu yayımlamayı taahhüt ederiz.

RFC 9116 uyarınca güvenlik iletişim bilgilerimiz `/.well-known/security.txt` adresinde yayımlanır. Bu dosya güvenlik tarayıcıları ve otomatik araçlar tarafından okunabilir formattadır ve aşağıdaki bilgileri içerir:

• İletişim adresi (privacy@alvest.app)
• Politika URL'i (bu sayfa)
• Tercih edilen diller (TR, EN)
• Geçerlilik tarihi
• PGP anahtarının yeri

İyi niyetle sorumlu açıklama kurallarına uyan güvenlik araştırmacılarına karşı Alvest:

• Yasal işlem başlatmaz (Türk Ceza Kanunu, Computer Fraud and Abuse Act, Bilişim Suçları mevzuatı)
• Hukuki tazminat talebinde bulunmaz
• Araştırmacının kimliğini onayı olmadan paylaşmaz
• Otomatik güvenlik bloklarını tetikleyen testleri hesap askıya alma gerekçesi saymaz

Bu güvence, belirtilen kurallara uyulması şartıyla geçerlidir. Kurallara aykırı (gerçek veri erişimi, veri ifşası, hizmet zararı) durumlar kapsamda değildir.