Kurumsal Bireysel
Vulnerability Disclosure Policy

Güvenlik açıklarının koordineli şekilde açıklanması

Password Depot için Coordinated Vulnerability Disclosure / VDP

Güncelleme tarihi: 10 Mart 2026

Güvenlik açığı bildir Security Advisories
Safe Harbor Kapsam 48 saat içinde onay Coordinated Disclosure
Amaç ve kapsam

Bu politikanın amacı

AceBIT GmbH, Password Depot ve AceBIT’in sorumluluğundaki ilgili ürün bazlı web hizmetlerindeki güvenlik açıklarına ilişkin bildirimleri memnuniyetle karşılar. Bu politika, güvenlik araştırmacılarının olası güvenlik açıklarını nasıl bildirebileceğini, güvenlik araştırmaları için hangi kuralların geçerli olduğunu ve AceBIT’in koordineli ifşa kapsamında hangi taahhütlerde bulunduğunu açıklar.

Bildirimler Almanca veya İngilizce yapılabilir.

Kapsam

  • Password Depot Enterprise Server
  • Password Depot Windows Client
  • Password Depot macOS Client
  • Password Depot Linux Client
  • Tarayıcı uzantısı (Chrome, Edge, Firefox)
  • Mobil uygulamalar (iOS, Android)
  • password-depot.de altındaki ürünle ilgili web hizmetleri

Belirtilen ürünlerin parçası olmaları durumunda üçüncü taraf bileşenler de dahildir.

Kapsam dışı

  • Canlı müşteri ortamları, müşteriye özel kurulumlar ve diğer üçüncü taraf sistemleri
  • Password Depot’un parçası olmayan, üçüncü taraflarca işletilen hizmetler veya altyapılar
  • Social Engineering, Phishing, fiziksel saldırılar, spam, Brute Force, Credential Stuffing, toplu taramalar veya hizmet reddi testleri
Safe Harbor

Safe Harbor

İyi niyetle hareket etmeniz, bu politikaya uymanız, testlerinizi yukarıda açıklanan kapsamla sınırlamanız ve hiçbir veriyi okumamanız, değiştirmemeniz, silmemeniz, dışarı aktarmamanız veya hizmetleri olumsuz etkilememeniz durumunda, hukuken izin verildiği ölçüde, bu güvenlik araştırması nedeniyle size karşı herhangi bir hukuki talepte bulunmayız.

Etki alanımız içinde olması ve hukuken izin verilmesi koşuluyla, bu tür güvenlik araştırmaları nedeniyle cezai şikâyette de bulunmayacağız.

Bu, kapsam dışındaki eylemler, müşteri veya diğer üçüncü taraf sistemlerine yönelik testler, veri koruma ihlalleri, operasyonel kesintiler veya yürürlükteki hukuka yönelik diğer ihlaller için geçerli değildir.

Bu politika, burada açıklanan kapsam dışında test yapılmasına izin vermez.
Yönergeler

Güvenlik araştırmacılarından beklentilerimiz

1 Dikkatli ve iyi niyetli hareket edin; testlerinizi, zafiyeti doğrulanabilir şekilde kanıtlamak için gerekli olanlarla sınırlayın.
2 Gerçek müşteri verilerine erişmeyin. Hassas verilere istemeden erişmeniz durumunda testi derhal durdurun ve bizi gecikmeden bilgilendirin.
3 Verileri değiştirmeyin, silmeyin, dışarı aktarmayın veya yayımlamayın.
4 Sistemleri ya da hizmetleri olumsuz etkileyebilecek veya erişilebilirliğini azaltabilecek testler gerçekleştirmeyin.
5 Social engineering, phishing veya fiziksel saldırılar kullanmayın; ayrıca arka kapılar ya da kalıcılık mekanizmaları kurmayın.
6 Yayın için üzerinde mutabık kalınmış bir tarih birlikte belirlenmeden önce ayrıntıları kamuya açık şekilde paylaşmayın.
PGP anahtarı

Şifreli iletişim

Hassas teknik ayrıntılar için lütfen Password Depot Security ekibinin herkese açık PGP anahtarını kullanın. Lütfen şifreleme yapmadan önce indirdiğiniz anahtarın parmak izini doğrulayın.

Kimlik Password Depot Security <security@password-depot.de> Birincil parmak izi (Ed25519, Sign+Certify) 29D3 2E66 D801 E549 8EFD C944 2D9D 5787 9104 EBAA Şifreleme alt anahtarı (Curve25519) 8FC8 9959 3ACD 6D36 4F81 CC19 18A4 0C54 0FD1 0767 Geçerlilik Birincil anahtar 2031-04-23 tarihine kadar geçerlidir · Şifreleme alt anahtarı 2028-04-23 tarihine kadar geçerlidir Anahtarı indirin https://www.password-depot.de/.well-known/pgp-key.asc

Ek olarak /.well-known/security.txt altında RFC 9116 (security.txt) aracılığıyla da bulunabilir.

Bildirim

Bir zafiyet nasıl bildirilir

Bildirim gönderin

Lütfen bildiriminizi şu adrese gönderin:

security@password-depot.de

Lütfen aşağıdakileri ekleyin

  • Etkilenen ürün, sürüm, build ve bileşen
  • Zafiyetin açıklaması
  • Yeniden üretim adımları / Proof of Concept
  • Etki ve önem derecesine ilişkin değerlendirme
  • Test ortamı, yapılandırma ve ön koşullar
  • İletişim bilgileri ve gerekiyorsa isminizin belirtilmesine ilişkin talebiniz
Lütfen gereksiz kişisel veriler ve üretim ortamlarından büyük veri kümeleri göndermeyin.

Gizlilik

Bildiriminizi ve talep etmeniz hâlinde kimliğinizi, yasal olarak mümkün olduğu ölçüde gizli tutarız. İsminizi yalnızca önceden onay vermeniz durumunda yayımlarız.

Bilgileriniz yalnızca zafiyetin incelenmesi, giderilmesi ve koordineli şekilde açıklanması ya da yasal yükümlülüklerin yerine getirilmesi için gerekli olduğu ölçüde paylaşılır.

Süreç

Bildiriminizden sonra ne olur

Alındı onayı 48 saat Bildiriminizi aldığımızı teyit ederiz.
İlk değerlendirme 7 gün Bildirimin geçerli, mükerrer, kapsam dışında veya şu anda doğrulanamaz olarak değerlendirildiğini size bildiririz.
Düzenli güncellemeler her 30 günde bir Giderilene veya üzerinde mutabık kalınan açıklamaya kadar sizi işlem durumu hakkında bilgilendiririz.
Açıklama

Koordineli açıklama ve Security Advisories

Bir güvenlik güncellemesi veya başka bir etkili düzeltici önlem kullanıma sunulur sunulmaz, doğrulanmış güvenlik açıkları için kural olarak bir Security Advisory yayımlarız.

Derhâl yayımlanması kullanıcılarımızın güvenliğini tehlikeye atacaksa, yayımı uygun bir zamana kadar erteleyebiliriz.

Security Advisories’i görüntüleyin

Bir Security Advisory en az şunları içerir

  • Güvenlik açığının açıklaması
  • Etkilenen ürünler ve sürümler
  • Etkiler ve önem derecesi
  • Giderme veya azaltmaya yönelik açık bilgiler

Yasal bildirim yükümlülüklerine ilişkin not

Bir bildirim, aktif olarak istismar edilen bir güvenlik açığına veya ciddi bir güvenlik olayına işaret ediyorsa, gerekli teknik bilgileri yetkili makamlara, yetkili CSIRT’ye ve ENISA’ya iletmek ve etkilenen kullanıcıları bilgilendirmek konusunda yasal olarak yükümlü olabiliriz.

Bu kapsamda kimliğinizi yalnızca hukuken gerekli olduğu ölçüde paylaşırız.

Takdir

Ayrı olarak açıkça duyurulmadığı sürece, şu anda mali ödül veya bug bounty ödemesi sunmuyoruz.

İsterseniz, güvenlik açığı giderildikten sonra adınızı bir Security Advisory’de veya teşekkür bölümünde belirtiriz. Lütfen bunu bildiriminiz sırasında bize iletin.

AceBIT GmbH Schleiermacherstr. 10 · 64283 Darmstadt · Almanya E-posta: security@password-depot.de
Bir güvenlik açığını bildirin