Sorumlu Kullanım ve Yetkili Güvenlik Analizi Politikası

01Amaç ve Kapsam

Bu politika; BulutraSecure’un kullanımına ilişkin sorumluluk ilkelerini belirler. BulutraSecure, müşterinin sahibi olduğu veya değerlendirmeye açıkça yetkili olduğu uygulama ve API’lerin maruziyetini ölçmek, önceliklendirmek ve raporlamak için tasarlanmıştır. Hizmet; üçüncü taraf sistemlere izinsiz saldırı, sızma veya zarar verme amacıyla kullanılamaz.

02Yetkili Kapsam İlkesi

Analiz yalnızca, müşterinin sahip olduğu ya da yazılı olarak yetkilendirildiği varlıkları kapsar. Müşteri, analize sunduğu her uygulama, API, yapı (APK/AAB/IPA) ve trafik kaydı için gerekli hak ve yetkiye sahip olduğunu beyan ve taahhüt eder.

03İzinsiz Canlı Sistem Testi Yapılmaz

BulutraSecure, mutabık kalınan kapsam dışındaki sistemlerde izinsiz canlı test yürütmez. İnceleme; gönderilen materyaller ve önceden kararlaştırılan hedeflerle sınırlı, kapsam temelli bir değerlendirmedir. Kapsam dışına çıkan hiçbir işlem yapılmaz.

04Kişisel Veriye Erişim Gerektirmez

Bulgular; kayıtlarınızın içeriğine değil, açıklara ve yapılandırmaya odaklanır. Analizin yürütülmesi için kişisel verilerin görüntülenmesi bir zorunluluk değildir. Süreç, KVKK ve gizlilik ilkeleriyle uyumlu biçimde yürütülür; tesadüfen erişilen herhangi bir kişisel veri, raporlama amacıyla gerekmedikçe işlenmez.

05Sorumlu Açıklama (Responsible Disclosure)

Tespit edilen açıklar, bulgudan gidermeye kontrollü bir süreç içinde yalnızca yetkili muhataplarla paylaşılır. Bulgular gizli tutulur; kamuya açıklanmaz ve kötüye kullanılmaz. Amaç, riskin sömürülmesi değil giderilmesidir.

06Standartlar ve Raporlama

Raporlama, kabul görmüş mobil ve API güvenlik beklentileri (ör. OWASP MASVS) çerçevesinde sunulur ve gerekli yerlerde KVKK / gizlilik risk notlarını içerir. Çıktılar; yönetime hazır bir özet ve mühendise hazır teknik ayrıntı olarak iki biçimde verilir.

07Resmi Sızma Testiyle İlişki

BulutraSecure bir güvenlik ön analizi olarak konumlanır. Resmî, mevzuata tabi bir sızma testinin (penetrasyon testi) veya yasal olarak zorunlu bir denetimin yerini zorunlu olarak almaz. Düzenleyici bir yükümlülüğünüz varsa, akredite bir sağlayıcıdan resmî test/denetim almanız gerekebilir; BulutraSecure bu süreci tamamlayıcı olarak kullanılabilir.

08Kötüye Kullanımın Yasaklanması

Platformun, raporların veya bulguların; yetkisiz erişim, izinsiz test, veri sızdırma ya da herhangi bir hukuka aykırı amaç için kullanılması kesinlikle yasaktır. Bu tür kullanım, hizmetin derhâl sonlandırılması ve gerekli hâllerde yasal başvuru sebebidir.

09Müşteri Yükümlülükleri

• Analize sunulan varlıklar için yetki ve mülkiyetin bulunduğunu beyan etmek
• Kapsamı (uygulamalar, API’ler, hedefler) açık biçimde tanımlamak
• Gerekli yasal izin ve onayları (ör. üçüncü taraf bileşenler) sağlamak
• Bulguları sorumlu biçimde ele almak ve gidermeye yönelik adımları yürütmek

Çalışmalar, kurumunuzla mutabık kalınan tanımlı bir kapsam ve yetki çerçevesinde (sözleşme/yetki belgesi) yürütülür.

10İletişim

Sorumlu kullanım, kapsam ve yetkilendirme soruları için: [email protected]. Ayrıca Kullanım Şartları ve Gizlilik Politikası bu politikayı tamamlar.