# Security Policy — Teknik Danışman

## Sorumlu Açıklama (Responsible Disclosure)

Teknik Danışman olarak ürünümüzü kullanan tüm kurumların verisini korumak en yüksek önceliklerimizden biridir.
Bir güvenlik açığı keşfettiğinizi düşünüyorsanız, lütfen bilgiyi **yayınlamadan önce** bize bildirin.

### İletişim

- **Birincil:** security@teknikdanisman.net
- **Yedek:** admin@teknikdanisman.net
- **Acil durum:** Konu satırına `[SECURITY-CRITICAL]` ekleyin

PGP anahtarımız hazırlık aşamasındadır; yayınlandığında bu dokümandan duyurulacaktır.

### Beklediğimiz Bilgiler

- Açığın tipi (XSS, SQLi, IDOR, auth bypass, vb.)
- Adım adım yeniden üretim (PoC)
- Etkilenen URL/endpoint/sayfa
- Etkilenen kullanıcı/tenant türü
- Potansiyel etki tahmini
- Sizi nasıl tanıyabileceğimiz (handle/isim/şirket) — opsiyonel

### Beklemeyin

- Üçüncü taraf entegrasyon bug'ları için doğrudan ilgili sağlayıcıya bildirim
- Açığı kamuya açıklamak (koordineli zaman penceresi öncesi)
- Diğer kullanıcıların verisine erişmek, veri sızdırmak veya hizmeti bozmak

### Tepki Süreleri (Hedef)

| Aşama | Süre |
|---|---|
| İlk yanıt | 2 iş günü |
| Etki değerlendirmesi | 5 iş günü |
| Düzeltme yayını (kritik) | 30 gün |
| Düzeltme yayını (yüksek) | 60 gün |
| Düzeltme yayını (orta/düşük) | 90 gün |

### Kapsam

**Kapsam içi:**
- `teknikdanisman.net` ve alt-domain'leri
- Üretim panel + super admin panel
- Public API endpoint'leri (`/api/v1/*`)

**Kapsam dışı:**
- Üçüncü taraf entegrasyonlar (Groq, Stripe, iyzico, Microsoft 365, vs.)
- Sosyal mühendislik denemeleri
- Fiziksel güvenlik
- DDoS/DoS testleri
- Spam veya rate-limit bypass denemeleri
- Otomatik tarayıcı raporları (Nessus, Acunetix, vb.) — manuel doğrulama olmadan kabul edilmez

### Yasal

İyi niyetli güvenlik araştırması bu politikayla korunur. Aşağıdaki kriterlere uyduğunuz sürece yasal işlem başlatmayacağımızı taahhüt ederiz:

- Yalnızca kendi test hesabınızda çalışın
- Veri bütünlüğüne zarar vermeyin
- Veriyi sızdırmayın, paylaşmayın
- Hizmeti bozmayın
- Bulgu raporlanmadan ifşa etmeyin

## Acknowledgments

Aşağıdaki araştırmacılara, sorumlu açıklama süreciyle bizimle paylaştıkları katkılar için teşekkür ederiz:

_(Henüz katkı sağlayan araştırmacı yok — listede yer almak için yukarıdaki süreci izleyin.)_

## Güvenlik Mimarisi Notları

Mevcut güvenlik kontrolleri:

- **Kimlik doğrulama:** Session-tabanlı + brute-force koruması + Remember Me (token rotation)
- **2FA:** TOTP (admin role için zorunlu — `APP_ENFORCE_2FA_FOR_ADMINS`)
- **Trusted devices:** Cookie-tabanlı, expiry'li
- **CSRF:** Tüm POST formlarında otomatik enjeksiyon + `require_valid_csrf()`
- **SQL Injection:** Yalnızca PDO prepared statements; string interpolasyonu yasak
- **Şifre depolama:** `password_hash()` PASSWORD_DEFAULT (bcrypt)
- **Hassas alan şifreleme:** AES-256-CBC (`cv_encrypt`/`cv_decrypt`)
- **Audit log:** Tüm hassas eylemler `audit_log()` ile kayıt altında
- **Multi-tenancy:** Tenant başına izole MySQL veritabanı
- **HTTPS:** Üretim sadece HTTPS (HSTS yakında)
- **Güvenlik başlıkları:** CSP, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy

## Sürüm Geçmişi

- 2026-06-21 — İlk yayın