Güvenlik Açığı Raporlama

• Amazon Web Services (AWS): Bir güvenlik açığını bildirmek istiyorsanız veya AWS bulut hizmetleriyle ya da açık kaynak projeleriyle ilgili bir güvenlik endişeniz varsa lütfen aws-security@amazon.com ile iletişime geçerek bilgileri gönderin. Gönderiminizin içeriklerini korumak istiyorsanız PGP anahtarımızı kullanabilirsiniz.
• Amazon.com (Perakende): Amazon.com (Perakende), Seller Central, Amazon Payments ile ilgili veya şüpheli siparişler, geçersiz kredi kartı tahsilatları, şüpheli e-postalar gibi diğer ilgili konularda bir güvenlik endişeniz varsa ya da güvenlik açığı bildiriminde bulunmak istiyorsanız lütfen Perakende Güvenliği web sayfamızı ziyaret edin.
• Sızma Testine Yönelik AWS Müşteri Desteği Politikası: AWS müşterileri, listelenen hizmetler için ön onay gerekmeksizin AWS altyapıları üzerinde diledikleri güvenlik değerlendirmelerini veya sızma testlerini gerçekleştirebilir. Diğer Simüle Edilen Olaylar İçin Yetki İsteme süreci Simüle Edilen Olaylar formu kullanılarak yapılmalıdır. AWS Çin (Ningksia ve Pekin) Bölgesi'nde faaliyet gösteren müşteriler için lütfen bu Simüle Edilen Olaylar formunu kullanın.
• AWS Kötüye Kullanımı: AWS kaynaklarının (bir EC2 bulut sunucusu veya S3 bucket'ı gibi) şüpheli etkinlikler için kullanıldığından şüpheleniyorsanız bu durumu Amazon AWS kötüye kullanımını bildirme formu ile ya da abuse@amazonaws.com e-posta adresini kullanarak AWS Kötüye Kullanım Ekibi'ne bildirebilirsiniz.
• AWS Uygunluk Bilgisi: AWS uygunluk raporlarına erişim, AWS Artifact yoluyla mümkündür. AWS Uygunluk ile ilgili ek sorularınız varsa lütfen bu soruları alım formu ile iletin.

Bildiriminize daha etkili bir şekilde yanıt verebilmemiz için lütfen güvenlik açığının niteliğini ve ciddiyetini anlamamıza yardımcı olma konusunda yararlı olacak her türlü destekleyici malzemeyi (kavram kanıtlama kodu, araç çıktısı vb.) sunun.

Bu sürecin parçası olarak AWS ile paylaştığınız bilgiler AWS içinde gizli tutulur. AWS yalnızca bildirdiğiniz güvenlik açığı bir üçüncü şahsın ürününü etkilediğinde bu bilgiyi bir üçüncü şahısla paylaşır. Bu durumda biz de bilgiyi üçüncü şahıs ürününün yazarına ya da üreticisine iletiriz. Bunun dışında AWS, bilgilerinizi yalnızca izin verdiğiniz ölçüde paylaşır.

AWS olarak, gönderdiğiniz bildirimi inceleyerek bir izleme numarası atarız. Ardından size bildirimin alındığını onaylayarak yanıt veririz ve süreçteki sonraki adımları özetleriz.

Aşağıdaki aktiviteler AWS Güvenlik Açığı Bildirme Programı bakımından kapsam dışıdır. Aşağıdaki aktivitelerden herhangi birinin yapılması programdan kalıcı olarak diskalifiye edilmek anlamına gelecektir.

• Altyapımızda barındırılan AWS müşterilerinin ya da AWS dışı sitelerin varlıklarını hedeflemek
• AWS müşterileri ya da çalışan hesaplarının suistimal edilmesiyle elde edilen güvenlik açıkları
• AWS ürünleri ya da müşterilerine karşı herhangi bir Hizmet Reddi (DoS) Saldırısı
• AWS çalışanları, ofisleri ve veri merkezlerine fiziksel saldırılar
• AWS çalışanları, yüklenicileri, satıcıları ve hizmet sağlayıcılarına yönelik sosyal mühendislik
• Bilinçli şekilde kötü amaçlı yazılım paylaşmak, iletmek, yüklemek, bağlantı oluşturmak ya da göndermek
• İstenmeyen toplu mesajlar (spam) ileten güvenlik açıklarını takip etmek

AWS hızlı yanıt vermeyi ve sizi ilerlememizle ilgili olarak bilgilendirmeyi taahhüt eder. 24 saat içinde ilk raporunuzun alındığını onaylayan otomatik olmayan bir yanıt, zamanında güncellemeler ve etkileşim boyunca aylık kontroller alacaksınız. İstediğiniz zaman güncelleme talep edebilirsiniz. Herhangi bir endişeyi veya ifşa koordinasyonunu netleştirmeye yönelik iletişimleri memnuniyetle karşılarız.

Uygunsa, AWS doğrulanmış herhangi bir güvenlik açığına ilişkin genel açıklama bildirimini sizinle birlikte koordine eder. Mümkün olduğunda, ilgili genel açıklamalarımızın aynı anda gönderilmesini tercih ederiz.

AWS olarak, müşterilerimizi korumak amacıyla bildirilen güvenlik açığını araştırıncaya, yanıtlayıncaya ve giderinceye kadar ve gerekirse müşterileri bilgilendirinceye kadar olası güvenlik açığıyla ilgili hiçbir bilginin hiçbir genel ortama gönderilmemesini veya buralarda paylaşılmamasını isteriz. Ayrıca müşterilerimize ait hiçbir veriyi göndermemenizi veya paylaşmamanızı rica ediyoruz. Geçerli bir raporlanmış güvenlik açığı incelenmesi zaman alacaktır ve bu süre güvenlik açığının ciddiyetine ve etkilenmiş sistemlere bağlı olacaktır.

AWS, genel bildirimleri AWS Güvenlik web sitesinde yayınlanan Güvenlik Bültenleri biçiminde yapmaktadır. Kişiler, şirketler ve güvenlik ekipleri genellikle önerilerini kendi web sitelerinde ve diğer forumlarda yayınlar. Ayrıca ilgisi olduğunda AWS Güvenlik Bültenlerine söz konusu üçüncü tarafların bağlantılarını ekleriz.  

AWS iyi niyetle yapılan güvenlik araştırmasının güvenli limana sahip olması gerektiğine inanmaktadır. Güvenlik araştırmaları ve güvenlik açığı raporlaması için güvenli liman oluşturmak amacıyla AWS Güvenlik, en başta "Güvenli Liman" ve "Beklentilerimiz" olmak üzere disclose.io'nun temel hükümlerini benimsemiştir. AWS müşterilerini koruma kararlılığımızı paylaşan güvenlik araştırmacılarıyla çalışmayı dört gözle bekliyoruz.

Buna göre, bu politika kapsamında yürütülen güvenlik araştırmalarının aşağıdaki şekilde olduğunu düşünürüz:

• Geçerli bilgisayar korsanlığı karşıtı yasalar konusunda yetkilendirilmiş olması; bu politikanın kazara, iyi niyetli ihlalleri nedeniyle size karşı yasal işlem başlatmayız veya bunları desteklemeyiz;
• Tüm alakalı atlatma önleme yasaları konusunda yetkilendirilmiş olması; teknoloji denetimlerini atlatma nedeniyle size karşı bir iddiada bulunmayız;
• Hizmet Şartlarımızda ve/veya Kabul Edilebilir Kullanım Politikamızda yer alan ve güvenlik araştırmalarının yürütülmesine müdahale edecek kısıtlamalardan muaf olması; bu kısıtlamalardan sınırlı olarak feragat ederiz ve
• Yasal olarak, internetin genel güvenliğine yardımcı olması ve iyi niyetle yürütülmesi.

Her zaman olduğu gibi, geçerli tüm yasalara uymanız beklenir. Bir üçüncü şahıs tarafından size karşı yasal işlem başlatılırsa ve bu politikaya uyduysanız eylemlerinizin bu politikaya uygun olarak yürütüldüğünü bildirmek için adımlar atacağız.

Herhangi bir zamanda endişeniz olursa veya güvenlik araştırmanızın bu politikayla tutarlı olup olmadığından emin değilseniz ilerlemeden önce lütfen daha önce belirtilen kanallarımızdan herhangi birinden "Şüpheli Güvenlik Açıklarını Bildirme" aracılığıyla bir rapor gönderin.

Güvenli limanın yalnızca bu politikaya katılan kuruluşun denetimi altındaki yasal iddialar için geçerli olduğunu ve bu politikanın bağımsız üçüncü tarafları bağlamadığını unutmayın.

Güvenlik açığı ifşa programımıza iyi niyet çerçevesinde katılırken, sizden şunları rica ediyoruz:

• Bu politikaya ve diğer ilgili anlaşmalara uymak da dahil olmak üzere kurallara uygun davranın. Bu politika ile diğer geçerli şartlar arasında herhangi bir tutarsızlık varsa bu politikanın şartları geçerli olacaktır;
• Keşfettiğiniz herhangi bir güvenlik açığını derhal bildirin;
• Başkalarının gizliliğini ihlal etmekten, sistemlerimizi kesintiye uğratmaktan, verileri tahrip etmekten ve/veya kullanıcı deneyimine zarar vermekten kaçının;
• Güvenlik açığı bilgilerini bizimle tartışmak için yalnızca daha önce belirtilen kanalları kullanın;
• Sorunu kamuya açıklamadan önce çözmemiz için ilk rapordan itibaren makul bir süre tanıyın;
• Yalnızca kapsam içi sistemlerde test yapın ve kapsam dışı sistem ve faaliyetlere saygı gösterin;
• Bir güvenlik açığı verilere istenmeyen erişim sağlıyorsa: Etkili bir şekilde bir kavram kanıtı ortaya koymak üzere, eriştiğiniz veri miktarını gereken minimum seviyeyle sınırlayın; test sırasında Kimliği Tanımlayabilecek Bilgiler (PII), Kişisel Sağlık Bilgileri (PHI), kredi kartı verileri veya tescilli bilgiler gibi herhangi bir kullanıcı verisiyle karşılaşırsanız derhal testi durdurun ve bir rapor gönderin;
• Yalnızca sahip olduğunuz test hesaplarıyla veya hesap sahibinin açık izniyle etkileşim kurun ve
• Zorla elde etme eyleminde bulunmayın.