ScoutAtlas
Hukuk · her bölümün üzerinde sade Türkçe özet

Scout Atlas hukuk.

Önce sade dil, sonra resmi dil. Hukuk sayfalarını ürün gibi ele alıyoruz — okunaklı, iyi sürümlenmiş ve ne yapıp ne yapmadığımız konusunda dürüst.

Plain summary

Güvenliği bir ürün özelliği olarak ele alıyoruz. Bu sayfa alt-işleyenlerimizi, olay yanıt SLA’larımızı ve zafiyet bildirim programımızın kurallarını listeler. Anlatım için kamuya açık güvenlik sayfasına bakın.

Alt-işleyenler

Herhangi bir alt-işleyen değişikliğinden en az 30 gün önce hesap adminlerini bilgilendiririz. Canlı liste /security/sub-processors.json adresine yansıtılır.

  • Supabase — Postgres veritabanı, kimlik doğrulama, satır seviyesi güvenlik. Avrupa kulüpleri için AB bölgesi, talep üzerine ABD bölgesi.
  • Vercel — Pazarlama sitesi ve authenticate edilmiş app shell için uygulama barındırma ve edge dağıtım.
  • Stripe — Self-servis pilot için ödeme işleme. PCI-DSS Seviye 1.
  • Resend — İşlemsel e-posta (magic link, hesap bildirimleri, özet e-postaları).
  • Cloudflare — DNS ve DDoS koruması.

Olay müdahalesi

  • Tespit. Kimlik doğrulama anomalilerinde, hata oranı sıçramalarında ve veritabanı erişim örüntülerinde gerçek zamanlı uyarı. Kurucu nöbetli rotasyon 7/24.
  • Triage. 30 dakika içinde önem sınıflandırması (S1/S2/S3), kamuya açık runbook’a göre.
  • Bildirim. Üye verisini etkileyen onaylanmış olaylarda etkilenen kulüplere 72 saat içinde, teknik detayla bildirim.
  • Post-mortem. Etkilenen kulüplere 14 gün içinde, düzeltici aksiyonlar ve zaman çizelgesi içeren yazılı post-mortem.

Zafiyet bildirimi

Açık bir program yürütüyoruz. security@scoutatlas.co adresine yeniden üretim adımları ve (geçerliyse) proof-of-concept payload ile yazın.

  • 48 saat içinde alındı bildirimi yaparız.
  • Önem derecesine göre ölçeklenen 7 gün içinde düzeltme zaman çizelgesi taahhüt ederiz.
  • Yamalar yayına girdiğinde araştırmacılara — izinleriyle — changelog’ta atıfta bulunuruz.
  • Bildirim programı kurallarına uyan iyi-niyetli araştırmacılar aleyhine yasal işlem başlatmama taahhüdünde bulunuruz.

Kapsam dışı

Aşağıdakiler bildirim programının açıkça kapsamı dışındadır: hizmet reddi (DoS) saldırıları, personel sosyal mühendisliği, kamuya çoktan açıklanmış üçüncü-taraf hizmet zafiyetleri ve fiziksel-güvenlik testleri.

Şifreleme

  • Aktarımda TLS 1.3, yalnızca modern cipher suite, HSTS preload.
  • Hassas sütunlarda durağanda AES-256-GCM.
  • Deal Room mesajları için oda başına okuyamadığımız anahtarlarla uçtan uca şifreleme.
  • Opt-in özel akışlar (GPS, biyometri, medikal) için kulüp başına anahtar zarfları.

Denetimler

  • SOC 2 Type II hazırlık denetimi — Q4 2026.
  • Bağımsız sızma testi — 2. yıldan itibaren yıllık (2027).
  • Erişim izinleri ve denetim kayıtlarının çeyreklik iç incelemesi.

Oney Finansal Danışmanlık Turizm ve Dış Ticaret Anonim Şirketi (“Oney AŞ”), Türkiye Cumhuriyeti yasalarına göre kurulmuş, kayıtlı merkezi İstanbul’da bulunan bir anonim şirket tarafından işletilmektedir.

Son güncelleme · 5 Mayıs 2026 · iletişim: legal@scoutatlas.co