# Atlasio Eğitim Platformu — Güvenlik açığı bildirim politikası
# Bu dosya RFC 9116 standardına uygundur.
# https://atlasio.com.tr/security/disclosure
# https://www.rfc-editor.org/rfc/rfc9116

Contact: mailto:security@atlasio.com.tr
Expires: 2027-05-31T23:59:59.000Z
Encryption: https://atlasio.com.tr/.well-known/pgp-key.txt
Preferred-Languages: tr, en
Canonical: https://atlasio.com.tr/.well-known/security.txt
Policy: https://atlasio.com.tr/security/disclosure
Acknowledgments: https://atlasio.com.tr/security/hall-of-fame
Hiring: https://atlasio.com.tr/careers

# ─── Kapsam ────────────────────────────────────────────────────────────
# In-scope:
#   - atlasio.com.tr, atlasio.tr, atlasio.online, atlasio.academy, atlasio.info
#   - api.atlasio.com.tr (NestJS API)
#   - LiveKit signaling (livekit.atlasio.com.tr)
#
# Out-of-scope:
#   - 3rd party services (Stripe, Anthropic, Cloudflare)
#   - Phishing / social engineering attacks
#   - DoS / volumetric attacks (Cloudflare yönetiminde)
#   - Self-XSS, missing security headers in /docs (Swagger UI)
#
# Lütfen şu ekstradan dikkat edin:
#   - Otomatik tarayıcılar (Burp Scanner, OWASP ZAP) yoğun trafik üretmesin
#   - Gerçek kullanıcı verisini tehlikeye atmayın (test hesabı kullanın)
#   - Bulgu doğrulanana kadar public açıklama yapmayın (90 gün CVD)