diff --git a/README.md b/README.md index 325f1ae..bfc8efb 100644 --- a/README.md +++ b/README.md @@ -1,4 +1,4 @@ -# Dynamicini-Security-Plan +# Security-Plan This repo has all the info about security plan and threat model for Dynamic Initiative You can see the current plan [here](https://github.com/Dynamic-Initiative/security-plan/releases/) @@ -7,4 +7,4 @@ Just open an issue so we can look into it or you can start contributing yourself # How to contribute As you always would do when contributing, fork this repo and make changes but don't forget that: -Important: We require [signed commits](https://docs.github.com/en/authentication/managing-commit-signature-verification/signing-commits) whenever possible, so when commiting changes, usage of GPG keys are required, if you don't know how to use git with GPG, then use Github web interface when making commits +Important: We require [signed commits](https://docs.github.com/en/authentication/managing-commit-signature-verification/signing-commits) whenever possible, so when commiting changes, usage of GPG keys are required, if you don't know how to use Git with GPG, then use Github web interface when making commits diff --git "a/Terimler ve Tan\304\261mlar.md" "b/Terimler ve Tan\304\261mlar.md" index 0748551..d7878a2 100644 --- "a/Terimler ve Tan\304\261mlar.md" +++ "b/Terimler ve Tan\304\261mlar.md" @@ -3,14 +3,14 @@ - **DI:** Dynamic Initiative Girişiminin kısaltması -- **Önemli Veriler:** Veri ya da içeriğin üretildiği ve Üyeler arasında paylaşılması planlandığı anda halka açık olarak paylaşılması sakıncalı olabilecek veri bütünleri. +- **Jitsi Meet:** Açık kaynaklı videokonferans yazılımı. Dynamic Initiative Servisleri üzerinden erişilebilir ve bu dökümanda Dynamic Initiative Servisleri içerisine kurulmuş Jitsi Meet servisinden bahsedilmektedir. Daha fazla bilgi: https://jitsi.org/, https://meet.dynamicini.org/ - **Kayıt Defteri:** Sadece Güvenlik Ekibi Üyelerinin erişimi olan, hem DI sunucularında yapılan etkinliklerin, hem de Initiative içinde yapılmış istisnalar ve istisnaların güvenlik risk seviyesinin kaydedildiği dijital veya fiziksel olarak tutulan kayıt defteri. - **Kişisel Veri:** Dynamic Initiative web siteleri ya da üyelerinin hazırlayacağı formlar üzerinden ya da farklı yollardan elde edilecek veriler, gerçek kişinin kimliğini dolaylı veya dolaylı olmayan şekillerde ilişkilendirilebilecek her türlü organik insana ait bilgi. Daha fazla bilgi: Kişisel Verilerin Korunması Kanunu (6698. Kanun) Madde 3, d Fıkrası -- **Signal:** Modern mobil işletim sistemlerine kurulabilen, Signal Şifreli Mesajlaşma protokolü kullanan bir iletişim platformu. Daha fazla bilgi: https://signal.org/, https://www.signal.org/docs/ +- **Önemli Veriler:** Veri ya da içeriğin üretildiği ve Üyeler arasında paylaşılması planlandığı anda halka açık olarak paylaşılması sakıncalı olabilecek veri bütünleri. -- **Jitsi Meet:** Açık kaynaklı videokonferans yazılımı. Dynamic Initiative Servisleri üzerinden erişilebilir ve bu dökümanda Dynamic Initiative Servisleri içerisine kurulmuş Jitsi Meet servisinden bahsedilmektedir. Daha fazla bilgi: https://jitsi.org/, https://meet.dynamicini.org/ +- **Signal:** Modern mobil işletim sistemlerine kurulabilen, Signal Şifreli Mesajlaşma protokolü kullanan bir iletişim platformu. Daha fazla bilgi: https://signal.org/, https://www.signal.org/docs/ - **Vaultwarden:** Açık kaynaklı ve birçok kez bağımsız laboratuvarlarca güvenlik kontrollerinden geçmiş Bitwarden Şifre Yöneticisi uygulamaları için, Rust temelli Bitwarden uygulamalarına API sağlayan açık kaynaklı sunucu yazılımı. Daha fazla bilgi: https://bitwarden.com/blog/third-party-security-audit/, https://github.com/bitwarden, https://github.com/dani-garcia/vaultwarden \ No newline at end of file diff --git a/v1.0.0.md b/v1.0.md similarity index 84% rename from v1.0.0.md rename to v1.0.md index 74041ca..6d2b437 100644 --- a/v1.0.0.md +++ b/v1.0.md @@ -1,8 +1,8 @@ -# Dynamic Initiative Üyeleri Güvenlik Planı Sürüm 1.0.0 +# Dynamic Initiative Üyeleri Güvenlik Planı Sürüm 1.0 5 Mart 2023 ## Kullanıcılar Arası İletişim -Kulüp üyeleri arasında iletişim için Signal, Whatsapp ve Discord kullanılacak, Whatsapp genel duyurular için kullanılmalıdır. Signal, kulüp içi yazışmalar, döküman paylaşma için kullanılmalıdır. Signal’in Ayarlar>Gizlilik Bölümünde “Ekran Kilidi” özelliğinin aktif edilmesi şiddetle tavsiye edilir. Discord ve WhatsApp **KESİNLİKLE** önemli verilerin paylaşılması için kullanılamaz. Discord, kolaylık açısından sanal Kulüp buluşmaları için kullanılabilir veya buluşmaların duyurulması için kullanılabilir. Eğer gizliliği yüksek bir konuşma yürütülmesi gerekiyorsa, Signal veya Jitsi Meet kullanılmalıdır. +Girişim üyeleri arasında iletişim için Signal, Whatsapp ve Discord kullanılacak, Whatsapp genel duyurular için kullanılmalıdır. Signal, Girişim içi yazışmalar, döküman paylaşma için kullanılmalıdır. Signal’in Ayarlar>Gizlilik Bölümünde “Ekran Kilidi” özelliğinin aktif edilmesi şiddetle tavsiye edilir. Discord ve WhatsApp **KESİNLİKLE** önemli verilerin paylaşılması için kullanılamaz. Discord, kolaylık açısından sanal Girişim buluşmaları için kullanılabilir veya buluşmaların duyurulması için kullanılabilir. Eğer gizliliği yüksek bir konuşma yürütülmesi gerekiyorsa, Signal veya Jitsi Meet kullanılmalıdır. ## Hesap Yönetimi DI üyeleri hesaplarını güvenli tutmaktan sorumludur. Eğer DI üyeleri, Servislerde olan verileri 3. Parti servislere kolaylık amaçlı gibi nedenlerle otomatik veya manuel aktarmayı tercih ederlerse bu konuda risk veriyi aktaran üyeye aittir. Eğer 3. Parti bir hizmete veri aktarımı yapılıyorsa Üye bu durumu Güvenlik Ekibinden en az 1 Üyeye bildirmelidir. Bu duyuruyu alan Ekip Üyesinin, “**Kuralların Geçersiz Olduğu/Aşılabilecek Durumlar**” maddesindeki hükümümleri hemen uygulamakla görevlidir. @@ -23,7 +23,7 @@ Oluşturulacak Vaultwarden hesaplarına bağlı organizasyonlar ile paylaşılac Bu kurallar bir kişin can ve mal sağlığını etkilediği veya acil bir durum yaşandığında, durumun ciddiyetine bakılarak Ekipten sadece 1 kişinin izni ile aşılabilir. Eğer bu acil durum ekipten bir kişiye hemen haber verilemeyecek bir durum ise, acil durum sonlandığında kuralı aşan kişi, bir Ekip Üyesine bu durumu bildirmesi gerekmektedir. Aşılan kuralların, kim tarafından, ne kadar boyutta, ne kadar büyük bir risk oluşturduğunu; onayı veren Ekip Üyesi Kayıt Defterine yazıp, en yakın vakitte diğer Ekip Üyelerine haber vermesi gereklidir. ## Kuralların Değişmesi/Yeni Kuralların Eklenmesi -Güvenlik Ekibi gerekli gördüğü vakitlerde yeni kurallar ekleyebilir veya durumların gerektirdiği durumlarda kuralları değiştirebilir. Kuralların yenilenmesi güncel üye sayısının tamamının ortak oyu ile olabilir. Kulüp üyelerinin yeni yayınlanan kurallara yayınlandıktan sonra uyması gereklidir. +Güvenlik Ekibi gerekli gördüğü vakitlerde yeni kurallar ekleyebilir veya durumların gerektirdiği durumlarda kuralları değiştirebilir. Kuralların yenilenmesi güncel üye sayısının tamamının ortak oyu ile olabilir. Girişim üyelerinin yeni yayınlanan kurallara yayınlandıktan sonra uyması gereklidir. **Tüm Üyeler bu kurallara uyacaklarını bildirirler** @@ -31,6 +31,6 @@ Güvenlik Ekibi gerekli gördüğü vakitlerde yeni kurallar ekleyebilir veya du - Erdem Harputlugil - Özgür Şenbil -Ben Erdem Harputlugil olarak, Bu Güvenlik Planı’nı yazdım, yapımında yardımcı oldum, tüm kararları onaylıyorum ve doğruluyorum. Yeniden, Erdem Harputlugil olarak Kurallara kesinlikle uyacağımı, kuralları aşan kişileri uyaracağımı ve diğer Kulüp Üyelerine örnek olacağımı bildiririm. +Ben Erdem Harputlugil olarak, Bu Güvenlik Planı’nı yazdım, yapımında yardımcı oldum, tüm kararları onaylıyorum ve doğruluyorum. Yeniden, Erdem Harputlugil olarak Kurallara kesinlikle uyacağımı, kuralları aşan kişileri uyaracağımı ve diğer Girişim Üyelerine örnek olacağımı bildiririm. Ben Özgür Şenbil olarak, Bu Güvenlik Kuralları’nı yazdım, yapımında yardımcı oldum, tüm kararları onaylıyorum ve doğruluyorum. Yeniden, Özgür Şenbil olarak Kurallara kesinlikle uyacağımı, kuralları aşan kişileri uyaracağımı ve diğer Kulüp Üyelerine örnek olacağımı bildiririm