Zafiyet Avcılığı Programı Katılım Koşulları Formu (“Form”) Zafiyet Avcılığı Program’ına katılacak kişiler Form’un sonunda yer alan “Kabul Ediyorum” seçeneğini işaretleyerek başvuru yapmadan önce işbu Form kapsamında düzenlenen tüm hususları, eş deyişle aşağıda belirtilen tüm koşul/kuralları ve https://unibounty.com bağlantısında yer alan tüm açıklamaları dikkatle okuduklarını ve bunların tümünü kabul ederek Zafiyet Avcılığı Program’ına başvurduklarını beyan ederler. Tanımlar ve Koşullar: Zafiyet Avcılığı Programı (“Program”) : Zafiyet Avcılığı Programı, TURKCELL İLETİŞİM HİZMETLERİ A.Ş. (“TURKCELL”) tarafından 26.11.2021-19.12.2021 tarihleri arasında “Turkcell’in belirlemiş olduğu Lifebox, YaaniMail ve BipMeet uygulamalarına giriş yaparak söz konusu uygulamalar kapsamındaki zayifetlerin tespit edilerek, tespit edilen zafiyetlerin Turkcell’e bildirilmesi” ana konusu kapsamında gerçekleştirilecek olan ve Boğaziçi, Fırat, İstanbul, İstanbul Teknik, İstanbul Ticaret, Marmara, Sabancı, Sakarya, Tobb ETÜ, Yıldız Teknik üniversitelerinde öğrenim gören aktif lisans ve yüksek lisans öğrencilerinin katılabileceği bir programdır. Katılımcılar aynı zamanda Program kapsamında, TURKCELL tarafından belirlenen jüri tarafından yapılacak değerlendirme sonucunda işbu Form’daki şartları sağlayan öğrencilere Program zafiyet değerlendirme sayfasında ayrıntıları düzenlenen ödül verilecektir. Yukarıda belirtilen her bir üniversite içerisinde 1., 2. ve 3. olan Katılımcılar’a sırasıyla 5000₺, 3000₺ ve 2000₺ değerinde hediye çekleri ödül olarak verilecektir. Fakat üniversite bazında sıralamalara girebilmeleri için Program kapsamında en az 250 puan değerinde zafiyet iletmelerini gerekmektedir, Katılımcılar ilgili ödül kurallarını Program zafiyet değerlendirme sayfasında göreceklerdir. Program’a katılım sağlayan tüm Katılımcılar Turktell Bilişim Hizmetleri A.Ş (“Turkcell Akademi”) tarafından düzenlenen sertifikayı almaya hak kazanacaklardır. Program süresince Katılımcılar’ın Program’a herhangi bir aşamasına fiziki katılımları gerçekleşmeyecek olup, Program’ın tüm süreçleri TURKCELL tarafından belirlenerek katılımcılara iletilecek mecra, adres v.b. üzerinden online olarak yürütülecektir. Program kapsamında Katılımcılar’ın kullanacağı tüm ekipman, donanım, internet erişimi v.b. kendileri tarafından karşılanacaktır. Katılımcılar: Katılım kriterlerini sağlayarak ve işbu doküman dahil olmak üzere ilgili dokümanları onaylayarak Program’a, Katılım Kriterleri’nde belirtilen 10 üniversiteden katılım sağlayacak lisans ve yüksek lisans öğrencileridir. Katılım Şekli: Katılımlar https://unibounty.com bağlantısında yer alan Form aracılığı ile yapılacaktır. Başka bir katılım yöntemi kabul edilmemektedir. Form’da doğru olmayan bir bilgi kullandığı tespit edilen kişiler Program’ın hangi aşamasında olunduğuna bakılmaksızın TURKCELL tarafından Program’dan çıkarılacaktır. Katılım Kriterleri: Program, Boğaziçi, Fırat, İstanbul, İstanbul Teknik, İstanbul Ticaret, Marmara, Sabancı, Sakarya, Tobb ETÜ, Yıldız Teknik üniversiteleri öğrencilerinin katılımına açıktır. Programa katılım tarihleri arasında belirtilen koşulları sağlamayan kişiler, Turkcell Grup Şirketleri çalışanları ile bu kişilerin birinci derece yakınları, yarışma jürisinin birinci ve ikinci derece yakınları ve başvuru tarihinde 18 yaşını doldurmamış olan kişiler Program’a katılamazlar. İletişim Şekli ve Yeri: Katılımcılar’la Program kapsamında tüm iletişimin https://unibounty.com bağlantısında belirtmiş oldukları iletişim adresleri (üniversite e-posta adresi, cep telefonu numarası) vasıtasıyla ve TURKCELL tarafından kendilerine iletilecek mecralar üzerinden yapılacak olup, kendisine bu kapsamda ulaşılamayan kişilerin Program’a katılımları sona erdirilecektir. Kişisel Veriler Katılımcılar, Form’da vermiş oldukları kişisel bilgilerin kendilerine ait olduğunu kabul ederler. Turkcell Grup Şirketleri bu bilgileri amacına uygun olarak kullanılmak (katılım talebinin değerlendirilmesi, Katılımcıyla Program’a ilişkin olarak iletişime geçilmesi, vb) kaydı ile Aydınlatma Metni’nde anılan şartlarda ve ilgili şartlara uygun olarak işleyebilecektir. Katılımcı, Program kapsamında herhangi bir kişisel veri bulgusuna rastladığı takdirde, kişisel verilerin kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, üçüncü kişilere aktarılması ve/veya açıklanması, üçüncü kişilerce elde edilebilir hale getirmesi, sınıflandırması ya da kullanılmasının engellenmesi gibi kişisel verilerin korunması hakkında mevzuata aykırı herhangi bir işlem gerçekleştirmeyeceğini, aksi yöndeki her türlü iş ve işlemi ile Kişisel Verilerin Korunması mevzuatı kapsamında öngörülen yükümlülüklerin yerine getirilmemesi nedeniyle söz konusu olabilecek doğrudan ve dolaylı zararlar yönünden tüm sorumluluğun kendisine ait olacağını kabul, beyan ve taahhüt eder. Katılımcı, Program kapsamında kişisel verilere ilişkin bir güvenlik açığı bulduğu takdirde derhal Turkcell’e bilgi vereceğini kabul, beyan ve taahhüt eder. Fikri Mülkiyet: Program’a katılacak kişiler, başvuruları kapsamındaki unsurlar (fikir, proje, taslak çalışma vb. içerikler. Bundan böyle “Proje İçeriği” olarak anılacaktır.) üzerinde patent, faydalı model, marka veya sair fikri mülkiyet hakları için Türk Patent ve Marka Kurumu veya diğer yetkili merciler nezdinde başvuruda bulunmuş veya bazı haklar elde etmiş olabilirler. Bu halde, başvuru formundaki ilgili soruya cevaben, söz konusu fikri mülkiyet hakkına ilişkin yapılan işlemler ve durum hakkında kısaca bilgi verilmesi gerekmektedir. Bu soruya verilecek cevapların eksik veya yanlış olması sebebiyle meydana gelebilecek hak kaybı ve zararlardan Turkcell Grup Şirketleri sorumlu değildir. Katılımcı Proje İçeriği ile ilgili resmi merci ve kurumlar nezdinde hak sahipliğini tescil edecek ve bunların üçüncü kişilerce kullanımına ilişkin gerekli hukuksal tedbirleri alacaktır. Katılımcı’nın başvuru kapsamında paylaştığı bilgilerin herhangi bir şekilde üçüncü kişilerce öğrenilmesinden ve/veya Proje İçeriği üzerinde üçüncü kişilerce hak talep edilmesinden ve/veya üçüncü kişilerce bu Proje İçeriği’nin kullanımından, tescilinden vb. durumlardan dolayı Turkcell Grup Şirketleri hiçbir şekilde sorumlu olmayacaktır. Katılımcı Proje İçeriği’nin kendisi tarafından gerçekleştirilmiş ve daha önceden herhangi bir şekilde sunulmamış, kullanılmamış veya başka şekillerde kamuya arz edilmemiş özgün bir çalışma olduğunu, üçüncü kişi ve kuruluşlardan alıntı yapmadığını, Proje İçeriği üzerinde herhangi bir üçüncü kişinin hak sahibi olmadığını ve üçüncü kişilere ait fikri mülkiyet haklarının ihlal edilmediğini beyan ve taahhüt eder. Katılımcı, işbu maddeye aykırı davranması halinde üçüncü kişiler tarafından Turkcell Grup Şirketleri’ne yöneltilecek her türlü talep/dava ve şikâyetlerden münhasıran sorumlu olduğunu, söz konusu talep/dava ve itirazlar nedeniyle Turkcell Grup Şirketleri’nin uğrayacağı her türlü zararı Turkcell Grup Şirketleri’nin ilk talebiyle derhal ve nakden tazmin edeceğini beyan ve taahhüt eder. Katılımcı, yarışmaya başvurulan fikrin kapsadığı ürün veya hizmetten kazanç elde etmek amacıyla bir tüzel kişilik (şirket) kurmamış olduklarını beyan ve taahhüt eder. Katılımcı, Proje İçeriği’nin özgün olmaması, herkes tarafından bilinebilir ve/veya öngörülebilir olması, mevcut ya da yakın gelecekte hayata geçirilme ihtimali olan bir uygulamaya ilişkin olması hallerinde, bu fikrin Turkcell Grup Şirketleri tarafından aynen ya da değiştirilmiş veya geliştirilmiş olarak kullanılmasına herhangi bir itirazı olmayacağını, böyle bir durumda Turkcell Grup Şirketleri’ne karşı herhangi bir hak talebinde bulunmayacağını kabul ve taahhüt eder. Katılımcı, Turkcell Grup Şirketleri bünyesinde hâlihazırda geliştirilen, kullanılan, bilinen tüm fikir ve projeleri bilmesi mümkün olmadığından, başvurusu kapsamındaki Proje İçeriği’nin ileride Turkcell Grup Şirketleri tarafından haksız olarak kullanıldığı iddiasında bulunmayacağını ve bu kapsamda herhangi bir tazminat talebinde bulunmayacağını kabul ve taahhüt eder. Turkcell Grup Şirketleri: TURKCELL ve/veya TURKCELL’in doğrudan veya dolaylı olarak kontrolünü elinde bulundurduğu tüzel kişiler veya şirketlerdir. İşbu Sözleşme kapsamında “kontrol” i) ilgili tüzel kişinin veya şirketin sermayesinin veya oy haklarının çoğunluğuna doğrudan veya dolaylı olarak sahip olunmasını veya ii) Oy haklarına sahip olunması, akdedilen bir sözleşme veya herhangi bir suretle yönetim kurulu veya diğer yönetim organlarının çoğunluğunu atayabilme ya da görevden alma yetkisine doğrudan ya da dolaylı olarak sahip olunmasını ifade eder Uygunluk: Katılımcı, Program kapsamında paylaşacakları tespit edilen zafiyetleri içeren raporun hukuka uygun, genel ahlak kuralları ve kamu düzeni ile çatışmayan, üçüncü kişilerin kişilik haklarına yönelik bir saldırı içermeyen ve Turkcell Grup Şirketleri’nin itibarına zarar vermeyecek nitelikte olduğunu beyan ve taahhüt eder. Rekabet Yasağı: Katılımcı, tespit ettiği zafiyetleri ve bu kapsamda hazırladıkları raporları, Turkcell Grup Şirketleri’nin faaliyet gösterdiği telekomünikasyon ve teknoloji sektörü ile alakalı başka firmalara ve/veya Turkcell Grup Şirketleri’nin rakip firmalarına hiçbir şekilde vermeyeceğini, bu rakip firmalarla paylaşmayacağını kabul ve taahhüt eder. Gizlilik: Katılımcı, Program’a katılım talebi kapsamında ve/veya her ne şekilde ve zamanda olursa olsun TURKCELL hakkında öğrendiği ve/veya yapılan işler vs. hakkında, gizli olduğu TURKCELL tarafından bildirilsin ya da bildirilmesin, tüm bilgileri gizli bilgi olarak kabul edeceğini ve bu bilgileri, TURKCELL’in yazılı izni olmadan, üçüncü kişilere vermeyeceğini, açıklamayacağını, kamuya duyurmayacağını ya da bu şekilde sonuçlanacak davranışlardan kaçınacağını kabul ve taahhüt eder. Gizliliğin ihlali halinde Katılımcı’lar, Turkcell’in uğrayacağı her türlü zararı karşılamakla yükümlüdürler. Program Kuralları: Katılımcılar; Daha yüksek etki göstermek için bu güvenlik açıklarını zincirlemesi gerekmiyorsa, rapor başına bir güvenlik açığı göndermesi gerektiğini, Temel bir problemin neden olduğu birden fazla güvenlik açığının, bir olarak değerlendirileceğini, İlettikleri rapor içeriğindeki zafiyetin nasıl düzeltileceği yönünde çözüm önerisini de detaylı bir şekilde paylaşılması gerektiğini, (Rapor kalitesinin bonus puan almasını sağlayabileceğini), TURKCELL’in markasına, kullanıcılarına veya verilerine zarar verebilecek herhangi bir faaliyette bulunamayacaklarını, buna sosyal mühendislik, fiziksel güvenlik ve Turkcell uygulamalarının kullanıcılarına, Turkcell çalışanlarına veya TURKCELL’e yönelik hizmet kesintisi saldırılarının dahil olduğunu, İletilen bir zafiyet için yalnızca ilk ileten kişiye puan verileceğini, sonradan iletilen mükerrer bulguların ayrıca juri komitesinde değerlendirmeye gireceğini, kopya tespit edilmesi durumunda 0 puan verileceğini, Yalnızca bu Program kapsamında Katılımcılar’a belirletilen uygulamalar ve varlıklara karşı sunulan raporların dikkate alınacağını, Yaptıkları istek limitlerinin en aza indirilmesi gerektiğini, TURKCELL sunucularının performansını ciddi şekilde etkileyecek işlemler yapılmaması gerektiğini, Uygulamaları/sunucuları/sistemleri hizmet dışı bırakacak saldırılar (DoS/DDoS) yapılmaması gerektiğini, uygulama seviyesindeki hizmet dışı bırakma (DoS) zafiyetlerinin neden ve yönteminin belirtilmesinin yeterli olacağını, sömürülme gerçekleştirilmemesi gerektiğini, erişilebilirlik ile ilgili bir etki gözlemlendiğinde yapılan işlemlerin durdurulması gerektiğini, Otomatik tarama araçlarının kullanılmaması gerektiğini, Program kapsamındaki testlerin sadece Lifebox, YaaniMail ve BipMeet uygulamaları kapsamında ve sadece Turkcell tarafından belirtilen hedeflere yapılması gerektiğini, kapsamda belirtilmeyen her şeyin kapsam dışı olacağını, özellikle kapsam dışında olduğu vurgulanmak istenenlerin kapsam dışı olarak yazıldığını, Herhangi bir zafiyet tespit edildiğinde Lifebox ve/veya YaaniMail ve/veya BipMeet uygulamalarının kullanıcılarının verileri/hesapları üzerinde sömürme işlemi yapılmaması gerektiğini, Program kapsamındaki testler sırasında tespit edilen zafiyetler/açıklıklar/bilgi ifşalarının hiçbir sosyal medya platformundan ya da halka açık şekilde paylaşılamayacağını, sadece zafiyet gönderimi için Katılımcı’lara açılan platform üzerinden iletilmesi gerektiğini, Zafiyetin nasıl tespit edildiğinin ve sömürülme aşamaları/adımlarının detaylı ve anlaşılır şekilde yazılması gerektiğini, Zafiyetin tespit ve sömürülme aşamalarını gösteren ekran görüntüleri ya da video hazırlanması önerildiğini, bu ekran görüntüsü ve videoların etkinlik dışındaki herhangi bir platformda paylaşılmaması gerektiğini, Etkinlik personeline karşı profesyonel olmayan (Saldırgan dil, şantaj vb.) iletişimin yasak olduğunu, Turkcell uygulamalarının kullanıcılarının hesaplarına yönelik bozucu/aksatan etki oluşturabilecek işlemlerin yasak olduğunu, Zafiyet/Açıklık ile ilgili olmayan her türlü içerik (Irkçı, cinsiyet karşıtı vb.) gönderiminin yasak olduğunu, Katılımcılar, gönderilen isteklerde, unibounty platformu üzerinden kendi kullanıcılarına ait alacaklar "x-bounty-header" parametresini HTTP (Hyper Text Transfer Protocol), isteklerinde başlık bilgisi olarak iletmeleri gerektiğini, kabul, beyan ve taahhüt eder. Yaptırımlar: TURKCELL, işbu Form’da belirtilen hükümlere uygun olmadığını tespit ettiği Katılımcıları her aşamada Program’dan diskalifiye etme, Program kapsamında verilen herhangi bir desteği geri alma veya durdurma hakkına sahiptir. Program kapsamındaki eğitim, yarışma v.b. online olarak TURKCELL tarafından belirlenen mecralar/adresler üzerinden yapılan sunumlarda, bu mecraların ve/veya sunumların yapılmasını olumsuz yönde etkileyecek şekilde davranışlar sergileyen (TURKCELL tarafından işbu şekilde bir kanıya varılması yeterlidir), verilen hizmetlerde yer alan olası sistem açıklarını kullanarak ilgili sistemi kullanılamaz hale getiren/getirmeye teşebbüs eden Katılımcılar Program’dan çıkarılacak ve bu kapsamda kötü niyetli gerçekleşen eylemlere karşı TURKCELL sahip olduğu cezai ve hukuki hakları her zaman kullanabilecektir. Katılımcılar, TURKCELL’in yukarıda belirtilen kapsamda Yaptırımlar’ı uygulaması durumunda TURKCELL’den maddi-manevi herhangi bir tazmin ve/veya başkaca her ne nam altında olursa olsun herhangi bir alacak, zarar, bedel ve benzeri bir talepte bulunmayacaklarını gayrikabili rücu kabul ve beyan ederler. Değişiklikler: Turkcell, her zaman için Program kapsamını, takvimini, başvuru ve değerlendirme kriterlerini, koşulları ve Program kapsamında ilan edilen diğer hususları önceden bildirmeksizin değiştirme, Program’ı tek taraflı olarak iptal etme, durdurma hakkına sahip olup, Katılımcılar bu durumların gerçekleşmesi halinde TURKCELL’e karşı herhangi bir hak ya da alacak iddia etmeyeceklerini peşinen kabul ve beyan ederler. Katılım Koşulları’nı okudum, anladım ve kabul ediyorum.

Zafiyet Avcılığı Programı Aydınlatma Metni Bu aydınlatma metni, 6698 sayılı Kişisel Verilerin Korunması Kanununun 10 uncu maddesi ile Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ kapsamında veri sorumlusu sıfatıyla Turkcell İletişim Hizmetleri A.Ş. (Bu metinde “Turkcell” olarak anılacaktır.) tarafından hazırlanmıştır. Turkcell tarafından toplanan ve işlenen kişisel veriler, Turkcell’in koruması altındadır. Turkcell, 6698 sayılı Kişisel Verilerin Korunması Kanunu (“Kanun”) ve ilgili mevzuat çerçevesinde kişisel verilerin güvenli şekilde muhafazasını ve hukuka uygun olarak işlenmesini sağlamak için teknolojik ve alt yapısal imkanlarını kullanarak, gerekli teknik ve idari tedbirleri almaktadır. Turkcell, 26.11.2021-19.12.2021 tarihleri arasında gerçekleştirilecek olan Zafiyet Avcılığı Programı’na (“Program”) katılmak isteyen Katılımcılar’ın isim-soyisim, e-posta adresi, üniversite ismi, parola ve cep telefonu bilgilerini a) Katılımcıların programa katılım talebinin değerlendirilmesi, b) Katılımcının Programa kaydı, c) Katılımcıyla Program’a ve Program sonuçlarına ilişkin olarak iletişime geçilmesi , d) Doğabilecek uyuşmazlıklarda delil olarak kullanılması amaçlarıyla, Kanun’un 4. maddesindeki genel ilkelere bağlı kalarak hukuka uygun şekilde belirli, açık ve meşru amaçlarla bağlantılı, sınırlı ve ölçülü olarak işlemektedir. Turkcell, kişisel verilerinizi bu Aydınlatma Metni’nde yer verilen amaçlarla Kanun ve sair mevzuat kapsamında aşağıdaki alıcı gruplarına aktarabilir. • Dereceye giren katılımcıların ödülleri Turkcell Pasaj’da hediye çeki olarak tanımlanacağı için Turkcell Satış ve Dijital İş Servisleri A.Ş.’ye, • Programa katılan katılımcılar adına katılım sertifikası düzenlenmesi için, katılımcı bilgileri Turktell’e (Turktell Bilişim Hizmetleri A.Ş), • Turkcell nam ve hesabına hareket eden yetkilendirilmiş kişilere, • Avukatlar, denetçiler, danışmanlar ve hizmet alınan firmalara, • Tarafınızca yetki verilmiş olan vekil, vasi ve temsilcilerinize, • Kişisel verilerinizi talep etmeye yetkili kurum veya kuruluşlara ve bunların belirlediği kişilere, Bu kişisel veriler, Kanunun 5. maddesinde belirtilen “ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla veri sorumlusunun meşru menfaati için zorunlu olması” hukuki sebebine dayalı olarak otomatik olarak işlenmektedir. Kanunun “ilgili kişinin haklarını düzenleyen” 11. maddesi kapsamındaki taleplerinizi, “Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğe” göre, aşağıdaki yöntemlerden biriyle iletebilirsiniz: • Turkcell’e daha önce bildirilen ve şirket sisteminde kayıtlı bulunan elektronik posta adresinizi kullanmak suretiyle, Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ’e uygun şekilde hazırlanmış olarak [email protected] , adresine e-posta ile, • “Kişisel Veriler Hakkında Başvuru Formu”nu cihazınıza indirdikten sonra dijital olarak doldurarak, kayıtlı elektronik posta (KEP) adresinizden, Turkcell İletişim Hizmetleri A.Ş için [email protected] adresine e-posta yoluyla • Formun çıktısını aldıktan sonra Formu yazılı olarak doldurarak ve kimlik bilgilerinizi tevsik edici belgeleri başvurunuza ekleyerek “Turkcell Genel Müdürlük Aydınevler Mahallesi İnönü Caddesi No:20 Küçükyalı Ofis Park B Blok - Maltepe/İstanbul” adresine posta yoluyla veya noter vasıtasıyla, gönderebilirsiniz. • Yazılı olarak iletilen başvurularda Turkcell veri güvenliğini temin etmek amacıyla kimliğinizi teyit etmek için ek bilgi ve/veya belge talep etme hakkını saklı tutar.