Güvenlik Standartları
Son Güncelleme: 9 Mayıs 2018

I.  Teknik ve Organizasyonel Önlemler

Müşterilerimizin bilgilerini korumaya kendimizi adamış durumdayız.  En iyi uygulamaları, uygulama maliyetleri ve işlemenin niteliği, kapsamı, koşulları ve amaçlarının yanı sıra gerçek kişilerin hak ve özgürlüklerine ilişkin riskin ortaya çıkma ve ciddiyet olasılığının farklı olmasını göz önünde bulundurarak, aşağıdaki teknik ve organizasyonel önlemleri alıyoruz.  Önlemler seçilirken sistemlerin gizlilik, bütünlük, kullanılabilirlik ve esnekliliği de göz önünde bulundurulmaktadır. Fiziksel veya teknik bir olaydan sonra hızlı bir iyileşme garanti edilir.

Veri Gizliliği Programımız, global veri yönetim yapısını korumak ve yaşam döngüsü boyunca bilgi güvenliğini sağlamak için kurulmuştur. Bu program, gizlilik uygulamaları ve güvenlik önlemlerinin uygulanmasını denetleyen veri koruma görevlisinin ofisi tarafından yürütülmektedir. Düzenli olarak, Veri Gizliliği Programı ve Güvenlik Standartlarının etkinliğini test ediyoruz.

1. Gizlilik. “Gizlilik, kişisel verilerin yetkisiz ifşaya karşı korunması anlamına gelir.”  

Müşterilerinin kişisel bilgilerinin gizliliğini korumak için çeşitli fiziksel ve makul önlemler kullanıyoruz. Bu önlemler şunları içerir:   

Fiziksel Güvenlik  

• Fiziksel erişim denetimleri uygulanır (İşaret erişim kontrolü, Güvenlik olayı izleme vb.) 
• Alarmlar dahil olmak üzere gözetim sistemleri ve uygun olarak kapalı devre TV izleme  
• Temiz masa politikaları ve denetimlerinin uygulanması (gözetimsiz bilgisayarların kilitlenmesi, kilitli dolaplar vb.)  
•  Ziyaretçi Erişim Yönetimi 
• Fiziksel ortam ve belgelerdeki verilerin imha edilmesi (kağıt parçalama, manyetizmayı nötrleştirme vb.) 

Erişim Denetimi ve Yetkisiz Erişimi Önleme

• Uygulanan kullanıcı erişim kısıtlamaları ve görev ilkelerinin ayrıştırılmasına dayalı olarak sağlanan/gözden geçirilen rol tabanlı erişim izinleri  
• Güçlük kimlik denetimi ve yetkilendirme yöntemleri (Çoklu faktörlü kimlik denetimi, yetkilendirme tabanlı sertifikasyon, otomatik devre dışı bırakma/oturum kapatma vb.) 
• Merkezileştirilmiş şifre yönetimi ve güçlü/karmaşık şifre politikaları (minimum uzunluk, karakterlerin karmaşıklığı, şifrelerin sona ermesi vb.)   
• E-postalara ve internete kontrollü erişim 
• Anti virüs yönetimi  
• Yetkisiz Erişim Önleme Sistemi yönetimi  

Şifreleme  

• Güçlü kriptografik protokollerle dış ve iç iletişimin şifrelenmesi  
• PII/SPII verilerini şifreleme (veri tabanları, paylaşılan sözlükler vb.)   
• Şirket PC’leri ve dizüstü bilgisayarları için tam disk şifreleme   
• Depolama ortamının şifrelenmesi  
• Şirket ağlarına uzaktan bağlantılar VPN ile şifrelenir  
• Şifreleme anahtarlarının kullanım döngüsünü güvence altına alma  

Veri Minimizasyonu

• PII/SPI uygulama, hata ayıklama ve güvenlik kayıtlarında minimizasyonu  
• Bir bireyin doğrudan tanımlanmasını önlemek için kişisel verilerin taklit edilmesi 
• Kayıtlı verilerin işleve göre ayrılması (test, safhalandırma, canlı) 
• Erişim haklarına göre role dayalı olarak verilerin mantıksal ayrılması 
• Kişisel veriler için tanımlanmış veri saklama dönemleri   

Güvenlik Testi

• Kritik şirket ağları ve kişisel verileri barındıran platformlar için Sızma Testi 
• Düzenli ağ ve güvenlik açığı taramaları   

2. Bütünlük. “Bütünlük, verilerin doğruluğunu (sağlamlığını) ve sistemlerin doğru çalışmasını sağlamayı ifade eder. ‘Veri’ terimi ile bağlantılı olarak bütünlük terimi kullanıldığında, verilerin eksiksiz ve değişmemiş olduğunu ifade eder.”  

Kişisel verilerin bütünlüğünü koruyabilmesi için erişim kontrollerine ek olarak uygun değişiklik ve günlük yönetim kontrolleri de mevcuttur, örneğin:    

Değişim ve Feragat Yönetimi  

• Etki analizi, onaylar, testler, güvenlik incelemeleri, evreleme, izleme vb. dahil olmak üzere değişim ve feragat yönetimi süreci  
• Üretim ortamlarında Rol ve İşlev tabanlı (Görevlerin Ayrımı) erişim sağlanması    

Günlük Oluşturma ve İzleme

• Erişim ve veri değişiklikleri günlüğü oluşturma  
• Merkezileştirilmiş denetim ve güvenlik günlükleri   
• Veri aktarımının eksiksizliği ve doğruluğunun izlenmesi (uçtan uca kontrol)    

3. Kullanılabilirlik. “Hizmetlerin ve BT sistemlerinin, BT uygulamalarının ve BT ağ işlevlerinin veya bilgilerinin kullanılabilirliği, kullanıcı bunları her zaman ve amaçlandığı şekilde kullanabiliyorsa garanti edilir.”    

Hizmetlerin ve bu hizmetlerin içinde yer alan verilerin kullanılabilirliğini sürdürmek için uygun süreklilik ve güvenlik önlemleri uygulamaktayız:    

• Kritik hizmetler için uygulanan düzenli hata testleri  
• Önemli sistemler için kapsamlı performans/kullanılabilirlik izleme ve raporlama  
• Güvenlik Olayı Müdahalesi  
• Çoğaltılan veya yedeklenen kritik öneme sahip veriler (Bulut Yedeklemeleri/Sabit Sürücüler/Veritabanı kopyalama vb.) 
• Planlı yazılım, altyapı ve güvenlik bakımı uygulanır (Güvenlik güncellemeleri, güvenlik yamaları vb.)   
• Yerinde ve/veya coğrafi olarak ayrılmış konumlarda bulunan yedekli ve esnek sistemler (sunucu kümeleri, yansıtılmış veri tabanları, yüksek kullanılabilirlik ayarları vb.)    
• Kesintisiz güç kaynakları kullanımı, fazla yedekli donanım ve ağ sistemleri  
• Alarm ve güvenlik sistemleri kullanılır  
• Kritik alanlar için fiziksel Koruma önlemleri uygulanır (akım koruması, yüksek zeminler, soğutma sistemleri, yangın ve/veya duman dedektörleri, yangın söndürme sistemleri vb.) 
• Kullanılabilirliği sürdürmek için DDOS koruması   
• Yük ve Stres Testleri  

4. Veri İşleme Talimatları. "Veri İşleme Talimatları kişisel verilerin yalnızca veri denetleyicisinin yönergelerine ve ilgili şirket önlemlerine uygun olarak işleneceğini garanti eder”  

Şirket içi gizlilik politikaları, sözleşmeler oluşturduk ve çalışanların kişisel tercihlerinin müşterinin tercihleri ve talimatları doğrultusunda işlenmesini sağlamaya yönelik düzenli gizlilik eğitimleri düzenliyoruz.   

• Çalışan sözleşmeleri dahilinde yürürlükte olan mahremiyet ve gizlilik şartları 
• Çalışanlar için düzenli veri gizliliği ve güvenliği eğitimleri 
• Talimatlar ile ilgili denetim haklarını korumak için alt yüklenicilerle yapılan anlaşmalara uygun sözleşme hükümleri 
• Harici hizmet sağlayıcıları için düzenli gizlilik denetimleri 
• Müşterilere verilerinin işlenmesi tercihleri ile ilgili tam kontrol sağlama 
• Düzenli güvenlik denetimleri