Veri Güvenliği Tedbirleri

Gizlilik ve Politikalar

Kişisel Verilerin İşlenmesi Ve Korunması Politikası Kişisel Verilerin Koruması Başvuru Formu İnternet Sitesi Aydınlatma Metni Müşteri Aydınlatma Metni Veri Güvenliği Tedbirleri Bilgi Toplumu Hizmetleri Çerez Politikası Aydınlatma Metni

Özpaş Veri Güvenliği Tedbirleri

Kişisel verilerin işlenmesi sürecinde veri işleyenin alması gereken güvenlik önlemleri, aşağıda belirtilen hususlarla birlikte uygulanır:

1.Gizlilik Taahhüdü:
Kişisel verilere erişim yetkisi bulunan çalışanlardan, verilerin gizliliğini koruyacaklarına dair yazılı taahhüt alınmalı ve bu taahhüt hizmet sözleşmelerine dâhil edilmelidir.

2.Eğitim ve Farkındalık Programları:
Çalışanlara yılda en az bir kez bilgi güvenliği ve kişisel verilerin korunması konularında eğitim verilmelidir. Ayrıca, poster, görsel materyal, e-posta bilgilendirmeleri gibi yöntemlerle sürekli bir farkındalık programı yürütülmelidir.

3.Bilgi Güvenliği Politikası ve Prosedürleri:
Kişisel verilerin korunmasını da kapsayan kapsamlı bir bilgi güvenliği politikası ile prosedürler hazırlanmalı ve uygulanmalıdır. Tüm çalışanlar bu politika ve prosedürler hakkında düzenli olarak bilgilendirilmelidir.

4.Erişim Yetkilerinin Sınırlandırılması:
Kişisel verilere erişim, “görev ayrılığı” ve “gerektiği kadar bilme” ilkeleri çerçevesinde yalnızca yetkili personele tanımlanmalı; yetkisiz kişilerin erişimi kesin olarak engellenmelidir. Tüm erişim yetkileri düzenli aralıklarla denetlenmeli ve güncellenmelidir.

5.Erişim Yönetimi ve Denetimi:
Kişisel verilere erişim için belirlenmiş yöntemler kullanılmalı ve bu erişimler yalnızca ilgili onayların alınmasıyla sağlanmalıdır. Erişim hakları yılda en az bir kez, verinin kritikliği yüksekse daha sık olmak üzere gözden geçirilmeli ve gerekli güncellemeler yapılmalıdır. Yetkili personelin görev değişikliği veya işten ayrılması halinde erişim yetkileri derhal iptal edilmelidir.

6. Erişim ve Parola Güvenliği

Kişisel verilerin saklandığı elektronik sistemlere girişler yalnızca kullanıcı adı ve şifre ile yapılmalı, gerçekleştirilen tüm erişimler kayıt altına alınmalıdır. Uzaktan bağlantılarda ise çift faktörlü kimlik doğrulama zorunlu hale getirilmelidir.

Veri işleyen, uluslararası kabul görmüş standartlar doğrultusunda güçlü bir parola politikası oluşturmalı ve uygulamalıdır. Bu çerçevede; parolaların en az sekiz karakterden oluşması, karmaşık kombinasyonlar içermesi, en fazla 90 günde bir değiştirilmesi, son dört parolanın tekrar kullanılamaması ve beş kez hatalı girişte hesabın otomatik olarak kilitlenmesi sağlanmalıdır. Kullanıcı adı ve parolalar her çalışan için ayrı olmalı, kesinlikle paylaşılmamalıdır.

Sisteme yapılan tüm erişimlerin denetlenebilmesi için log kayıtları tutulmalı, makul süre boyunca saklanmalı ve düzenli kontrollerle olası ihlallerin tespiti yapılmalıdır. Erişim kayıtları uygun güvenlik yöntemleriyle korunarak en az bir yıl süreyle muhafaza edilmelidir.

7. Ses Kayıtlarının Yönetimi

Ses kayıtlarına erişim yalnızca yetkili kişilerle sınırlandırılmalı ve tüm erişimler ayrıntılı şekilde loglanarak izlenmelidir. Veri Sorumlusu tarafından belirlenen saklama süresi dolan kayıtlar, geri getirilemeyecek biçimde güvenli yöntemlerle silinmeli veya imha edilmelidir.

8. Güvenlik İhlallerinin Bildirimi ve Müdahale

Veri işleyen, tespit ettiği her türlü yetkisiz erişim, ifşa ya da güvenlik ihlalini vakit kaybetmeden Veri Sorumlusu’na raporlamalıdır. Adli inceleme gerektiren durumlarda ilgili sistemlere müdahale edilmemeli, mevcut durum korunarak kayıt altına alınmalıdır. Tüm log dosyaları güvenli şekilde saklanmalı ve talep halinde Veri Sorumlusu’na sunulmalıdır. Etkin bir olay yönetimi sağlamak için senaryoya dayalı tatbikatlar düzenlenmelidir. Ayrıca CTI logları dâhil olmak üzere hiçbir sistem kaydında kişisel veri veya kart bilgisi bulundurulmamalıdır.

9. Zararlı Yazılımlara Karşı Koruma

Kişisel verilerin saklandığı tüm sistemler, kötü amaçlı yazılımlara karşı koruma sağlayan güvenlik yazılımları (ör. antivirüs programları) ile korunmalı ve bu yazılımların güncelliği düzenli olarak sağlanmalıdır.

10. Yetkisiz Ortamlarda Saklamama

Kişisel veriler, şirket dışındaki üçüncü kişilerin erişimine açık platformlarda (dosya paylaşım siteleri, internet ortamı vb.) hiçbir şekilde depolanmamalıdır.

11. Fax ile İletim

Kişisel verilerin fax yoluyla gönderilmesi halinde, iletilen fax numarası önceden kontrol edilmeli ve verinin yalnızca doğru alıcıya ulaştığından emin olunmalıdır.

12. Kurye ile Gönderim

Kişisel verilerin kurye aracılığıyla gönderilmesi durumunda, gönderime ilişkin alındı belgesi saklanmalıdır. Veriler kapalı zarf içinde gönderilmeli ve zarftaki içerik dışarıdan görünmeyecek şekilde hazırlanmalıdır.

13. Ofis Dışı Çalışma Kuralları

Kişisel veriler yalnızca şirkete ait bilgisayarlar üzerinden işlenebilir; farklı cihazlara veya ortak kullanıma açık ortamlara aktarılmamalıdır. Ayrıca kişisel veriler, kurumsal e-posta hesapları dışında (ör. Gmail, Yahoo, AOL vb.) bulunan kişisel e-posta adreslerinden gönderilmemelidir.

14. Ağ Güvenliği

Verilerin üçüncü kişilerce erişilebilecek alanlarla şirketin veri alanları arasında güvenlik duvarı (firewall) dâhil olmak üzere uygun koruma önlemleri uygulanmalıdır. Veri gizliliğini tehdit edebilecek saldırılara karşı IDS/IPS gibi güvenlik sistemleri devreye alınmalıdır.

15. Bilgi Sınıflandırması

Kişisel veri içeren tüm belgeler ve yazışmalar, “Gizli Bilgi” veya “Özpaş’a Özel Bilgi” şeklinde işaretlenmelidir.

16. Şifreleme ve Aktarım Güvenliği

Kişisel verilerin her türlü aktarımı (e-posta, FTP, dosya paylaşımı vb.) yalnızca şifrelenmiş yöntemlerle yapılmalıdır. Veriler, uygun bir şifreleme sistemi bulunmaksızın taşınabilir cihazlarda (USB bellek, harici disk vb.) saklanmamalı veya transfer edilmemelidir. Ayrıca tüm veri aktarım kayıtları, gerektiğinde denetime sunulmak üzere saklanmalıdır.

17. Güvenli Uzak Erişim

Kişisel verilere şirket dışından erişim yalnızca güvenli iletişim kanalları (VPN vb.) üzerinden yapılmalıdır. Veriler yalnızca şirkete ait bilgisayarlarda saklanmalı, üçüncü kişilere ait cihazlara veya harici ortamlara kopyalanmamalıdır.

18. Fiziksel Güvenlik

Kişisel verilerin saklandığı sunucu ve veri depolama sistemleri fiziksel olarak korunmalı; bu ortamlara giriş yalnızca yetkili personelin erişimine açık olmalıdır.

19. Veri İmhası

Kişisel veriler silinirken geri döndürülemeyecek yöntemler kullanılmalıdır. Elektronik ortamlar için kalıcı silme teknikleri, fiziksel ortamlar için ise uygun imha yöntemleri (ör. kâğıt öğütücü) uygulanmalıdır. Tüm silme ve imha işlemleri kayıt altına alınarak Veri Sorumlusu’na rapor edilmelidir.

20. Zafiyet ve Yama Yönetimi

Veri işleyen, yönettiği tüm sistemlerde düzenli olarak güvenlik zafiyetlerini gidermeli ve yama yönetimini uygulamalıdır. Bu uygulamalar, özellikle uç kullanıcı cihazları (PC vb.) dahil tüm sistemleri kapsamalıdır.

 

 

 

21. İç ve Dış Tehditlere Karşı Koruma

İçeriden gelebilecek veri sızıntılarını önlemek için DLP çözümleri; dışarıdan gelebilecek saldırılara karşı ise zararlı yazılım önleme, saldırı tespit (IDS) ve önleme (IPS) sistemleri kullanılmalıdır.

22. Kriptografik Kontroller

Bilgilerin hem saklanması hem de iletilmesi süreçlerinde kriptografik yöntemler kullanılmalı, veri güvenliği güçlü şifreleme standartları ile sağlanmalıdır.

23. Erişim Kısıtlamaları ve Yurtdışı Aktarım

Veri işleyen, yönettiği sistemlerde Veri Sorumlusu’na ait verilere yalnızca yetkili çalışanlar ve sistemler tarafından erişilebilmesini garanti etmelidir. Paylaşımlı ortamlar kullanılmamalı, diğer müşterilerin bu verilere erişimi engellenmelidir. Yurtdışına veri aktarımı veya yurtdışı sistemlerin kullanımı ancak Veri Sorumlusu’nun açık onayıyla gerçekleştirilebilir.

24. Sızma Testleri

Veri işleyen, yılda en az bir kez ve ayrıca her büyük sistem değişikliğinin ardından iç ve dış sızma testleri yaptırmalı, sonuçlarını Veri Sorumlusu’na iletmelidir. Veri Sorumlusu’nun değerlendirmesinden sonra tespit edilen bulgular kapatılmalı ve doğrulama testleri yeniden raporlanmalıdır.

25. Kaynak Kod Testleri

Veri işleyen, yılda en az bir kez ve ayrıca her majör değişiklik sonrasında kaynak kod güvenlik testleri yaptırmalı, sonuçları Veri Sorumlusu’na sunmalıdır. Tespit edilen açıkların kapatılmasının ardından doğrulama testleri yapılmalı ve nihai sonuçlar tekrar Veri Sorumlusu’na iletilmelidir.

26. Güvenlik Testleri ve Sertifikasyon

Güvenlik testleri, OWASP (Open Web Application Security Project) ve NIST 800-42 (National Institute of Standards and Technology Guidelines) metodolojileri esas alınarak yürütülmelidir. Türkiye’de hizmet veren test firmalarının, Türk Standartları Enstitüsü tarafından verilen “TS-13638 – Sızma Testi Yapan Personel ve Firmalar için Şartlar” standardına uygun “TSE A Sınıfı Onaylı Sızma Testi Firması” belgesine sahip olması zorunludur. Ayrıca testleri yürüten ekipte OSCP, OSWE, OSEP veya TSE sertifikalı ya da kıdemli düzeyde sızma testi uzmanlığına sahip personelin bulunması gerekmektedir.

27. Veri Minimizasyonu ve Yasal Yükümlülükler

Kişisel verilerin işlenmesinde veri minimizasyonu ilkesi esas alınmalı, süreçler için gerekli olmayan hiçbir kişisel veri herhangi bir ortamda saklanmamalıdır. Veri işleyen, yukarıda belirtilen tedbirlerin yanı sıra, ilgili Türk mevzuatı, yasa ve yönetmeliklerde öngörülen tüm güvenlik önlemlerini de eksiksiz olarak uygulamakla yükümlüdür.