STARTUPFON KİTLE FONLAMA PLATFORMU A.Ş.
BİLGİ GÜVENLİĞİ POLİTİKASI
BİRİNCİ BÖLÜM
AMAÇ, KAPSAM ve HUKUKİ DAYANAK
Amaç
Madde 1- Bu Politika’nın amacı, Startupfon Kitle Fonlama Platformu A.Ş. ’nin (bundan sonra Platform olarak anılacaktır) görevi ve konumu nedeniyle bilgi çağı gereklerine paralel olarak bilgi paylaşımı ve güvenliği konularında tedbir almak, bilginin gizlilik, bütünlük ve erişilebilirlik kapsamında değerlendirilerek, içeriden ve/veya dışarıdan gelebilecek kasıtlı veya kazayla oluşabilecek tüm tehditlerden korunmasını sağlamak, yürütülen faaliyetleri etkin, doğru, hızlı ve güvenli olarak gerçekleştirmektir.
İşbu Politika ile Platform tüm faaliyetlerinde bünyesinde çalışanlar ve ilgili tarafların uyması gereken bilgi güvenliği şartlarının çerçevesini çizmek ve yazılı kurallara ilişkin ilke ve esasları düzenlemeyi hedeflemektedir.
Kapsam
Madde 2- Bu politika Startupfon Kitle Fonlama Platformu A.Ş.’nin merkez ve şubeleri ile diğer örgüt birimlerinde bulunan bilgi sistemleri varlıklarını, bilgi sistemlerine erişim sağlayan personelleri, yazılım geliştirme, satış, kurulum, destek, entegrasyon, eğitim, danışmanlık hizmetlerinin iş süreçleri ile Bilgi sistemlerinin kurulması, işletilmesi, yönetilmesi ve kullanılmasına ilişkin; bilginin gizliliğinin, bütünlüğünün ve gerektiğinde erişilebilir olmasının sağlanmasına yönelik olarak bilgi güvenliği politikası üst yönetim tarafından hazırlanır ve yönetim kurulu tarafından onaylanır. Onaylanan bilgi güvenliği politikası personele ve kamuya duyurulur. Bu politika, bilgi güvenliği süreçlerinin işletilmesi için gerekli rollerin ve sorumlulukların tanımlanmasını, bilgi sistemlerine ilişkin risklerin yönetilmesine dair süreçlerin oluşturulmasını, kontrollerin tesis edilmesini ve gözetimini kapsar.
2.1 İç kapsam
İdare, kuruluşa ilişkin yapı, roller ve yükümlülükler
Kapsam dahilindeki departmanlar;
Bilgi Teknolojileri, Finans, Muhasebe, Bilgi Nitelik Yönetimi, birimlerini kapsar.
Yerine getirilecek politikalar, hedefler ve stratejiler
• Tüm yönetim sistemlerinde tanımlanan politikalar,
• Yönetimce belirlenmiş yıllık Bilgi Güvenliği Yönetim Sistemi hedefleri,
• Kuruluş kültürü,
• Kaynaklar ve bilgi birikimi cinsinden anlaşılan yetenekler (örneğin, anapara, zaman, kişiler, süreçler, sistemler ve teknolojiler),
• Bilgi Güvenliği Yönetim Sisteminin kurulması, işletilmesi ve sürdürülmesi için yönetim tarafından atanan Yönetim Temsilcileri ve Bilgi Güvenliği Yönetim Sistemi ekibi,
• İç paydaşlarla ilişkiler ve onların algılamaları ve değerleri, kuruluşun kültürü, kuruluş tarafından uyarlanan standartlar, kılavuzlar ve modeller, sözleşmeye ilişkin ilişkilerin; biçim ve genişliğini kapsamaktadır.
• Bilgi Güvenliği yönetim sistemleri için kuruluş tarafından uyarlanan standartlar, kılavuzlar ve modeller,
• Ürünler, üretim prosesleri, tasarım faaliyetleri, kurulum ve servis faaliyetleri, stratejik planlar, finansal olanaklar, insan kaynakları yapısı ile ilgili, Bilgi Güvenliği sorumluluğumuzu olumlu ya da olumsuz etkileyebilecek hususlar,
• Tartışmalı problemler ve Platform Bilgi Güvenliği Yönetim Sistemi için belirlediği amaçlanan çıktılara ulaşma kabiliyetini etkileyen değişen durum veya tartışmalardır.
- Dış Kapsam
Yerine getirilecek politikalar, hedefler ve stratejiler
- Uluslararası, ulusal, bölgesel veya yerel olmak üzere, sosyal ve kültürel, politik, yasal, mevzuata ilişkin, finansal, teknolojik, ekonomik, doğal ve rekabetçi ortam,
- Küresel Rekabet Hukuku, Politikaları ve Prosedürleri,
- Tedarikçi ve yatırımcı verilerinin gizliliği,
- Kuruluşun hedefleri üzerinde etkisi bulunan paydaşlarla ilişkiler ve onların algılamaları ve değerleri,
- Yatırımcı beklentilerinin sağlanması için Üst Yönetim dahil tüm Platform çalışanları ve taşeronlar
- Yatırımcı memnuniyetin sağlanması için Üst Yönetim dahil tüm Platform çalışanları,
- İlgili tüm yasal mevzuat, düzenleyici, sözleşmeden doğan şartlar, standartlar,
- Tedarikçiler ve dış kaynaklı servis sağlayıcıları,
- Ürün belgelendirmeleri dış kapsamdır.
Hukuki Dayanak ve Tanımlar
Madde 3- Bu Politika, Sermaye Piyasası Kurulu’nun 27.10.2021 tarihli 31641 sayılı Resmi Gazete’de yayınlanan “Kitle Fonlaması Tebliği (lll – 35/A.2) ve 9.1.2020 tarihli 31003 sayılı Resmi Gazete ’de yayınlanan ‘Bilgi Sistemleri Yönetimi Tebliği (VII-128.9) (“Bilgi Sistemleri Yönetimi Tebliğ”) esas alınarak hazırlanmıştır.
3.1. BGYS: Bilgi Güvenliği Yönetim Sistemi.
3.2. Envanter: Kurum için önemli olan her türlü bilgi varlığı.
3.3. Know-How: Bir şeyi yapabilme yetkinliğidir.
3.4. Bilgi Güvenliği: Bilgi, tüm diğer kurumsal ve ticari varlıklar gibi, bir işletme için değeri olan ve bu nedenle uygun şekilde korunması gereken bir varlıktır. Platform, know-how, süreç, formül, teknik ve yöntem, personel bilgileri, ticari, sınai ve teknolojik bilgiler GİZLİ BİLGİ olarak kabul edilir.
3.5. Gizlilik: Bilginin içeriğinin görüntülenmesinin, sadece bilgiyi/veriyi görüntülemeye izin verilen kişilerin erişimi ile kısıtlanmasıdır. (Ör: Şifreli e-posta gönderimi ile e-postanın ele geçmesi halinde dahi yetkisiz kişilerin e-postaları okuması engellenebilir.)
3.6. Bütünlük: Bilginin yetkisiz veya yanlışlıkla değiştirilmesinin, silinmesinin veya eklemeler
çıkarmalar yapılmasının tespit edilebilmesi ve tespit edilebilirliğin garanti altına alınmasıdır. (Ör: Veri tabanında saklanan verilerin özet bilgileri ile birlikte saklanması, dijital imza)
3.7. Erişilebilirlik/Kullanılabilirlik: Varlığın ihtiyaç duyulduğu her an kullanıma hazır olmasıdır. Diğer bir ifadeyle, sistemlerin sürekli hizmet verebilir halde bulunması ve sistemlerdeki bilginin
kaybolmaması ve sürekli erişilebilir olmasıdır. (Ör: Sunucuların güç hattı dalgalanmalarından ve güç kesintilerinden etkilenmemesi için kesintisiz güç kaynağı ve şasilerinde yedekli güç kaynağı kullanımı).
3.8. Bilgi Varlığı: Platform’un sahip olduğu, işlerini aksatmadan yürütebilmesi için önemli olan varlıklardır. Bu politikaya konu olan süreçler kapsamında bilgi varlıkları şunlardır:
• Kağıt, elektronik, görsel veya işitsel ortamda sunulan her türlü bilgi ve veri,
• Bilgiye erişmek ve bilgiyi değiştirmek için kullanılan her türlü yazılım ve donanım,
• Bilginin transfer edilmesini sağlayan ağlar,
• Bölümler, birimler, ekipler ve çalışanlar,
• Tesisler ve özel alanlar,
• Çözüm ortakları,
• Üçüncü taraflardan sağlanan servis, hizmet veya ürünlerdir.
3.9. Üst Yönetim:
3.10. BSGY Komitesi:
3.11. BSGY Yöneticisi
3.12. SSL VPN: Son kullanıcı tarafında bir yazılıma ya da donanıma gerek kalmadan işletim sistemlerinin sağladığı internet tarayıcılarının kullanılmasıyla bir ağa güvenli bir biçimde bağlantı çeşididir. Mobil cihazlar ya da kişisel cihazlarla SSL VPN kullanmak mümkündür.
3.13. Statik IP: IP adresleri internet hizmet sağlayıcıları tarafından atanır ve bu adresler zaman içerisinde değişebilir. Statik IP adresleri ise değişmez, atandığı cihaz veya sunucu için sabit olarak kalır.
3.14. Sunucu: Bir bilgisayar ağı üzerinden kullanıcı isteklerine yanıt veren bilgisayar teknolojisidir.
3.15. Sürücü: Sürücü, bilgisayarınızın donanım veya aygıtlarla iletişim kurmasını sağlayan bir yazılımdır.
3.16. Switch (Ağ anahtarı): Bilgisayarların ve diğer ağ öğelerinin birbirlerine bağlanmasına olanak veren ağ donanımıdır.
3.17. Tünel: Kurumsal ağa erişmek için kullanılan uygulamaların kullandığı veri gizleme yöntemidir.
3.18. UTP Kablosu: Korumasız bükümlü kablodur. Bilgisayarlar arası veri iletişiminde kullanılır.
3.19. Virüs Pattern: Antivirüs programının virüsleri tanıma amacıyla kullandığı imza dosyasıdır.
3.20 VLAN (Virtual Local Area network): Ağ kullanıcılarının ve kaynaklarının bir switch üzerindeki portlara bağlanarak yapılan mantıksal bir gruplamadır.
3.21. VPN: Virtual Private Network'ün (Sanal Özel Ağ) kısaltması olup, ağlara güvenli bir şekilde uzaktan erişimde kullanılan bir teknolojidir. Sanal bir ağ uzantısı yarattığından uzaktan bağlanan makine konuk gibi değil, ağa fiziksel olarak bağlıymış gibi görünür.
3.22 Yönlendirici (Router): Ağdaki bilgisayarların yönlerini bulmalarına klavuzluk eder. Bir başka deyişle ağdaki IP paketlerini bir ağdan başka bir ağa taşımaya yarayan cihazlara router denmektedir.
İKİNCİ BÖLÜM
TARAFLAR, SORUMLULUKLAR ve BİRİMLER
Sorumluluk ve Yetki
Madde 4- . Sorumluluk ve yetkileri belirlenmiş görevlerin nitelik ve yeterlilikleri görev tanımlarında tanımlanmıştır. Bilgi güvenliği ile ilgili faaliyetlerin sürdürülmesinden ve geliştirilmesinden. BGYS Ekibi ve Üst Yönetim tarafından atanmıştır. Kapsam içindeki departmanlardan BGYS temsilcileri belirlenmiştir. BGYS ekip üyesi olarak isim bazında atamaları yapılmıştır. Bilgi Güvenliği Politikasının güncelliğinin ve sürekliliğinin sağlanmasından BGYS Yöneticisi sorumludur. Bilgi Güvenliği politikasında yapılacak güncellemeler Yönetim Gözden Geçirme toplantılarında belirlenir ve BGYS Yöneticisi tarafından dokümana yansıtılır. Her güncellemede doküman Üst Yönetim tarafından onaylanır.
4.1. Yönetim Sorumluluğu
• Platform Üst Yönetimi, tanımlanmış, yürürlüğe konmuş ve uygulanmakta olan Bilgi Güvenliği Sistemine uyacağını ve sistemin verimli şekilde çalışması için gerekli kaynakları tahsis edeceğini, sistemin tüm çalışanlar tarafından anlaşılmasının sağlayacağını taahhüt eder.
• BGYS kurulumu sırasında BGYS Yönetim Temsilcisi atama yazısı ile atanır. Gerekli olduğu durumlarda üst yönetim tarafından doküman revize edilerek atama tekrar yapılır.
• Yönetim kademesindeki yöneticiler güvenlik konusunda alt kademelerde bulunan personele sorumluluk verme ve örnek olma açısından yardımcı olurlar. Üst kademelerden başlayan ve uygulanan anlayış, kurumun en alt kademe çalışanlarına kadar inilmesi zorunludur. Bu yüzden tüm yöneticiler yazılı ya da sözlü olarak güvenlik talimatlarına uymaları, güvenlik konularındaki çalışmalara katılmaları yönünde çalışanlarına destek olurlar.
• Üst Yönetim, Bilgi güvenliği kapsamlı çalışmalar için gerek duyulan bütçeyi oluşturur.
4.2. BGYS Ekip Üyeleri Sorumluluğu
• Bölümleri ile ilgili varlık envanteri ve risk analiz çalışmalarının yapılması,
• Sorumluluğu altında bulunan bilgi varlıklarında bilgi güvenliği risklerini etkileyecek bir değişiklik olduğunda, risk değerlendirmesi yapılması için Yönetim Temsilcisini bilgilendirmesi,
• Departman çalışanlarının politika ve prosedürlere uygun çalışmasını sağlanması,
• Bölümleri ile ilgili BGYS kapsamında farkındalığın oluşması, iletişimin sağlanması, dokümantasyon gereksinimlerinin sağlanması,
• BGYS' de mevcut yapının sürdürülmesi ve sürekli iyileştirmelerin sağlanmasından sorumludur.
4.3. İç Denetçi Sorumluluğu
• İç denetim planı doğrultusunda, görev verilen iç denetimlerde denetim faaliyetlerinin yapılmasından ve raporlanmasından sorumludur.
4.4. Bölüm Yöneticileri Sorumluluğu
• Bilgi Güvenliği Politikasının uygulanması ve çalışanların esaslara uymasının sağlanmasından, 3. tarafların politikadan haberdar olmasının sağlanmasından ve fark ettiği bilgi sistemleri ile ilgili güvenlik ihlal olaylarının bildirilmesinden sorumludurlar.
4.5 Tüm Çalışanların Sorumluluğu
• Çalışmalarını bilgi güvenliği hedeflerine, politikalarına ve bilgi güvenliği yönetim sistemi dokümanlarına uygun olarak yürütmekten,
• Kendi birimi ile ilgili bilgi güvenliği hedeflerinin takibini yapar ve hedeflere ulaşılmasını sağlar.
• Sistemler veya hizmetlerde gözlenen veya şüphelenilen herhangi bir bilgi güvenliği açıklığına dikkat etmek ve raporlamaktan,
• Üçüncü taraflar ile yapılan ve satın alma sorumluluğunda olmayan hizmet sözleşmelerine (danışmanlık vb.) ilave olarak gizlilik sözleşmesi yapmak ve bilgi güvenliği gereksinimlerini sağlamaktan sorumludur.
4.6. Üçüncü Tarafların Sorumluluğu
• Bilgi güvenliği politikasının bilinmesi ve uygulanması ile BGYS kapsamında belirlenen davranışlara uyulmasından sorumludur.
Bilgi Güvenliği ve Risk Yönetim Çerçevesi
Madde 5- Bilgi, diğer önemli ticari ve kurumsal varlıklar gibi, bir işletme ve kurum için değeri olan ve bu nedenle uygun olarak korunması gereken bir varlıktır. Bilgi güvenliği iş sürekliliğini sağlamak, kayıpları en aza indirmek için tehlike ve tehdit alanlarından korur. Bilgi güvenliği, bu politikada aşağıdaki bilgi niteliklerinin korunması olarak tanımlanır:
- Gizlilik: Bilginin sadece erişim yetkisi verilmiş kişilere erişilebilir olduğunu garanti etmek,
- Bütünlük: Bilginin ve işleme yöntemlerinin doğruluğunu ve yetkisiz değiştirilememesini temin etmek,
- Erişilebilirlik: Yetkili kullanıcıların, gerek duyulduğunda bilgiye ve ilişkili kaynaklara en hızlı şekilde erişebileceklerini garanti etmek.
Bilgi güvenliği politikası dokümanı, yukarıdaki korumaları ve gereksinimleri sağlayabilmek için oluşturulmuş denetimlerin uygulanması sırasında kullanılacak en üst seviyedeki prensiplerin belirtildiği dokümandır.
Platform’un risk yönetim çerçevesi; bilgi güvenliği risklerinin tanımlanmasını, değerlendirilmesini ve işlenmesini kapsar. Risk Analizi, uygulanabilirlik bildirgesi ve risk işleme planı, bilgi güvenliği risklerinin nasıl kontrol edildiğini tanımlar. Risk işleme planının yönetiminden ve gerçekleştirilmesinden BGYS sorumludur. Tüm bu çalışmalar, “Varlık Envanteri ve Risk Değerlendirme Prosedürü” nde detaylı olarak anlatılmaktadır.
Bilgi Güvenliği Hedefleri ve Amaçları
Madde 6- Politikası, Platform çalışanlarına güvenlik gereksinimlerine uygun şekilde hareket etmesi konusunda yol göstermek, bilinç ve farkındalık seviyelerini arttırmak ve bu şekilde firmanın temel ve destekleyici iş faaliyetlerinin en az kesinti ile devam etmesini sağlamak, güvenilirliğini ve imajını korumak ve üçüncü taraflarla yapılan sözleşmelerde belirlenmiş uygunlukları sağlamak amacıyla firmanın tüm işleyişini etkileyen fiziksel ve elektronik bilgi varlıklarının korunmasını hedefler. Yönetim tarafından belirlenen hedefler belirlenmiş periyodlarda izlenir ve BGSY toplantılarında gözden geçirilir.
Bilgi Güvenliği Organizasyonu
Madde 7- Platform’da Bilgi Güvenliği Yönetim Sistemi ile ilgili aşağıdaki şekilde bir organizasyon yapılmıştır.
- BGYS ile ilgili faaliyetlerin sürdürülmesinden ve geliştirilmesinden BGYS Yönetim Temsilcisi
- Bilgi Güvenliği Yönetim Sistemi’nin kurulması ve işletilmesinden BGYS Yöneticisi sorumludur.
- BGYS Yönetim Temsilcisi ve BGYS Yöneticisi, Üst Yönetim tarafından atanır.
- Kapsam dahilindeki birimlerde BGYS Sorumluları belirlenmiştir. BGYS Sorumluları kendi birimlerindeki Bilgi Güvenliği Yönetim Sistemi çalışmalarını takip etmek ve koordine etmekle yükümlüdürler.
İş Sürekliliği Planı
Madde 8- Platform, BilgiSistemleri Yönetimi Tebliği baz alınarak İş Sürekliliği Planı ve Acil Durum Eylem Planı hazırlanmıştır. Platform ’un değer yaratan faaliyetlerini, herhangi bir felaket, kriz ve afet durumunda önceden belirlenen seviyede yürütebilmesi için gerekli olan bu planlarda iş sürekliliği ve acil durum yönetim kapsamı, yapısı, temel unsurları, bilgi sistemleri sürekliliği planı, acil ve beklenmedik durum planı dokümante edilerek tanımlanmıştır. Olası durumlarda hazırlanan planlar ile Platform’un herhangi bir kesinti anında faaliyetlerinin sürdürülmesi veya zamanında kurtarılmasını sağlamak üzere operasyonel, finansal, yasal ve itibari olumsuz etkileri en aza indirmek, sorunları yönetebilmek, herhangi bir beklenmedik ve acil durumda öncelikli gerçekleştirilecek eylemleri, alınacak önlemleri belirleyerek, Şirket’in varlık ve itibarını korumak hedeflenmiştir.
Risk Yönetimi
Madde 9- Platform ’un ISO 27001 Risk Yönetim Çerçevesi; Bilgi Güvenliği ve Hizmet Yönetimi risklerinin tanımlanmasını, değerlendirilmesini ve işlenmesini kapsar. Risk Analizi ve Risk İşleme Planı Bilgi Güvenliği ve Hizmet Yönetimi risklerinin nasıl kontrol edildiğini tanımlar. Risk İşleme Planının yönetiminden ve gerçekleştirilmesinden BGYS Yürütme ve Yönetim Komitesi sorumludur.
Bilgi sistemlerine ilişkin risklerin yönetilmesinde asgari olarak aşağıdaki hususlar değerlendirmeye katılır:
- Bilgi teknolojilerindeki hızlı gelişmeler sebebiyle rekabetçi ortamda gelişmelere uymamanın olumsuz sonuçları, gelişmelere uyma konusundaki zorluklar ve yasal mevzuatın değişebilmesi,
- Bilgi sistemleri kullanımının öngörülemeyen hatalara ve hileli işlemlere zemin hazırlayabilmesi,
- Bilgi sistemlerinde dış kaynak kullanımından dolayı dış kaynak hizmeti veren kuruluşlara bağımlılığın oluşabilmesi,
- İş ve hizmetlerin önemli oranda bilgi sistemlerine bağlı hale gelmesi,
- Bilgi sistemleri üzerinden gerçekleştirilen işlemlerin, verilerin ve denetim izlerine ilişkin tutulan kayıtların güvenliğinin sağlanmasının zorlaşması.
Yukarıda verilen hususlar için aşağıda bulunan Risk Yönetim Planı hazırlanmıştır.
RİSK YÖNETİM PLANI | |||||||
Cihaz Adı | Kritik Varlık Değeri | Tehdit | Açıklık | Olası-lık | Et-ki | Risk üstlenme | Düzenleyici / risk azaltıcı faaliyetler |
YAZILIMIN KOŞULDU-ĞU ANA SERVERLAR | 5 | Elektrik Kesintisi | Elektrikle çalışıyor | 1 | 5 | Risk kabul edilmiştir | Muhtemel kesintilere karşı yedek olarak UPS mevcut. UPS’ler ile ilgili herhangi bir arıza veya yetersizlik söz konusu olması durumunda ise kesinti anında devreye giren jeneratörler bulunuyor. |
Fiziksel Müdahale | İnsan faktörü | 1 | 5 | Risk kabul edilmiştir | Veri merkezinde bulunan fiziksel serverlara erişim yalnızca şirketin belirlediği yetkili kişiler tarafından yapılabilmektedir. | ||
İnternet bağlantısının kesilmesi | Servis Sağlayıcıla-rı | 1 | 5 | Risk kabul edilmiştir | Kullanılan veri merkezinin yedekli fiber ve radyolink altyapı özelliği vardır. | ||
Çalışma Ortamı, Nem, Sıcaklık | Ortamın fiziksel koşulları | 1 | 4 | Risk kabul edilmiştir | TIER III sertifikasyonuna sahip veri merkezinde yedekli iklimlendirme sistemleri mevcuttur. | ||
Doğal Afetler, Yangın, Su Baskını | Bina ve mekânın özellikleri | 1 | 5 | Risk kabul edilmiştir | TIER III sertifikasyonuna sahip veri merkezi sismik izolatörler ile 9 şiddetinde depreme dayanıklıdır, doğal afet ve felaketleri karşı güvenlidir. | ||
Hırsızlık | İnsan faktörü | 2 | 5 | Risk azaltılacaktır | Hem veri merkezi hem de şirket merkez ofisi binası 7/24 güvenlik kamerası ve güvenlik görevlileri tarafından izlenmektedir. Bina’ya ve sunucunun bulunduğu bölgeye erişim izni olmayan kimse ulaşamamaktadır. Herhangi bir şekilde verilerin fiziksel olarak çalınması ihtimal dahilinde dahi olsa halihazırda güvenlik gereksinimi yüksek olan veriler şifrelendiği için fiziksel olarak ele geçirilse de 3. Kişiler tarafından kullanılamayacak-tır. | ||
Konfigürasyon Arızası | Yazılım yapısı | 1 | 5 | Risk azaltılacak-tır | Teknik destek şirket içinde çözümlenmekte-dir. Konfigürasyon yedeği, her versiyona özel olarak alınmaktadır. | ||
Bant Genişliği Aşımı | Fazla trafik /cihaz kapasitesi | 1 | 2 | Risk azaltılacak-tır | Anlık olarak izlenen veri trafiği kapasitesine göre server konfigürasyonları ilgili teknik personel tarafından ivedi bir şekilde artırılabilmektedir. | ||
Ddos ve Benzeri saldırılar | Dijital Saldırılar | 1 | 3 | Risk kabul edilmiştir | Websitesinde ve sunucularda DDOS koruma sistemleri kullanılmaktadır. Sunucular, yoğun istek almaları durumunda öncelikle istek atan IP’lere göre robot kontrolü yapmaktadır. İsteğin ısrarla sürdürülmesi durumunda saldırıların yapıldığı IP’ler bloke edilmektedir. | ||
TÜM OFİS BİLGİSA-YARLARI | 3 | Yazılım Arızası | Yazılım yapısı | 1 | 5 | Risk azaltılacak-tır | Tüm yazılımların teknik destek altyapıları değerlendirilerek gerekmesi durumunda teknik destek personeli devreye girmektedir. |
Donanım Arızası | Donanım Yapısı | 2 | 4 | Risk azaltılacaktır | Teknik destek şirket içinde çözümlenmekte-dir. Gerekmesi durumunda donanım hizmet sağlayıcılar ile gerekli altyapı sağlanmıştır. | ||
Hacklenme ve korsan yazılımlar tarafından enfekte olma | Kullanıcı tarafından gerçekle-şen risk | 4 | 4 |
| Yazılım koruması güncel antivirüs programı ve firewall ile desteklenmektedir. Konfigürasyon yedeği, her versiyona özel olarak alınmaktadır. | ||
MUHASEBE YAZILIMLARININ KOŞULDU-ĞU SERVER | 4 | Elektrik Kesintisi | Elektrikle çalışıyor | 1 | 5 | Risk kabul edilmiştir | Muhtemel kesintilere karşı yedek olarak adet UPS mevcut. UPS’ler ile ilgili herhangi bir arıza olması veya yetersizlik söz konusu olması durumunda ise Jeneratör bulunuyor. UPS’lerin ısınma durumuna karşı Sistem odasına yer alıyor. Jeneratörlerin de çalışmalarında aksaklık olması durumunda, farklı lokasyonda bulunan mirror serverlar devreye girecektir. |
Fiziksel Müdahale | İnsan faktörü | 1 | 5 | Risk kabul edilmiştir | Veri merkezinde bulunan fiziksel serverlara erişim yalnızca şirketin belirlediği yetkili kişiler tarafından yapılabilmektedir. | ||
İnternet bağlantısının kesilmesi | Servis Sağlayıcıla-rı | 1 | 5 | Risk azaltılaca-tır | Kullanılan veri merkezinin internet bağlantısı halihazırda iki servis sağlayıcı ile sağlanmaktadır. Her iki servis sağlayıcıda da problem yaşanması durumunda diğer lokasyonda bulunan mirror serverlar devreye girecektir. | ||
Çalışma Ortamı, Nem, Sıcaklık | Ortamın fiziksel koşulları | 2 | 5 | Risk azaltılacak-tır | Veri merkezinde bulunan, Sistem odası ve arşive ortam izleme cihazı alınarak ortam koşullarının anlık takibi sağlandı. | ||
Doğal Afetler, Yangın, Su Baskını | Bina ve mekanın özellikleri | 1 | 5 | Risk azaltılacak-tır | Veriler İstanbul’da fiziksel olarak yedeklenmektedir. Olası bir felaket senaryosunda diğer lokasyonda bulunan sunucu aktif hale gelmektedir. | ||
Hırsızlık | İnsan faktörü | 2 | 3 | Risk azaltılacak-tır | Hem veri merkezi hem de şirket merkez ofisi binası 7/24 güvenlik kamerası ve güvenlik görevlileri tarafından izlenmektedir. Bina’ya ve sunucunun bulunduğu bölgeye erişim izni olmayan kimse ulaşamamaktadır. Herhangi bir şekilde verilerin fiziksel olarak çalınması ihtimal dahilinde dahi olsa halihazırda güvenlik gereksinimi yüksek olan veriler şifrelendiği için fiziksel olarak ele geçirilse de 3. Kişiler tarafından kullanılamayacak-tır. Sunucudaki verilerin ve donanımın fiziksel olarak çalınması senaryosunda yine mirror serverlar devreye alınabilecektir. | ||
PC, YAZICI, BARKOD CİHAZI, EL TERMİNALİ, FAX, TELEFON VS. | 5 | Elektrik Kesintisi | Elektrikle çalışıyor | 3 | 3 | Risk azaltılacak-tır | UPS mevcuttur. |
Fiziksel Müdahale | İnsan faktörü | 2 | 3 | Risk azaltılacak-tır | Hırsız alarmı var; dış kapı kapalı tutulacak, kamera kayıtları saklanıyor. Sistem odası girişi kontrollü ve odaya giriş yetkisi 2 personele verilmiş. | ||
Doğal Afetler, Yangın , Su Baskını | Bina ve mekanın özellikleri | 1 | 5 | 3.taraflar ile paylaşıla-cak | Hırsız alarmı mevcut. Ortam Kameralar yardımı ile izlenmekte. İş yeri sigortası mevcut. Dış kapı kapalı tutulmakta.24 saat güvenlik mevcut. | ||
Çalışma Ortamı, Nem, Sıcaklık | Ortamın fiziksel koşulları | 2 | 5 | Risk azaltılacak-tır | Ortam izleme cihazları ile nem, sıcaklık gibi ortam koşulları takip edilmekte. | ||
Virüs Saldırısı | Teknik Açıklık | 4 | 3 | Risk azaltılacak-tır | antivirüs yazılımı var; lisanssız programlar kaldırıldı; sosyal ağlar ve uygunsuz içerikli sitelere erişim engellenecek. | ||
Hırsızlık | Taşınabilir varlık | 1 | 5 | Risk azaltılacak-tır | Hırsız alarmı mevcut. Ortam Kameralar yardımı ile izlenmekte. İş yeri sigortası mevcut. Dış kapı kapalı tutulmakta. 24 saat güvenlik mevcut. Notebook ile dışarıya çıkan personel için Mobil Cihaz Kullanma Politikası mevcut. |
Rol ve Sorumluluklar Tablosu
Madde 10- Bu maddede Platform için her bir kontrol süreci için süreç sahibinin, rollerin, faaliyetlerin ve sorumlulukların açık bir şekilde tanımları bulunmaktadır. Ayrıca kontrol süreçleri periyodik olarak yapılmakla birlikte, dönemsel performans ölçümleri ile Bilgi sistemleri kontrollerine ilişkin etkinlik, yeterlilik ve uygunluk ile öngörülen risk ya da risklerin etkisini azaltmaya yönelik faaliyetler devamlı bir şekilde takip edilmekte ve değerlendirilmektedir. Değerlendirme neticesinde tespit edilen önemli kontrol eksiklikleri üst yönetime raporlanır ve gerekli önlemlerin alınması derhal sağlanır.
BGYS YÖNETİM TEMSİLCİSİ | • Bilgi Güvenliği Yönetim Sistemi’nin kurulması ve işletilmesi için gerekli kaynak ve sorumluluk tahsislerini gerçekleştirmek, • BGYS altyapısını desteklemek ve işleyişini devam ettirmek, • Çalışanların BGYS hakkında bilgilenmelerini sağlayacak mekanizmaların işletilmesini sağlamak, • Çalışanların bilgi güvenliğine ilişkin olarak karşılaşabileceği riskleri anlaması ve tanıması için eğitici yöntemlerin kullanımını sağlamak, • Bilgi güvenliğini sağlamaya yönelik olarak tespit edilen ihtiyaçların karşılanmasını planlamak ve sağlamak, • Güvenlik Politikasını onaylamak ve Platform içinde uygulanmasını sağlamak, • BGYS kapsamlı dokümanları onaylamak, • BGYS kapsamlı Risk analizi sonucunda ortaya çıkan artık riskleri onaylamak. |
BGSY EKİP ÜYELERİ SORUMLULUĞU | • Bölümleri ile ilgili varlık envanteri ve risk analiz çalışmalarının yapılması, • Sorumluluğu altında bulunan bilgi varlıklarında bilgi güvenliği risklerini etkileyecek bir değişiklik olduğunda, risk değerlendirmesi yapılması için Yönetim Temsilcisini bilgilendirmesi, • Departman çalışanlarının politika ve prosedürlere uygun çalışmasını sağlanması, • Bölümleri ile ilgili BGYS kapsamında farkındalığın oluşması, iletişimin sağlanması, dokümantasyon gereksinimlerinin sağlanması, • BGYS' de mevcut yapının sürdürülmesi ve sürekli iyileştirmelerin sağlanmasından sorumludur. |
İÇ DENETÇİ SORUMLULUĞU | • İç denetim planı doğrultusunda, görev verilen iç denetimlerde denetim faaliyetlerinin yapılmasından ve raporlanmasından sorumludur. |
BGYS YÖNETİCİSİ | • Bilgi Güvenliği Yönetim Sistemi’nin kurulması ve işletilmesini sağlamak, • Yönetim Gözden Geçirme toplantılarını koordine etmek, • BGYS dokümanlarının revizyonunu ve kontrolünü yapmak, • BGYS kapsamlı dokümanları onaylamak, • Çalışanların bilgi güvenliği farkındalık eğitimlerinin koordine edilmesi ve eğitim etkinliklerinin değerlendirilmesi, • Risk analizi sonuçlarını değerlendirmek, kontrollerin belirlenmesi ve uygulanmasını koordine etmek, • Bilgi Güvenliği İhlal olaylarını değerlendirmek ve takibini yapmak, • Bilgi Güvenliği ’ne ilişkin Düzeltici ve Önleyici faaliyetleri takip etmek ve kayıtları onaylamak • Bilgi Güvenliği Politikası ’nı belli aralıklarla gözden geçirmek ve BGYS Yönetim Temsilcisi’nin onaylamasını sağlamak |
BİRİM SORUMLULARI | • Bilgi Güvenliği Politikasını bilmek ve uymak, • BGYS kapsamında belirlenen uyulması gereken davranışlara riayet etmek, • BGYS ’nin sağlıklı işlemesi için gerekli görülen önerileri ilgilisine iletmek ve sistemin iyileştirilmesine katkıda bulunmak, • Fark ettiği bilgi sistemleri ile ilgili güvenlik ihlal olaylarını Birim Müdürüne bildirmek, • Bilgi Güvenliği Farkındalık eğitimlerine katılmak. |
TÜM ÇALIŞANLARIN SORUMLULUKLARI | • Çalışmalarını bilgi güvenliği hedeflerine, politikalarına ve bilgi güvenliği yönetim sistemi dokümanlarına uygun olarak yürütmekten, • Kendi birimi ile ilgili bilgi güvenliği hedeflerinin takibini yapar ve hedeflere ulaşılmasını sağlar. • Sistemler veya hizmetlerde gözlenen veya şüphelenilen herhangi bir bilgi güvenliği açıklığına dikkat etmek ve raporlamaktan, • Üçüncü taraflar ile yapılan ve satın alma sorumluluğunda olmayan hizmet sözleşmelerine (danışmanlık vb.) ilave olarak gizlilik sözleşmesi yapmak ve bilgi güvenliği gereksinimlerini sağlamaktan sorumludur. |
ÜÇÜNCÜ TARAFLAR | • Bilgi Güvenliği Politikasını bilmek ve uymak, • BGYS kapsamında belirlenen uyulması gereken davranışlara riayet etmek, • Taahhüt ettiği Gizlilik Sözleşmelerine riayet etmek, • BGYS ’nin sağlıklı işlemesi için gerekli görülen önerileri ve ihlal olaylarını ilgili kişiye iletmek. • İlgili Tarafların Gereksinimlerinin Anlaşılması ve İletişim tablosunu uygun hareket etmek. |
Varlık Yönetimi
Madde 11- Bu maddede Varlık Yönetimi’ne dair hususlar yer almaktadır.
Bilgi Varlıklarımız, sorumluları ve önem derecelerine göre sınıflandırılmasının yer aldığı envanter aşağıda olup, gerekli hallerde güncelleme yapılmaktadır. Taşınabilir ortamlar, içerdiği bilgilerin hassasiyet derecesine göre kaybolma veya hırsızlık risklerine karşı korunur ve önem derecesi yüksek bilgileri veya bu bilgilere erişim sağlayan yazılımları barındıran taşınabilir ortamlar yetkilendirme olmaksızın kurum dışına çıkarılmaz. Depolama ortamları elden çıkarılmadan önce üzerinde kuruluşa ait veri, bilgi ve lisanslı yazılımın bulunmamasına yönelik gerekli önlemler alınır. Temiz masa ve temiz ekran ilkeleri şirketimizce benimsenmiştir.
31 Ekim 2022 Tarihli Varlık Envanterimiz şu şekildedir:
Envanter No: | Türü | Markası | Modeli | Alım Zamanı | Seri No |
SFKFP-01 | Monitör | Samsung | QLED | 09.10.2022 | QE55Q60BAU |
SFKFP-02 | Monitör | Samsung | RTF | 09.10.2022 | RT46K6000S |
SFKFP-3 | Tablet | Samsung | SM-X200 | 01.10.2022 | R9YT30ZY5AV |
SFKFP-4 | Projeksiyon | Nebula | Apollo | 04.03.2022 | ZX85HH0DU |
SFKFP-5 | Laptop | Apple | Macbook Air | 12.09.2018 | C02LL8KYF5V7 |
SFKFP-6 | Laptop | Apple | Macbook Air | 12.09.2018 | U34ZK7HGD9C3 |
SFKFP-7 | Laptop | Apple | Macbook Air | 18.11.2017 | L84XX1SJH5V1 |
SFKFP-8 | Laptop | Apple | Macbook Air | 01.04.2019 | H62HS4KFH8B3 |
SFKFP-9 | Laptop | Apple | Macbook Air | 18.05.2015 | L37KL3NDV0A0 |
SFKFP-10 | Laptop | Apple | Macbook Pro | 26.01.2021 | Y28GS7BES1K4 |
SFKFP-11 | Laptop | Apple | Macbook Air | 20.06.2020 | U64HE2WSJ7D3 |
SFKFP-12 | Laptop | Apple | Macbook Air | 20.06.2020 | C36DG5DJD8A4 |
SFKFP-13 | Laptop | Huawei | Matebook | 13.03.2021 | G43VLS6JFK4K3 |
SFKFP-14 | Mikrofon | Saramonic | Blink 500 B2 | 18.10.2022 | UJ38C42KSW |
SFKFP-15 | Wireless Modem | ZTE | Home Gateway | 11.09.2022 | ZTE736DSH386 |
SFKFP-16 | Printer | HP | Smart Tank 515 | 11.10.2022 | HG73L9367Y |
SFKFP-17 | Kamera | Panasonic | Eva 1 | 03.04.2021 | PN8367HD88V |
SFKFP-18 | Laptop | Lenovo | LENOVO IP | 15.10.2023 | MP2FRM2F |
SFKFP-19 | Laptop | Lenovo | LENOVO IP | 15.10.2023 | MP2FRM25 |
Görevlerin Ayrılığı Prensibi
Madde 12- Bu maddede Bilgi Sistemleri üzerinde hata, eksiklik veya kötüye kullanım risklerini azaltmak için görev ve sorumluluk alanlarının ayrılığı prensibine göre hareket edilir. Uygulanan örgüt yapısı içerisinde Bilgi Sistemleri - Veri Güvenliği Birimi ile Yazılım Geliştirme Birimleri oluşturulmuş olup, gerekli testler testin niteliğine göre diğer birimler ile veya dış kaynaklardan sağlanmaktadır.
Şirketimizde;
- Sistem, veri tabanı ve uygulamaların geliştirilmesinde, test edilmesinde ve işletilmesinde görevler ayrılığı prensibi uygulanır. Görev ve sorumluluklar belirli aralıklarla gözden geçirilir ve güncelliği sağlanır.
- Bilgi sistemleri süreçleri tasarlanırken kritik işlemlerin tek bir personele veya dış kaynak hizmeti sunan kuruluşa bağımlı olmaması göz önünde bulundurulur.
- Görevlerin tam ve uygun şekilde ayrılmasının mümkün olmadığı durumlarda oluşabilecek hata, eksiklik veya kötüye kullanımı önlemeye ve tespit etmeye yönelik telafi edici kontroller tesis edilir.
Fiziksel ve Çevresel Güvenlik
Madde 13- Bu maddede Fiziksel ve Çevresel Güvenlik’e dair hükümler yer almaktadır.
Şirketimiz İdari İşler Birimi tarafından; fiziksel erişimin yalnızca yetkilendirilmiş kişilerce yapılmasını sağlamak amacıyla, güvenli alanlar gerekli giriş kontrolleriyle korunur. Güvenli alanlara giriş ve çıkışlar gerekçelendirilir, yetkilendirilir, kaydedilir ve izlenir. Ayrıca Yangın, sel, deprem, patlama, yağma ve diğer doğal ya da insan kaynaklı felaketlerden kaynaklanan hasara karşı fiziksel koruma önlemleri alınır.
Ağ Güvenliği
Madde 14- Bu maddede Ağ Güvenliğine dair hükümler yer almaktadır. Söz konu maddede yer alan tedbirlerden Bilgi Sistemleri ve Veri Güvenliği Birimi ve İdari İşler birimi sorumludur.
- Ağların tehditlere karşı korunması ve ağları kullanan sistem, veri tabanı ve uygulamaların güvenliğinin sağlanması için kablolu ve kablosuz güvenli ağ protokolleri uygulanır.
- Ağ sistemine dahil olan kullanıcılar için oluşturulan düzeylere göre yetkiler tanımlanır. Kullanıcı ağ giriş şifreleri belli periyotlarda değiştirilir.
- İletişim altyapılarının dinlemeye ve fiziksel hasarlara karşı korunması için gerekli tedbirler alınır.
- Mobil cihazların ağ erişimine ilişkin risklere yönelik güvenlik tedbirleri gereği sistem unsuru olmayan mobil cihazlar ‘Misafir Ağ Katılımcısı’ olarak değerlendirilir ve sistem unsuru mobil cihazlar için gerekli güvenlik protokolleri uygulanır.
- Bilgi sistemleri altyapısına yönelik yetkisiz erişimler engellemek için ağ izlenir ve yetkisiz erişim çabaları raporlanarak gerekli önlemler alınır.
- Yüksek riskli uygulamaların güvenlik düzeyini artırmak için özel bağlantı prosesleri uygulanır.
- İç kaynak yoluyla sağlanan veya dış kaynak kullanımı yoluyla alınan her türlü ağ hizmetinin güvenlik kriterleri, hizmet düzeyleri ve yönetim gereksinimleri tanımlanır ve hizmet anlaşmalarına dâhil edilir.
- Uzaktan erişim sağlayan kullanıcıları kontrol etmek için gerekli yetkilendirmeler yapılır. Bu kapsamda belirli konumlardan ve ekipmanlardan gelen bağlantıları yetkilendirmek için otomatik ekipman tanımlaması göz önüne alınır.
- Kurumsal ağ dışındaki ağlarla olan iletişimde, dış ağlardan gelebilecek tehditler için sürekli gözetim altında tutulan güvenlik duvarı çözümleri kullanılır.
- İç ağın farklı güvenlik gereksinimlerine sahip alt bölümleri birbirinden ayrılarak, denetimli geçişi temin eden kontroller tesis edilir.
- İç ve Uzaktan erişilebilen ağ sistemleri için fiziksel ve yazılımsal güvenlik duvarları aktive edilir.
Kimlik Doğrulama ve E-posta Kullanımı
Madde 15-
15.1 Kimlik Doğrulama- Bu maddede Sistem Kullanıcılarının Kimlik Doğrulamalarına dair hükümler yer almaktadır.
Platform sisteminde kullanıcıların giriş bilgileri ve şifreleri kriptolu bir şekilde saklanır. Bu sayede sızmalar dahi olsa kullanıcı güvenliği sağlanır. Kullanıcıların şifrelerinin belirli bir güvenlik seviyesinde olması için uygulanan “Şifre Güvenliği Prosedürü” sistemde uygulanmaktadır. Bu prosedüre göre şifrelerin aşağıdaki özellikleri mevcuttur:
- Şifrenin unutulması durumunda geçici bir şifre kullanıcının kayıtlı mail adresine iletilir. Sisteme ilk girişte kullanıcı bu şifreyi değiştirmeye zorlanır.
- Şifreler 60 günde bir değiştirilmek zorundadır. Şifrelerin kullanım süreleri bitmeden 10 gün önce uyarı mesajları gönderilmeye başlanmaktadır. Şifrelerin süresi bitmesi durumunda kullanıcılar şifrelerini değiştirmeye zorlanır.
Şifreler değişik amaçlar için kullanılmaktadır. Bunlardan bazıları: kullanıcı şifreleri, web erişim şifreleri, e-posta erişim şifreleri, ekran koruma şifreleri, yönlendirici erişim şifreleri vs. Bütün kullanıcılar güçlü bir şifre seçimi hakkında özen göstermelidir. Zayıf şifreler kullanılamaz.
Zayıf şifreler aşağıdaki karakteristiklere sahiptir.
• Şifreler az 4 karaktere sahiptir.
• Şifreler sözlükte bulunan bir kelimeye sahiptir.
• Şifreler aşağıdaki gibi ortak değere sahiptir.
• Ailesinin, arkadaşının sahip olduğu bir hayvanın veya bir sanatçının ismine sahiptir.
• Bilgisayar terminolojisi ve isimleri, komutlar, donanım veya yazılım gibi
• AaaBb, qwerty ,qazwsx, 123321 gibi sıralı harf veya rakamlar
Güçlü Şifreler aşağıdaki karakteristiklere sahiptir.
• Küçük ve büyük karakterlere sahiptir. (A-Z , a-z)
• En az 8 karakterden oluşmalıdır.
• Hem dijit hem de noktalama karakterleri ve ayrıca harflere sahiptir. (0-9,!,@,&=(,}?,)
• Alfanümerik karaktere sahiptir.
• Herhangi bir dildeki argo lehçe veya teknik bir kelime olmamalıdır.
Bu önlemlere ek olarak, kullanıcılar şifre değişimi yaptıklarında açık oturumları sonlandırılacaktır. Halihazırda açık oturumlarını görebilen kullanıcılar, profillerinde bulunan Güvenlik & Girişler sekmesini altında bulunan Hesap ve Girişler başlığını kullanarak, mevcut açık oturumları ve daha önce yapılan başarılı / başarısız giriş denemelerini görebilirler.
Ayrıca kullanıcılar sisteme ilk kayıt esnasında sırasıyla e-posta hesaplarını, cep telefonu numaralarını, e-devlet üzerinden T.C. kimlik numaralarını ve varsa MKK sicil numaralarını doğrulamak zorundadırlar. Bu işlemleri gerçekleştirmeyen kullanıcılar platform üzerinde işlem yapamazlar.
İki faktörlü doğrulama sistemi ile her girişte kullanıcının cep telefonuna gelen SMS ile doğrulama yapması sayesinde ek güvenlik sağlanmaktadır.
15.2 E-posta Kullanımı- Kurum dışından web e-posta sistemini güvenliğinden emin olunmayan bir bilgisayardan kullanması, istenilmeyen e-posta mesajlarının iletilmesi. (Bunlar karşı tarafın özellikle istemediği reklam mesajlarını içeren e-postalar olabilir),e-posta başlık bilgilerini yetkisiz kullanması veya değiştirmesi, zincir e-postaları oluşturması veya iletmesi ve iş ile alakalı olmayan mesajları birçok haber gruplarına iletmesi yasaktır. Ayrıca çalışanlar e-posta ile uygun olmayan içerikler (pornografi, ırkçılık, siyasi propaganda, fikri mülkiyet içeren malzeme vb.) gönderemezler.
Platform için de spam, zincir e-posta, sahte e-posta vb. zararlı e-postalara yanıt yazılmamalıdır ve Bilgi İşlem Birimine bilgi verilmelidir.
Platform’a ait domain name adreslerinden çalışanların ismi üzerine açılmış elektronik posta adresleri kişisel e-posta olarak kabul edilemez ve kullanılamaz. Söz konusu elektronik posta adresleri kuruma ait işlerin ve faaliyetlerin gereği gibi, aksamadan, zamanında gerçekleştirilmesi adına kişilere tanımlanarak sadece kişiye teslim edilmiş olup mülkiyet hakkı her zaman domain name sahibine aittir. Söz konusu elektronik postalara, hiçbir zaman kişisel bilgiler ihtiva ettiği iddiasıyla kurumun erişimi engellenemez, engellenmeye çalışılamaz. Kuruma ait domain name adresleri üzerinden yapılan elektronik gönderilerin kurumu temsil ettiği göz önünde bulundurulmalı ve amacı dışında kullanılmamalıdır.
Platform, e-postaların kurum bünyesinde güvenli ve başarılı bir şekilde iletilmesi için gerekli yönetim ve altyapıyı sağlamakla sorumludur. Kurumda bu sürecin başarılı bir şekilde çalışmasından da Bilgi İşlem Birimi sorumludur.
Virüs, solucan, truva atı veya diğer zararlı kodlar bulaşmış olan bir e-posta kullanıcıya zarar verebilir. Bu tür virüslere bulaşmış e-postalar anti-virüs sistemleri tarafından analiz edilip temizlenmelidir. Bu işleyiş Bilgi İşlem sorumluğundadır.
Veri Gizliliği , Kablosuz İletişim ve Uzaktan Erişim
Madde 16-
16.1 Verilerin Gizliliği-Bu maddede KVKK hükümlerine göre Veri Gizliliğine dair hükümler yer almaktadır. Platform (olarak, kendisi adına veya vekil olarak ya da bir şirket veya kuruluşun temsilcisi olarak Platform ile iletişime geçen girişimcilerin, yatırımcıların, hissedarlarımızın, iş ortaklarımızın, çalışanlarımızın ve iş başvurusunda bulunmak veya internet sitelerimizi ziyaret etmek suretiyle ya da diğer iletişim yöntemleri ile bizimle ilişki kuran diğer gerçek kişilerin, Platformumuzla paylaştığı kişisel verilerinin korunmasına büyük önem vermektedir. Bu kapsamda 6698 Sayılı Kişisel Verilerin Korunması Kanunu (KVKK) çerçevesinde veri sorumlusu olan Kurumumuz, aşağıda detayları yer alan “Kişisel Verilerin Korunması ve Gizlilik Politikası” (Politika) ile kişisel verilerin işlenmesi, çerez ve benzeri teknolojilerin kullanımı konularında uygulamaya aldığı kural ve politikalarını kamuoyu ile paylaşmaktadır.
Kişisel Verilerin İşlenmesi
Kişisel Verinin İşlenmesi, kişisel verilerin tamamen veya kısmen otomatik olarak ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi kişisel veriler üzerinde gerçekleştirilebilecek her türlü işlem olarak tanımlanmaktadır. (KVKK m.3/(1)(e))
Platform, kişisel verilerin, “hukuka ve dürüstlük kurallarına uygun olarak”, “doğru ve güncel olması” için elden gelen çabayı göstererek, Kurum faaliyetlerine uygun “belirli, açık ve meşru amaçlar için ve “işlendikleri amaçla bağlantılı, sınırlı ve ölçülü” olacak şekilde, ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilecek şekilde” işlemektedir.(KVKK m.4/(2)(a, b, c, d))
Platform, kişisel verileri, ilgili kişinin açık rızası olmadan işlememektedir. Ancak, “Kanunlarda açıkça öngörülmesi”, “fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması”, “bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması”, “veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması”, “ilgili kişinin kendisi tarafından alenileştirilmiş olması”, “bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması, “ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması” hallerinden birisinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesi mümkün olabilecektir. (KVKK m.5/(2)(a, b, c, d, e, f))
Platformumuz, Kanun’un 12. maddesine uygun olarak, kişisel verilerin hukuka aykırı olarak açıklanmasını, erişimini, aktarılmasını veya başka şekillerde meydana gelebilecek güvenlik eksikliklerini önlemek için, korunacak verinin niteliğine göre gerekli tedbirleri almaktadır. Bu kapsamda; Şirketimiz Kişisel Verileri Koruma Kurulu (“Kurul”) tarafından yayımlanmış olan rehberlere uygun olarak gerekli güvenlik düzeyini sağlamaya yönelik teknik ve idari tedbirleri almakta, denetimleri yapmakta veya yaptırmaktadır.
Bunlara ek olarak, yukarda belirtilen saklanan kişisel veriler, belirli aralıklarla değişen anahtarlar yardımı ile “Hash Code” adı verilen sistem ile şifrelenir.
16.2- Kablosuz İletişim- Bütün kablosuz erişim cihazları Bilgi İşlem Birimi tarafından onaylanmış olmalı ve belirlenen güvenlik ayarlarını kullanmalıdır.
16.3 Uzaktan Erişim- Uzaktan erişim için yetkilendirilmiş kurum çalışanları veya kurumun bilgisayar ağına bağlanan diğer kullanıcılar yerel ağdan bağlanan kullanıcılar ile eşit sorumluluğa sahiptir. Uzaktan erişim metotları ile kuruma bağlantılarda bilgi sistemlerinin güvenliğinin sağlanması için aşağıdaki politikaları uygulamak gereklidir. Şifrelemeye ilişkin işbu Politika madde 15.1 uygulama alanı bulacaktır.
Uzaktan erişim gerçekleştiren kullanıcıların veya tedarikçilerin erişim şifreleri en az ayda bir değiştirilecektir. Verilen şifreler kurumun şifreleme politikasına uygun olmalıdır. Uzaktan erişim gerçekleştiren tedarikçiler kurumun bilgisinin ekran çıktısını alamaz, transfer edemez ve kurum dışına çıkartamaz. Aksi takdirde oluşacak yasal yükümlülüklerden firma sorumlu olacaktır.
Platform çalışanları hiçbir şekilde kendilerinin login (bağlantı) ve e-posta şifrelerini aile bireyleri dâhil olmak üzere hiç kimseye verememelidirler.
Uzaktan bağlananlar makinasında zararlı kod, truva atı vs. olduğundan şüpheleniyorsa bağlantıyı gerçekleştirmemelidir. Uzaktan erişim yönetimi ile kuruma erişen bilgisayar ağında güvenlik tedbirleri alınmış olmalıdır. (Örn: Firewall, domain altyapısı vs.)
Dış Kaynak Kullanımı
Madde 17- Bu maddede Dış Kaynak Kullanımına dair hükümler yer almaktadır.
Bilgi güvenliği yönetim sistemi ve ISO 27001 Standardının gerektirdiği dış kaynaklı bilgiler aşağıdakileri temin etmek için kontrol edilir:
- Gereken yerde ve zamanda kullanım için erişilebilir ve uygun olması ve
- Doğru bir şekilde korunması (örneğin, gizlilik kaybından, uygun olmayan kullanımdan veya bütünlük kaybından).
Yazılı bilgilerin kontrolü için, Platform uygunluğuna göre aşağıdaki faaliyetleri ele alınır:
- Dağıtım, erişim, getirme ve kullanım,
- Okunaklığın korunması da dâhil olmak üzere saklama ve koruma,
- Değişikliklerin kontrolü (örneğin sürüm kontrolü)
- Muhafaza etme ve yok etme.
Platform tarafından bilgi güvenliği yönetim sisteminin planlaması ve işletimi için gerekli olduğu belirlenen dış kaynaklı yazılı bilgiler, uygun şekilde tespit edilerek kontrol edilir. “Doküman ve Kayıtların Kontrolü Prosedürü” ile düzenlenmiştir.
Platformda kullanılan, bilgi güvenliği sistemini etkileyen tüm dokümanlar çoğaltılarak kullanılır. Tutulan kayıtlar ilgili bölümlerinde ve iş bitimi sonrası merkezde olmak üzere toplam beş yıl muhafaza edilir. Destek dokümantasyonda sayılan bilgi güvenliği kayıtları. Startupfon Kitle Fonlama Platformu A.Ş.‘de süresiz olarak saklanır. Yönetim Temsilcisi her yıl altı ayda bir destek dokümanlarının güncel olup olmadığını kontrol eder ve güncel olmasını sağlar.
Gelen ve Giden evraklar kaydedilerek Genel Müdür’e iletilir. Genel Müdür gelen yazıları inceleyerek ilgili Bölüm/Birim Sorumlularını ve yapılacak işlemleri evrak üzerinde belirtir. Evrakların bir adet kopyasını Genel Müdürün belirlediği Bölüm/Birim Sorumlularına ulaştırır. Dışarıdan alınan ve verilen teklifleri ilgili firmanın dosyasına, diğer evrakların orijinalleri ise GELEN EVRAK klasörüne kaldırır. Gönderilecek yazılar Antetli Kâğıt kullanılarak gerçekleştirilir.
Elle tutulan bilgi güvenliği kayıtlarının hepsi ilgili dosyasında ilgili birim sorumluları tarafından muhafaza edilirler. Dokümanlar beş yıllık saklanma süresi sonunda Yönetim Temsilcisi ve ilgili Birim Sorumlusu tarafından bir daha kullanılamayacak şekilde imha edilir.
Elle tutulmayan kayıtlar ise, dijital ortamda ilgili klasörlerine kaldırılarak süresiz olarak kaydedilir ve server ya da cd/dvd ortamında ayda bir yedekleri alınır.
Bilgi güvenliği kayıtları, bilgi güvenliği yönetim sistemi prosedür, proses ve talimatlarında belirtilen saklama süresi sona ermeden, sözleşmelerde belirtildiği hallerde müşteri veya müşteri temsilcisinin değerlendirmelerine sunulur.
Bilgi güvenliği kayıtlarını saklamaktan sorumlu kişiler, bilgi güvenliği kayıtlarının saklanması sırasında çevre şartlarından dolayı hasar görmesini, bozulmasını engelleyecek önlemleri alırlar. Bu kayıtlara kolay ulaşılmasına imkân sağlayacak şekilde işaretleme ve sınıflandırma yöntemlerini geliştirilir. Geliştirdikleri uygulama önerilerinin Yönetim Temsilcisi’nden onayını aldıktan sonra uygulama başlatılır. Aynı zamanda uygulama şekli ilgili prosedür ve talimatlara eklenir.
Tüm prosedür ve talimatların ekler ve kayıtlar bölümünde yer alan ilgili bölümlerdeki saklanma süreleri sonunda bilgi güvenliği kayıtlarının toplanarak arşive kaldırılması Yönetim Temsilcisi tarafından sağlanır. Toplam saklanma süresi sona eren bilgi güvenliği kayıtları Yönetim Temsilcisi ve ilgili Birim Sorumlusu ile birlikte bir daha kullanılamayacak şekilde imha edilir.
İlave olarak dış kaynak yöntemi ile alınan sunucu hizmetlerinin sağlanmasında kullanılan sistemlere erişim yalnızca yetkili kişilerin kontrolünde sağlanır. Bu hizmetlerin sağlanmasında bilgi güvenliği prosedürleri uygulanır ve kişisel verilerin korunumuna azami önem gösterilir. Dış kaynak yöntemi ile karşılanan ihtiyaçlarda platform ile hizmet sağlayıcı arasında gerekli önlemlerin alınmasını sağlayan sözleşmeler tesis edilir.
Madde 18- Bu maddede sistem kullanıcılarının yaptıkları işlemlerin için sistem kayıtlarına dair hükümler yer almaktadır.
Platform üzerinden yapılan işlemlerde risklerin azaltılması amacıyla kullanıcıların yaptıkları işlemlerin denetim izleri kayıt altına alınmaktadır. Bu sisteme göre kullanıcının yaptığı her türlü işlem kayıt altına alınır ve gerekli uyarı mekanizmaları kurularak hatalı ve fraud işlemlerin önlenmesi hedeflenmektedir. Örnek olarak art arda yapılan hatalı girişler sonrası kullanıcının sisteme girişi belirli bir süre boyunca engellenecektir. İlgili denetim izlerinin bütünlüğünün bozulmasının önlenmesi ve olası bozulmaların tespiti için denetim izi kayıtları düzenli aralıklarla mutabakat yapılarak doğruluğundan emin olunur.
Denetim izleri aşağıdaki verileri içerir:
- Yapılan işlemin türü
- Yapılan işlemin statüsü
- Yapılan işlemin yetki ve izin doğruluk durumu
- Yapılan işlemin gerçekleştirildiği sistemin, uygulamanın detayları
- Yapılan işlemin zamanı
Denetim izleri geriye dönük olarak süresiz olarak saklanabilir, yedeklenir ve yüksek güvenlik düzeyine sahip ortamlarda korunur. Saklanan denetim izlerine çok kısa sürede ulaşmak mümkün olmaktadır.
Denetim izlerinin işaretlenmesinde kullanılan işlem zamanlarının doğruluğunun sağlanması için NTP protokolü ile sistem, belirli aralıklarla zaman sunucusuna bağlanarak tarihi eşzamanlar. Böylelikle sistem saati, atomik saatlerle çalışan zaman sunucuları ile eşleşerek sürekli olarak tarihin güncel kalmasını sağlar.
Birincil ve İkincil Sistemler
Madde 19- Bu maddede Veri ve Kayıtların birincil ve ikincil sistemlerde tutulasına dair hükümler yer almaktadır.
Sistemin sürekliliğinin sağlanması, yük dengesinin oluşturulması, herhangi bir saldırı durumunda zararlı bağlantıların engellenmesi ve olası risklerin azaltılması amacıyla; platformun verilerinin iletiminde ve yayınında birden fazla sunucu görev almaktadır.
Platformda yapılan kayıtların eşlendiği farklı konumda bulunan yedek sunucunun yanı sıra yük dengeleme görevini üstlenen ve yine farklı bir konumda bulunan loadbalancer sunucusu sistemin sürekliliğinin sağlanması hususunda görev almaktadırlar.
Bu yapıya göre anlık olarak yedek alan sunucular, ana sunucuda ya da ana sunucunun bulunduğu konumda herhangi bir sıkıntı olması durumunda kısa süre içerisinde yayına geçerek sistemin devamlılığını sağlar. Bu esnada servis dışı olan sunucu ile ilgili sorunların giderilmesinin ardından; servis dışı sunucu ile veri eşleme yapılarak verilerin normalizasyonu ve yeniden güvenliği sağlanır. Bu çalışma sistemi sayesinde sistemin sürekliliği ve verilerin güvenliği sağlanır.
Ek olarak application ve veritabanı sunucuları ayrı fiziksel ortamlarda çalıştırılarak sunuculara binen işlemci yüklerinin hafiflemesi ve sistemi aynı anda daha fazla kişinin kullanabilmesi sağlanmıştır.
Bilgi Sistemlerinin Sürekliliği
Madde 20- Bu maddede Bilgi Sisteminin Sürekliliğine dair hükümler yer almaktadır.
İş ve Bilgi Sistemlerinin Sürekliliği Planları; Platform ’un faaliyetlerini etkileyen bir kesinti ya da olağanüstü bir durum yaşanması sonrasında, kritik iş birimlerinin ve aktivitelerin sürekliliğini sağlamak amacıyla hazırlanmış kurtarma stratejilerini ve aksiyonlarını kapsamaktadır. Kurtarma stratejileri ve aksiyonlar Kurum hizmetleri baz alınarak oluşturulmuştur. İş ve Bilgi Sistemleri Sürekliliği Planları olmayan kurumların, kritik süreçlerinde/aktivitelerinde yaşayacakları kesintiler sonucu itibar/saygınlık kaybı (imaj) yaşanma, finansal zarara uğrama, uyum açısından zor duruma düşme ve kendisine bağımlılığı olan üçüncü tarafları kötü yönde etkileme ihtimalleri daha yüksektir. İş ve Bilgi Sistemleri Sürekliliği Planlarının, Yönetim Kurulu’nun yetki verdiği Bilgi Güvenliği Yöneticisi tarafından yürütülmesi sağlanır. İş Sürekliliği Planları; İş Sürekliliği Planı, Bilgi Sistemleri Süreklilik Planı ve eklerinden oluşmaktadır. Plan dahilinde görevli personelin hem İş Sürekliliği Planı’na hem de kendisi ile ilgili kurtarma planlarına (varsa ilgili ek dokümanlara) hâkim olması gerekir.
İş ve Bilgi Sistemleri Sürekliliği Planları; Platform çalışanları, müşterileri ve Platform kaynakları (teknoloji, ekipman) için güvenli bir çevre oluşturmak, olağanüstü durumlar için hazırlıklı olmak, olay anında ve sonrasında yapılacak işlemleri tanımlamak, Kurum süreçlerine/aktivitelerine minimum kesinti ve zararla devam etmesini sağlamak amacıyla hazırlanmıştır. Doküman dahilinde; türü ve sebebi ne olursa olsun, herhangi bir kesinti ya da olağanüstü durumda, Kurum’un kritik iş süreçlerinin/aktivitelerinin sürekliliğini sağlayan iş sürekliliği planlamasının alt başlıkları ifade edilmiştir.
ÜÇÜNCÜ BÖLÜM
ESASLAR ve PRENSİPLER
Genel Esaslar
Madde 21- Bu politika ile çerçevesi çizilen bilgi güvenliği gereksinimleri ve kurallarına ilişkin ayrıntılar, BGYS prosedürleri ile düzenlenir. Platform çalışanları ve 3. taraflar bu prosedürleri bilmek ve çalışmalarını bu kurallara uygun şekilde yürütmekle yükümlüdür. Bu kural ve prosedürlerin, aksi belirtilmedikçe, basılı veya elektronik ortamda depolanan ve işlenen tüm bilgiler ile bütün bilgi sistemlerinin kullanımı için dikkate alınması esastır.
Bilgi Güvenliği Yönetim Sistemi, TS ISO/IEC 27001 “Bilgi Teknolojisi Güvenlik Teknikleri (Information Technology Security Techniques) ve Bilgi Güvenliği Yönetim Sistemleri Gereksinimler (Information Security Management Systems Requirements)” standartları temel alınarak ve SPK tarafından Bilgi Sistemleri Yönetimi Tebliğ esas alınarak işletilir.
BGYS dokümanlarının gerektiği zamanlarda güncellenmesi BGYS Yöneticisi sorumluluğundadır. Ek, form, talimat gibi dokümanların güncellenmesi ise ilgili birimlerin sorumluluğundadır. Platform tarafından çalışanlara veya 3. taraflara sunulan bilgi sistemleri ve altyapısı ile bu sistemler kullanılarak üretilen her türlü bilgi, belge ve ürün aksini gerektiren kanun hükümleri veya sözleşmeler bulunmadıkça Platform’a aittir.
Kritik iş süreçlerini büyük felaketlerin ve işletim hatalarının etkilerinden korumak amacıyla iş sürekliliği yönetimi uygulanır. Çalışanların bilgi güvenliği farkındalığını artıracak ve sistemin işleyişine katkıda bulunmasını sağlayacak eğitimler düzenli olarak mevcut Platform çalışanlarına ve yeni işe başlayan çalışanlara verilir. Bilgi güvenliğinin gerçek ya da şüpheli tüm ihlalleri rapor edilir; ihlallere sebep olan uygunsuzluklar tespit edilir, ana sebepleri bulunarak tekrar edilmesini engelleyici önlemler alınır.
Temel BGYS Prensipleri
Madde 22- Temel BGYS Prensipleri şu şekildedir;
- Bu politika ile çerçevesi çizilen bilgi güvenliği gereksinimleri ve kurallarına ilişkin ayrıntılar, kapsam dahilindeki Platform çalışanları ve 3. taraflar bu politikaları bilmek ve çalışmalarını bu kurallara uygun şekilde yürütmekle yükümlüdür.
- Bu kural ve politikalar, aksi belirtilmedikçe, basılı veya elektronik ortamda depolanan ve işlenen tüm bilgiler ile bütün bilgi sistemlerinin kullanımı için dikkate alınması esastır.
- Bilgi Güvenliği Yönetim Sistemi, TS ISO/IEC 27001 "Bilgi Teknolojisi Güvenlik Teknikleri (Information Technology Security Techniques) ve Bilgi Güvenliği Yönetim Sistemleri Gereksinimler (Information Security Management Systems Requirements)" standardını temel alarak yapılandırılır ve işletilir.
- Kurum tarafından çalışanlara veya 3. taraflara sunulan bilgi sistemleri ve altyapısı ile bu sistemler kullanılarak üretilen her türlü bilgi, belge ve ürün, aksini gerektiren kanun hükümleri veya sözleşmeler bulunmadıkça kuruma aittir.
- Çalışanların bilgi güvenliği farkındalığını artıracak ve sistemin işleyişine katkıda bulunmasını sağlayacak eğitimler düzenli olarak mevcut kurum çalışanlarına ve yeni işe başlayan çalışanlara verilir.
- Gerekli durumlarda çalışanlar ve üçüncü taraflarla Platfom’un gizlilik ihtiyaçlarını güvence altına almayı amaçlayan gizlilik anlaşmaları yapılır.
- Dış kaynak kullanım durumlarında oluşabilecek güvenlik gereksinimleri analiz edilerek güvenlik şart ve kontrolleri şartname ve sözleşmelerde ifade edilir.
- Bilgi varlıklarının envanteri bilgi güvenliği yönetim ihtiyaçları doğrultusunda oluşturulur ve varlık sahiplikleri atanır.
- Kurumsal veriler sınıflandırılır ve her sınıftaki verilerin güvenlik ihtiyaçları ve kullanım kuralları belirlenir.
- İşe alım, görev değişikliği ve işten ayrılma süreçlerinde uygulanacak bilgi güvenliği kontrolleri belirlenir ve uygulanır.
- Güvenli alanlarda saklanan varlıkların ihtiyaçlarına paralel fiziksel güvenlik kontrolleri uygulanır ve bilgi varlıkları için kurum içinde ve dışında maruz kalabilecekleri fiziksel tehditlere karşı gerekli kontrol ve politikalar geliştirilir ve uygulanır.
- Platform ’a ait bilgi varlıkları için Platform içinde ve dışında maruz kalabilecekleri fiziksel tehditlere karşı gerekli kontrol ve politikalar geliştirilir ve uygulanır.
- Kapasite yönetimi, üçüncü taraflarla ilişkiler, yedekleme, sistem kabulü ve diğer güvenlik süreçlerine ilişkin prosedür ve talimatlar geliştirilir ve uygulanır.
- Ağ cihazları, işletim sistemleri, sunucular ve uygulamalar için denetim kaydı üretme konfigürasyonları ilgili sistemlerin güvenlik ihtiyaçlarına paralel biçimde ayarlanır. Denetim kayıtlarının yetkisiz erişime karşı korunması sağlanır.
- Erişim hakları ihtiyaç nispetinde atanır. Erişim kontrolü için mümkün olan en güvenli teknoloji ve teknikler kullanılır.
- Sistem temini ve geliştirilmesinde güvenlik gereksinimleri belirlenir, sistem kabulü veya testlerinde güvenlik gereksinimlerinin karşılanıp karşılanmadığı kontrol edilir.
- Bilgi güvenliği ihlal olayları ve zayıflıklarının raporlanması için gerekli altyapı oluşturulur. İhlal olay kayıtları tutulur, gerekli düzeltici önleyici faaliyetler uygulanır ve düzenlenen farkındalık eğitimleri vasıtasıyla güvenlik olaylarından öğrenme sağlanır.
- Kritik altyapı için süreklilik planları hazırlanır, bakımı ve tatbikatı yapılır.
- Yasalara, iç politika ve prosedürlere, teknik güvenlik standartlarına uyum için gerekli süreçler tasarlanır, sürekli ve periyodik olarak yapılacak gözetim ve denetim faaliyetleri ile uyum güvencesi sağlanır.
Uyulması Gereken BGYS Kuralları
Madde 23- Uyulması Gereken Kabul Edilebilir Kullanım Kuralları, çalışanlar ve 3. taraflar için Platform iş süreçlerinde ve ilgili çalışmalarında bilgi depolama, iletim ve kullanım biçimleri ile ilgili uyulması gereken kuralları belirler. Aşağıda yer alan davranışlar; aksi yönde açık ve net bir iş tanımı, talimat veya prosedür bulunmadıkça Bilgi Güvenliği Politikasının ihlali olarak değerlendirilir.
- Platform tarafından sağlanan bilgi işlem sistemleri ve uygulamalar iş amaçlı olarak kullanılır. İş süreçlerini engellemeyecek düzeyde ve Bilgi Güvenliği Politikasını ve BGYS prosedürlerini ihlal etmeyen kişisel kullanımlar kabul edilebilir kapsamda değerlendirilir.
- Çalışma alanlarında, “Temiz Masa ve Temiz Ekran” prensiplerine uygun olarak, Genel özellikteki bilgiler dışında bilgilerin başkalarınca görülmesine imkân verilmeyecek şekilde önlemler alınmalıdır;
- Genel olmayan belgeler, masalarda bırakılmamalıdır.
- Genel olmayan dosyalar üzerinde çalışılırken bilgisayar ekranları herkesin görebileceği konumda bırakılmamalıdır.
- Genel olmayan dokümanlar diğer kişilerce görülmesini engellemek amacıyla, kullanılmadığı zamanlarda masa üstlerinden kaldırılıp gerekli korumaları alınmış çekmece ve dolaplarda saklanmalıdır.
- Genel olmayan belgeler dışında doğrudan işle ilgili olarak kendisine ulaştırılmayan ya da teslim edilmeyen Platform belgelerini incelememeli, değiştirmemeli, saklamamalı, kopyalamamalı, silmemeli ve paylaşmamalıdır.
- Platform tarafından açıkça belirtilen durum ve yöntemler dışında 3. taraflar ile Platform bilgilerini paylaşmamalı, satmamalı, aktarmamalı, yayınlamamalı ve internet ortamında paylaşmamalıdır.
- Birim çalışanları çalıştıkları ortamdaki masa ve dolap çekmecelerini kilitli tutmalı ve anahtarları sorumlu kişiler haricinde kimseyle paylaşmamalıdır.
- Bilgisayarlar, aktif kullanım dışında iken şifreli ekran koruyucular devreye alınmalıdır.
- Mesai zamanları dışında bilgisayar sistemleri kapalı tutulmalıdır.
- Çalışanlar, kendilerine verilmiş olan kullanıcı adı ve şifreleri sadece kendileri kullanmalıdır.
- Çalışanlar, kendilerine verilmiş olan kullanıcı adı ve parola bilgilerini yetkilendirilmemiş kişilerin ele geçirmesine imkân verecek şekilde söylememeli, yazmamalı, kaydetmemeli ve elektronik ortamda depolamamalıdır.
- Platform ’un, bilgi ve haberleşme sistemleri ve donanımları (İnternet, e-posta, telefon, çağrı cihazları, faks, bilgisayarlar, mobil cihazlar ve cep telefonları vb.) Platform işlerinin yürütülmesi için kullanılmalıdır. Bu sistemler yasadışı, Platform ’un diğer politika, standart ve rehberlerine aykırı veya Platform ’a zarar verecek herhangi bir şekilde kullanılmamalıdır.
- Platform ’a ait bilgi sistemleri üzerindeki kaynaklara erişecek tüm bilgisayarlar etki alanına dahil edilerek kullanılmalıdır.
- Gerekmedikçe bilgisayar kaynaklarını paylaşıma açılmamalıdır. Kaynakların paylaşıma açılması halinde sadece ilgili kişilere yetki verilmelidir.
- Gizli ve hassas bilgiler elektronik ortamda Platform içine ve özellikle Platform dışına gönderilmeden önce şifrelenmelidir.
- Gizlilik dereceli bilgiler içeren belgeleri, elektronik ortamları ve bilgi işlem sistemlerini korumak için gerekli fiziksel önlemleri “Fiziksel Güvenlik Prosedürü’ne uygun şekilde yerine getirmemelidir.
- Platform ’a aya ait bilgi işlem sistemlerini, veri tabanlarını, dosyaları, ağ topolojilerini, cihaz konfigürasyonlarını ve benzeri kaynakları, Platform tarafından açıkça yetkilendirilmedikçe 3.taraflar ile paylaşmamalıdır.
- Platform çalışanları, çalıştıkları sürece veya Platform ’dan ayrılmaları (emeklilik, istifa, vs.) durumunda Platform bilgilerini gizlilik prensibine uygun olarak korumaktan sorumludur
- Taşınabilir sistemlerin kullanıcıları, bu sistemlerin güvenliğini sağlamak üzere “Taşınabilir Ortam Kullanımı Prosedürü” ne uymalıdırlar.
- Başta kullanıcı bilgisayarları ve sunucular olmak üzere mümkün olan tüm sistemler, zararlı yazılımlara karşı korunması için “Virüslü ve Zararlı Yazılımdan Korunma Prosedürü “ne uygun şekilde kullanılmalıdır.
- Gizlilik dereceli bilgiler elektronik ortamda işlenirken, depolanırken, aktarılırken “Bilgi İşleme Prosedürü “ne uygun şekilde davranılmalıdır.
- Gizlilik dereceli bilgilerin ve bilgi içeren ortamlarının imhasında “Teçhizatın Elden Çıkarma Prosedürü “ne uygun şekilde davranılmalıdır.
- Herkese açık sistemler (örn. Genel internet sayfaları) hariç tüm bilişim sistemlerine erişim parola korumalı olmalıdır. Parolalar “Şifre Politikası ’na uygun şekilde tanımlanmalı ve kullanılmalıdır.
- Gizlilik dereceli bilgilerin posta, faks, telefon, e-posta ve benzeri elektronik yöntemlerle iletiminde “Bilgi İşleme Prosedürü “ne uygun davranılmalıdır.
- Herkese açık bilgiler dışındaki bilgileri internet üzerinde, haber gruplarında, posta listelerinde ve forumlarda paylaşmamalıdır.
- Yeni bilgi sistemlerinin devreye alınması ve geliştirilmesi “Yeni Bilgi Sistemleri ve Yapılan Geliştirme Prosedürü “ne uygun yapılmalıdır.
- Çalışanlara ve gerekli görülen durumlarda 3. taraflara tahsis edilen e-posta hesapları, “E-posta Prosedürü “ne uygun şekilde kullanılmalıdır.
- Bilgi işlem sistemlerinin teknik güvenlik gereksinimlerine uygun durumda bulunup bulunmadığı, “Teknik Açıklıklarının Kontrolü Prosedürü “ne uygun şekilde kontrol edilmelidir.
- Platform ’a ait bilgi işlem sistemlerini izinsiz olarak kullanım dışı bırakılmamalı, yeri değiştirilmemeli ve Platform dışına çıkartılmamalıdır.
- Kullanım gerekliliği Platform tarafından yazılı olarak belirtilen güvenlik yazılımlarını (örn. Anti virüs, kişisel güvenlik duvarı, vb.) bilgi işlem sistemlerden kaldırmamalı veya devre dışı bırakmamalıdır.
- İstemciden istemciye dosya paylaşım programlarını (P2P) Platform bilgisayarlarına yüklememeli ve kullanmamalıdır.
- Platform ’a ait bilgisayarlara, Platform ’un yasakladığı yazılımları yüklememeli ve çalıştırmamalıdır.
- Platform tarafından lisanslanmış yazılımları çoğaltmamalı, paylaşıma açmamalı ve Platform dışına çıkarmamalıdır.
- Etki alanına dahil olmayan sistemler ile etki alanına dahil olan sistemler arasında bilgi aktarımı yapılmamalıdır.
- Taraflar ile gizlilik sözleşmesi imzalanmadan ve yetkili Platform çalışanınca nezaret edilmeden Platform bilgi işlem sistemlerine ve donanımlarına bağlanmamalı ve çalışmalarına izin verilmemelidir.
- Sunucu sistemleri üzerinde, kişisel bilgisayar uygulamalarını (örn; e-posta programları, ofis uygulamaları, yazılım geliştirme araçları, network test araçları, vb.) kurulmamalı ve kullanılmamalıdır.
- İş süreçleri için gerekmeyen ve kullanılmasına izin verilmeyen sunucu hizmetlerini (örn; HTTP, Telnet, SSH, vb.) bilgi işlem sistemleri üzerinde çalıştırılmamalıdır.
- Platform tarafından sağlanan ve kullanım amaç ve biçimleri yazılı olarak bildirilen Platform ağ bağlantı yöntemleri dışında bir yöntemle (örn; ADSL modem, 3G modem, GPRS, vb.) internete veya başka ağlara bağlanmak için kullanılmamalıdır.
- Çalışanlar, Platform içi ya da Platform dışı bilgi sistemlerine yetkisi olmadığı halde zorla girmeye çalışmamalıdır.
- Platform ’a ait bilgi işlem sistemlerine şifreleme ve parola mekanizmalarını kırmaya yönelik program ve araçlarını yüklenmemeli ve kullanılmamalıdır.
- Platform ’a ait bilgi sistemleri üzerinde, Platform ’un bilgisi ve izni olmadan değişiklik, yükseltme, genişletme yapılmamalıdır.
- İşle ilgili olmayan veya telif hakları ile korunan dosyaları (örn. Müzik, film, kitap dosyaları, vb.) Platform bilgisayarlarına ve bilgi sistemlerine indirilmemeli, depolanmamalı, çoğaltılmamalı ve paylaşıma açılmamalıdır.
- Platform bilgi işlem sistemlerini iş dışında, eğlence amaçlı (oyun vb.) kullanılmamalıdır.
- Platform e-posta hesabı ile zincirleme e-posta gönderilmemelidir.
- Platform bilgi işlem sistemlerinde veya süreçlerinde gözlenen güvenlik zafiyetlerini, açıklarını veya oluşmuş saldırıları Bilgi Güvenliği İhlal Olayı Yönetim Prosedüründe belirtilen “bildirme” yöntemi ve muhatapları dışında ilgili olmayan kişilere iletilmemeli, açıklanmamalı, yayınlanmamalı veya bu zafiyetleri yetkisi dışındaki sistem ve bilgilere erişmek için veya kendi yetkilerini arttırmak için kullanılmamalıdır.
Yaptırım
Madde 24- Platform politika ve prosedürlerine uyulmadığının tespit edilmesi halinde, bu ihlalden sorumlu olan çalışan için ilgili Personel Gizlilik Sözleşmesi maddelerinde belirlenen yaptırımlar uygulanır.
Yönetim Taahhüdü
Madde 25- Platform hedef ve politikalarını gerçekleştirmek için Bilgi Güvenliği Yönetim Sistemini ISO/IEC 27001’de belirtilen gereksinimleri yerine getirecek şekilde kurarak yürütür. Platform Yönetimi, tanımlanmış, yürürlüğe konmuş ve uygulanmakta olan Bilgi Güvenliği Yönetim Sistemine uyacağını ve sistemin verimli şekilde çalışması için gerekli olan kaynakları tahsis edeceğini, etkinliğini, sürekli iyileştireceğini ve bunun tüm çalışanlar tarafından anlaşılmasını sağlayacağını taahhüt eder. Bu taahhüdün sonucu olarak, Platform genelinde bilgi güvenliği farkındalık programları düzenler ve alt yapı yatırımlarını sürdürür.
BGYS kurulurken üst yönetim tarafından BGYS Yönetim Temsilcisi ve BGYS Yöneticisi, atama yazısı ile atanır. BGYS Yönetim Temsilcisi ve BGYS Yöneticisi değiştiğinde, işten ayrıldığında üst yönetim tarafından doküman revize edilerek atama tekrar yapılır. BGYS Yöneticisini belirlemek ve değiştirmek üst yönetimin yetkisindedir.
Yönetim kademelerindeki yöneticiler güvenlik konusunda alt kademelerde bulunan personele sorumluluk verme ve örnek olma açısından yardımcı olurlar. Üst kademelerden başlayan ve uygulanan bir güvenlik anlayışıyla, Platform’un en alt kademe personeline kadar inilmesi zorunludur. Bu yüzden Platform yöneticilerinin gerek yazılı gerekse sözlü olarak güvenlik prosedürlerine uymaları, güvenlik konusundaki çalışmalara katılmaları konusunda güvenlik ile ilgili çalışmalarda bulunan personele destek olurlar. Platform üst yönetimi, bilgi güvenliği kapsamlı çalışmalar için gerek duyulan bütçeyi oluşturur.
Yönetim Gözden Geçirmesi
Madde 26- Platform Yönetim Gözden geçirme toplantıları BGYS Yürütme ve Yönetim Komitesi tarafından yapılır. Bu komite BGYS Yönetim temsilcisi katılımında yılda en az bir kez veya ihtiyaç duyulduğunda Bilgi Güvenliği Yönetim Sisteminin uygunluğunun ve etkinliğinin periyodik olarak değerlendirmesi için toplanır. Toplantılar Yönetimin Gözden Geçirmesi Prosedürü ’ne uygun olarak yapılır.
Üçüncü Tarafların Bilgiye Erişimi
Madde 27- Platform çalışanı olmayan 3. tarafların, bilgi sistemlerini kullanma ihtiyacı olması durumunda (ör: Platform dışı bakım onarım personeli) BGYS Yöneticisi, bu kişilerin Platform ile ilgili bilgi güvenliği politikalarından haberdar olmalarından sorumludur. Bu amaçla geçici ya da sürekli çalışma sözleşmelerinde sözleşme imzalanmadan önce kararlaştırılmış ve onaylanmış güvenlik anlaşmaları yapılmalıdır. Gerektiği takdirde üçüncü taraf personelinin politikaya uyması için süre tahsis edilmelidir.
Platform’un ilgili mevzuat gereği sistem entegrasyonu bulunan Merkezi Kayıt Kuruluşu, Takasbank A.Ş. ve Türksat (E-Devlet) ile yapılan veri paylaşımları bu maddenin kapsamına girmez.
Bilgi Güvenliği Politikasının Güncellenmesi ve Gözden Geçirilmesi
Madde 28- Platform Politika dokümanının sürekliliğinin sağlanmasından ve gözden geçirilmesinden BGYS Yöneticisi sorumludur. Bilgi Güvenliği Politikası organizasyonel değişiklikler, iş şartları, yasal ve teknik düzenlemeler vb. nedenlerle günün koşullarına uyumluluk açısından değerlendirilir.
Bilgi Güvenliği Politikası Dokümanı, en az yılda bir kez gözden geçirilmelidir. Bunun dışında sistem yapısını veya risk değerlendirmesini etkileyecek herhangi bir değişiklikten sonra da gözden geçirilmeli ve herhangi bir değişiklik gerekiyorsa versiyon değişimi olarak kayıt altına alınmalı ve her versiyon üst yönetime onaylatılmalıdır. Her versiyon değişikliği tüm kullanıcılara e-mail, sunucu üzerinden ya da yazılı olarak yayımlanmalıdır. Gözden geçirmelerde;
- Politikanın etkinliği, kaydedilmiş güvenlik arızalarının yapısı, sayısı ve etkisi aracılığıyla gözlemlenmelidir.
- Politikanın güncelliği teknolojik değişimlerin etkisi vasıtasıyla gözlemlenmelidir.
- Politika, sistem yapısını veya risk değerlendirmesini etkileyecek herhangi bir değişiklikten sonra gözden geçirilmelidir
DÖRDÜNCÜ BÖLÜM
DİĞER HUSUSLAR
Politika’da Yer Almayan Diğer Hususlar
Madde 29- Bu Politika metninde düzenlenmemiş, Politika kapsamı ile ilgili diğer konularda Platform tarafından çıkarılan diğer Politika metninde, genelgeler ile sermaye piyasası işlemlerini düzenleyen yasalar ve diğer ilgili mevzuat hükümleri esas alınır.
Politika Hükümlerinde Değişiklikler
Madde 30- Politika hükümlerini değiştirme yetkisi iç kontrolden sorumlu yönetim kurulu üyesinin tavsiyesi ile yönetim kuruluna aittir.
Yürütme
Madde 31- Bu Politika hükümleri Startupfon Kitle Fonlama Platformu A.Ş. tarafından yürütülür.
Yürürlük
Madde 32- İş bu Politika hükümleri Startupfon Kitle Fonlama Platformu A.Ş. Yönetim Kurulunun 29/11/2022 tarihli kararı ile kabul edilmiştir. İşbu Bilgi Güvenliği Politikası YK Karar tarihi itibarıyla yürürlüğe girer.