Bilgi Güvenliği Politikası

1. Amaç: Bu politikanın amacı, hukuka, yasal olarak düzenleyici ya da sözleşmeye tabi yükümlülüklere ve her türlü güvenlik gereksinimlerine ilişkin ihlalleri önlemek ve hasar riskini minimize etmek için, üst yönetimin yaklaşımını ve hedeflerini tanımlamak, tüm çalışanlara ve ilgili taraflara bu hedefleri bildirmektir.

2. Kapsam: Bu politika Şirket bünyesinde yapılan ticari faaliyetlere ve bu işlemlere ilişkin lojistik, depolama, muhasebe, finans, kalite güvence, satın alma, insan kaynakları, hukuk, satış, pazarlama, iç denetim ve bilgi işlem faaliyetlerinden elde edilen elektronik bilgi varlıkların korunması, şirket bünyesinde tutulan kişisel verilerin kanun kapsamında işlenmesi, saklanması, korunması, gizliliğinin ve bütünlüğünün bozulmaması için kullandığı bilgi güvenliği süreçlerini kapsar.

3. Yasal Dayanak: Bu bilgi güvenliği politikası 5 Ocak 2018 CUMA tarihli 30292 Sayılı Resmî Gazete’de yayınlanan BİLGİ SİSTEMLERİ YÖNETİMİ TEBLİĞİ (VII-128.9) dayanak alınarak hazırlanmıştır.

4. İçerik: Bu Bilgi Güvenliği Politikası içeriğinde aşağıdaki konularla sınırlı olmamak üzere düzenlemeler mevcuttur.

4.1. Bilgi sistemleri yönetimine ilişkin unsurların yönetsel hiyerarşi içerisinde yer alması ve bilgi sistemlerinin; güvenlik, performans, etkinlik, doğruluk ve sürekliliğini hedefleyerek doğru yönetimi için gerekli finansman ve insan kaynağının tahsis edilmesi,

4.2. Üst yönetim tarafından, asgari olarak BSY Tebliği’nin 7 nci maddesinin üçüncü fıkrasında belirtilen faaliyetlerin yerine getirilmesini temin edecek mekanizmaların kurulması,

4.2.1. İç kontrol ve risk yönetim sistemi ile muhasebe ve operasyon birimini oluşturmuş olması,

4.2.2. Kurulun bilgi sistemleri yönetimi düzenlemelerinde dair yetkili aracı kurumlar için öngörülen bilgi sistemleri alt yapısını oluşturarak faaliyete geçirmiş olması,

4.2.3. Belge, kayıt ve muhasebe işlemlerini yürütecek sorumlu birimde yeterli sayıda personeli istihdam etmiş olması,

4.3. Verilerin gizlilik, bütünlük ve erişilebilirliklerini sağlayacak önlemlere ilişkin kontrollerin geliştirilmesi, işletilmesi, güncelliğinin sağlanması ile ilgili yönetsel sorumlulukların tanımlanması,

4.4. Görev ve sorumluluk alanlarının ayrılması,

4.5. Fiziksel korumanın sağlanması,

4.6. Ağ hizmetinin güvenlik kriterlerinin, hizmet düzeylerinin ve yönetim gereksinimlerinin tanımlanması,

4.7. Güvenlik duvarı çözümlerinin kullanılması,

4.8. Kimlik doğrulama yönteminin belirlenmesi,

4.9. Yetkilendirme sürecinin oluşturulması,

4.10. Veri gizliliği çalışmalarının yapılması,

4.11. Şikâyet mekanizmasının oluşturulmuş olması,

4.12. Denetim izi (log) kayıt mekanizmasının kurulması,

4.13. İç Kapsam

İdare, kuruluşa ilişkin yapı, roller ve yükümlülükler;

4.13.1. Şirket Üst Yönetimi bünyesinde bulunan kapsam dahilindeki departmanlar; Mali ve İdari İşler, Finans, Bilgi İşlem, Kurumsal İletişim ve İş Geliştirme, İnsan Kaynakları,

4.13.2. Genel Yönetim Organizasyon Şemasında belirtilmiş roller ve görev tanımlarındaki sorumluluklar.

4.13.3. Yerine getirilecek politikalar, prosedürler, hedefler ve stratejiler;

4.13.3.1. Bilgi Güvenliği Yönetim Sistemi Politikası,

4.13.3.2. Tüm Bilgi Güvenliği yönetim sistemleri prosedürleri,

4.13.3.3. Yönetimce belirlenmiş yıllık Bilgi Güvenliği yönetim sistemleri hedefleri,

4.13.3.4. Kaynaklar ve bilgi birikimi cinsinden anlaşılan yetenekler (örneğin, anapara, zaman, kişiler, süreçler, sistemler ve teknolojiler),

4.13.3.5. Bilgi Güvenliği Yönetim Sisteminin kurulması, işletilmesi ve sürdürülmesi için yönetim tarafından atanan Yönetim Temsilcileri ve Bilgi Güvenliği Yönetim Sistemi ekibi,

4.13.3.6. İç paydaşlarla ilişkiler ve onların algılamaları ve değerlerini; kuruluşun kültürünün, kuruluş tarafından uyarlanan standartların; kılavuzlar ve modellerin, sözleşmeye ilişkin ilişkilerin; biçim ve genişliğini kapsamaktadır.

4.14. Dış Kapsam

4.14.1. Uluslararası, ulusal, bölgesel veya yerel olmak üzere, sosyal ve kültürel, politik, yasal, mevzuata ilişkin, finansal, teknolojik, ekonomik, doğal ve rekabetçi ortam,

4.14.2. Küresel Rekabet Hukuku, Politikaları ve Prosedürleri,

4.14.3. Tedarikçi ve müşteri verilerinin gizliliği,

4.14.4. Kalite Odaklılık,

4.14.5. Kuruluşun hedefleri üzerinde etkisi bulunan paydaşlarla ilişkiler ve onların algılamaları ve değerleri;

4.14.6. Müşteri memnuniyetin sağlanması için Üst Yönetim dahil tüm Şirket çalışanları,

4.14.7. İlgili tüm yasal mevzuat, düzenleyici, sözleşmeden doğan şartlar, standartlar,

4.14.8. TSE ve diğer kuruluşlarla olan ürün belgelendirmeleri dış kapsamdır.

5. Dış Kaynak Sözleşmeleri

5.1. BSY Tebliği’nin 18 inci maddesine uygun olacaktır. Bilgi sistemlerine ilişkin dış kaynak yoluyla alınan hizmetlerin yönetimi. Kurum, Kuruluş ve Ortaklıkların üst yönetimi tarafından, bilgi sistemleri kapsamında dış kaynak yoluyla alınacak hizmetlerin doğuracağı risklerin yeterli düzeyde değerlendirilmesine, yönetilmesine ve dış kaynak yoluyla alınan hizmeti sağlayan kuruluşlarla ilişkilerin etkin bir şekilde yürütülebilmesine olanak sağlayacak bir gözetim mekanizması tesis edilir. Tesis edilecek gözetim mekanizması asgari olarak aşağıda belirtilen hususları içerir:

5.1.1. Dış kaynak yoluyla alınan bilgi sistemleri hizmeti kapsamındaki tüm sistem ve süreçlerin Kurum, Kuruluş ve Ortaklıkların kendi risk yönetimi, güvenlik, gizlilik ve müşteri gizliliğine ilişkin ilkelerine uygun olması,

5.1.2. Kurum, Kuruluş ve Ortaklıkların verilerinin dış kaynak yoluyla alınan bilgi sistemleri hizmeti sağlayan kuruluşa aktarılmasının gerekli olduğu durumlarda, söz konusu kuruluşun bilgi güvenliği konusundaki ilke ve uygulamalarının en az Kurum, Kuruluş ve Ortaklıkların uyguladığı düzeyde olması,

5.1.3. Dış kaynak yoluyla alınan bilgi sistemleri hizmetine ilişkin hususların Kurum, Kuruluş ve Ortaklıkların iş sürekliliği göz önünde bulundurularak düzenlenmesi ve gerekli önlemlerin alınması,

5.1.4. Dış kaynak yoluyla alınan bilgi sistemleri hizmetlerinde ölçme, değerlendirme, raporlama ve güvenlik fonksiyonlarında nihai sorumluluğun Kurum, Kuruluş ve Ortaklıklarda olması,

5.1.5. Dış kaynak yoluyla alınan hizmetin, Kurum, Kuruluş ve Ortaklıkların yasal yükümlülüklerini yerine getirmelerini ve etkin biçimde denetlenmelerini engelleyici nitelikte olmaması,

5.1.6. Kurum, Kuruluş ve Ortaklıkların önem arz eden konulara ilişkin dış kaynak hizmeti aldıkları kuruluşlarla sözleşme imzalamadan önce ilgili kuruluş bünyesinde dış kaynak hizmetini istenilen kalitede gerçekleştirebilecek düzeyde teknik donanım ve altyapı, mali güç, tecrübe, bilgi birikimi ve insan kaynağı bulunup bulunmadığı hususlarını da dikkate alacak şekilde inceleme ve değerlendirme çalışması yapmaları ve bu çalışma sonucunda hazırlanacak teknik yeterlilik raporunun üst yönetime sunulması.

5.1.7. Dış kaynak kullanımına ilişkin koşul, kapsam ve her türlü diğer tanımlama, dış kaynak yoluyla alınan hizmeti sağlayan kuruluşça da imzalanmış olacak şekilde sözleşmeye bağlanır. Sözleşme, asgari olarak aşağıdaki hususları içerir:

5.1.8. Hizmet seviyelerine ilişkin tanımlamalar,

5.1.8.1. Hizmetin sonlandırılmasına ilişkin koşullar,

5.1.8.2. Hizmetin, beklenmedik şekillerde sonlandırılması veya kesintiye uğraması durumunda uygulanacak yaptırımlar,

5.1.8.3. Kurum, Kuruluş ve Ortaklıkların bilgi güvenliği politikası dâhilinde önem arz eden konulara ilişkin gereklilikler,

5.1.8.4. Sözleşme kapsamında üretilecek ürün bulunması halinde, ürünün sahipliği ile fikri ve sınai mülkiyet haklarını da göz önünde bulundurarak düzenleyen hükümler,

5.1.8.5. Sözleşmede dış kaynak yoluyla alınan hizmeti sağlayan kuruluşlar için yükümlülük teşkil eden hükümlerin, alt yüklenici kuruluşlar ile yapılacak olan sözleşmelerde de bağlayıcı maddeler olarak yer almasını sağlayacak hükümler,

5.1.8.6. Hizmet sağlayıcı kuruluşun, sermaye piyasası mevzuatı kapsamında Kurul tarafından talep edilecek bilgileri istenen zamanda ve nitelikte sağlamasına ilişkin yükümlülüğü ve Kurul’un sözleşme kapsamında sunulan hizmet ile ilgili olarak hizmet sağlayıcı bünyesindeki gerekli gördüğü her türlü bilgi, belge ve kayda erişim hakkı.

5.1.8.7. Dış kaynak yoluyla alınan hizmeti sağlayan kuruluşlara verilen erişim hakları özel olarak değerlendirilir. Fiziksel veya mantıksal olabilecek bu erişimler için risk değerlendirmesi yapılır, gerekiyorsa ek kontroller tesis edilir. Risk değerlendirmesi yapılırken ihtiyaç duyulan erişim türü, erişilecek verinin önemi ile erişimin bilgi güvenliği üzerindeki etkileri dikkate alınır. Alınan hizmetin sonlanması durumunda ilgili tüm erişim hakları iptal edilir.

5.1.8.8. Kurum, Kuruluş ve Ortaklıkların üst yönetimi, dış kaynak yoluyla gerçekleştirilen hizmetler için hizmetin erişilebilirliğini, performansını, kalitesini, bu hizmet kapsamında gerçekleşen güvenlik ihlali olayları ile dış kaynak yoluyla hizmet sağlayan kuruluşun güvenlik kontrollerini, finansal koşullarını ve sözleşmeye uygunluğunu yakından takip etmek için yeterli bilgi ve tecrübeye sahip sorumluları belirler.

6. BSY Tebliği’nin 8 inci maddesinin ikinci fıkrasında belirtilen hususları kapsayacak şekilde aşağıdaki belgeler bu politikaya uygun şekilde hazırlanmıştır.

6.1. Risk yönetimi süreç ile prosedürler

6.2. Bu prosedürlerin kabulüne ilişkin alınan yönetim kurulu kararı,

6.3. İş sürekliliği planı

6.4. Bilgi sistemleri süreklilik planı,

6.5. Bilgi sistemleri varlık envanteri,

7. BSY Tebliği’nin 26.ncı maddesi uyarınca birincil ve ikincil sistemlerin yurt içinde bulundurulması zorunlu olduğundan; sunucu, altyapı ve altyapı yönetimine ilişkin sistemlerin yurt içinde bulundurulmaktadır.

8. Tanımlar

8.1. BGYS: Bilgi Güvenliği Yönetim Sistemi.

8.2. Envanter: Firma için önemli olan her türlü bilgi varlığı.

8.3. Üst Yönetim: Şirket Üst Yönetimidir.

8.4. Know-How: Bir şeyi yapabilme yetkinliğidir.

8.5. Bilgi Güvenliği: Bilgi, tüm diğer kurumsal ve ticari varlıklar gibi, bir işletme için değeri olan ve bu nedenle uygun şekilde korunması gereken bir varlıktır. Şirket içerisinde, know-how, süreç, formül, teknik ve yöntem, müşteri kayıtları, pazarlama ve satış bilgileri, personel bilgileri, ticari, sınai ve teknolojik bilgiler ve sırlar GİZLİ BİLGİ olarak kabul edilir.

8.6. Gizlilik: Bilginin içeriğinin görüntülenmesinin, sadece bilgiyi/veriyi görüntülemeye izin verilen kişilerin erişimi ile kısıtlanmasıdır. (Örnek: Şifreli e-posta gönderimi ile e-postanın ele geçmesi halinde dahi yetkisiz kişilerin e-postaları okuması engellenebilir- Kayıtlı elektronik posta (KEP)

8.7. Bütünlük: Bilginin yetkisiz veya yanlışlıkla değiştirilmesinin, silinmesinin veya eklemeler çıkarmalar yapılmasının tespit edilebilmesi ve tespit edilebilirliğin garanti altına alınmasıdır. (Örnek: Veri tabanında saklanan verilerin özet bilgileri ile birlikte saklanması- elektronik imza- mobil imza)

8.8. Erişilebilirlik/Kullanılabilirlik: Varlığın ihtiyaç duyulduğu her an kullanıma hazır olmasıdır. Diğer bir ifadeyle, sistemlerin sürekli hizmet verebilir halde bulunması ve sistemlerdeki bilginin kaybolmaması ve sürekli erişilebilir olmasıdır. (Örnek: Sunucuların güç hattı dalgalanmalarından ve güç kesintilerinden etkilenmemesi için kesintisiz güç kaynağı ve şaselerinde yedekli güç kaynağı kullanımı (UPS). Bu politikada “Erişilebilirlik” olarak kullanılacaktır.

8.9. Bilgi Varlığı: Şirket’in sahip olduğu, faaliyetlerini aksatmadan yürütebilmesi için önemli olan varlıklardır. Bu politikaya konu olan süreçler kapsamında bilgi varlıkları şunlardır:

8.9.1. Kâğıt, elektronik, görsel veya işitsel ortamda sunulan her türlü bilgi ve veri,

8.9.2. Bilgiye erişmek ve bilgiyi değiştirmek için kullanılan her türlü yazılım ve donanım,

8.9.3. Bilginin transfer edilmesini sağlayan ağlar,

8.9.4. Tesisler ve özel alanlar,

8.9.5. Bölümler, birimler, ekipler ve çalışanlar,

8.9.6. Çözüm ortakları,

8.9.7. Üçüncü taraflardan sağlanan servis, hizmet veya ürünlerdir.

9. Sorumluluklar Sorumluluk ve yetkileri belirlenmiş görevlerin nitelik ve yeterlilikleri görev tanımlarında tanımlanmıştır. Bilgi güvenliği ile ilgili faaliyetlerin sürdürülmesinden ve geliştirilmesinden Bilgi İşlem Ekibi ve Yönetim Temsilcisi sorumludur. BGYS Ekibi ve Yönetim Temsilcileri Üst Yönetim tarafından atanmıştır. Kapsam içindeki departmanlardan BGYS temsilcileri belirlenmiştir. BGYS ekip üyesi olarak isim bazında atamaları yapılmıştır.

9.1. Yönetim Sorumluluğu

9.1.1. Şirket Yönetimi, tanımlanmış, yürürlüğe konmuş ve uygulanmakta olan Bilgi Güvenliği Sistemine uyacağını ve sistemin verimli şekilde çalışması için gerekli kaynakları tahsis edeceğini, sistemin tüm çalışanlar tarafından anlaşılmasının sağlayacağını taahhüt eder.

9.1.2. BGYS kurulumu sırasında BGYS Yönetim Temsilcisi atama yazısı ile atanır. Gerekli olduğu durumlarda üst yönetim tarafından doküman revize edilerek atama tekrar yapılır.

9.1.3. Yönetim kademesindeki yöneticiler güvenlik konusunda alt kademelerde bulunan personele sorumluluk verme ve örnek olma açısından yardımcı olurlar. Üst kademelerden başlayan ve uygulanan anlayış, firmanın en alt kademe personeline kadar inilmesi zorunludur. Bu yüzden tüm yöneticiler yazılı yada sözlü olarak güvenlik talimatlarına uymaları, güvenlik konularındaki çalışmalara katılmaları yönünde çalışanlarına destek olurlar.

9.1.4. Üst Yönetim, Bilgi güvenliği kapsamlı çalışmalar için gerek duyulan bütçeyi oluşturur.

9.2. Yönetim Temsilcisi Sorumluluğu

9.2.1. BGYS (Bilgi Güvenliği Yönetim Sistemi)'nin planlanması, kabul edilebilir risk seviyesinin belirlenmesi, risk değerlendirme metodolojisinin belirlenmesini,

9.2.2. BGYS kurulumunda destekleyici ve tamamlayıcı faaliyetler için gerekli kaynakların sağlanması, kullanıcı kabiliyetlerinin sağlanması/iyileştirilmesi ve farkındalığın oluşması, eğitimlerin yapılması, iletişimin sağlanması, dokümantasyon gereksinimlerinin sağlanması,

9.2.3. BGYS uygulamalarının yürütülmesi ve yönetilmesi, değerlendirmelerin, iyileştirmelerin ve risk değerlendirmelerinin sürekliliğinin sağlanması,

9.2.4. İç denetimler, hedeflerin ve yönetim gözden geçirme toplantıları ile BGYS ve kontrollerin değerlendirilmesi,

9.2.5. BGYS'de mevcut yapının sürdürülmesi ve sürekli iyileştirmelerin sağlanmasından sorumludur.

9.3. BGYS Ekip Üyeleri Sorumluluğu

9.3.1. Bölümleri ile ilgili varlık envanteri ve risk analiz çalışmalarının yapılması,

9.3.2. Sorumluluğu altında bulunan bilgi varlıklarında bilgi güvenliği risklerini etkileyecek bir değişiklik olduğunda, risk değerlendirmesi yapılması için Yönetim Temsilcisini bilgilendirmesi,

9.3.3. Departman çalışanlarının politika ve prosedürlere uygun çalışmasını sağlanması,

9.3.4. Bölümleri ile ilgili BGYS kapsamında farkındalığın oluşması, iletişimin sağlanması, dokümantasyon gereksinimlerinin sağlanması,

9.3.5. BGYS' de mevcut yapının sürdürülmesi ve sürekli iyileştirmelerin sağlanmasından sorumludur.

9.4. İç Denetçi Sorumluluğu İç denetim planı doğrultusunda, görev verilen iç denetimlerde denetim faaliyetlerinin yapılmasından ve raporlanmasından sorumludur.

9.5. Bölüm Yöneticileri Sorumluluğu Bilgi Güvenliği Politikasının uygulanması ve çalışanların esaslara uymasının sağlanmasından, 3. tarafların politikadan haberdar olmasının sağlanmasından ve fark ettiği bilgi sistemleri ile ilgili güvenlik ihlal olaylarının bildirilmesinden sorumludurlar.

9.6. Tüm Çalışanların Sorumluluğu

9.6.1. Çalışmalarını bilgi güvenliği hedeflerine, politikalarına ve bilgi güvenliği yönetim sistemi dokümanlarına uygun olarak yürütmekten,

9.6.2. Kendi birimi ile ilgili bilgi güvenliği hedeflerinin takibini yapar ve hedeflere ulaşılmasını sağlar.

9.6.3. Sistemler veya hizmetlerde gözlenen veya şüphelenilen herhangi bir bilgi güvenliği açıklığına dikkat etmek ve raporlamaktan,

9.6.4. Üçüncü taraflar ile yapılan ve Satınalma sorumluluğunda olmayan hizmet sözleşmelerine (danışmanlık vb.) ilave olarak gizlilik sözleşmesi yapmak ve bilgi güvenliği gereksinimlerini sağlamaktan sorumludur.

9.7. Üçüncü Tarafların Sorumluluğu Bilgi güvenliği politikasının bilinmesi ve uygulanması ile BGYS kapsamında belirlenen davranışlara uyulmasından sorumludur.

10. Bilgi Güvenliği Hedefleri Bilgi Güvenliği Politikası, Şirket çalışanlarına firmanın güvenlik gereksinimlerine uygun şekilde hareket etmesi konusunda yol göstermek, bilinç ve farkındalık seviyelerini arttırmak ve bu şekilde şirketin temel ve destekleyici iş faaliyetlerinin en az kesinti ile devam etmesini sağlamak, güvenilirliğini ve imajını korumak ve üçüncü taraflarla yapılan sözleşmelerde belirlenmiş uygunlukları sağlamak amacıyla firmanın tüm işleyişini etkileyen fiziksel ve elektronik bilgi varlıklarının korunmasını hedefler. Yönetim Tarafından belirlenen hedefler belirlenmiş periyotlarda izlenir ve Yönetim Gözden Geçirme toplantılarında gözden geçirilir.

11. Risk Yönetim Çerçevesi Firmanın risk yönetim çerçevesi; Bilgi güvenliği risklerinin tanımlanmasını, değerlendirilmesini ve işlenmesini kapsar. Risk Analizi, uygulanabilirlik bildirgesi ve risk işleme planı, bilgi güvenliği risklerinin nasıl kontrol edildiğini tanımlar. Risk işleme planının yönetiminden ve gerçekleştirilmesinden BGYS Yürütme ve Yönetim Komitesi sorumludur. Tüm bu çalışmalar, varlık envanteri ve risk değerlendirme talimatında detaylı olarak açıklanır.

12. Bilgi Güvenliği Genel Esasları

12.1. Bu politika ile çerçevesi çizilen bilgi güvenliği gereksinimleri ve kurallarına ilişkin ayrıntılar, Şirket çalışanları ve 3. taraflar bu politika ve prosedürleri bilmek ve çalışmalarını bu kurallara uygun şekilde yürütmekle yükümlüdür.

12.2. Bu kural ve politikalar, aksi belirtilmedikçe, basılı veya elektronik ortamda depolanan ve işlenen tüm bilgiler ile bütün bilgi sistemlerinin kullanımı için dikkate alınması esastır.

12.3. BGYS’nin hayata geçirilmesi, işletilmesi ve iyileştirilmesi çalışmalarını, ilgili tarafların katkısıyla yürütür. BGYS dokümanlarının gerektiği zamanlarda güncellenmesi BGYS Yönetim Temsilcisi sorumluluğundadır.

12.4. Şirket tarafından çalışanlara veya 3. taraflara sunulan bilgi sistemleri ve altyapısı ile bu sistemler kullanılarak üretilen her türlü bilgi, belge ve ürün aksini gerektiren kanun hükümleri veya sözleşmeler bulunmadıkça şirkete aittir.

12.5. Çalışanlar, danışmanlık, hizmet alımı (Güvenlik, servis, yemek, temizlik firması vb.), Tedarikçi ve Stajyer ile gizlilik anlaşmaları yapılır.

12.6. İşe alım, görev değişikliği ve işten ayrılma süreçlerinde uygulanacak bilgi güvenliği kontrolleri belirlenir ve uygulanır.

12.7. Çalışanların bilgi güvenliği farkındalığını artıracak ve sistemin işleyişine katkıda bulunmasını sağlayacak eğitimler düzenli olarak mevcut şirket çalışanlarına ve yeni işe başlayan çalışanlara verilir.

12.8. Bilgi güvenliğinin gerçek ya da şüpheli tüm ihlalleri rapor edilir; ihlallere sebep olan uygunsuzluklar tespit edilir, ana sebepleri bulunarak tekrar edilmesini engelleyici önlemler alınır.

12.9. Bilgi varlıklarının envanteri bilgi güvenliği yönetim ihtiyaçları doğrultusunda oluşturulur ve varlık sahiplikleri atanır.

12.10. Kurumsal veriler sınıflandırılır ve her sınıftaki verilerin güvenlik ihtiyaçları ve kullanım kuralları belirlenir.

12.11. Güvenli alanlarda saklanan varlıkların ihtiyaçlarına paralel fiziksel güvenlik kontrolleri uygulanır.

12.12. Firmaya ait bilgi varlıkları için firma içinde ve dışında maruz kalabilecekleri fiziksel tehditlere karşı gerekli kontrol ve politikalar geliştirilir ve uygulanır.

12.13. Kapasite yönetimi, üçüncü taraflarla ilişkiler, yedekleme, sistem kabulü ve diğer güvenlik süreçlerine ilişkin prosedür ve talimatlar geliştirilir ve uygulanır.

12.14. Ağ cihazları, işletim sistemleri, sunucular ve uygulamalar için denetim kaydı üretme konfigürasyonları ilgili sistemlerin güvenlik ihtiyaçlarına paralel biçimde ayarlanır. Denetim kayıtlarının yetkisiz erişime karşı korunması sağlanır.

12.15. Erişim hakları ihtiyaç nispetinde atanır. Erişim kontrolü için mümkün olan en güvenli teknoloji ve teknikler kullanılır.

12.16. Sistem temini ve geliştirilmesinde güvenlik gereksinimleri belirlenir, sistem kabulü veya testlerinde güvenlik gereksinimlerinin karşılanıp karşılanmadığı kontrol edilir.

12.17. Kritik altyapı için süreklilik planları hazırlanır, bakımı ve tatbikatı yapılır.

12.18. Yasalara, iç politika ve prosedürlere, teknik güvenlik standartlarına uyum için gerekli süreçler tasarlanır, sürekli ve periyodik olarak yapılacak gözetim ve denetim faaliyetleri ile uyum güvencesi sağlanır.

13. Politikanın İhlali ve Yaptırımlar Bilgi Güvenliği Politikasına ve Standartlarına uyulmadığının tespit edilmesi durumunda, bu ihlalden sorumlu olan çalışanlar için Disiplin Yönergesi ve Prosedürü ’ne göre 3. Taraflar için de geçerli olan sözleşmelerde geçen ilgili maddelerinde belirlenen yaptırımlar uygulanır.

14. Yönetimin Gözden Geçirmesi Yönetim gözden geçirme toplantıları BGYS Kalite Yönetim Temsilcisi Organize edilerek, Üst Yönetim ve Bölüm yöneticileri katılımı ile gerçekleştirilir. Bilgi Güvenliği Yönetim Sisteminin uygunluğunun ve etkinliğinin değerlendirildiği bu toplantılar en az yılda bir kez gerçekleştirilmektedir.

15. Bilgi Güvenliği Politika Dokümanı Güncellenmesi ve Gözden Geçirilmesi Politika dokümanının sürekliliğinin sağlanmasından ve gözden geçirilmesinden BGYS Yönetim Temsilcileri sorumludur. Politika ve prosedürler en az yılda bir kez gözden geçirilmelidir. Bunun dışında sistem yapısını veya risk değerlendirmesini etkileyecek herhangi bir değişiklikten sonra da gözden geçirilmeli ve herhangi bir değişiklik gerekiyorsa üst yönetime onaylatılarak yeni versiyon olarak kayıt altına alınmalıdır. Her revizyon tüm kullanıcıların erişebileceği şekilde yayınlanmalıdır.

16. Politikanın Yürürlüğe Girişi

16.1. İş bu Politika, Trinkfon Kitle Fonlama Platformu A.Ş. Yönetim Kurulu tarafından 25/12/2023 tarihinde alınan 2023/01 sayılı kararla kabul edilmiştir ve kararın alındığı tarih itibariyle yürürlüğe girmiştir.

16.2. Politikanın yürürlüğe giriş tarihi, Yönetim Kurulu kararının alındığı tarih olarak kabul edilir ve bu tarihten itibaren Politika, Platformun ilgili tüm faaliyetlerine uygulanacaktır.

16.3. İşbu politika Trinkfon Kitle Fonlama Platformu A.Ş. Yönetim Kurulu tarafından 29/07/2024 tarihinde alınan 2024/03 sayılı kararla revize edilmiştir.

Veri Sorumlusu Unvan : Trinkfon Kitle Fonlama Platformu A.Ş.

Mersis No : 0859142576500001

E-posta Adresi : info@trinkfon.com

Kayıtlı Elektronik Posta Adresi : trinkfon@hs01.kep.tr

Fiziki Posta Adresi : Gökkuşağı Mah. 1204 Cad. Acar Apt. No: 19/20 Çankaya Ankara