İSTGÜVEN İSTANBUL GÜVENLİK AŞ.
VERİ GÜVENLİĞİ POLİTİKASI


 

BİRİNCİ BÖLÜM
AMAÇ, KAPSAM VE HUKUKİ DAYANAK

 

AMAÇ
MADDE 1
İşbu, İstgüven AŞ Veri Güvenliği Politikası (“Politika”); İstgüven AŞ’nin (“Şirket”) 7 Nisan 2016 tarihli Resmî Gazete’ de yayınlanarak yürürlüğe giren 6698 Sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) kapsamında veri sorumlularının elektronik ortamlar ve bilgi işlem sistemlerine ilişkin getirilen yükümlülüklere uyumun sağlanmasında benimsenecek temel ilkeler ve uygulama prensiplerinin belirlenmesi amacıyla oluşturulmuştur.

KAPSAM VE DEĞİŞİKLİKLER
MADDE 2
KVKK’ya uygun olarak hazırlanan bu Politika; çalışanlarımızın, iş birliği içinde olduğumuz kurum/firma çalışanlarının, hissedarlarının, yetkililerinin ve üçüncü şahısların otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen tüm kişisel verilerine ilişkindir. KVKK ve ilgili mevzuat uyarınca yapılacak değişiklikler doğrultusunda, Şirket’in Politika’da değişiklik yapma hakkı saklıdır.

MADDE 3
1. Şirket işlemekte olduğu kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, verilere hukuka aykırı olarak erişilmesini önlemek ve verilerin muhafazasını sağlamak için uygun güvenlik düzeyini sağlamaya yönelik gerekli tedbir ve kontrolleri almalı, bu kapsamda gerekli denetimleri yapmalı veya yaptırmalıdır. Bu husus, veri işlemenin elektronik yolla veya yazılı olarak yapılmasından bağımsız olarak geçerlidir. Özellikle yeni bilgi teknolojileri (BT) sistemlerine geçiş süreçlerinde veri işlemenin yeni metotlarına başlamadan önce, kişisel verilerin korunmasına yönelik teknik ve organizasyonel önlemler tanımlanmalı ve uygulanmalıdır. Bu önlemler son gelişmelere, işlemin risklerine ve bilgi sınıflandırması süreci ile belirlenen, verinin koruma ihtiyacına dayandırılmalıdır. Kişisel verilerin korunmasına ilişkin teknik ve organizasyonel önlemler, Şirket bilgi güvenliği yönetiminin bir parçasıdır ve bu önlemler teknik gelişmeler ile organizasyonel değişikliklere sürekli olarak uyarlanmalıdır.
2. Bu Politika, doğrudan ve/veya Şirket altyapısını kullanarak kişisel veriye erişen tüm personeli, üçüncü taraf olarak bilgi sistemlerine erişen kullanıcıları ve bilgi sistemlerine teknik destek sağlamakta olan hizmet, yazılım veya donanım sağlayıcılarını kapsamaktadır.

HUKUKİ DAYANAK
MADDE 4
Bu Politika, KVKK’ya, ilgili yerel mevzuata ve kişisel verilerin korunmasına ilişkin uluslararası mevzuata dayanılarak hazırlanmıştır.

 

İKİNCİ BÖLÜM
UYGULAMA VE GENEL ESASLAR

 

BİLGİ TEKNOLOJİLERİNİN GÜVENLİĞİ
MADDE 5
1. Bilgi teknolojilerinin güvenliği:
a) Gizlilik: Bilginin sadece yetkili kişiler tarafından erişilebilir olması,
b) Bütünlük: Bilginin yetkisiz değiştirmelerden korunması ve değiştirildiğinde farkına varılması,
c) Kullanılabilirlik/ Erişilebilirlik: Bilginin yetkili kullanıcılar tarafından gerek duyulduğu an kullanılabilir/erişilebilir olması özelliklerinin korunması olarak tanımlanır. Şirket işbu ilkelere uymakla yükümlüdür.

BİLGİ TEKNOLOJİLERİ GÜVENLİĞİ HEDEFLERİ
MADDE 6
Şirket; güvenilirliğini ve itibarını korumak, Şirket’in temel faaliyetlerinin en az kesinti ile devam etmesini sağlamak amacıyla bilişim hizmetlerinin gerçekleştirilmesinde kullanılan tüm fiziksel ve elektronik bilgi varlıklarının bilgi güvenliğini sağlayarak kişisel veri güvenliğini sağlamayı hedefler.

BİLGİ GÜVENLİĞİ İLKELERİ
MADDE 7
Şirket’in bilgi işlem altyapısını kullanan ve bilgi kaynaklarına erişen herkes:
a) Kişisel ve elektronik iletişimde ve üçüncü taraflarla yapılan bilgi alışverişlerinde kuruma ait bilginin gizliliğini sağlamalı,
b) Kritiklik düzeylerine göre işlediği bilgiyi yedeklemeli,
c) Risk düzeylerine göre belirlenen güvenlik önlemlerini almalı,
d) Bilgi güvenliği ihlal olaylarını Bilgi İşlem Sorumlusuna bildirmeli ve Bilgi İşlem Sorumlusunun bilgi güvenliği ihlallerini engelleyecek önlemleri almasını sağlamalı,
e) Şirket içi bilgi kaynaklarını ve kişisel verileri yetkisiz olarak üçüncü kişilere hukuka aykırı olarak açıklamamalı ve paylaşmamalı,
f) Şirket’in bilişim kaynakları, başta KVKK olmak üzere kanunlara ve ilgili mevzuata aykırı faaliyetler amacıyla kullanmamalıdır.
g) Kişisel verileri hukuka aykırı olarak işlememeli ve özel nitelikli kişisel verilere gereken hassasiyeti göstermelidir.
h) Şirket’in bilgi işlem sisteminde yer alan verilerin Şirket dışına izinsiz ve işlenme amacı dışında sızması, çalınması ve kullanımı önlenmelidir.
i) Şirket’in bilgi işlem sistemlerine dışarıdan yönlenebilecek her türlü tehdit, saldırı ve sızma girişimleri önlenmelidir.

SORUMLULUKLAR
MADDE 8
Bilgi İşlem personeli bu Politika’da belirtilen kurallara uygun olarak ve kullanıcının kişilik hakları saklı kalmak koşulu ile Politika’da belirtilen hizmetlerin kullanımını kontrol eder. Ayrıca Şirket çatısı altında faaliyet gösteren tüm personel, bu Politika ile ilgili prosedürlere ve talimatlara uymakla yükümlüdür.

POLİTİKANIN İHLALİ VE YAPTIRIMLAR
MADDE 9
Bu Politika’daki hükümlere uyulmaması halinde, gerçekleştirilen eylemin niteliğine, kaynakların ve/veya kişilerin uğradığı zararın boyutuna ve ihlalin tekrarına göre İnsan Kaynakları Disiplin Yönergesi gereğince yaptırımlar uygulanabilir.

 

ÜÇÜNCÜ BÖLÜM
UYGULAMA

 

AKTİF DİZİN HİZMETLERİ
MADDE 10
1. Şirket’te işe başlayan her personel için personelin göreve başladığı birimi ve unvanını içeren bilgileri Bilgi İşlem Personeline bildirmesi ile bir adet aktif dizin kullanıcı hesabı açılır. Açılan hesaba ait kullanıcı adı ve şifre bilgileri personelin kendisine doğrudan bildirilir. Personele şifre ilk girişte değiştirilmesi zorunlu tutulacak şekilde geçici olarak verilir.
2. Personelin kullanımı için İnsan Kaynakları biriminden başkaca bir birimden gelen herhangi bir aktif dizin kullanıcı hesabı talebi karşılanmaz.
3. Personelin kullanımı dışında aktif dizin kullanıcı hesabına ihtiyaç duyan uygulamalar için ilgili uygulamanın kullanılacağı birim yöneticisinin talebi ve Bilgi İşlem Personelinin onayına istinaden hesap açılabilir. Bu durumda hesaba ait kullanıcı adı ve şifre talepte bulunan birim yöneticisine teslim edilir. İlgili hesabın amacı dışında kullanılmasının ve bu hesaptan doğabilecek zararların sorumluluğu hesabı talep eden birim yöneticisine aittir.
4. Aktif dizin hesabı açılırken ç, ş, ı, ö, ü, ğ gibi Türkçe karakterler kullanılmaz.
5. Şirket’te görevli personelin Şirket tarafından kendisine tevdi edilen bilgisayar, bilgi işlem sistemleri ve e-postaları Şirket yetkilileri ile bilgi işlem yetkilileri tarafından her zaman izlenebilir ve kontrol edilebilir.

ŞİFRE POLİTİKASI
MADDE 11
Personel, Şirket’te kullanılan ve belirli bir şifre ile girilmesi zorunlu olan her türlü uygulamadaki şifrelerini aşağıdaki kriterlere göre kullanacaktır.
a) Şifreler en az 8 karakter olacaktır.
b) Şifreler kompleks yapıda olacaktır (Büyük, küçük harf, rakam ve simge karışık olmalıdır).
c) Şifreler 6 ayda bir mutlaka değiştirilecektir.
d) Kullanılan son üç şifre bir sonraki değişimde tekrar kullanılamaz.
e) Yanlış şifre denemeleri 3 deneme ile sınırlı olacaktır. Hatalı girilen şifreler sonucu kullanıcı hesabı kilitli konuma gelecektir. Belli bir süre (30 dakika) sonra kilit otomatik olarak açılır.
f) Şifre herhangi bir üçüncü kişi ile herhangi bir şekilde paylaşılmayacak ve herhangi bir yere yazılmayacaktır.

TEMİZ EKRAN POLİTİKASI
MADDE 12
1. Personel, bilgisayarlarında bulunan kritik dosyaları masaüstünde tutmamalıdır.
2. Personel, bilgisayar ekranının başından kısa süreli ayrılmaları dâhil olmak üzere, her ayrılma durumunda “ctrl+alt+delete” tuşlarına aynı anda bastıktan sonra, kilitle seçeneğini seçerek bilgisayar ekranının kilitlenmesini sağlamalıdır.
3. Personel, masa başından ayrıldığında kilitle seçeneğini seçmez ise, üç (3) dakika sonra bilgisayar, şifre ile oturum açmasını gerektirecek şekilde otomatik olarak kilitlenmelidir.

E-POSTA HİZMETLERİ
MADDE 13
Personele sağlanan e-posta hizmeti için bu hizmetten nasıl faydalanacağına dair bilgiler aşağıda belirlenmiştir.
a) E-Posta Kotalar: E-posta kutusu kapasitesi, gönderme sınırı (kişi sayısı), ekli dosya büyüklüğü sınırı gibi hususlar ihtiyaç duyulması halinde sınırlandırılabilir. E-postalar personel tarafından arşivlenir. Arşivlenen e-postalara ilişkin olarak, saklama süresinin bitmesini müteakip 6 aylık periyotlarla, Kişisel Verileri Silme, Yok Etme ve Anonim Hale Getirme Politikasına uygun olarak silinir ya da anonim hale getirilir.
b) E-Posta Kullanım Kriterleri: Gönderilen elektronik postaların sonuna, otomatik olarak eklenecek ve göndereni tanımlayacak Ad Soyad – Birim – Unvan – Telefon bilgilerinin bulunduğu formatı sorumlu birim tarafından belirlenen Kurumsal E- Posta İmzası eklenmelidir. Gönderilen e-postaların sonunda aşağıdaki gibi bir açıklama olmalıdır. Açıklama ihtiyaca göre değiştirilebilir.
“Bu e-posta ve ekleri, e-postada gönderildiği belirtilen kişi/kişilere özel ve gizli olup; 6698 Sayılı Kişisel Verilerin Korunması Kanunu ve 25 Mayıs 2018 tarihli Avrupa Birliği Genel Veri Koruma Tüzüğü (“GDPR”) kapsamında kişisel veriler içerebilmektedir. Bu e-posta ve eklerinin tarafınıza gönderim amacı ile orantılı olarak kullanılması kanuni bir zorunluluktur. E-postanın içermekte olduğu Gizli Bilgiler ve Kişisel Veriler, gönderim amacı dışında kullanılamaz, çoğaltılamaz, arşivlenemez, ilgili kişinin ve Şirketmizin onayı olmaksızın üçüncü kişilere aktarılamaz. Gizli Bilgiler ve Kişisel Verilerin gönderim amacı gerçekleştiğinde yasal süreler içerisinde tarafınızdan imha edilmesi gerekmektedir. Gizli Bilgiler ve Kişisel Verilerin güvenliğinin sağlanmasına ilişkin sorumluluk tarafınıza ait olup herhangi bir ihlal halinde Şirketmizin sorumluluğu bulunmamaktadır.
Bu e-postanın muhatabı olmamanıza rağmen size ulaşmış olması halinde e-postayı derhal imha ederek bu durumu gecikmeksizin tarafımıza bildirmenizi rica ederiz. Saygılarımızla.”
Gönderilen elektronik postalara eklenilecek dosyalar uygun boyutlu olmalıdır. Alınan ve gönderilen elektronik posta eklentileri virüs taramasından geçirilmelidir. Zincir e-postalar ve kaynağı bilinmeyen e-posta ekinde gelen her türlü çalıştırılabilir dosyalar alındığında kesinlikle açılmamalı, hemen silinmeli, yanıt verilmemeli ve kesinlikle başkalarına iletilmemelidir. Elektronik postaların, konu kısmı boş bırakılmamalıdır. Elektronik postalar imlâ ve yazım kuralları ile genel ahlâk kurallarına uygun olmalıdır. Çok sayıda kişiye toplu olarak gönderilen iletilerin, e-posta adresinin de kişisel veri kapsamında olduğu bilinciyle alıcıların birbirlerinin adreslerini görmemesi için, Bilgi (CC (Carbon Copy)) ile değil Gizli (BCC (Blind Carbon Copy)) ile gönderilir. Kurum dışında güvenliğinden emin olunmayan bir bilgisayardan web posta sistemi kullanılmamalıdır. Elektronik posta iletilerine kredi kartı numarası, herhangi bir şifre gibi özel bilgiler yazılmamalıdır. Kişisel kullanım için internetteki listelere üye olunması durumunda kurum e-posta adresleri kullanılmamalıdır. E-postaların sık sık gözden geçirilmeli, saklama süresi geçen kişisel veri ihtiva eden e-postalar ya da gereksiz mesajlar uzun süreli olarak elektronik posta sunucusunda bırakılmamalıdır.
c) E-posta adresine sahip kullanıcı herhangi bir sebepten birim değiştirir, emekli olur ya da işten ayrılır ise değişiklik ile ilgili olarak İnsan Kaynakları; Bilgi İşlem personeline en geç 15 gün içinde bildirimde bulunması gerekmektedir.
d) Elektronik posta hesabına sahip tüm personel, bu esaslara uymakla yükümlüdür.
e) Kullanıcı, elektronik posta kullanımı sırasında:
• Üçüncü kişilere, sistem geneline zarar verecek veya Şirket’i başka kişi ya da kuruluşlarla hukuki anlaşmazlığa sokacak ya da kişisel veri ihlallerine sebebiyet verecek herhangi bir yazılım veya materyal bulundurmaz ve paylaşmaz.
• Diğer kullanıcıların kullanımını etkileyecek şekilde davranmaz, bilgisayarındaki bilgilere ya da yazılıma zarar verecek bilgi veya programlar göndermez.
• Harici kişi ve kuruluşlara gönderilen elektronik postalarda, işin gereği ile ilgili bilgilerin dışında, Şirket’in güvenliği ya da Şirket uhdesinde tutulan kişisel verilerle ile ilgili bilgi verilmez.
f) Personelin kullanımına tahsis edilen e-posta adresleri Şirket iş ilişkilerinde kullanılması amacıyla verilmiş olan adresler olup bu adresler ile herhangi bir özel/kişisel mesajlaşma yapılmamalıdır.
g) Kullanıcı, elektronik posta kullanımı sebebiyle;
• Kişisel şifrenin sadece kendisi tarafından bilinmesi ve korunmasından,
• Kullanıcının şifresini paylaşması halinde şifreyi öğrenen kişinin, kendisi adına yapacaklarından,
• Elektronik posta kullanarak ileri sürdüğü kişisel düşünce, ifade ve eklediği dosyalardan,
• Elektronik posta kullanılarak elde edilen her türlü kayıt veya malzeme veya kişisel veriler kendi rızasıyla edinilmiş sayılacağından, bilgisayarında yaratacağı arızalar, bilgi kaybı ve kişisel veri ihlallerinden sorumludur.
• Kullanıcı, işi ile ilgili her türlü e-postayı kurumsal e-posta adresinden göndermekle yükümlü olup, kişisel e-posta adresinden Şirket’teki işi ile ilgili hiçbir ileti gönderemez.

DOSYA SUNUCUSU HİZMETLERİ
MADDE 14
1. Şirket içi ortak dosya paylaşımı ve Şirket nezdindeki bilgilerin yedeklenmesi için dosya sunucusu hizmeti verilmektedir. Dosya sunucusunda erişimler ortak kullanım alanları için kullanıcı/kullanıcı birimi bazında yetkilendirme yapmak sureti ile yönetilmektedir. Paylaşımdaki klasörlere erişim izinleri her birimin kendisine ait klasörüne Birim Yöneticisi tarafından istenen özelliklere göre (okuma/yazma vb.) ayarlanarak klasörün yönetimi birim yöneticisine devredilir. Buna göre birim yöneticisi kendi birimine ait klasör yetkilendirmelerini birimindeki verilerin kritiklik seviyesine göre yapar/yaptırır.
2. Yukarıda belirtilenlerin dışındaki dokümanlar (eğlence ve kişisel her türlü dosya ve dokümanlar, jpeg gibi çeşitli formatlarda resimler-fotoğraflar, çeşitli formatlarda filmler-videolar ve çeşitli programlara ait kurulum gibi) bu alanda saklanamaz.
3. Personele tahsis edilmiş dosya dizin(ler)i personelin kendisi, birim yöneticisi ve Şirket’in üst yönetimi tarafından görülebilir. Ancak yedekleme amaçlı bilgi işlem personelinin klasöre maskeli olarak kişisel verilere erişemeyecek şekilde yapılandırılmalıdır.
4. Birimde ortak kullanılan ve birimin dosya sunucusu üzerindeki ortak klasöründe saklanan verilerin ayrıca personele tahsis edilmiş dosya klasöründe saklanması gereksiz disk, personel, zaman, kişisel verilerin amacı dışına taşması gibi iş yükü kayıplarına neden olacağından dosya klasörüne eklenmemesi gerekmektedir.
5. Yukarıdaki kurallar dâhilinde kullanılması amaçlanan dosya sunucusu hizmetinin daha aktif ve amacına uygun kullanılabilmesi için, bilgi işlem personeli sistemin periyodik olarak otomatik kontroller yapmasını sağlamak ve amacı dışında kullanımları rapor etmekle yükümlüdür. Bu alana amacı dışında eklenildiği tespit edilen veriler, bilgi işlem personeli tarafından raporlanacak ve silinecektir.
6. Dosya sunucusuna erişim hakkı bulunan personel herhangi bir sebepten birim değiştirir, emekli olur ya da işten ayrılır ise değişiklik ile ilgili olarak İnsan Kaynakları birimi tarafından Bilgi İşlem Personeline aynı gün içinde bildirimde bulunulması gerekmektedir. Bilgi İşlem Personeli aynı gün içinde ilgili personelin/eski personelin sistem girişlerini kapatır.

PERSONELİN PROGRAM/DONANIM YÜKLEME/KURULUM İSTEKLERİ
MADDE 15
1. Personelin görevlerini yerine getirebilmesi için kendisine tahsis edilen bilgisayarda yüklü olan programlar (yazılımlar) haricinde bir program yüklenemez.
2. Eğer kullanıcının bilgisayarında tüm Şirket personelinin kullandığı standart programlardan herhangi biri eksik ise, personel onay gerekmeksizin talepte bulunarak Bilgi İşlem Personelinin ilgili programı kurmasını sağlayabilir.
3. Personelin bilgisayarında yukarıdaki belirtilenler haricinde program bulunması halinde sorumluluk personelin kendine aittir.

ANTİ VİRÜS POLİTİKASI
MADDE 16
1. Şirket’in tüm bilgisayar ve sunucuları uygun anti virüs yazılımı, güvenlik duvarı ya da uygun internet güvenliği (EndPoint) ürünleri ile korunmalıdır. Anti virüs yazılımı olmayan cihazlar ortak ağa bağlanmamalıdır.
2. İnternet güvenlik sistemleri ile koruma altına alınan tüm BT sistemleri haftada en az bir defaya mahsus olmak üzere genel bir sistem taramasından geçirilmelidir.
3. Tüm güvenlik yazılımlarına ait güncellemeler düzenli olarak yapılmalıdır. İşbu güncellemeler; bu iş için tahsis edilmiş sunucu vasıtası ile öncelikle test edilerek yapılır. Sunucu, internet bağlantısına bağlı olup otomatik olarak veri tabanlarını günceller. Personel tarafından kullanılan bilgisayarlar sunucudan otomatik olarak güncellenir.
4. Haricen bilgi aktarılmasını sağlayan USB veya disk benzeri cihazların hangi bilgisayarlardan gerçekleştirilebileceği Bilgi İşlem yönetimi tarafından belirlenir. İzin verilenler dışında kalan bilgisayar ve elektronik ortamlardan USB veya disk benzeri araçlar ile bilgi aktarımı gerçekleştirilemez. Personel tarafından bilgisayara bağlanan her türlü cihaz dosya aktarımı yapılmadan önce virüs taramasından geçirilmelidir. Söz konusu virüs taramaları bağlantının/eklemenin gerçekleştirildiği anda yapılmalıdır.
5. Bulut depolama servislerinden indirilecek dosyalar Bilgi İşlem Sorumlusunun izni haricinde yasaktır. Bulut servislerinden indirilen tüm dosyalar virüs taramasından geçirilmelidir. Kesinti ve/veya güvenlik açığı halinde bilgi işlem ekibi problemin çözümünü sağlamak için derhal aksiyon alır.
6. Herhangi bir virüs ve/veya güvenlik açığı sebebiyle kişisel verilerin etkilenmesi ve etkilenme ihtimali olması halinde konu, derhal İrtibat Kişisine bildirilmelidir.
7. Personel tarafından fark edilen herhangi bir virüs ve/veya güvenlik açığı hakkında derhal bilgi işlem personeline bilgilendirme yapılmalıdır. Virüs veya zararlı yazılım anti-virüs yazılımları tarafından otomatik olarak engellense dahi personel tarafından bu kurala riayet edilir.
8. Kullanıcılar herhangi bir sebepten dolayı anti-virüs programını sisteminden kaldırmamalı veya pasif konuma getirmemelidir.
9. Bilgisayarlara yüklenen her türlü dosya virüs taramasından geçirilmelidir.
10. Zararlı programlar veya yazılımlar (virüs, spam, mail bombaları vb.) Şirket bünyesinde oluşturulmamalı ve dağıtılmamalıdır.

GÜVENLİK DUVARI VE İÇERİK FİLTRELEME POLİTİKASI
MADDE 17
Şirket’in bilgisayar ağı, erişim ve içerik denetimi yapan bir güvenlik duvarı (firewall) üzerinden internete çıkar. Ağ güvenlik duvarı (firewall), kurumun ağı ile dış ağlar arasında bir geçit olarak görev yapan ve internet bağlantısında kurumun karşılaşabileceği sorunları önlemek üzere tasarlanan bir cihazdır. Güvenlik duvarı aşağıda belirtilen hizmetlerle birlikte çalışarak ağ güvenliğini sağlayabilmelidir:
a) İçerik filtreleme sistemleri kullanılmaktadır. İstenilmeyen siteler (pornografik, müstehcen, kumar, şiddet içeren veya illegal içerikler vb.) yasaklanmalıdır.
b) Çalışma saatleri içerisinde iş ile ilgili olmayan sitelere erişimin yoğunlaştığının tespiti halinde belirli durumlarda erişim kısıtlaması gerçekleştirilebilir.
c) İnternetle ilgili erişim izinleri ve kısıtlamalar Bilgi İşlem yönetimi tarafından belirlenir.
d) Erişim izinleri, kısıtlamalar veya sorunlara ilişkin çözüm isteyen personel öncelikle talebini nedenleriyle birlikte Bilgi İşlem Personeli’ne iletir. Talebin bilgi işlem yönetimi tarafından onayı ile gerekli tanımlar yapılabilir.
e) Saldırı Tespit ve Önleme Sistemleri kullanılmalıdır.
f) Personelin peer-to-peer bağlantı yoluyla internetteki servisleri kullanması engellenebilir.

AĞ VE İNTERNET KULLANIMI
MADDE 18
1. 5237 sayılı Türk Ceza Kanunu’nun ilgili hükümleri, 5651 Sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun ile bilişim suçları alanında düzenlenen diğer mevzuat gereği, her kullanıcı interneti bilinçli bir şekilde kullanmak, başkalarının hakkını ihlal edici ve bilişim sistemlerinin işleyişini engelleyici, bozucu faaliyetlerde bulunmamakla yükümlüdür.
2. Şirket bünyesindeki bilgisayar ağı ve internet aşağıdaki amaçlar için kullanılmaz.
a) Şirket ağına ve haricindeki bir sisteme, ağ kaynağına veya servisine saldırı niteliğinde girişimlerde bulunmak,
b) Diğer kullanıcılara ait verileri bozmak ya da zarar vermek, gizlilik hakkını ihlal etmek,
c) Başka bir kullanıcının elektronik posta adresini, o kullanıcının izni olmadan kullanmak,
d) Başkalarının telif haklarını ihlal edici konumda olan yazı, makale, kitap, film, müzik eserleri gibi materyali iletmek, yayınlamak, dağıtmak,
e) Bilgisayarları veya hizmetleri kasıtlı olarak yetkisiz kullanmak,
f) Lisansı alınmamış ve telif hakları ile korunan herhangi bir yazılımı veya ücretsiz lisans gerektirmeyen bir yazılım olsa bile Bilgi İşlem Personeli tarafından kullanımı onaylanmayan yazılımları kullanmak.
3. Bilgisayarlara tahsis edilen IP numarası ve ağ arabiriminin donanım adresi (MAC adresi) ile BIOS ayarları Bilgi İşlem Personeli dışında değiştirilemez.
4. Ağ domain kontrol (DC) yapısı içerisinde bulunmayan bilgisayarların internete erişimi engellenir. Misafir kullanıcıların internete erişim Bilgi İşlem Personeli tarafından sağlanır.

ARIZA VE BAKIM
MADDE 19
1. Son kullanıcılar, bilişim varlıkları bünyesindeki tüm arızaları veya isteklerini, Bilgi İşlem Personeline Yardım Masası aracılığıyla iletmek zorundadır.
2. Personelin hizmetine sunulan tüm cihaz ve kaynaklarda, Bilgi İşlem Personeli tarafından çözülemeyen kullanıcı hatalarından dolayı oluşan arızalarda, cihazın garanti kapsamı dışındaki tamir bedelleri kullanıcı tarafından ödenir.
3. Kullanıcılara sunulan bilişim varlıklarının kaybolması veya çalınması durumunda personelin, kolluk kuvvetleri tarafından onaylı olarak gösterdikleri çalıntı bildirimi olduğu ve yeni varlık temini talebi yapıldığı takdirde talebi yerine getirilir. Ancak, çalınan bilişim varlığı için kolluk kuvveti tarafından verilen bildirim dokümanından, varlığın, çalınmaya müsait şekilde ortada bırakıldığı veya hiçbir koruyucu önlemin alınmadığı anlaşılır ise çalıntı bildirimi yokmuş gibi hareket edilir. Belirtilen çalıntı bildirimi olmayan durumlarda ise kullanıcı, ilgili varlığın yerine aynısını veya muadilini getirmekle yükümlüdür.

GÖREV DEĞİŞİMİ, BİTİMİ VE ZİMMET
MADDE 20
1. Bilgi İşleme ilişkin cihazların tümü, Taşınır Mal Sorumlusu tarafından kullanıcıya zimmetlenir.
2. Birimlere genel kullanım amacı ile teslim edilen bilişim varlıkları ise ilgili birim yöneticisine/koordinatöre zimmetlenir. Kullanıcı, işten ayrılma veya görev değişikliği esnasında bu zimmet fişine göre Bilgi İşlem Personeli tarafından sorgulanır ve tüm bilişim varlığını teslim ettiğine ilişkin onay Bilgi İşlem Personeli tarafından verilir.
3. Görev değiştiren personelin tüm bilişim varlıkları kendisinden, Bilgi İşlem bünyesine geri alınır ve yeni görev yerindeki ilgili birim yöneticisi tarafından yapılacak talebe ve Bilgi İşlem Personeli onayına istinaden yeni talep işleme alınır.
4. Personelin işe başlaması, görev değişikliği ve görevden ayrılması halinde personel ile ilgili erişim yetkileri gibi eklenmesi/düzenlenmesi/kaldırılması gereken işlemler (Active Directory ve Domain Controller Hizmetleri, Dosya sunucusuna uzak erişim, bilgisayardaki bilgilerinin güvenliği ve ulaşımı, personel takip sistemi, veri güvenliği açısından çalışmakta olduğu elektronik ortamdaki çalışmalarının izlenerek güvenli bir şekilde kendilerine aktarılması/aktarılmaması) İnsan Kaynakları tarafından Bilgi İşlem sorumlusuna bildirilmesine müteakip Bilgi İşlem ekibi tarafından gerçekleştirir.

YEDEKLEME
MADDE 21
1. Şirket sistem odasında bulunan sunucularda toplanan veriler bilişim kaynaklarının bakım ve yönetiminden sorumlu birim tarafından belirli periyotlar ile otomatik olarak yedeklenerek afet kontrol merkezinde depolanmalıdır.
2. Yedekleme ile ilgili aşağıdaki hususlar uygulanmadır:
a) Yedekleme sıklığı: Günlük şeklinde yedekleme yapılır.
b) Yedekleme tipi: Tam yedekleme ve artımlı yedekleme otomatik olarak uygulanır. Veri tipi ayrımı yapmadan verilerin tamamı yedeklenir.
c) Yedekleme ortamı tipi: Tip olarak fiziksel sunucu/hard diskler üzerine yapılır.
d) Yedekleme izleri: Yedekleme ile ilgili log izleri istendiği zaman alınabilmelidir ve sürekli günlük olarak kontrol edilir.
e) Önemli son kullanıcı verileri: Son kullanıcıların verileri sanal dosya sunucu üzerinden çalıştıkları ve kayıt yaptıkları sürece korunur ve yedeklenir.
f) Veri kaynaklarının fiziksel ve mantıksal yerleri: veri yedekleme üniteleri sistem odasında sunucu/hard diskler ile gerekli yazılımlar aracılığıyla yedeklenir.
g) Güvenlik ve yetkiler: Veri güvenliğinden, Bilgi İşlem personeli, ilgili birim yöneticisi veya Şirket tarafından belirlenecek diğer kişi/kişiler sorumludur.
h) Şifreleme ihtiyaçları: Bilgi İşlem Personeli müdahalenin gerekli olduğu durumlarda kullanılması için şifreleri, değişikliğin olduğu gün ilgili birim yöneticisine iletir.
3. Şirket bünyesinde kullanılan yazılımların Bilgi İşlem Personeli veya yazılımı kullanan personel eliyle mümkün olduğu sürece Şirket sunucularında yedeklenmesi esastır.

BİLİŞİM ALTYAPISINA İLİŞKİN TESTLER
MADDE 22
1. Bilgi İşlem personelinin bilişim altyapısına ilişkin testlerin yapılabilmesi için gerekli eğitimleri alması Şirket tarafından sağlanır. Bu kapsamda, sızma testleri, kritik bilgi sistemleri zafiyetleri vb. testler Bilgi İşlem personeli tarafından belirli periyotlarda yapılır veya üçüncü kişilerden konu ile ilgili hizmet alınır.
2. Yedeklerin geri yüklenebilirliği ve okunabilirliği belli zaman aralıklarında sanal sunucular üzerinden Bilgi İşlem Personeli tarafından test edilir ve sonuçlar bilgi işlem yöneticisine raporlanır.

SİSTEM ODASI
MADDE 23
1. Şirket’e ait sunucular ile ups ve network cihazları, Şirket binasında yer alan, ancak yetkilendirilmiş personel tarafından iki kademeli kimlik doğrulaması ile girilebilen bir sistem odasında bulundurulur.
2. Cihazların ısınmasını engellemek amacıyla sistem odasının klima vasıtasıyla soğutulması sağlanmalıdır. Ayrıca sistem odasında çevresel tehditlerin (nem, yangın, sıcaklık vb.) tespit edilebilmesini sağlayacak izleme mekanizmaları bulundurulur.

EĞİTİM
MADDE 24
Şirket tarafından Bilgi İşlem Personelinin güncel uygulamalara yönelik gerekli eğitimleri alması sağlanır. Son Kullanıcılara yönelik eğitimler, Bilgi İşlem Personeli tarafından doğrudan veya üçüncü kişilerden hizmet alımı yoluyla gerçekleştirilir.

KİŞİSEL VERİLERİN KORUNMASI
MADDE 25
1. Şirket; kişisel verilerin toplanmasında ve işlenmesinde 6698 Sayılı Kişisel Verilerin Korunması Kanunu’nun belirlediği sınırlar içerisinde kişisel veri toplamaktadır ve işlemektedir. Veri sorumlusu olarak Şirket;
a) Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,
b) Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,
c) Kişisel verilerin muhafazasını sağlamak,
amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli olan her türlü teknik ve idari tedbirleri almak zorundadır.
2. Şirket adına veri işleyen bütün personeller işbu politikada belirlenmiş olan kurallara uygun hareket etmekle yükümlüdür. Kişisel veri işleyen Şirket personeli, aşağıdaki hususları göz önünde bulundurmak durumundadır:
a) Kişisel veri ihtiva eden bütün e-postalar şifrelenmelidir.
b) Kişisel veri ihtiva eden bütün e-postalar gizli ibaresiyle damgalanmalıdır.
c) Kişisel veri yalnızca güvenli yollarla transfer edilebilir, güvensiz bütün paylaşım kanalları yasaktır.
d) Makul derecede uygulanabilir kablolu ağ varsa kablosuz ağdan paylaşımda bulunulmamalıdır.
e) Bir e-postanın gövdesinde yer alan kişisel veri doğrudan e-posta üzerinden kopyalanarak güvenli bir şekilde saklanmalıdır. E-posta geçici ekleri de dahil olmak üzere silinmelidir.
f) Çıkarılabilir elektronik depolama cihazları dahil olmak üzere, fiziksel olarak transfer edilecek tüm kişisel veriler, “GİZLİ” olarak işaretlenmiş uygun bir kutunun içinde aktarılmalıdır.
g) Herhangi bir bilgisayar ekranında kişisel verilerin açık olması halinde, söz konusu bilgisayar ekranından ne kadar süre ile olursa olsun ayrılacak olan personel ekran ya da bilgisayarını kilitlemelidir.

YÜRÜRLÜK VE YETKİ
MADDE 26
1. İşbu Bilgi İşlem Veri Güvenliği Politikası .…./…../….. tarihinde ………………….. ile yürürlüğe girmiş ve son olarak …../…../….. tarihinde güncellenmiştir.
2. Bu Politika’nın uygulanmasından İstgüven AŞ Bilgi Teknolojileri Birimi yetkili ve sorumludur.

 

Kişisel Veri Saklama ve İmha Politikası