Yaratmış olduğumuz iş, kişisel verilerin yoğun kullanımı ile ilişkilidir, bu nedenle veri korumanın iş sürekliliği için çok önemli olduğunun farkındayız ve bunu sağlamak için en yüksek standartları uyguluyoruz. Yaşam döngüsü boyunca güvenli veri yönetimi konusunda kararlıyız.

Çalışmalarımızda oluşturduğumuz ve kullandığımız bilgilerin çoğu ya sadece dahili kullanım içindir ya da sadece belirli zamanlarda ve belirli bir amaç için kamuya açıklanacaktır. Gizli bilgiler, ticari sırlar, araştırma ve finansal projeksiyonlar ve tüketici verileri dahil olmak üzere birçok şekilde olabilir.

Müşterilerimizin ve ortaklarımızın güveni işimiz için kritik öneme sahiptir. Kişisel verilere gereken özen ve saygıyla davranmak, güven oluşturmak, şirketimizin itibarını korumak ve stratejik hedeflerimize ulaşmak için gereklidir.

Siber güvenlik

Siber güvenlik

Bilgi güvenliği yönetim sistemimiz ISO 27001 standardına uygun olarak insanlar, süreçler ve teknoloji olmak üzere üç sütuna dayalı bir yapıdır.

İnsanlarımız

Şirketin üst yönetiminin dikkati ve süregelen personel eğitimi, kuruluşun yalnızca karmaşık ve değişen veri koruma düzenlemelerine uymasına değil, aynı zamanda iç ve dış paydaşların farkındalığının artırılmasına da yardımcı olur.

Şirketimizin tüm çalışanları aşağıdakileri uygulamak zorundadır:

  • ticari ve endüstriyel sırların yanı sıra, aile üyeleri veya arkadaşlarla ilgili olanlar da dahil olmak üzere, bir istihdam ilişkisinin sonucu olarak ortaya çıkan diğer bilgileri gizli tutmak. Bu, ticari ortaklar ve müşteriler hakkında kamuya açık olmayan bilgiler için de geçerlidir. Ticari sırları koruma yükümlülüğü, iş ilişkisinin sona ermesinden sonra da yürürlükte kalır.
  • Gizli bilgilerimizi asla duyulabileceği veya görülebileceği halka açık bir ortamda oluşturmayarak, bunlara erişmeyerek veya bunları kullanmayarak şirket gizli bilgilerini yanlışlıkla ifşa edilmekten korumak.
  • Yalnızca şirket tarafından sağlanan araçları ve yazılımları kullanarak gizli bilgileri hırsızlığa karşı korumak ve politikalarımıza ve standartlarımıza uygun olarak parolalar oluşturmak ve saklamak.
  • BT altyapımız ve bilgi güvenliği politikalarımız ve standartlarımızın yanı sıra sosyal medya veya diğer kanallara ifşa ile ilgili politikalarımıza uymak.

Tüm çalışanlara yönelik eğitim ve farkındalık kampanyaları, tüm iş süreçlerinde yüksek düzeyde kişisel veri korumasının sürdürülmesini sağlar.

Potansiyel çalışanların kapsamlı bir geçmiş kontrolü, şirketimizin işe alım sürecinin önemli bir parçasıdır.

Süreçler

Gizli bilgilerin şirket dışında ve hatta bazı bilgi türleri için şirket içinde ifşa edilmesi, şirketimizin, ortaklarımızın, tüketicilerimizin ve çalışanlarımızın çıkarlarını en iyi şekilde korumak için sıkı bir şekilde kontrol edilir. Bu çıkarların yeterince korunmasını sağlamak için en iyi bilgi güvenliği uygulamalarının takip edilmesi zorunludur. Şirkete kasıtlı olarak ifşa edilmesi kadar zarar verebilecek olan şirket gizli bilgilerinin yanlışlıkla ifşa edilmesine karşı tetikte olmak da çok önemlidir.

Şirketimizde kişisel verilerin işlenmesi, işlediğimiz kişisel verilerin önemli hacimleri ve bunların bakımının güvenlik, hız ve güvenilirlik ihtiyacı göz önüne alındığında otomatikleştirilmiştir. riski azaltmak için, belgelerin işlenmesi tamamlandıktan sonra müşterilerin kişisel verileri silinir.

Bilgilerin gizliliği, kullanılabilirliği ve bütünlüğünün yanı sıra bilgi güvenliği yönetim sisteminin yasalara, veri koruma standartlarına ve kişisel verilerin işlenmesine ilişkin politikaya uygunluğunu sağlamak ve bilgi sistemlerindeki zayıflıkları belirlemek için düzenli BT denetimleri gerçekleştiriyoruz.

Teknoloji

Ürettiğimiz tüm bilgiler DMS sistemimizde dijital olarak saklanmaktadır. Bilgi güvenliği, bu tür bilgilere yetkisiz veya başka şekilde uygunsuz olarak elde edilen erişimi, bu bilgilerin ifşa edilmesini, imha edilmesini, değiştirilmesini veya kopyalanmasını kısıtlayarak bilgileri koruma uygulamasıdır.

Siber saldırılara karşı korumamızı güçlendirmek için gelişmiş güvenlik uygulamaları kullanıyoruz. Şubelerimizin her biri şifreli VPN bağlantısına sahiptir ve güvenlik duvarları ile korunmaktadır. Personel sadece sorumlu olduğu uygulamalara erişebilir ve uygulama içinde de sınırlı erişime sahiptir. Her sunucu ISO 27001 sertifikalı bir veri merkezinde yer alır ve kendi güvenlik duvarı ve antivirüsüne sahiptir. Ağımıza giren ve çıkan tüm trafik şifrelenir ve sürekli olarak izlenir ve olağandışı bir davranış tespit edilirse derhal harekete geçilir.

Bilgi güvenliğini sağlamak için, bir dizi çok katmanlı ve yedekli prosedür ve fiziksel ve idari kontrol araçlarının yanı sıra çeşitli tehditlere karşı teknik koruma içeren bir Derinlemesine Savunma (DiD) stratejisi uygulamakta ve kullanmaktayız:

  • Güvenlik Duvarı. Belirli bir uygulamayı veya tüm ağı hedef alan kötü niyetli etkinlikleri tespit etmeye ve engellemeye odaklanan güvenlik duvarları kullanıyoruz.
  • Ağ segmentasyonu. Ağlarımızı iş süreçlerimize göre mantıksal alt ağlara ayırdık. Bu ağlar birbirleriyle doğrudan etkileşime giremez ve ağın bir kısmı saldırı altında olsa bile bilgilerin korunmasını sağlar.
  • Yama yönetimi. Bilgisayar sistemlerine veya ağlara yetkisiz erişime yol açabilecek bilinen güvenlik açıklarını ortadan kaldırmak için yazılımların, işletim sistemlerinin ve ağ ekipmanlarının durumunu izler ve düzenli güncellemeler yaparız.
  • IDS/IPS sistemi. Potansiyel olarak kötü niyetli ağ trafiği tespit edildiğinde uyarı veren ve ağdaki veya kullanıcı masaüstündeki kötü niyetli etkinlikleri engelleyen bir saldırı tespit ve önleme sistemi uyguladık.
  • DLP sistemi. Şirketimiz, gizli ve hassas bilgilerin son kullanıcılar tarafından şirket dışındaki yetkisiz alıcılara iletilmesini önlemek için bir veri kaybı önleme sistemi uygulamaktadır.
  • Antivirüs yazılımı dizüstü bilgisayarlar ve kullanıcıların mobil cihazları da dahil olmak üzere şirket ağındaki tüm kullanıcı bilgisayarlarına yüklenir ve antivirüs koruması sağlar.
  • Ayrıcalıklı Erişim Yönetimi (PAM). Şifreler güvenli bir depoda saklanır ve dağıtılır, düzenli olarak gözden geçirilir. Mümkün olan her yerde çok faktörlü kimlik doğrulama kullanırız. En Az Ayrıcalık İlkesi (POLP) uyarınca, kullanıcılara, sistemlere ve süreçlere yalnızca kendilerine atanan amacı gerçekleştirmek için kesinlikle gerekli olan kaynaklara erişim izni verilir.
Veri koruma

Kişisel verilerin korunması

Gizlilik yönetimi ilkelerimiz, AB Genel Veri Koruma Yönetmeliği'nin (GDPR) "altın standardı" ve T.C. Kişisel Verilerin Korunması Kanunu (KVKK) ile uyumludur. Bu ilkeleri, belirli ülkelerde gerekli olmasa bile, müşterilerimizin bize emanet ettiği bilgileri yönetmek için asgari bir standart olarak dünya çapında tutarlı bir şekilde uyguluyoruz.

Kişisel veriler, bir bireyi doğrudan veya dolaylı olarak tanımlayan ve açıklayan her türlü bilgidir. Bu kişisel bilgiler tüketiciler, çalışma arkadaşlarımız, iş ortaklarımız veya diğer üçüncü taraflarla ilgili olabilir. Gizlilik, bireylerin kişisel bilgilerinin nasıl ve neden toplandığını ve işlendiğini bilme ve etkileme hakkıdır. Ayrıca, iş yaptığımız hemen her yerde gizlilik yasaları yürürlüktedir. Bu yasalara uyulmaması, hem şirkete hem de bireysel çalışanlarımıza karşı para cezaları, davalar veya cezai kovuşturmalarla sonuçlanabilir.

Bağlı kuruluşlarımızdakiler de dahil olmak üzere tüm çalışanlar, yükleniciler, danışmanlar, ortaklar ve bizim adımıza hareket eden harici kuruluşlar bu politikaya uymalıdır. Uyumluluğu sağlamak ve en yüksek veri koruma standartlarını korumak için, kişisel verileri işleyen tüm bireylerin aşağıdakileri yapması gerekmektedir:

  • Korunan kişisel verileri yalnızca yetkili amaçlar için, kesinlikle iş sorumlulukları dahilinde ve yasal ve etik standartlara uygun olarak işleyin, ifşa edin veya kullanın. Gizliliği koruma görevi, istihdam sona erdikten sonra bile devam eder.
  • kişisel bilgilerin yetkisiz dahili veya harici taraflara ifşa edilmemesini sağlamak.
  • şüpheye düşüldüğünde, ki̇şi̇sel bi̇lgi̇leri̇ nasil kullanacağinizi amirlerine sorulması.
  • kişisel verilerin bilinen veya şüphelenilen her türlü yetkisiz kullanımını veya ifşasını derhal bildirmek.

Tüm çalışanlarımız sorumluluklarının farkındadır ve faaliyetlerinin kişisel verilerin korunmasına ilişkin ilkelere ve yasalara uygun olmasını sağlamaktan sorumludur.

Veri korumaya yönelik amaç ve hedeflerimiz

Hedefimiz, kişisel verilerin güvenli, etik ve şeffaf bir şekilde ele alınmasını sağlayan kapsamlı, yasal olarak uyumlu ve esnek bir veri koruma çerçevesi oluşturmaktır. Bu çerçeve, çalışanların, müşterilerin, iş ortaklarının ve paydaşların haklarını ve gizliliğini korurken operasyonel verimliliği ve mevzuata uygunluğu sürdürmek için tasarlanmıştır.

Gizlilik ilkelerimiz

Amaç ve hedeflerimize ulaşmak için aşağıdaki temel ilkelere odaklanıyoruz:
  1. Şeffaflık: Müşterileri kişisel verilerini nasıl kullanmayı planladığımız konusunda bilgilendiririz.
  2. Adil ve yasal Kullanım: Müşteri kişisel bilgilerini yalnızca yürürlükteki yasalara uygun olarak ve yalnızca bunu yapmak için meşru bir nedenimiz olduğunda kullanırız.
  3. Amaç sınırlaması: Müşteri bilgilerini yalnızca belirli amaçlar için kullanıyoruz ve başka hiçbir şekilde kullanmıyoruz.
  4. Veri minimizasyonu: Herhangi bir müşteri verisini, talep edilen hizmeti sağlamak veya meşru menfaatlerimizi takip etmek için gerekli olandan daha uzun süre saklamayız. Başvuru sahiplerinin verilerinin hiçbir kopyası dijital veya fiziksel olarak oluşturulmaz veya saklanmaz.
  5. Tasarım gereği gizlilik: Hizmetlerimizin ve teknolojilerimizin müşterilerimizin gizliliği göz önünde bulundurularak tasarlandığından emin oluruz.
  6. Veri doğruluğu: Uygun veri kalitesi standartlarını korumak için çaba gösteriyoruz.
  7. İnsan hakları: İnsanların mahremiyet hakkına saygı duyuyoruz.
  8. Veri güvenliği: Kişisel verileri korumak için uygun standartları koruyor ve veri koruma yasalarına uygun olarak artık ihtiyaç duyulmadığı anda siliyoruz.
  9. Veri aktarımı: Müşteri bilgilerini üçüncü bir tarafa aktarmamız gerekirse, bu aktarımın güvenli ve yasalara uygun olduğundan emin oluruz. Örneğin, kağıt belgeler yalnızca güvenilir kurye hizmetleri ile gönderilir.
  10. Üçüncü taraflar: Üçüncü taraf bir hizmet sağlayıcı seçtiğimizde, müşterilerimizin bilgilerinin yeterince korunduğundan ve yasal gerekliliklerin karşılandığından emin olmak için durum tespiti, izleme ve güvenlik önlemleri uygularız.
Bu ilkeleri günlük operasyonlarımıza entegre ederek, kişisel verilerin güvenli, uyumlu ve sorumlu bir şekilde yönetilmesini sağlıyor ve çalışanlarımızın, müşterilerimizin ve paydaşlarımızın bize duyduğu güveni pekiştiriyoruz.

Kişisel verilerin güvenliğini sağlamaya yönelik tedbirler:

  • Hassas verilere erişimi kısıtlayın ve izleyin.
  • Çevrimiçi başvuru formu güvenli, ISO 27001 sertifikalı bir veri merkezinde saklanır, tamamen şifrelenir ve kontrollü erişime sahiptir.
  • Fiziksel medya erişim kontrolü amacıyla güvenli bir şekilde korunur ve tüm elektronik veriler şifrelenir.
  • Veriler yalnızca şifrelenmiş biçimde ve yalnızca şifrelenmiş iletim kanalları üzerinden güvenli bir şekilde iletilir.
  • Tüm veriler sipariş işleme süresinin sonunda silinir. Tüm verileri yasal son tarihlerden sonra sileriz.
  • Riskleri, uyumluluğu değerlendirmek ve potansiyel güvenlik açıklarını belirlemek için sürekli güvenlik denetimleri gerçekleştiriyoruz.
  • Tüm çalışanlar veri gizliliği ve siber güvenlikle ilgili en iyi uygulamalar konusunda zorunlu eğitimden geçmektedir.

Verileri işleme yöntemlerine ek olarak, şirketin verilerin ait olduğu kişilere karşı doğrudan yükümlülükleri vardır. Özellikle şunları yapmalıyız:

  • İnsanlara hangi verilerinin toplandığını bildimek
  • İnsanları verilerini nasıl işleyeceğimiz konusunda bilgilendirmek
  • İnsanları bilgilerine kimin erişebileceği konusunda bilgilendirmek
  • Verilerin kaybolması, bozulması veya tehlikeye girmesi durumunda hükümlere sahip olmak
  • Kişilerin veritabanlarımızda bulunan verileri değiştirmemizi, silmemizi, azaltmamızı veya düzeltmemizi talep etmelerine izin vermek

Kişisel verilerin korunması yönetişimi

Kişisel verilerin korunması, verilerin korunmasına ilişkin yasa ve yönetmeliklerde belirtilen gerekliliklere uyumdan sorumlu üst yönetim tarafından izlenmektedir. Buna ek olarak, şirket yönetimi kişisel verilerin işlenmesine ilişkin politikamızın iş stratejimizle tutarlı olmasını sağlayarak işin sürdürülebilir gelişimini temin eder. Tüm iş süreçlerimizde en yüksek bilgi güvenliği ve veri gizliliği standartlarını sağlamaya derinden bağlıyız.

Speak Up! politikasının bir parçası olarak, çalışanlar veri gizliliği olaylarını doğrudan üst yönetime bildirmeye teşvik edilmektedir.

Uyumsuzluğun sonuçları

Veri koruma yasalarının ve şirket politikalarının ihlal edilmesi şu sonuçlara yol açabilir:

  • İç Disiplin İşlemleri – Resmi uyarılar, işten uzaklaştırma veya fesih dahil.
  • Yasal Sonuçlar – Çalışanlar, ciddi ihlaller için hukuki veya cezai sorumlulukla karşı karşıya kalabilir.
  • Şirket Yaptırımları – Düzenleyici para cezaları, davalar veya itibar kaybı.

Tüm çalışanlar, kişisel verileri korumak ve müşterilerimizin, ortaklarımızın ve paydaşlarımızın güvenini sürdürmek için bu gizlilik ve güvenlik standartlarına uymakla sorumludur.

İş esnekliğini sağlamak için iş sürekliliği ve saldırı kurtarma

İş esnekliğini sağlamak için iş sürekliliği ve saldırı kurtarma

Bir siber saldırıdan kaynaklanan başarısızlıklar veya iş kesintileri bir şirket için yıkıcı sonuçlar doğurabilir ve tüm tedarik zincirini kesintiye uğratarak finansal ve itibar kayıplarına yol açabilir. Günümüzün dijital bağımlı dünyasında her saniye önemlidir. Kurtarma süresi ne kadar uzun olursa, işletme üzerindeki olumsuz etki de o kadar büyük olur.

İş sürekliliği politikamız üç hedefi gözetmektedir:

  1. Şirket yönetiminin taahhüdünü ve iş sürekliliğinin sağlanmasındaki liderlik rolünü göstermek.
  2. Esneklik için iş sürekliliğinin önemi konusunda şirket içinde ve ötesinde ortak bir anlayış oluşturmak.
  3. İş sürekliliğini ve felaketten kurtarmayı sağlamaya yönelik eylemleri teşvik edin.

Büyük veri, bulut teknolojileri ve mobil cihazların ortaya çıkmasıyla birlikte şirketlerimiz önemli hacimlerde verinin işlenmesi ve depolanmasıyla uğraşmak zorunda kalmaktadır. Felaket kurtarma planları, çeşitli cihazlardan gelen çok daha büyük hacimli verileri barındırmak için çok daha karmaşık hale geldi. Esnekliği sağlamak için, yedekleme ve veri kurtarma orkestrasyonunu içeren entegre bir strateji ve gelişmiş teknolojileri içeren bir felaket kurtarma planı uygulanmaktadır.

Bu felaket kurtarma çözümleri, bir siber saldırı sırasında ve sonrasında bilgi sistemlerini hızla geri yüklememize yardımcı olur.

İş sürekliliği planlaması, aşağıdakiler de dahil olmak üzere işin tüm yönlerini kapsar:

  • İş süreçleri
  • İnsan kaynakları
  • Tedarik zincirleri

İş sürekliliği stratejimiz şu soruları ele almaktadır:

  • Kurumda hangi başarısızlık noktaları var?
  • Ekipman, personel, tedarikçiler veya diğer üçüncü taraflara olan kritik bağımlılıklar nelerdir?
  • Bunlardan herhangi birinin kesintiye uğraması için ne gibi geçici çözümler var?
  • Bir felaketten sonra iş sürekliliğini ve tam kurtarmayı sağlamak için hangi kurumsal süreçler, personel, beceriler ve teknolojiler gereklidir?

Risk yönetimi

Yaklaşımımız, iş açısından kritik uygulamaların ve verilerin risk değerlendirmesi, önceliklendirilmesi ve korunması için gelişmiş teknolojileri ve en iyi uygulamaları kullanır.

Şirketimiz için risk yönetimi, iş sürekliliği stratejisinin ve felaket kurtarma planlarının değerlendirilmesini içerir. Bir felaket kurtarma planı oluşturmadan önce, bir iş etki analizi (BIA) ve risk analizi (RA) gerçekleştirdik ve kurtarma hedefleri belirledik. Bu planları analiz ederek, test ederek ve geliştirerek, iş esnekliğini sağlamak için daha fazla fırsat elde ediyoruz.

Felaket kurtarma planı

Felaket kurtarma planının temel amacı sadece veri kurtarmayı sağlamak değil, aynı zamanda iş süreçleri için bir felaketin sonuçlarını en aza indirmek ve şirketin doğal bir felaketten sonra hızlı bir şekilde normal operasyonlara dönmesini sağlamaktır.

Felaket kurtarma planı, iş operasyonları için hangi uygulamaların en önemli olduğunu belirler. Kurtarma süresi hedefi (RTO), bir iş uygulamasının çevrimdışı olabileceği hedef süreyi tanımlar. Kurtarma noktası hedefi (RPO), normal operasyonların devam edebilmesi için yedekleme deposundan kurtarılması gereken dosyaların yaşını tanımlar.

BSI 100-4 standardına uygun olarak tasarlanan felaket kurtarma planı şunları içerir:

  • Felaket kurtarma planının uygulanmasına yönelik roller ve sorumluluklar
  • Kritik sistemlere ve gizli bilgilere yönelik potansiyel risklerin bir listesi
  • Doğal afetlerin raporlanması, olayın tırmanması, kritik operasyonların kurtarılması ve normal operasyonların yeniden başlatılması için prosedürler
  • Süreç boyunca bilgi güvenliği gereksinimleri
  • Yedeklerin ve uzak depolamanın envanteri
  • Farklı afet durumları için acil durum eylem planları
  • Planlanan dokümantasyonun kullanılabilirliği

Felaket kurtarma planı testi

BC ve DR planlarını güncelleyerek ve düzenli olarak test ederek şirketin dayanıklılığını artırıyoruz.

İş sürekliliği ve felaket kurtarma planının test edilmesi, oluşturulan kurtarma prosedürlerinin iş operasyonlarını sürdürmek için düzgün çalışmasını sağlar. Test aşaması aynı zamanda planın bir sonraki versiyonuna dahil edilecek iyileştirme alanlarını da belirler.

Felaket kurtarma planının etkinliğini değerlendirmek için düzenli iç denetimler gerçekleştiriyoruz. Denetim, riskleri detaylandırmayı ve bu risklerin kurum için kabul edilebilir olup olmadığını belirlemek için kontrol önlemlerini doğrulamayı amaçlamaktadır.

Maksimum dayanıklılık için çalışan eğitimi

İş sürekliliği ve felaket kurtarma programlarının başarısı, çalışanların krizlere müdahale etmeye hazır olmasını sağlayan uygun çalışan eğitimine bağlıdır.

Çalışanlar için felaket kurtarma eğitimi, hem sürekliliğin sağlanmasından doğrudan sorumlu şirket yönetimini hem de diğer tüm çalışanları kapsar; bu da farkındalığı artırır, iş sürekliliği yaratma ve sürdürme konusunda kurumsal bir kültürü teşvik eder ve kurtarma çabalarına daha geniş katılımı teşvik eder.