Bilgi Güvenliği Politikası
Politikanın amacı, Kuruluş çalışanlarının görevi, kaynakları kullanırken uyması gereken bilgi sistemleri ve güvenliği kurallarını belirleyerek bilginin gizliliğini, bütünlüğünü, erişilebilirliğini sağlamak, kontrol altyapısının geliştirmek ve düzenli olarak politika güncellenmesi çalışmalarını gözetim altında tutmak ve Kurumsal bilgileri korumaktır.
Bilgi Sistemleri ve Güvenliği Politikası, aşağıdaki alanlarda Kuruluş genelinde sürekli ve en iyi seviyede bulunmak amacıyla oluşturulmuştur:
a) Bilginin güvenli bir ortamında kullanılmasını sağlamak
b) Programları, verileri, iletişim ağını ve ekipmanları (donanım) kayıplara, yanlış kullanıma ve suiistimallere karşı koruma altına almak
c) Tüm kullanıcıların Politika beyannamesine, ilgili destekleyici politikalara ve prosedürlere bütünüyle uymalarını ve farkında olmalarını sağlamak
d) Tüm kullanıcıların kendi sorumluluklarını, yönetimlerinde olan ve/veya erişebildikleri verinin bütünlüğü ve gizliliğinin önemini anlamalarını sağlamak
e) Kuruluşun genel ihtiyacı çerçevesinde bilgi güvenliğine genel bir bakış açısı ve standartlar bütünü tanımlamak
f) Kuruluşun bilgi güvenliğine olan bakışını vurgulamak ve detaylandırmak
g) Üst Yönetim’in Kuruluş’ta bilgi güvenliğine verdiği önemi ve desteği ifade etmek
h) Bilgi sistemleri ve güvenliğine yönelik sorumlulukların oluşturulmasını sağlamak
i) Kuruluş bilgi sistemleri ve güvenliğini tehdit edebilecek olayların oluşmasını engellemek, yönetim ve çalışanların bu amaçla yeterli seviyede bilgilendirilmesini sağlamak.
Ayrıca, Kuruluş Yönetimi;
- Kuruluşun güvenilirliğini ve imajını korumayı,
- Yapılan sözleşmelerin, bilgi güvenliği gerekliliklerini yerine getirdiğinde emin
olmayı, - Kuruluşun temel ve destekleyici faaliyetlerinin en az kesinti ile devam etmesini
sağlamayı hedefler.
Müşteri Bilgilendirilmesi
Kuruluş tarafından sunulan hizmetlerden yararlanacak müşteriler; hizmetlere ilişkin şartlar, riskler ve istisnaî durumlarla ilgili olarak açık bir şekilde bilgilendirilir.
Kuruluş, sunmakta olduğu hizmetlere ilişkin riskler ve tehditler hakkında müşterilerini kendi kanalları aracılığı ile uyarır ve bu hususlarda müşteri farkındalığı oluşturulması için azami özen gösterir. Bu kapsamda;
a) Kuruluş tarafından müşterilerinin hizmeti alabilmeleri için sunulan yazılımlar ya da mobil uygulamalar ile ödeme araçları ve hassas ödeme verilerinin güvenli bir şekilde kullanımına ilişkin yönergeler
b) Kuruluş tarafından müşterilerine hizmet almaları için sunulan yazılımlar ya da mobil uygulamalar ile ödeme araçları ve hassas ödeme verilerinin kaybedilmesi, çalınması, silinmesi ya da değiştirilmesinin gerekmesi gibi durumlarda müşterilerin takip etmesi gereken adımlar,
c) Sunulan hizmetlerin taşıdığı riskler ile bu hizmetlere ilişkin koşullar; müşterinin ve Kuruluşun hakları ve sorumlulukları,
d) Dolandırıcılık şüphesi ya da hizmetin alınması sırasında herhangi bir problemle karşılaşılması halinde nelerin yapılması gerektiğine ilişkin yönlendirici talimatlar, kullanıcıların takip etmesi gereken adımlar
Kuruluşun kendi kanalları ve iletişim araçları vasıtası ile müşterilerinin dikkatine sunulur.
Kuruluş bünyesinde, müşterilerin aldıkları hizmetlerden dolayı yaşayabilecekleri sorunların iletilmesine olanak veren, bu sorunların veya şikayetlerin Kuruluş tarafından takip edilip, değerlendirip en kısa sürede çözüme ulaştıracağı imkanlar ve mekanizmalar oluşturulur.
Kuruluş, müşteriye özel duyuru, uyarı gibi bilgilendirmelerini daha önceden müşteriye bildirdiği kendi kanalları aracılığı ile yapar. Söz konusu kanal üzerinden gelmeyen bilgilendirmelere itibar edilmemesi konusunda müşteriyi bilgilendirir.
Kuruluş, müşterinin işlem bilgilerini ve bakiye bilgilerini müşterinin bilgisine anlık olarak uygulama üzerinden sunar ve takip edebilmesini sağlar.
Kuruluş internet sitesi aracılığı ile ticaret unvanını, genel müdürlük adresini, Kuruluş ve Kuruluş’un iletişim bilgilerini müşterilerinin bilgisine sunar.
Müşterilerin bilgilendirilmesine yönelik her türlü açıklama, Kuruluş’un internet sitesi aracılığı ile müşterinin erişimine kesintisiz olarak sunulur.
Müşteri Bilgilerinin Gizliliği
Kuruluş, faaliyetleri sırasında bilgi sistemleri araçlarıyla edindiği, işlediği, ilettiği veya sakladığı tüm müşteri bilgilerinin gizlilik ve güvenliklerini sağlamaya yönelik politika ve prosedürler oluşturur. (BT Varlık Yönetimi ve Veri Gizliliği Prosedürü).
Kuruluş, hassas ödeme verilerini dış hizmet sağlayıcılar ve kanunlarla açıkça yetkili kılınan merciler dışındaki taraflarla paylaşmamayı taahhüt eder. Hassas ödeme verisi dışındaki diğer müşteri bilgileri, ancak müşterinin rızası olması ve paylaşım sınırları açıkça müşteriye bildirilmesi ve gerekli izinleri alması şartıyla, kanunla açıkça yetkili kılınan merciler dışındaki taraflara verilebilir. Söz konusu izinler sözleşme ya da diğer güvenli yöntemlerle alınır.
Sözleşme elektronik ortamda alınacak ise, onay yalnızca ilk defa oturum açılırken ve müşterinin açıkça bilgilendirilmesi kaydıyla gerçekleştirilebilir.
Bilgi Sistemlerine İlişkin Sınırlamalar
Kuruluşun hassas ödeme verilerinin ve diğer müşteri bilgilerinin tutulduğu birincil ve ikincil sistemleri yurt içinde bulunur.
Kuruluşun kendi müşterileri ya da farklı Kuruluşların müşterileri arasındaki ödeme işlemlerinin yürütülmesi sürecinde kullanılan tüm bilgi sistemleri ve bu sistemlerin yedekleri de yurt içinde bulunur. Benzer şekilde, dış hizmet alınan tüm tedarikçi firmaların, söz konusu hizmetleri yürütmesinde kullandığı bilgi sistemleri ve bu sistemlerin yedekleri de yurt içinde bulunur.
Ödeme işlemi taraflarından birinin Kuruluş müşterisi olmadığı takdirde, Kuruluş işlemin kendi tarafında gerçekleşen kısımları için Tebliğ hükümlerine tabidir.
POLİTİKANIN GÖZDEN GEÇİRİLMESİ VE GÜNCELLENMESİ
Bu politika, Bilgi Sistemleri ve Güvenliği Yöneticisi tarafından yılda en az bir defa gözden geçirilir. Kuruluş Yönetim Kurulu tarafından onaylanır ve Bilgi Sistemleri ve Güvenliği Yöneticisi tarafından duyurulur. Bilgi güvenliği süreçlerine etkisi büyük değişikliklerde de politikanın gözden geçirilmesi gerekir.
İş bölümleri; Bilgi Sistemleri ve Güvenliği Politikası ve bu politikada belirtilen standartların uygulanması konusunda, değişiklik, ek ya da çıkartma taleplerini detaylı gerekçeleri ile Bilgi Sistemleri ve Güvenliği Bölümü’ne bildirebilirler.
Bilgi Sistemleri ve Güvenliği Politikası’nın güncellenmesi için yeter şartlar aşağıda sıralanmıştır:
a) Sistem bileşenlerinde büyük değişiklik olması,
b) Yeni tipte güvenlik ihlallerinin çıkması,
c) Mevzuatta, Kuruluşsal süreçlerde ya da işletim talimatlarında değişiklik yapılması,
d) Güvenlik gereksinimlerinde değişiklik olması,
e) Güvenlik ihlalleri,
f) Bilgi Sistemleri ve Güvenliği Bölümü’nün ihtiyaç duyduğu diğer tüm haller.
Bilgi Sistemleri ve Güvenliği Politikası gözden geçirilirken aşağıda listelenen hususlar özellikle değerlendirilmektedir.
a) Mevcut politikanın etkinliği ve yeterliliği,
b) Tercih edilen güvenlik önlemlerinin ve korunan varlıkların değerleri,
c) Teknolojideki değişiklikler
Sorumluluk
Kurumun tüm çalışanları ve tüm paydaşlar bu politikayı uygulamakla ve Bilgi Güvenliği Politikası yükümlülüklerini yerine getirmekle sorumludur.