Bilgi Güvenliği Politikası
TURKONAY Elektronik Para ve Ödeme Hizmetleri A.Ş. aşağıda belirtilen kurallar çerçevesinde bilgi güvenliği politikası uygulamaktadır.
Kuruluş Üst Yönetimi, bilgi sistemlerine ilişkin güvenlik önlemlerinin uygun düzeye getirilmesi hususunda gerekli kararlılığı gösterir ve bu amaçla yürütülecek faaliyetlere yönelik yeterli kaynakları tahsis eder.
Bilgi Güvenliği Politikası’nın amacı, Kuruluş çalışanlarının görev ve sorumluluklarını, bilgi kaynaklarını kullanırken uyması gereken kuralları belirleyerek bilginin gizliliğini, bütünlüğünü, erişilebilirliğini güvence altına almaktır. Bilgi güvenliği kontrol altyapısını geliştirmek, bilgi güvenliği yönetim sisteminin sürekli iyileştirilmesi için politika ve uygulamaların düzenli gözden geçirilmesi ve güncellenmesini sağlamak ve tüm Kurumsal bilgi varlıklarını korumaktır.
Kuruluşa ait tüm bilgi sistemleri varlıkları ve bileşenleri toplandığı ve saklandığı formata bakılmaksızın bütün bilgi ve verileri ihtiva eder.
Bilgi Sistemleri ve Güvenliği Politikası, aşağıdaki alanlarda Kuruluş genelinde sürekli iyileştirme yapmak ve en iyi seviyede bulunmak amacıyla oluşturulmuştur:
-
Bilgi güvenliği yönetim sistemine ilişkin ilgili yasal mevzuat ve genel kabul görmüş uluslararası standartlara tam uyum sağlamak
-
Kuruluşun genel ihtiyaçları çerçevesinde bilgi güvenliğine genel bir bakış açısı ve standartlar bütünü tanımlamak
-
Bilginin güvenli bir ortamda erişimini ve kullanılmasını sağlamak
-
Fiziksel ve çevresel alanların güvenliğini sağlamak
-
Kuruluşun bilgi güvenliğine olan bakışını vurgulamak ve detaylandırmak
-
Üst Yönetimin bilgi güvenliğine verdiği önemi ve desteği ifade etmek
-
Tüm kullanıcıların Politika beyannamesine, ilgili destekleyici politika ve prosedürlere bütünüyle uymalarını ve farkında olmalarını sağlamak
-
Tüm kullanıcıların kendi sorumluluklarını, yönetimlerinde olan ve/veya erişebildikleri verinin bütünlüğü ve gizliliğinin önemini anlamalarını sağlamak
-
Bilgi sistemleri ve güvenliğine yönelik sorumlulukların oluşturulmasını sağlamak
-
Programları, verileri, iletişim ağını ve ekipmanları (donanım) kayıplara, yanlış kullanıma ve suiistimallere karşı koruma altına almak
-
Kuruluş bilgi sistemleri ve güvenliğini tehdit edebilecek olayların oluşmasını engellemek, yönetim ve çalışanların bu amaçla yeterli seviyede bilgilendirilmesini sağlamak
-
Bilgi sistemleri ve güvenliği altyapısını desteklemek ve işleyişini devam ettirmek
-
Bilgi güvenliği yönetim sisteminin sürekli iyileştirilmesi hedefine ilişkin Kuruluş üst yönetiminin taahhüdünü vurgulamak
Ayrıca, Kuruluş Yönetimi;
-
Kuruluşun itibarını, güvenilirliğini ve imajını korumayı
-
Üçüncü taraflarla yapılan sözleşmelerin, bilgi güvenliği gerekliliklerini yerine getirdiğinden emin olmayı
-
Kuruluşun temel ve destekleyici faaliyetlerinin sürekliliğini ve en az kesinti ile devam etmesini sağlamayı
-
Bilgi sistemleri ve güvenliği ihlaline ilişkin olayların sürekli olarak izlenmesini ve periyodik olarak değerlendirilerek önlem alınmasını sağlamayı hedefler.
İşbu politika, Kuruluştaki tüm müşterileri, çalışanları, üçüncü taraf olarak bilgi sistemlerine fiziksel ve mantıksal erişim gerçekleştiren kullanıcıları, bilgi sistemlerine destek sağlamakta olan hizmet, yazılım veya donanım sağlayıcılarını ve ziyaretçileri kapsamaktadır.
Müşterilerimizin Bilgilendirilmesi
Kuruluş tarafından sunulan hizmetlerden yararlanacak müşteriler; hizmetlere ilişkin şartlar, riskler ve istisnaî durumlarla ilgili olarak açık bir şekilde bilgilendirilir.
Kuruluş, sunmakta olduğu hizmetlere ilişkin riskler ve tehditler hakkında müşterilerini kendi iletişim ve hizmet kanalları aracılığı ile uyarır ve bu hususlarda müşteri farkındalığı oluşturulması için azami özen gösterir.
Bu kapsamda:
-
Kuruluş tarafından müşterilerinin hizmeti alabilmeleri için sunulan yazılımlar ya da mobil uygulamalar ile ödeme araçları ve hassas ödeme verilerinin güvenli bir şekilde kullanımına ilişkin yönergeler
-
Kuruluş tarafından müşterilerine hizmet almaları için sunulan yazılımlar ya da mobil uygulamalar ile ödeme araçları ve hassas ödeme verilerinin kaybedilmesi, çalınması, silinmesi ya da değiştirilmesinin gerekmesi gibi durumlarda müşterilerin takip etmesi gereken adımlar
-
Sunulan hizmetlerin taşıdığı riskler ile bu hizmetlere ilişkin koşullar; müşterinin ve Kuruluşun hakları ve sorumlulukları
-
Dolandırıcılık şüphesi ya da hizmetin alınması sırasında herhangi bir problemle karşılaşılması halinde nelerin yapılması gerektiğine ilişkin yönlendirici talimatlar, kullanıcıların takip etmesi gereken adımlar
Kuruluşun kendi hizmet kanalları ve iletişim araçları vasıtası ile müşterilerin dikkatine sunulur.
Kuruluş bünyesinde, müşterilerin aldıkları hizmetlerden dolayı yaşayabilecekleri sorunların iletilmesine olanak veren, bu sorunların veya şikayetlerin Kuruluş tarafından takip edilip, değerlendirip en kısa sürede çözüme ulaştıracağı imkanlar ve mekanizmalar oluşturulur.
Kuruluş, müşteriye özel duyuru, uyarı gibi bilgilendirmelerini daha önceden müşteriye bildirdiği kendi kanalları aracılığı ile yapar. Söz konusu kanal üzerinden gelmeyen bilgilendirmelere itibar edilmemesi konusunda müşteriyi bilgilendirir.
Kuruluş, müşterinin işlem bilgilerini ve bakiye bilgilerini müşterinin bilgisine anlık olarak uygulama üzerinden sunar ve takip edebilmesini sağlar.
Kuruluş internet sitesi aracılığı ile ticaret unvanını, genel müdürlük adresini, Kuruluş ve Kuruluş’un iletişim bilgilerini müşterilerinin bilgisine sunar.
Müşterilerin bilgilendirilmesine yönelik her türlü açıklama, Kuruluş’un internet sitesi aracılığı ile müşterinin erişimine kesintisiz olarak sunulur.
Müşteri Bilgilerinin Gizliliği
Kuruluş, faaliyetleri sırasında bilgi sistemleri araçlarıyla edindiği, işlediği, ilettiği veya sakladığı tüm müşteri bilgilerinin gizlilik ve güvenliklerini sağlamaya yönelik politika ve prosedürler oluşturur.
Kuruluş, hassas ödeme verilerini dış hizmet sağlayıcılar ve kanunlarla açıkça yetkili kılınan merciler dışındaki taraflarla paylaşmamayı taahhüt eder. Hassas ödeme verisi dışındaki diğer müşteri bilgileri, ancak müşterinin rızası olması ve paylaşım sınırları açıkça müşteriye bildirilmesi ve gerekli izinleri alması şartıyla, kanunla açıkça yetkili kılınan merciler dışındaki taraflara verilebilir. Söz konusu izinler sözleşme ya da diğer güvenli yöntemlerle alınır.
Sözleşme elektronik ortamda alınacak ise, onay yalnızca ilk defa oturum açılırken ve müşterinin açıkça bilgilendirilmesi kaydıyla gerçekleştirilebilir.
Bilgi Sistemlerine İlişkin Sınırlamalar
Kuruluşun hassas ödeme verilerinin ve diğer müşteri bilgilerinin tutulduğu birincil ve ikincil sistemleri yurt içinde bulunur.
Kuruluşun kendi müşterileri ya da farklı Kuruluşların müşterileri arasındaki ödeme işlemlerinin yürütülmesi sürecinde kullanılan tüm bilgi sistemleri ve bu sistemlerin yedekleri de yurt içinde bulunur. Benzer şekilde, dış hizmet alınan tüm tedarikçi firmaların, söz konusu hizmetleri yürütmesinde kullandığı bilgi sistemleri ve bu sistemlerin yedekleri de yurt içinde bulunur.
Ödeme işlemi taraflarından birinin Kuruluş müşterisi olmadığı takdirde, Kuruluş işlemin kendi tarafında gerçekleşen kısımları için Tebliğ hükümlerine tabidir.
Politikanın Gözden Geçirilmesi ve Güncellenmesi
Bu politika, Bilgi Sistemleri ve Güvenliği Yöneticisi tarafından yılda en az bir defa gözden geçirilir. Kuruluşun Yönetim Kurulu tarafından onaylanır ve duyurulur. Bilgi güvenliği süreçlerine etkisi büyük değişikliklerde de politikanın gözden geçirilmesi gerekir.
Bilgi Sistemleri ve Güvenliği Politikası’nın güncellenmesi için yeter şartlar:
-
Sistem bileşenlerinde büyük değişiklik olması
-
Yeni tipte güvenlik ihlallerinin ortaya çıkması
-
Mevzuatta, Kuruluşun iş süreçlerinde ya da işletim talimatlarında değişiklik yapılması
-
Güvenlik gereksinimlerinde değişiklik olması
-
Güvenlik ihlalleri
-
Bilgi Sistemleri ve Güvenliği Bölümü’nün ihtiyaç duyduğu diğer tüm haller
Değerlendirilen başlıca hususlar:
-
Mevcut politikanın etkinliği ve yeterliliği
-
Tercih edilen güvenlik önlemlerinin ve korunan varlıkların değerleri
-
Teknolojideki değişiklikler
Sorumluluk
Kurumun tüm çalışanları, üçüncü taraflar ve tüm paydaşlar bu politikayı uygulamakla ve Bilgi Güvenliği Politikası yükümlülüklerini yerine getirmekle sorumludur.
Kuruluş çalışanlarının bilgi güvenliğine yönelik farkındalıklarını arttırabilmek bu politikanın temel amaçlarından biridir. Bu nedenle İnsan Kaynakları eğitim programlarına entegre bir şekilde, Kuruluş çalışanlarına yönelik işe girişte ve yılda asgari 1 kez olmak üzere çeşitli dönemlerde bilgi güvenliği farkındalığı arttırma ve bilinçlendirme eğitimleri ve farkındalık arttırıcı çalışmalar düzenlenir.