BİLGİ GÜVENLİĞİ POLİTİKASI

  1. Anasayfa
    2. ››
  2. BİLGİ GÜVENLİĞİ POLİTİKASI

BİLGİ GÜVENLİĞİ POLİTİKASI

AMAÇ VE KAPSAM

Kayapınar Hukuk ve Danışmanlık (“Kayapınar Hukuk” veya “Ofisimiz”) olarak, veri sorumlusu sıfatıyla kişisel verilerinizin korunmasına, gizliliğine ve bilgi güvenliğine hassasiyet göstermekteyiz. Bu kapsamda işbu Bilgi Güvenliği Politikası (“Politika”) Ofisimiz bünyesinde yürütülen bilgi güvenliği süreçlerinin, 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK” veya “Kanun”), ilgili mevzuat, Kişisel Verileri Koruma Kurumu (“Kurum”) düzenlemeleri ve bilgi güvenliği standartlarına uygun şekilde yürütülmesine ilişkin usul ve esasların belirlenmesi amacıyla hazırlanmıştır. Bu Politika ile Kayapınar Hukuk tarafından:

  • Kişisel verilerin gizliliğinin korunması
  • Ofisimize ait fiziksel ve dijital bilgi varlıklarının korunması
  • Yetkisiz erişim, ifşa, kayıp, değiştirme ve veri sızıntılarının önlenmesi
  • KVKK başta olmak üzere ilgili mevzuata uyum sağlanması
  • Bilgi sistemlerinin güvenli, izlenebilir ve sürdürülebilir şekilde işletilmesi
  • Siber güvenlik tehditlerine karşı koruma mekanizmalarının oluşturulması
  • Çalışanların bilgi güvenliği farkındalığının artırılması
  • Kişisel verilerin mevzuata uygun şekilde silinmesi, yok edilmesi veya anonim hale getirilmesi

amaçlanmaktadır.

İşbu Politika, stajyerler, çalışanlar, çalışan adayları, banka yetkilileri, müvekkiller, müvekkil adaylarını, ziyaretçiler, tedarikçiler, danışmanlar, hizmet sağlayıcılar, iş ortakları, çağrı merkezi çalışanları, çağrı merkezi kapsamında iletişime geçilen kişiler başta olmak üzere Kayapınar Hukuk tarafından kişisel verileri işlenen tüm gerçek kişileri kapsamaktadır.

Bilgi Güvenliği Politikası, Ofisimiz bünyesinde kullanılan Sunucu sistemlerini, ağ altyapısını, kablosuz ağ sistemlerini, kullanıcı bilgisayarlarını, veri depolama ve yedekleme sistemlerini, fiziksel arşivleri, elektronik iletişim sistemlerini, bulut bilişim çözümlerini kapsayan tüm bilgi işlem süreçleri bakımından uygulanır.

HUKUKİ DAYANAK

İşbu Bilgi Güvenliği Politikası Kayapınar Hukuk bünyesinde yürütülen bilgi güvenliği, kişisel veri koruma ve bilgi teknolojileri süreçlerinin yürürlükte bulunan mevzuata ve ulusal/uluslararası standartlara uygun şekilde yönetilmesi amacıyla hazırlanmıştır. Politika kapsamında KVKK, 5651 sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi Hakkında Kanun, Türk Ceza Kanunu’nun bilişim suçlarına ilişkin hükümleri, ISO/IEC 27001 Bilgi Güvenliği Yönetim Sistemi standartları, Kurum tarafından yayımlanan teknik ve idari tedbir rehberleri, USOM tarafından yayımlanan siber güvenlik tavsiyeleri ile Ofisimiz bünyesinde yürütülen iç prosedürler, güvenlik politikaları ve teknik gereksinimler esas alınmaktadır.

TANIMLAR

  • Bilgi Varlığı: Ofisimize ait her türlü elektronik veri, belge, fiziksel doküman, yazılım, sistem, kullanıcı bilgisi ve teknik altyapıyı ifade eder.
  • Gizlilik: Bilginin yalnızca erişim yetkisi bulunan kişiler tarafından görüntülenebilmesini ifade eder.
  • Bütünlük: Bilginin doğruluğunun ve değişmezliğinin korunmasını ifade eder.
  • Erişilebilirlik: Yetkili kullanıcıların ihtiyaç duydukları anda bilgiye erişebilmesini ifade eder.

BİLGİ GÜVENLİĞİ TEMEL PRENSİPLERİ

Kayapınar Hukuk, bilgi güvenliği süreçlerinin etkin, sürdürülebilir ve mevzuata uygun şekilde yürütülmesini temel bir yükümlülük olarak kabul etmektedir. Bu kapsamda bilgi güvenliğinin yalnızca teknik bir süreç değil, tüm çalışanların ve sistem kullanıcılarının ortak sorumluluğu olduğu benimsenmektedir. Ofisimiz bünyesinde bilgiye erişimler “bilmesi gereken” prensibi doğrultusunda sınırlandırılmakta, sistem erişimleri kayıt altına alınmakta ve düzenli olarak izlenmektedir.

Bilgi sistemlerinde oluşabilecek güvenlik açıklarının periyodik olarak değerlendirilmesi, yetkisiz erişimlere karşı gerekli teknik ve idari tedbirlerin uygulanması, kişisel verilerin korunmasının öncelikli yükümlülük olarak ele alınması ve bilgi güvenliği süreçlerinde sürekliliğin sağlanması temel esaslar arasında yer almaktadır. Tüm çalışanlar, danışmanlar, stajyerler ve sistem kullanıcıları işbu Politika kapsamında belirlenen bilgi güvenliği kurallarına uygun hareket etmekle yükümlüdür.

ORGANİZASYONEL GÜVENLİK

5.1 Yetki Yönetimi

  • Kullanıcılara yalnızca görevleri kapsamında gerekli erişim yetkileri verilir.
  • Yönetici yetkileri sınırlı tutulur.
  • Kullanıcı hesapları kişiye özeldir, ortak hesap kullanımı yasaktır.
  • İşten ayrılan personelin erişimleri derhal sonlandırılır.
  • Yetki matrisi düzenli olarak gözden geçirilir.

5.2 Şifre Güvenliği

  • Güçlü parola kullanımı zorunludur.
  • Şifreler üçüncü kişilerle paylaşılmaz.
  • Varsayılan sistem şifreleri değiştirilir.
  • Yönetici hesaplarında ek güvenlik tedbirleri uygulanır.
  • Aynı şifrenin farklı sistemlerde kullanılması önerilmez.

5.3 Personel Yükümlülükleri

Tüm çalışanlar:

  • Bilgi güvenliği kurallarına uymak
  • Şüpheli durumları yönetime bildirmek
  • Kurumsal verileri yetkisiz kişilerle paylaşmamak
  • Yetkisiz yazılım kurmamak
  • Kurumsal cihazları amacı dışında kullanmamak ile yükümlüdür.

5.4 Fiziksel Güvenlik

  • Sistem odalarına yalnızca yetkili personel erişebilir.
  • Ağ kabinetleri ve sunucu alanları kilit altında tutulur.
  • Fiziksel erişimler kontrol altına alınır.
  • Elektrik kesintilerine karşı UPS sistemleri kullanılır.
  • Donanım güvenliği düzenli olarak kontrol edilir.
  • Fiziksel ortamda oluşabilecek yangın, su baskını ve benzeri risklere karşı gerekli önlemler alınır.

AĞ VE SİSTEM GÜVENLİĞİ

6.1 Ağ Güvenliği

  • Ağ altyapısı segmentlere ayrılır.
  • Kablosuz ağ erişimleri kontrol altında tutulur.
  • Misafir ağları ile kurumsal ağ ayrıştırılır.
  • Güvenlik duvarı cihazları aktif şekilde kullanılır.
  • Tüm internet erişimleri loglanır.

6.2 Güvenlik Duvarı ve Loglama

  • 5651 sayılı Kanun’a uygun loglama yapılır.
  • Log kayıtları zaman damgalı şekilde saklanır.
  • Log kayıtları en az 2 yıl muhafaza edilir.
  • USOM entegrasyonu sağlanır.
  • Güvenlik olayları düzenli olarak incelenir.

6.3 Antivirüs ve Zararlı Yazılım Koruması

  • Tüm istemci ve sunucularda lisanslı antivirüs yazılımı kullanılır.
  • Antivirüs sistemleri merkezi olarak yönetilir.
  • Güncellemeler otomatik yapılır.
  • Zararlı yazılım tespiti halinde olay kayıt altına alınır.

6.4 Güncelleme Yönetimi

  • İşletim sistemleri düzenli güncellenir.
  • Güvenlik yamaları gecikmeksizin uygulanır.
  • Destek süresi sona ermiş sistemler kullanılmaz.
  • Yazılım lisansları düzenli takip edilir.

ERİŞİM VE KULLANIM KURALLARI

Kayapınar Hukuk bünyesinde kullanılan bilgi sistemleri, kullanıcı bilgisayarları ve kurumsal iletişim araçları yalnızca iş süreçlerinin yürütülmesi amacıyla kullanılabilir. Kullanıcı bilgisayarlarına yetkisiz yazılım kurulması, sistem güvenliğini riske atabilecek uygulamaların kullanılması ve güvenlik politikalarına aykırı müdahalelerde bulunulması yasaktır. USB bellekler ve diğer harici depolama cihazlarının kullanımı gerekli güvenlik tedbirleri kapsamında sınırlandırılabilir veya tamamen engellenebilir.

Kurumsal verilerin kişisel cihazlarda depolanmasına izin verilmez ve çalışanlar yalnızca görev tanımları kapsamında yetkilendirildikleri verilere erişebilir. Uzaktan erişim işlemleri yalnızca güvenli bağlantı yöntemleri üzerinden gerçekleştirilir ve erişim hareketleri kayıt altına alınır. Ofisimize ait kurumsal e-posta hesapları yalnızca iş amaçlı kullanılabilir olup, bu hesaplar üzerinden gerçekleştirilen işlemler bilgi güvenliği politikaları kapsamında denetlenebilir ve izlenebilir.

VERİ GÜVENLİĞİ VE YEDEKLEME

8.1 Veri Saklama

  • Kurumsal veriler merkezi dosya sunucularında tutulur.
  • Dosya erişimleri kullanıcı bazlı kayıt altına alınır.
  • Yetkisiz veri silme ve değiştirme işlemleri engellenir.

8.2 Yedekleme

  • Günlük yedekleme yapılır.
  • Kritik veriler birden fazla ortamda saklanır.
  • NAS sistemleri kullanılarak yerel yedek alınır.
  • Bulut yedekleme çözümleri kullanılır.
  • Yedeklerin geri dönüş testleri periyodik olarak gerçekleştirilir.

8.3 Shadow Copy ve Versiyonlama

  • Paylaşım alanlarında Shadow Copy sistemi aktif tutulur.
  • Veri kayıplarına karşı sürüm geçmişi korunur.
  • Yanlışlıkla silinen dosyaların geri yüklenmesi sağlanır.

KİŞİSEL VERİLERİN KORUNMASI

Kayapınar Hukuk bünyesinde işlenen kişisel veriler, 6698 sayılı Kişisel Verilerin Korunması Kanunu ve ilgili mevzuat hükümlerine uygun şekilde, yalnızca belirli, açık ve meşru amaçlarla işlenmektedir. Kişisel veri işleme faaliyetlerinde ölçülülük ilkesi gözetilmekte olup, gereksiz veri işlenmesinden kaçınılmaktadır. Kişisel verilere erişimler görev ve yetki kapsamında sınırlandırılmakta, yalnızca erişim yetkisi bulunan kişiler tarafından verilere ulaşılabilmesi sağlanmaktadır.

Ofisimiz tarafından kişisel verilerin gizliliğinin, bütünlüğünün ve güvenliğinin korunması amacıyla gerekli teknik ve idari tedbirler uygulanmakta yetkisiz erişim, veri kaybı, veri sızıntısı ve hukuka aykırı veri işleme faaliyetlerinin önlenmesine yönelik güvenlik mekanizmaları işletilmektedir. Ayrıca veri ihlali şüphesi doğuran durumlarda ilgili mevzuat kapsamında gerekli inceleme, kayıt, bildirim ve müdahale süreçleri gecikmeksizin yürütülmektedir.

OLAY YÖNETİMİ VE İŞ SÜREKLİLİĞİ

Kayapınar Hukuk bünyesinde meydana gelebilecek bilgi güvenliği ihlallerinin, veri kayıplarının, sistem kesintilerinin ve siber güvenlik tehditlerinin en kısa sürede tespit edilmesi, kayıt altına alınması ve gerekli müdahalelerin gerçekleştirilmesi esastır. Bu hallerde Ofisimiz Veri İhlali Müdahale Prosedürü uygulanmaktadır.

Bu kapsamda yetkisiz erişim girişimleri, veri sızıntıları, zararlı yazılım bulaşmaları, şüpheli e-posta ve oltalama saldırıları, sistem kesintileri ile kayıp veya çalıntı cihazlara ilişkin durumlar bilgi güvenliği olayı olarak değerlendirilir ve derhal Ofis yönetimine bildirilir. Yetkisiz erişimlerin önüne geçilebilmesi amacıyla Ofis Yetki matrisi uygulama alanı bulmaktadır. Tespit edilen olaylara ilişkin gerekli teknik ve idari tedbirler uygulanır, olay kayıtları düzenli olarak tutulur ve güvenlik süreçleri gözden geçirilir.

Ofisimiz, kritik bilgi sistemlerinin sürekliliğinin sağlanmasına ve veri kaybı risklerinin en aza indirilmesine yönelik gerekli önlemleri almayı taahhüt eder. Bu doğrultuda düzenli veri yedekleme süreçleri yürütülmekte, geri dönüş testleri gerçekleştirilmekte, felaket kurtarma süreçleri oluşturulmakta ve sistem kesintilerine karşı alternatif çözüm ve iş sürekliliği planları geliştirilmektedir. Böylece bilgi sistemlerinin güvenli, erişilebilir ve sürdürülebilir şekilde faaliyet göstermesi amaçlanmaktadır.

EĞİTİM VE DENETİM

Kayapınar Hukuk bünyesinde bilgi güvenliği kültürünün oluşturulması ve sürdürülebilirliğinin sağlanması amacıyla çalışanlara düzenli olarak bilgi güvenliği, kişisel veri ve özel nitelikli kişisel veri kavramları, KVKK kapsamındaki temel yükümlülükler, gizlilik yükümlülüğü ve sır saklama yükümlülüğü, banka müşteri bilgilerinin korunması, çağrı merkezi görüşmelerinde veri güvenliği kuralları, ses kayıtlarının korunması ve erişim kuralları, çağrı kayıtlarının izinsiz dinlenmesi, paylaşılması veya çoğaltılmasının yasak olduğu, yetkisiz veri paylaşımının hukuki sonuçları, e-posta, USB, bulut sistemleri ve mesajlaşma uygulamalarının kullanımı, şifre güvenliği ve bilgi güvenliği kuralları, şirket sistemlerine erişim yetkileri ve kullanıcı güvenliği, uzaktan çalışma ve ekran güvenliği yükümlülükleri konularında farkındalık eğitimleri verilir. Çalışanların bilgi güvenliği yükümlülükleri konusunda bilinçlendirilmesi, olası güvenlik risklerinin azaltılması ve kişisel verilerin korunmasına ilişkin farkındalığın artırılması hedeflenmektedir.

Ofisimiz bünyesinde yürütülen bilgi güvenliği süreçleri düzenli olarak denetlenir ve gözden geçirilir. Politika ihlalleri, güvenlik olayları ve tespit edilen uygunsuzluklar kayıt altına alınarak gerekli teknik ve idari tedbirler uygulanır. Gerektiğinde disiplin süreçleri işletilebilir. Sistem logları düzenli olarak incelenir, erişim hareketleri takip edilir ve mevcut güvenlik açıkları periyodik değerlendirmeler ile analiz edilerek gerekli iyileştirme çalışmaları gerçekleştirilir.

İHLAL VE OLASI YAPTIRIMLAR

Kayapınar Hukuk bünyesinde yürürlükte bulunan bilgi güvenliği kurallarına, kişisel veri koruma yükümlülüklerine ve işbu Politika hükümlerine aykırı davranılması halinde ihlalin niteliği, kapsamı ve doğurabileceği riskler dikkate alınarak gerekli teknik, idari ve hukuki tedbirler uygulanabilir. Bu kapsamda ilgili kişilerin sistem ve veri erişim yetkileri sınırlandırılabilir veya kaldırılabilir, gerekli görülmesi halinde disiplin süreçleri işletilebilir ve hizmet ilişkileri sona erdirilebilir. Ayrıca, mevzuata aykırılık teşkil eden durumlarda ilgili kişi veya kurumlar hakkında yasal başvuru ve bildirim süreçleri yürütülebilir. Ofisimiz, bilgi güvenliği ihlallerinin önlenmesi ve tekrarının engellenmesi amacıyla gerekli tüm tedbirleri alma hakkını saklı tutar.

İşbu Bilgi Güvenliği Politikası, yayım tarihinde yürürlüğe girer. Kayapınar Hukuk, gerekli gördüğü durumlarda Politika kapsamında değişiklik yapma hakkını saklı tutar. Tüm çalışanlar Politika’yı okuyup anladığını kabul eder ve hükümlerine uygun davranmayı taahhüt eder.

Bu sayfanın içeriğini kopyalayamazsınız