1. AMAÇ

İşbu Kişisel Verilerin Korunması Uyum Süreci Politikası (“Politika”), Albatros Karalar Dış Ticaret Turizm Otomotiv İnşaat Saraciye Sanayi ve Ticaret Limited Şirketi (“Albatros Karalar”) nezdinde gerçekleştirilen veri işleme faaliyetlerinin 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (“Kanun”) ilgili hükümleri uyarınca hukuka uygun şekilde yerine getirilmesi ve Kanun’un 12 inci maddesi kapsamında kişisel verilerin hukuka aykırı işlenmesini önlemek, kişisel verilere hukuka aykırı erişilmesini önlemek ve kişisel verilerin muhafazasını sağlamak amacıyla hazırlanmıştır.

2. KAPSAM VE SORUMLULUKLAR

Bu politika elektronik veya fiziki ortamda Albatros Karalar bilgi ve belgeleri ile bilgi sistem hizmeti erişimine izin verilmiş olan tüm çalışanları kapsamaktadır. Politika’nın uygulanması ve revizyonundan KVKK Komisyonu sorumludur. Albatros Karalar nezdindeki tüm kullanıcılar, bu Politikada yer alan uygulamaları bilmek ve belirtilen kurallara uymakla yükümlüdür.

3. TANIMLAR

5651 sayılı Kanun	İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun
6698 sayılı Kanun	6698 sayılı Kişisel Verilerin Korunması Kanunu
Albatros Karalar/Şirket	Albatros Karalar Dış Ticaret Turizm Otomotiv İnşaat Saraciye Sanayi ve Ticaret LTD ŞTİ.
Güvenlik Duvarı (Firewall)	Güvenlik duvarı kurulduğu sisteme gelen ve giden ağ trafiğini kontrol ederek yetkisiz veya istenmeyen yollardan erişim sağlamasını engellemeye yarayan yazılım veya donanımdır.
Kişisel Veri	Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgidir.
Kişisel Verilerin İşlenmesi	Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem
Özel Nitelikli Kişisel Veri	Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri.
Politika	İşbu Kişisel Verilerin Korunması Uyum Süreci Politikası’nı
Sunucu (Server)	Bilgisayar ağlarında, diğer ağ bileşenlerinin (kullanıcıların) erişebileceği, kullanımına ve/veya paylaşımına açık kaynakları barındıran bilgisayar birimi.
Veri İşleyen	Veri sorumlusunun vermiş olduğu yetkiye dayanarak onun adına kişisel veri işleyen gerçek veya tüzel kişi
Veri Sahibi/İlgili Kişi	Kişisel verisi işlenen gerçek kişi
Veri Sorumlusu	Kişisel verilerin işlenme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi
VPN	Şirket dışında da Şirket ağına bağlanılmak üzere kullanılan sanal özel ağ.

4. İÇERİK

İşbu Politika kapsamında Albatros Karalar nezdinde gerçekleştirilen faaliyetlerin 6698 sayılı Kanun’a uygun şekilde uygulanması amacıyla birçok prosedüre yer verilmiştir. İçerikte yer alan diğer politikalara ait dokümantasyon listesi EK-1de yer almaktadır.

Albatros Karalar nezdinde kullanılan bilgi ve haberleşme sistemleri ve donanımları (internet, e-posta, telefon, çağrı cihazları, faks, bilgisayarlar, taşınabilir cihazlar ve cep telefonları da dahil olmak üzere) Albatros Karalar işlerinin yürütülmesi için kullanılmalıdır. Bu sistemlerin yasa dışı, rahatsız edici, Albatros Karalar’ın diğer kural ve standartlarına aykırı veya Albatros Karalar’a zarar verecek herhangi bir şekilde kullanımı bu Politikanın ihlal edildiği anlamına gelecektir.

Albatros Karalar, bu sistemleri ve bu sistemlerle gerçekleştirilen aktiviteleri izleme, kaydetme ve periyodik olarak denetleme hakkını saklı tutmaktadır.

Albatros Karalar, nezdinde bulunan taraflar ile ihtiyaç ve beklentilerin hangi yöntem veya araç ile ortaya konulduğu, bu ihtiyaç ve beklentilerden hangilerinin uyum yükümlülüğü olduğu ve tarafların iletişim metodu aşağıdaki tabloda gösterilmiştir.

	İlgili taraflar	İlgili taraf ile beklentilerin belirlendiği araç / yöntem	İletişim Metodu
Birinci Taraflar	Çalışanlar	Kişisel verilerin korunması, görev ve talimatların belirlenmesi, sürekli eğitim ve etkinliklerin arttırılması, eğitim katılımlarının değerlendirilmesi, takdir, objektif ve şeffaf performans değerlendirmesi, mesai ve dinlenme saatlerine yasal uyumluluk, sağlıklı ve temiz bir çalışma ortamı	E-posta, telefon, yüz yüze görüşme, meclis toplantıları
	Üst Yönetim	Yasal ve mevzuat şartlarına tam uyum, çalışanların görev ve sorumluluklarına riayet edilmesi, politikalara uyum
	Tedarikçiler /İş Ortakları	Albatros Karalar çalışma alanlarının güvenliğinin sağlanması, Albatros Karalar’ın taahhütlerine uyması, sürekli iletişim sağlanması, sağlıklı geri beslemelerin alınabilmesi, beklentilerin açık bir şekilde ifade edilmesi
Üçüncü Taraflar	Albatros Karalar’ın tabi olduğu yasal mevzuatlar gereği herhangi bir iş ilişkisi içerisinde olmaksızın geçici veya sürekli faaliyet kapsamına dahil olan kişiler	Yasal mevzuat şartlarına tam uyum sağlanması, her zaman insanı ve çevreyi korumaya yönelik faaliyetlerde bulunulması, Albatros Karalar’ın taahhütlerine uyması, sürekli iletişim sağlanması	Resmi yazışma, e-posta, telefon, yüz yüze görüşme, toplantılar

5. UYGULAMA POLİTİKALARI

5.1. P.01. İNTERNET ERİŞİMİ POLİTİKASI

Amaç

İnternetin uygun olmayan kullanımı, Şirketin yasal yükümlülükleri, kapasite kullanımı ve kurumsal imajı açısından istenemeyen sonuçlara neden olabilir. İşbu İnternet Erişimi Politikası, Şirket içinde güvenli internet erişimi için sahip olunması gereken standartları belirlemeyi, bilerek veya bilmeyerek bu türden olumsuzluklara neden olunmaması ve internet kurallarına, etiğe ve yasalara uygun kullanımının sağlanmasını amaçlamaktadır.

Kapsam

İnternet Erişimi Politikası Şirket internetini kullanan veya kullanacak olan tüm çalışanları kapsamaktadır. Çalışanlar dışında yapılan bağlantılar için Wi-fi Kullanım Koşulları uygulanacaktır. 

Politika

• Şirket bilgisayarları içerik denetimi yapan uygulama üzerinden internete çıkacaktır. Şirket kültürüne ve yasalara uymayan sitelere girilmesi yasaklanmıştır. Ancak Şirket üst yönetiminin yazılı izni ile yetkilendirilmiş Şirket personeline internete çıkarken gerekli servisleri kullanma hakkı tanımlanabilecektir.
• 5651 sayılı Kanun uyarınca Şirket internet erişim kayıtları en az iki yıl arşivlenmektedir. 
• Şirket internetinin kullanımı vasıtasıyla bilgisayarlar veya mobil cihazlar üzerinden yasalara aykırı internet sitelerine girilmesi ve dosya indirilmesi yasaktır.
• Başkalarının fikri haklarını ihlal edici materyallerin dağıtımı yasaktır.
• Sistem ve ağ güvenliğinin ihlal edilmesi yasaktı, cezai ve hukuki mesuliyetle sonuçlanabilir. Şirket bu tür ihlallerin söz konusu olduğu durumları incele ve eğer bir suç oluşturduğundan şüphe duyulursa Albatros Karalar İnsan Kaynakları Departmanı disiplin süreçlerini uygulayabilir veya yasal başvuruları yapabilir.
• İnternet üzerinden kullanım amaçlarına uygunsuz, müstehcen, rahatsız edici materyaller ile Şirket’e ve Şirket çalışanlarına, bunların aile fertlerine ve Türkiye Cumhuriyeti devletine, ulusuna, yasama, yürütüme ve yargı organlarına, askeri ve emniyet teşkilatına, vatandaşlarına yönelik iftira, karalama mahiyetinde mesajlar göndermek ve yayınlamak yasaktır.
• Kullanıcıların internet üzerinden görevleri ile ilgisi bulunmayan, internet trafiğini kısıtlayabilecek veya zarar verebilecek online olarak yayın yapan televizyon, radyo, film, oyun vb. içerikli yayınların kullanılması yasaktır.
• Şirket internet kaynakları öncelikli olarak Şirket işlerinin yapılması için kullanılmalıdır. Çalışma saatleri içerisinde uzun süreli olarak iş ile ilgisi olmayan sitelere giriş yapılmamalıdır.
• Şirket e-posta adresi ile internet üzerinde forum, alışveriş vb. sitelere üye olunması yasaktır.
• Kullanıcıların sistemi kullanmak için gerekli kullanıcı adı, parola ve benzeri kişisel bilgilerini başkalarıyla paylaşmaları yasaktır.
• İnternet üzerinde Şirket kritik bilgisinin ortaya çıkmasına veya Şirket servislerinin ulaşılamaz hale gelmesine neden olacak tüm aktiviteler yasaktır.
• Şirket içerisinde kullanılan kullanıcı adı ve şifreler ile sosyal hayatta kullanılan kullanıcı adı ve şifrelerin aynı olması yasaktır.
• Şirket, internet sistemleri kullanılarak yapılan tüm işlemleri izleme hakkını saklı tutar. Ve gerektiğinde bu hakkı kullanabilir.
• Şirket, kullanıcının internet sisteminde gerçekleştirdiği aktivitelerle ilgili bilgiyi üçüncü partilerle, emniyet birimleriyle veya resmi kurumlar ile kullanıcının izni olmadan paylaşma hakkını saklı tutar.
• İnternet üzerinden yapılan kişisel işlemlerden oluşabilecek olumsuzluklardan Şirket sorumlu değildir. Ayrıca Şirket veya kişisel hesabınızı ele geçiren kişi veya kişiler Şirket çalışanı adına suç işleyebilir ve bu işlemden Şirket çalışanı sorumludur.
• İnternet üzerinde yapılan gezinmelerde reklam veya bilgi almak amaçlı (tebrikler, ödül kazandınız, ödülünüzü almak için tıklayın vb.) aldatıcı resim ve yazılara karşı dikkatli olunmalı ve tıklanmamalıdır.
• Üçüncü şahısların Şirket internet bağlantısı ALBATROSBAGS-Misafir üzerinden gerçekleşmektedir. Şirket çalışanlarının internet bağlantı şifresi paylaşması yasaktır.
• Şirket network ağına Şirket dışı cihazların takılması yasaktır.
• Şirket interneti kullanılarak erişim sağlanan whatsapp vb. programlar üzerinden kullanım amaçlarına uygunsuz, müstehcen, rahatsız edici materyaller ile Şirket ait görsel ve gizli bilgilerin paylaşımı yasaktır.

5.2. P.02. E-POSTA POLİTİKASI

Amaç

Şirket e-postalarının uygun olmayan kullanımı, Şirketin yasal yükümlülükleri, kapasite kullanımı ve kurumsal imajı açısından istenemeyen sonuçlara neden olabilir. İşbu Politika, Şirket e-posta altyapısına yönelik kuralları ortaya koymaktadır. Şirkette oluşturulan e-postalar resmi bir kimlik taşımaktadır. E-posta, Albatros Karalar’ın en önemli iletişim kanallarından birisidir ve gönderilecek tüm e-postalarda Şirket çalışanlarının işbu Politika ile belirtilen kurallara uyması gerekmektedir. 

Kapsam

E-posta Politikası Şirket e-postasını kullanma yetkisi bulunan tüm çalışanları kapsamaktadır. 

Politika

• Şirket e-posta kaynakları öncelikle Şirket işlerinin gerçekleştirilmesi için kullanılmalıdır.
• Şirket çalışanlarının Şirket e-postalarından gönderdikleri, aldıkları veya sakladıkları e-postalar Albatros Karalar’ın bilgi varlığıdır. Bu yüzden yetkili kişiler gerekli durumlarda önceden haber vermeksizin e-posta mesajlarını denetleyebilir veya yasal merciler ile paylaşabilir.
• Çalışanların e-posta adresi isim.soyisim olacak şekilde açılmaktadır. Benzer isimlerin olması durumunda e-posta belirleme yöntemlerine göre kurulum işlemi gerçekleştirilir.
• Şirket e-posta kaynakları kullanılırken ilgili yasa ve düzenlemelere uyulmalıdır.
• Kullanıcılar kendi kullanıcı hesaplarıyla gerçekleştirilen tüm e-posta işlemlerinden sorumludur. Çalışan kendi kullanımı için verilen kullanıcı adını ve şifresini başkaları ile paylaşmamalı, kullanımı için başkasına vermemelidir.
• Kurumsal e-posta hesaplarının kişisel amaçlı kullanımı yasaktır.
• Kişisel kullanım için internet sitelerine üye olunması durumunda Şirket e-posta adreslerinin kullanılması yasaktır.
• Şirketin e-posta sistemi taciz, suistimal veya herhangi bir şekilde alıcının haklarına zarar vermeye yönelik öğeleri içeren mesajların gönderilmesi için kullanılamaz. Bu tür özelliklere sahip bir mesaj alındığında hemen ilgili birim yöneticisine veya Bilgi Güvenliği Departmanına haber verilmesi ve bu mesajın tamamen silinmesi gerekmektedir.
• E-postaların gönderilen kişi dışında başkalarına ulaşmaması için gönderilen adrese ve içerdiği bilgilere azami biçimde özen gösterilmesi gerekmektedir.
• Şirket dışına gönderilen tüm e-postalarda aşağıdaki uyarı mesajı bulunmalıdır.

“Bu e-posta ve ekleri gönderilen kişi veya Şirket ile gönderildiği kişi veya Şirkete ait özel, gizli veya yasak bilgiler içeriyor olabilir. İletinin yetkili muhatabı değilseniz e-posta içeriğinde yer alan gizli bilgileri ve kişisel verileri yetkisiz olarak elinizde bulundurmuş ve işlemiş kabul edileceğinizden iletiyi saklamayınız, kopyalamayınız, kullanmayınız veya iletmeyiniz. Mesajda yer alan bilgilerin üçüncü kişilere ifşa edilmesi etik kuralların ihlali anlamına geleceğinden mesajı ve ekleri gecikmeden yok ediniz, içindeki bilgileri kimseyle paylaşmayınız ve göndereni uyarınız. Albatros Karalar bu iletinin ve iletinin içeriğinde yer alan bilgi ve kişisel verilerin doğruluğu, bütünlüğü, iletilmesi ve benzeri hususlar konusunda garanti vermemektedir. İleti içeriğinde yer alan kişisel verilerin yetkisiz kullanımı ve işlenmesi sonucu Albatros Karalar’ın uğrayacağı her türlü zararı talep ve tazmin hakkı saklıdır. Gönderici, elektronik posta aktarımı sırasında meydana gelebilecek hata ve ihmallerden dolayı herhangi bir sorumluluk kabul etmemektedir. Kişisel Verilerin Korunması Kanunu kapsamında Aydınlatma Metinlerimize  http://albatrosluggage.com/kvkk/ linkinden ulaşabilirsiniz.”

• Zincir mesajlar ve mesajlara iliştirilmiş her türlü çalıştırılabilir dosya içeren e-postalar alındığında derhal Bilgi Güvenliği Departmanına haber verilmeli, posta kutusundan silinmeli ve kesinlikle başkalarına iletilmemelidir. Spam, zincir e-posta vb. zararlı e-postalara yanıt yazılması yasaktır.
• Kullanıcıların kullanıcı adı/şifresini girmesini isteyen e-postaların sahte e-posta olabileceği dikkate alınarak herhangi bir işlem yapılmaksızın derhal Bilgi Güvenliği Departmanına haber verilmeli, posta kutusundan silinmeli ve kesinlikle başkalarına iletilmemelidir.
• Çalışanlar e-postalarını düzenli olarak kontrol etmeli, gelen e-postalara en geç 3 gün içerisinde cevap vermelidir.
• Çalışanlar, Şirket e-postalarının Şirket dışındaki kişiler ve yetkisiz kişilerce görülmesini engellemelidir.
• Kurumsal e-posta hesaplarına gelen e-postaların Şirkete ait olmayan kişisel e-posta hesaplarına yedeklemek veya bilgi amaçlı göndermek yasaktır.
• Şirket adı kullanılarak resmi iletişimlerde kullanılması amacıyla Hotmail, Gmail vb. mail hesaplarının açılması ve kullanılması yasaktır.
• Şirket e-posta kaynakları hiçbir şekilde yasa dışı kullanılamaz ve Şirket çıkarlarıyla çatışamaz, Şirketin normal operasyon ve iş aktivitelerini engelleyemez.
• Şirket e-posta kaynakları uygunsuz içeriği saklamak, bağlantı olarak vermek, yer imi olarak eklemek, erişmek ve göndermek için kullanılamaz.
• Şirketin e-posta sistemi taciz, suiistimal veya herhangi bir şekilde alıcının haklarına zarar vermeye yönelik öğeleri içeren mesajların gönderilmesi için kesinlikle kullanılamaz.
• Çalışanlar tarafından geçici veya sürekli haklara sahip olunması durumunda dahi e-posta yazılımının mevcut güvenlik ayarlarının değiştirilmesi yasaktır.
• Kullanıcılar e-posta yazılımının gönderenin kimliğini gizleyecek özelliklerini kullanamazlar.
• Kullanıcılar e-posta yazılımının otomatik mesaj iletme özelliklerini kullanamazlar.
• Şirket, e-posta sistemleri kullanılarak yapılan tüm işlemleri izleme hakkını saklı tutar ve gerektiğinde bu hakkı kullanabilir.
• Şirket, kullanıcının e-posta sisteminde gerçekleştirdiği aktivitelerle ilgili bilgiyi üçüncü partilerle, emniyet birimleriyle veya yargıyla paylaşma hakkını saklı tutar.

5.3. P.03. YAZILIM KULLANIM POLİTİKASI

Amaç

İşbu Politika, Şirket nezdinde kullanılan lisanlı yazılımların kullanım amaçlarının belirlenmesi amacıyla oluşturulmuş olup Şirket çalışanlarının işbu Politika ile belirtilen kurallara uyması gerekmektedir. 

Kapsam

Yazılım Kullanım Politikası Şirket nezdinde mevcut olan herhangi bir yazılımı kullanan veya kullanma yetkisi bulunan tüm çalışanları kapsamaktadır. 

Politika

• Kullanıcılar yazılımlarla ilgili tüm telif hakkı yasalarına uymak zorundadırlar.
• Şirket tarafından kullanılan tüm yazılımların lisansları yasal yollardan temin edilmiştir.
• Şirkete ait yazılımlar kullanılırken ilgili yasa ve düzenlemelere uyulmalıdır.
• Kullanıcıların Bilgi Güvenliği Departmanının izni olmaksızın mevcut yazılımlar dışında herhangi bir yazılımı yüklemesi veya kullanması yasaktır.
• Standart olarak Şirket bilgisayarlarında kurulan programlar aşağıda belirtilmiştir.

Microsoft Office,ESET Virüs yazılımı, Chrome, java, Pdf Fill, Winrar

Standartta belirlenmeyen fakat iş yapma amacıyla ihtiyaç olunan yazılımların çalışanın birim yöneticisi onaylı e-posta yoluyla kurulum talep etmesi ardından Bilgi Güvenliği Departmanı tarafından yazılımın uygunluğu kontrol edilerek Şirket bilgisayarına yüklenir.

• Şirkete ait yazılımlar yasa dışı, Şirket politikalarına aykırı ve Şirket çıkarlarına ters düşecek şekilde kullanılamaz.
• Şirkete ait yazılımların izinsiz çoğaltılması ve kişisel amaçlarla kullanılması yasaktır.
• Şirket haberleşme alt yapısı ticari hiçbir yazılımın izinsiz kopyalanması, gönderilmesi, alınması veya çoğaltılması için kullanılamaz.
• Şirket, kullanıcı bilgisayarlarında yüklü bulunan veya kullanılan yazılımları herhangi bir zamanda kontrol edebilir.
• Şirket, kullanıcının yazılımlar üzerinden gerçekleştirdiği aktivitelerle ilgili bilgiyi üçüncü partilerle, emniyet birimleriyle veya yargıyla paylaşma hakkını saklı tutar ve gereken durumlarda bu hakkı kullanabilir.
• Şirket yetkili personelince tespit edilen ve lisans anlaşmalarına uymayan yazılımlar Bilgi Güvenliği Departmanı tarafından kaldırılır.

5.4. P.04. SUNUCU GÜVENLİK POLİTİKASI 

Amaç

İşbu Politika, Şirketin sahip olduğu sunucuların temel güvenlik kurallarının belirlenmesi amacıyla oluşturulmuştur

Kapsam

Sunucu Güvenlik Politikası Şirketin sahip olduğu tüm sunucuları kapsamaktadır.  

Politika

• Şirket bünyesinde bütün sunucuların yönetiminden sadece yetkilendirilmiş sistem yöneticileri sorumludur.
• Sunucu işletim sistemleri üzerindeki kullanılmayan servisler ve uygulamalar kapatılmalıdır. Port açma talepleri Bilgi Güvenliği Departmanının e-posta adresine e-mail olarak gönderilmeli ve yapılan talepte portun açık kalma süresi de beyan edilmelidir.
• Kullanılmayan sunucular güvenlik ve elektrik tasarrufu açısından kapalı tutulmalıdır.
• Sunucular üzerinde yapılan işlemlerin log kayıtları en az 2 yıl süre saklanacak şekilde ayarlanmalıdır.
• İşletim sistemleri, uygulamalar, veri tabanları, ağ donanımları yetkili erişim loğları tutulmalıdır.
• Sunucuların yönetimi için her yetkili kişi kendi hesabı ile bağlanarak işlem yapmalıdır, domainde olan sunucuların lokal admin hesapları kullanılmamalıdır. 
• Sunuculara dışarıdan yapılan bağlantılar uzak bağlantı politikasının belirlediği kurallara göre yapılmalıdır.
• Sunucular fiziksel olarak güvenlik önlemi alınmış sistem odalarında bulundurulmalıdır.
• Sistem odaları sıcaklık, nem değerleri ve su basmasına karşı denetlenmelidir.
• Sistem odalarına giriş ve çıkışlar erişim kontrollü olmalı ve kayıt altına alınmalıdır. Sistem odalarına girişler çift güvenlik kontrolü ile yapılmalıdır.
• Sunucu odalarında ekipmanların bakımları düzenli olarak yapılmalı ve bakım kayıtları tutulmalıdır. Sistem odalarında cihazların bakımları yetkili kişiler gözetiminde yapılmalıdır.
• Elektrik ve data kabloları sunucu odaları dahil Şirket içerisinde kanallardan geçmelidir.
• Sunucuların bulunduğu odalar kamera ile kayıt altına alınıp, gerektiğinde izlenebilir olmalıdır. Sunucuların bulunduğu odalara girişler sırasında kamera sistemi otomatik olarak mail ile yetkili kişilere fotoğraf göndermelidir.
• Elektrik kesintilerinden sistem odalarındaki sunucu ve diğer ekipmanların etkilenmemesi için UPS sistemine bağlı olması ve jeneratör ile desteklenmesi gerekmektedir.
• Sunucular yılda en az 2 kez zafiyet testinden geçirilmelidir.

5.5. P.05. MOBİL CİHAZLAR KULLANIM POLİTİKASI

Amaç

İşbu Politika Albatros Karalar’a ait bilgi içeren mobil cihazların kullanımı ile ilgili kuralların belirlenmesi amacıyla oluşturulmuştur.

Kapsam

Mobil Cihazlar Kullanım Politikası, Albatros Karalar mobil cihazlarını kullanan tüm çalışanları kapsamaktadır.

Politika

• Şirkete ait bilgi içeren tüm taşınabilir cihazlar ilgili kişiye zimmetlenerek teslim edilmelidir.
• Şirket mobil cihazları öncelikli olarak Şirketin işlerinin gerçekleştirilmesi için kullanılmalıdır.
• Her çalışan kendisine zimmetlenen mobil cihazın güvenliğinden ve amacına uygun kullanımından sorumludur.
• Kullanıcıların mobil cihazlara erişim için şifre ya da parmak izi güvenlik sistemi kullanılmalıdır. Şifre konulması için çalışanlara gerekli bilgilendirme ve hatırlatmalar yapılmalıdır.
• Etki alanı dahilindeki bilgisayarlar admin yetkisi sınırlandırılarak yalnızca user yetkilendirmesi ile ilgili kişiye teslim edilmelidir. Etki alanında bağımsız olan bilgisayarların sorumluluğu çalışana aittir.
• Etki alanı dahilindeki bilgisayarlar üzerinde yapılan çalışmalar ve oluşturulan dosyalar Şirket birimlerine ait ve yetki erişimi belirlenmiş olan ortak alanlara kaydedilmelidir.
• Mobil cihazların çalışanların aile bireyleri dahil zimmetlenen kişiler dışında kullanılması yasaktır.
• Kaybolması ve çalınması kolay olduğundan mobil cihazlar başıboş bırakılmamalıdır.
• Şirket mobil cihazlarının uygunsuz içeriği saklamak, erişmek, indirmek ve iletmek için kullanılması yasaktır.
• Şirket sabit telefonlarının kullanımı esnasında hoparlörler, ses ve video kayıt cihazları, video konferans ve benzeri cihazlar kullanılmadan önce görüşmede yer alan herkese bildirilmeli ve katılımcılardan izin alınmalıdır.
• Şirkete ait hassas bilginin yetkisiz kişilerin eline geçebileceği ortamlarda kullanıcılar bu bilgileri tartışmamalıdır.
• Çalışanların Şirket için gizli kabul edilebilecek belge ve dokümanları, ofis ortamında görünebilir yerlerde bırakması yasaktır. Yazıcı, faks veya fotokopi makinesinin kullanımlarında veri gizliliğine dikkat edilmelidir.
• Şirket, yazıcı ve faks cihazları kullanılarak yapılan tüm işlemleri izleme hakkını saklı tutar.
• Şirket, kullanıcının yazıcı ve faks cihazları ve Şirkete ait mobil cihazlar ile gerçekleştirdiği aktivitelerle ilgili bilgileri üçüncü partilere, emniyet birimlerine ve yargı makamlarıyla paylaşma hakkı saklıdır.

5.6. P.06. SABİT VE TAŞINABİLİR BİLGİSAYAR KULLANIM POLİTİKASI

Amaç

İşbu Politika, Şirket nezdinde çalışanlar tarafından kullanılan sabit ve taşınabilir bilgisayarların kullanımı ile ilgili kuralların belirlenmesi amacıyla oluşturulmuştur.

Kapsam

Sabit ve Taşınabilir Bilgisayar Kullanım Politikası Şirket nezdinde çalışan ve sabit ve taşınabilir bilgisayarları kullanım yetkisi bulunan tüm çalışanları kapsamaktadır.

Politika

• Şirket bilgi kaynaklarına uzaktan veya yerel ağ üzerinden erişmek için sadece Şirket envanterinde bulunan onaylanmış sabit ve taşınabilir bilgisayar cihazları kullanılmalıdır.
• Şirkete ait taşınabilir bilgi işleme cihazları öncelikli olarak Şirket işlerinin gerçekleştirilmesi için kullanılmalıdır.
• Taşınabilir bilgi işleme cihazları gözetimsiz bırakıldıklarında mutlaka fiziksel olarak güvenli bir yerde veya şekilde saklanmalıdır.
• Çalışanlar sabit ve taşınabilir bilgisayarları Şirket bünyesindeki domain’e bağlı olarak çalıştırmalıdır.
• Tüm bilgisayar sistemi yöneticisinin yetkisi altındadır. Sistem yöneticisi; tüm kullanıcı sistemlerine erişme, bilgisayar hesabının kontrol sahipliği, ihtiyaç olduğunda uzaktan erişim, sistem konfigürasyonunda değişiklik, sistem loglarına erişim, yeni software/hardware kurulumu ve düzenlemesi yetkilerine sahiptir.
• Şirket çıkarlarıyla çakışmadığı sürece taşınabilir bilgisayarların kişisel kullanımına kısıtlı olarak izin verilebilecektir.
• Şirket bünyesinde çalışanlar, ofis ortamında veya dışında, sabit ve taşınabilir bilgisayarlarını terk ettikleri zaman kilitlemeli diğer kişi ve çalışanların izinsiz ve uygunsuz kullanımlarına izin vermemelidir.
• Bilgisayar üzerinde kişisel oturumlardan birinci derecede çalışanlar sorumludur.
• Bilgisayarlarda şifre korumalı ekran koruyucu aktif olmalıdır.
• Cihazların kullanımı esnasında ilgili yasa ve düzenlemelere uyulmalıdır.
• Şirkete ait taşınabilir bilgisayar cihazları hiçbir şekilde yasa dışı, Şirket çıkarlarıyla çatışabilecek veya normal operasyon ve iş aktivitelerini engelleyecek şekilde kullanılamaz.
• Şirket bilgileri sabit ve taşınabilir bilgisayarlardan aksi belirtilmedikçe birim yöneticileri ve yönetim dışındaki çalışanlar tarafından taşınabilir medya aracılığıyla (USB, CD vb.) veri aktarımı yapılamaz. İş amaçlı özel kullanım taleplerinde ilgili birim yöneticisinin yazılı onayı olmak suretiyle diğer çalışanlara gerekli durumlarda bu yetki sadece o iş sürecinde verilebilmektedir.
• Her tür bilgi, zararlı yazılımlara karşı taramadan geçirilmeden Şirket ağına aktarılamaz.
• Şirket, sabit ve taşınabilir bilgisayarlar kullanılarak yapılan tüm işlemleri izleme hakkını saklı tutar ve gerektiğinde bu hakkını kullanabilir.
• Şirket kullanıcıların sabit ve taşınabilir bilgisayar cihazları ile gerçekleştirdiği aktivitelerle ilgili bilgiyi üçüncü partilerle, emniyet birimleriyle veya yargıyla paylaşma hakkını saklı tutar.

5.7. P.07. ŞİFRE POLİTİKASI

Amaç

İşbu Politika, Şirket nezdinde kullanılacak her türlü şifreleme sistemlerinin güvenli bir şekilde oluşturulması ve aynı düzeyde koruma sağlanması amacıyla oluşturulmuştur.

Kapsam

Şifre Politikası, Şirket nezdindeki bilgisayarları ve sunucuları kullanan tüm kullanıcı hesaplarını ve çalışanları kapsamaktadır.

Politika

• Şifreleme, bilgisayar ve hesap güvenliği için önemli bir özelliktir. Şifreler kompleks olmalıdır. Kolay tahmin edilen (memleket, çocuk, doğum tarihi, ardışık rakam ve harfler, İstanbul, Ankara, Kayseri, 1qaz2wsx, qwerty vb.) şifreler kullanılmamalıdır.
• Üretim sürecinde kullanılan tüm bilgisayarların şifreleri 6 ayda bir değiştirilmesi zorunludur.
• Oluşturulacak şifre son 3 şifre ile aynı olamaz.
• Oluşturulacak şifre içerisinde Türkçe karakter bulunmamalıdır.
• Bilgisayar kullanıcı hesaplarının şifreleri en az 8 karakter olmalıdır. Kompleks şifre içeriğinde Büyük Harf, Küçük Harf, Rakam, Özel Karakter seçeneklerinden en az 3 tanesinin olması gerekmektedir.
• Kullanıcılar bilgisayar başından kalktığı zaman mutlaka oturumlarını kilitlemelidirler. (Windows +L) Genel kullanıcı bilgisayarları kullanılmadığı zaman otomatik olarak 5 dakika içerisinde şifreli ekran korumasına girmelidir.
• Hatalı şifrelerin 10 defa üst üste denenmesi sonucunda kullanıcı hesabı otomatik olarak 20 dakika kilitlenecektir. Şifrelerin unutulması durumunda Bilgi Güvenliği Departmanı ile iletişime geçilmelidir.
• Kurumsal hesaplara ait şifrelerin e-posta iletilerine veya herhangi bir elektronik forma yazılması yasaktır.
• Şifrelerin aile bireyleri dahil herhangi bir üçüncü kişi ile paylaşılması, kağıtlara veya elektronik ortamlara yazılması yasaktır.
• Bilgi Güvenliği Departmanı tarafından oluşturulan geçici şifrelerin değiştirilmesi zorunludur.
• Şirket çalışanı olmayan harici kişiler için açılan kullanıcı hesaplarının şifreleri de şifre kuralına göre belirlenmelidir.
• Uygulamalara, hesaplara veya bilgisayarlara giriş şifresinin unutulması veya herhangi bir sorun yaşanması durumunda derhal Bilgi Güvenliği Departmanına haber verilmelidir.
• Şirket, şifre ile kullanılan hesapları ve bilgisayarları izleme hakkını saklı tutar ve gerektiğinde bu hakkını kullanabilir.
• Şirket kullanıcıların şifre ile gerçekleştirdiği işlemlere ait bilgileri üçüncü partilerle, emniyet birimleriyle veya yargıyla paylaşma hakkını saklı tutar.

5.8. P.08. FİZİKSEL GÜVENLİK POLİTİKASI

Amaç

İşbu Politika, Şirket personeli ve kritik kurumsal bilgilerin korunması amacıyla sistem odasına, kurumsal bilgilerin bulundurulduğu sistemlerin yer aldığı tüm çalışma alanlarına ve Şirket binalarına yetkisiz girişlerin önlenmesi amacıyla oluşturulmuştur.

Kapsam

Fiziksel Güvenlik Politikası, Şirket binalarında yer alan bilgi varlıklarına erişim sağlayan tüm fiziksel güvenlik konularını kapsamaktadır.

Politika

• Kurumsal bilgi varlıklarının dağılımı ve bulundurulan bilgilerin kritiklik seviyelerine göre binada ve çalışma alanlarında farklı güvenlik bölgeleri tanımlanmalı ve erişim izinleri bu doğrultuda belirlenerek gerekli kontrol altyapıları oluşturulmalıdır.
• Şirket dışı ziyaretçilerin ve yetkisiz personelin güvenli alanlara girişi, yetkili görevliler gözetiminde gerçekleştirilmelidir.
• Tanımlanan farklı güvenlik bölgelerine erişim yetkileri düzenli aralıklar ile kontrol edilmelidir.
• Şirket girişleri, toplantı salonları ve sistem odaları gibi kritik alanlar güvenlik açısından kamera ile kayıt altına alınmalıdır.
• Kritik sistemler özel sistem odalarında tutulmalıdır.
• Sistem odaları elektrik kesintilerine ve voltaj değişkenliklerine karşı korunmalı, yangın ve benzer felaketlere karlı koruma altına alınmalıdır.
• Açık ofislerde bulunan gizli bilgi varlıklarının olduğu dolaplar ve çekmeceler kilitli ve kontrol altında tutulmalıdır.
• Kritik bilgi içeren idari alanlara kargo teslimatı yapılması yasaktır. Kargolar ilgili kişilere güvenlikte teslim edilmelidir.
• Ekipmanların kullanımı zimmetlenen kişiye aittir. Ekipmanların güvenliğinin sağlanması kişinin sorumluluğundadır. Teslim edilen ekipmanlara gelecek zararlar zimmet edilen kişiden tahsil edilecektir.
• Şirket içerisine giriş ve çıkışlar kamera sistemi ile kayıt altına alınmalıdır.

5.9. P.09. ÜÇÜNCÜ TARAF GÜVENLİK POLİTİKASI

Amaç

İşbu Politika, Şirket’in bilgi sistemlerine ve bilgi varlıklarına üçüncü taraflar tarafından ulaşılması durumunda uyulması gereken kuralları belirlemek amacıyla oluşturulmuştur.

Kapsam

Üçüncü Taraf Güvenlik Politikasının uygulanmasından Şirket birimlerinin tamamı sorumludur.

Politika

• Şirkete ait bilgi sistemlerinin veya bilgi varlıklarının bakımı, güncellenmesi vb. amaçlar ile işlem yapmak üzere Şirkete gelen tedarikçi, bakım firmaları veya üçüncü taraflar ile Gizlilik Sözleşmeleri yapılmalıdır.
• Üçüncü taraflar Şirket içerisinde bulundukları sürece Şirket politikalarına uygun hareket etmekle yükümlüdürler.
• Bilgi sistemlerinde veya bilgi varlıkları üzerinde yapılacak çalışmalar hakkında Albatros Karalar Bilgi Güvenliği Departmanı ve Bilgi Güvenliği Departmanı’na bilgi verilmesi zorunludur.
• Bakım firmaları, tedarikçiler veya üçüncü taraflar Şirketin bilgi sistemlerine kendilerine verilen yetki kapsamında erişim sağlayabilirler.
• Bakım firmalarına, tedarikçilere veya üçüncü taraflara verilen erişim yetkileri, erişim amaçlarına uygun olacak şekilde kısıtlı verilmeli, loğları saklı tutulmalı ve çalışma bittikten sonra verilen yetkiler hemen geri alınmalıdır.
• Bakım firmaları, tedarikçiler veya üçüncü taraflar bilgi sistemlerine ve bilgi varlıklarına eriştikleri süre boyunca refakatçisiz bırakılmamalıdır.
• Şirket, işbu Politika ile düzenlenen kurallar üzerinde değişiklik yapma ve ek önlemler alma hakkını saklı tutar.

5.10. P.10. GİZLİLİK POLİTİKASI

Amaç

İşbu Politika, Şirket çalışanlarının sistem, bilgi ve varlıkların gizlilik, bütünlük ve erişilebilirlik sınıfları açısından yapılması ve uyulması gereken iş kurallarının belirlenmesi amacıyla hazırlanmıştır.

Kapsam

Gizlilik Politikası Şirket bünyesindeki tüm çalışanları kapsamaktadır.

Politika

• Şirketin gizli olarak belirlediği tüm bilgilerin gizliliğine sıkı bir şekilde uyulacaktır. Şirketin iş gereksinimi dışında bu bilgilerin kopyalanması ve iletilmesi yasaktır.
• Şirket personeli, kendilerine tahsis edilmiş tüm bilgisayar erişim bilgilerini ve kendisine verilmiş cihazların güvenliğini sağlamakla yükümlüdür. Erişim bilgileri herhangi birine söylenemez ve bu bilgiler başkaları ile paylaşılamaz.
• Hiçbir personel, bilgisayarındaki anti virüs koruma yazılımını devre dışı bırakamaz.
• Ortak alanlar üzerinde bulunan herkesin kullanımına açılmış olan “GENEL” klasörüne gizli ya da çok gizli bilgiler kopyalanmamalıdır. Bu alan üzerinde film, müzik gibi bilgiler paylaşılmamalıdır.
• Kullanıcı bir bilginin çok gizli olduğunu düşünüyorsa o bilgi şifrelenmeli veya yetkili kişiler dışında erişilemeyecek alanlarda saklanmalıdır.
• Bilgisayarlar üzerinden Şirkete ait dokümanlar haricinde dosya alışverişinde bulunulmamalıdır.
• Kritik veya gizli raporların dökümünü alan çalışan, rapor içeriğindeki bilginin uygun şekilde (kilitli dolap, çekmece vb.) korunmasından sorumludur.
• Herhangi bir kişi kendisine ait olmayan kritik bir rapor bulur ise bu durumu derhal Bilgi Güvenliği Departmanına bildirmelidir.
• Sunucu ve bilgisayarların saatleri kullanıcılar tarafından değiştirilemez. Saatler sistem tarafından otomatik olarak yönetilmektedir.
• Taşınabilir bilgisayarlar güvenlik açıklarına karşı daha dikkatli korunmalıdır. Sadece gerekli olan bilgiler bu cihazlar üzerinde saklanmalıdır. Cihazların çalınması veya kaybolması durumunda hemen Bilgi Güvenliği Departmanına bildirilmelidir.
• Şirket bünyesinde edinilmiş olan ticari sır, patent, üretim, üye bilgileri kesinlikle yetkisiz kişiler ile paylaşılmamalıdır.
• Şirket bilgisayarlarında kişisel verilerin barındırılması yasaktır. Şirkete ait cihazlarda tutulan ve iletilen tüm bilgiler Şirket malıdır ve Şirket bu bilgileri izleme ve denetleme hakkına sahiptir.
• Hiçbir çalışan, izin almadan kendi bilgisayarından veya başka bir kaynak kullanarak Şirketin bilişim ağını tarayamaz, izleyemez veya dinleyemez.
• Hiçbir çalışan, Şirket içinde kendilerine tahsis edilen bilgisayar yetkilerinin dışına çıkamaz ve bu konuda yetki aşma işlemine girişemez.
• Sosyal medya erişim izni verilen çalışanların görevlerinin dışında bu hesapları kullanmaları yasaktır.
• Sosyal medya üzerinden Şirketi rencide edici, karalayıcı paylaşımlar yapılmamalıdır. Şirketin hassas bilgileri sosyal medya üzerinden paylaşılamaz.
• Şirkete ait bilgisayar, telefon, yazıcı, faks, fotokopi, tarayıcı vb. donanımlar şahsi işlemler için kullanılmamalıdır. Bilgisayar, telefon, yazıcı, faks, fotokopi, tarayıcı vb. cihazlarda şahsi kullanım tespit edildiğinde Şirketin İnsan Kaynakları Departmanına bilgi verilecektir.
• Şirket envanterinde kayıtlı olmayan kişisel bilgisayar ve cep telefonu gibi cihazların bakım onarımı için Bilgi Güvenliği Departmanına başvuru yapılması gerekmektedir.
• Şirket, işbu Politikanın uygulanırlığının denetimi amacıyla kullanıcıların sahip olduğu tüm varlıkları izleme yetkisini saklı tutar.
• Şirket, kullanıcılar tarafından işbu Politika kapsamında gerçekleştirilen işlemleri izleme yetkisi kapsamında elde edeceği bilgileri üçüncü partilerle, emniyet birimleriyle veya yargıyla paylaşma hakkını saklı tutar.

5.11. P.11. TEMİZ MASA TEMİZ EKRAN POLİTİKASI

Amaç

İşbu Politika, Albatros Karalar bünyesindeki kağıtlar, taşınabilir depolama ortamları ve kişisel bilgisayar için mesai saatleri içinde ve dışında bilgiye yetkisiz erişim ve bilginin hasar görmesi gibi riskleri azaltmak için gerekli olan şartların oluşturulması amacıyla hazırlanmıştır.

Kapsam

Temiz Masa Temiz Ekran Politikası Albatros Karalar bünyesindeki tüm çalışanları kapsamaktadır.

Politika

• Şirkete ait uygulamalarda kullanılan şifreler iş arkadaşları da dahil olmak üzere kimse ile paylaşılamaz. Şifrelerin yazılı olarak post-it ya da not kağıtlarına yazılarak pano, bilgisayar ekranı, klavye gibi donanımlara yapıştırılamaz.
• Evrak ve dokümanların güvenliği için çalışma saatleri dışında ofis kapılarının kilitli tutulması gerekmektedir.
• Evrak ve dokümanlarda yer alan bilgilerin farklı kişiler tarafından ele geçirilmemesi için klasörlerde saklanmalıdır.
• Hassas bilgi içeren evrak klasörleri ve Şirkete ait başlıklı kağıtlar kilitli dolaplarda saklanmalıdır.
• Kağıtların doğrudan çöp kutusuna atılması yasaktır. İmha edilecek kağıtlar için kağıt kırpma makinesi kullanılmalıdır.
• Hassas ve kritik bilgi içeren evraklar ağ üzerinden paylaşılamaz.
• Masa üstü doküman sayısını artırmamak için mümkün olduğu kadar elektronik dokümanların yazıcıdan çıktılarının alınmamasına dikkat edilmelidir.
• Masa üzerinde kartvizit kutuları, kişisel ajandalar, değerli bilgilere sahip dokümanlar bırakılamaz ve bunlar kilitli çekmecelerde muhafaza edilmelidir.
• Masa çekmecelerinin anahtarları, ev ve araba gibi özel anahtarlar, kasa anahtarları masa üzerinde bırakılmamalıdır.
• Şirkete ait kritik bilgi içeren dokümanlar başkaları tarafından fark edilmeyecek şekilde muhafaza edilmelidir.
• Çalışanların kişisel gizli bilgileri (maaş bordrosu vb.) başkaları tarafından fark edilmeyecek şekilde muhafaza edilmelidir.
• Çalışanlar telefon konuşmaları sırasında hassas bilgilerin açığa çıkmaması için tedbirli davranmakla yükümlüdür.
• Bilgi ve veri alışverişinden önce dış tarafların kimlikleri tespit edilmelidir.
• Şirket bünyesinde kullanılan toplantı salonlarında gizli ve kritik bilgi içeren dokümanları toplantı sonrasında ilgili salonlarda bırakmamalı ve salonlardaki tahtalara alınan notlar silinmelidir.
• Gizlilik içeren bilgilerin umumi yerlerde konuşulması yasaktır.
• Gizlilik içeren bilgiler telefonlarda ses dışarıya açık olarak görüşülmemelidir. Faks yoluyla gizlilik içeren herhangi bir bilgi gönderilmemelidir.
• Bilgisayar gibi elektronik ortamlarda bulunan bilginin korunması için çalışma saatleri dışında da ofis kapıları kilitli tutulmalıdır.
• Kısa süreli ayrılmalarda dahi, cep telefonu, taşınabilir bellek, harici hard disk, CD, DVD gibi eşyalar çalışma masası üzerinde bırakılmamalıdır.
• Bilgisayarlar gözetimsiz bırakıldığında kapatılmalı veya parola kullanılarak korunmalıdır. Ekran koruyucu aktif hale getirilmelidir. Bu işlem Windows bilgisayarlarda Windows +L, Mac bilgisayarlarda Control+Shift+Eject tuşlarına basılarak kolayca yapılabilmektedir.
• Bilgisayarların masaüstlerindeki klasör ve dosyalar düzenli şekilde tutulmalıdır.
• Fotokopi cihazlarının yetkisiz kullanımı önlenmelidir.
• Fotokopi cihazlarının belleğinde bulunan kritik ve hassas bilgiler silinmelidir.
• Hassas ve sınıflandırılmış bilgi içeren ortamlardaki bilgiler yazıcıdan çıktı alındıktan sonra hemen silinmelidir.
• Şifreler yazılı olarak saklanmamalı ve hassas bilgiler silinmelidir.
• Kullanılan şifreler tahmin edilebilir olmamalıdır. Şifreyi oluşturan kişi ile ilgili bilgiler içermemelidir. Ardışık, tümü sayısal ya da tümü alfabetik karakterlerden oluşmamalıdır.
• Çalışanlara kendilerine ait bilgisayarlarda, taşınabilir belleklerde, harici diskte ve benzeri depolamanın mümkün olduğu ortamlardaki gizlilik dereceli bilgi ve belgelerin güvenliğini sağlamakla yükümlüdür. Taşınabilir bellek veya harici diske gizli, önemli veya özel nitelikli kişisel veri konulması gerekiyor ise kriptolayarak korunması gerekmektedir.
• Gizli belgelerin, şifrelerini adreslerin, özellikle taşınabilir bellek, e-posta, sosyal medya gibi alanlarda paylaşılmamasına dikkat edilmelidir.
• Bilinmeyen e-posta ve haber gruplarına üye olunmamalıdır.
• Elektronik posta ortamında kişisel şifre bilgileri paylaşılmamalıdır.
• Silinebilir ortamlara kaydedilmiş olan gizli bilgilerin kullanımından sonra etki yöntemler kullanılarak geri dönülmeyecek şekilde silinmesi gerekmektedir.
• Şirkete ait yürütülen iş ve işlemlerde Şirkete ait e-posta adreslerinin kullanılması zorunludur.
• Kurumsal işlerin yapıldığı bilgisayarlar çalışanın kendi sorumluluğundadır. Şirket bilgisayarlarının çalışan haricinde yetkisiz kullanıcılara teslim edilmesi yasaktır.

5.12. P.12. KRİPTOGRAFİK KONTROLLER POLİTİKASI

Amaç

İşbu Politika, bilginin gizliliği, erişilebilirliği veya bütünlüğünün korunması amacıyla oluşturulmuştur.

Kapsam

Kriptografik Kontroller Politikası, kritik bilgilerin güvenli erişimi ve paylaşımı amacıyla tüm Şirket çalışanlarını kapsamaktadır.

Politika

• Şirket içerisinde tanımlanan gizli bilgi varlıkları ve özel nitelikli kişisel veriler kriptografik şifreleme yöntemleri ile saklanmalıdır. Her çalışan kendi barındırdığı bilgi varlıklarının ve özel nitelikli kişisel verilerin güvenliğinden sorumludur.
• Şirketler arası bilgi alışverişlerinde ve özellikle kamu kurumları ile yapılan yazışmalarda e-imza, mali mühür gibi sistemler kullanılarak veri transferi yapılmalıdır.
• Şirket sistemlerine dışarıdan yapılacak her türlü uzak bağlantı SSL VPN sistemi üzerinden yapılmalıdır.
• Mobil cihazlardaki verilerin korunmasında güçlü şifre kullanılmalıdır.
• Şirket, Kriptografik verilerin paylaşımını ve saklanmasını izleme hakkını saklı tutar ve gerektiğinde bu hakkını kullanabilir.

5.12. P.12. KİMLİK DOĞRULAMA VE YETKİLENDİRME POLİTİKASI

Amaç

İşbu Politika, Şirketin bilgi sistemlerine erişimde kimlik doğrulaması ve yetkilendirme politikalarının belirlenmesi amacıyla oluşturulmuştur.

Kapsam

Şirketin bilgi sistemlerine erişim Şirket çalışanları ile Şirket dışı kullanıcılar Kimlik Doğrulama ve Yetkilendirme Politikası kapsamındadır.

Politika

• Şirket sistemlerine erişecek tüm kullanıcıların bilgisayar erişim hesapları doğrultusunda hangi sistemlere, hangi kimlik doğrulama yöntemi ile erişeceği belirlenecektir.
• Şirket sistemlerine erişmesi gereken tedarikçilere veya üçüncü kişilere yönelik kullanıcı hesabı Bilgi Güvenliği Departmanı tarafından ilgili yetkiler verilerek tanımlanacaktır.
• Şirket bünyesinde kullanılan ve merkezi olarak erişilen uygulama yazılımları, paket programlar, veri tabanları, işletim sistemleri üzerindeki kullanıcı yetkileri belirlenmeli ve denetim altında tutulmalıdır.
• Çalışanlara ve üçüncü kişilere verilen erişim yetkilerinin güncelliği sağlanmalıdır.
• İşletim sistemleri üzerindeki erişim loğları düzenli olarak tutulmalı, gerektiği durumlarda kontrol edilebilmelidir.
• Kullanıcılar kendilerine verilen erişim şifrelerini gizlemeli ve kimseyle paylaşmamalıdır.
• Her kullanıcıya kendisine ait bir kullanıcı hesabı açılmalıdır.
• Erişim gereksinimi artık kalmamış kullanıcıların hesapları Bilgi Güvenliği Departmanı tarafından pasif duruma alınmalı veya kaldırılmalıdır.
• Şirket, kendi inisiyatifi doğrultusunda erişim yetkilerini belirleme, pasife alma veya kaldırma yetkisini saklı tutar.

6. UYGULAMA VE YAPTIRIM

Şirket çalışanlarının işbu Politika kapsamında yer alan politikalara ve Şirkete ait diğer politika ve prosedürlere aykırı kasti veya kasıtsız davranışları hakkında Bilgi Güvenliği Disiplin Prosedürü uygulanacaktır. Şirketin İş Kanunu, iş sözleşmeleri ve sair mevzuat hükümleri kapsamında yaptırım uygulama ve zararlarının tazmini için rücu etme hakkı saklıdır.

7. REVİZYON KAPSAMI

İlk yayındır.