BİLGİ GÜVENLİĞİ POLİTİKASI

BİLGİ GÜVENLİĞİ POLİTİKASI

Activate Bilişim Teknolojileri A.Ş.

1. Giriş: Bilgi Güvenliği Anlayışımız

Bilgi, kurumların sahip olduğu en değerli varlıklardan biridir. Teknolojinin hızla geliştiği, dijitalleşmenin her alanı dönüştürdüğü günümüzde, bilgiye erişim kadar bilginin gizliliği, bütünlüğü ve erişilebilirliği de kritik öneme sahiptir.

Activate Bilişim Teknolojileri A.Ş. olarak, yazılım geliştirme, eğitim teknolojileri, danışmanlık ve Ar-Ge alanlarında hizmet verdiğimiz tüm projelerde bilgi güvenliğini bir iş kültürü haline getirerek, ulusal ve uluslararası standartlarla tam uyum içinde hareket etmekteyiz.

Bu politikanın temel amacı; iş sürekliliğini sağlamak, veri kayıplarını önlemek, yasal uyumu gerçekleştirmek, itibar risklerini ortadan kaldırmak ve müşteri güvenini sürdürülebilir kılmaktır.

2. Politikamızın Kapsamı

Bu politika, Activate Bilişim Teknolojileri A.Ş.’nin:

  • Merkez ofis ve dış lokasyonlardaki tüm birimlerini,

  • Tüm çalışanlarını, danışmanları, stajyerleri ve dış hizmet sağlayıcılarını,

  • Müşteriyle olan bilgi alışverişlerini,

  • Fiziksel ve dijital tüm bilgi varlıklarını,

  • Bulut tabanlı hizmetler ve uzaktan çalışma altyapısını kapsar.

3. Temel Bilgi Güvenliği İlkelerimiz

Bilgi güvenliği, üç temel prensip üzerinde yükselir:

3.1. Gizlilik (Confidentiality)

Yetkisiz kişilerin herhangi bir bilgiye erişimi engellenir. Müşteri bilgileri, ticari sırlar, proje belgeleri ve kişisel veriler sadece yetkilendirilmiş kişiler tarafından görüntülenebilir.

3.2. Bütünlük (Integrity)

Bilginin doğruluğu ve tutarlılığı korunur. Yetkisiz değişiklik, silme veya bozma girişimleri tespit edilir ve önlenir.

3.3. Erişilebilirlik (Availability)

Bilgiye ihtiyaç duyan yetkili kişilerin, gerekli olduğunda kesintisiz şekilde erişimi sağlanır. Sistem kesintileri ve veri kaybı gibi durumların önüne geçilir.

4. Uygulama Prensiplerimiz

4.1. Yasal ve Mevzuat Uyumu

KVKK, GDPR, ISO/IEC 27001, Elektronik Tebligat Yönetmeliği, e-Devlet entegrasyon standartları, e-Fatura ve diğer sektör mevzuatlarına eksiksiz uyum sağlanır.

4.2. Rol ve Sorumlulukların Tanımlanması

Tüm personelin bilgi güvenliği süreçlerinde açık tanımlı görev ve sorumlulukları vardır. Yönetim kurulu seviyesinden en alt kadroya kadar bilgi güvenliği farkındalığı ve uyumu sağlanır.

4.3. Bilgi Güvenliği Eğitimleri

Tüm çalışanlara yılda en az iki defa bilgi güvenliği eğitimi verilir. Yeni başlayanlar için oryantasyon eğitimi, teknik ekipler için derinlemesine teknik güvenlik eğitimleri düzenlenir.

4.4. Üçüncü Taraflarla Sözleşmeler

Tüm tedarikçi ve iş ortaklarıyla yapılan sözleşmelere bilgi güvenliği maddeleri eklenir. Özellikle dış kaynak kullanımı durumlarında gizlilik taahhütnameleri imzalatılır.

5. Risk Yönetimi ve Değerlendirme Süreci

Bilgi varlıklarına yönelik tüm tehditler, periyodik olarak risk analizine tabi tutulur. Risklerin olasılık ve etkilerine göre sınıflandırılması yapılır, risk kabul kriterleri tanımlanır. Kabul edilemeyen riskler için teknik, idari ve fiziksel önlemler alınır.

  • Risk analizi yılda en az bir kez veya büyük sistem değişikliklerinde yapılır.

  • Tehdit türleri: Siber saldırı, veri kaybı, insan hatası, doğal afet, sabotaj vb.

  • ISO 27005 çerçevesi referans alınarak risk değerlendirme ve iş sürekliliği planları oluşturulur.

6. Teknik Önlemler ve Güvenlik Katmanları

6.1. Erişim Kontrolleri

  • Kullanıcı rolleri ve yetkileri, en az ayrıcalık prensibine göre atanır.

  • Tüm erişimler loglanır ve düzenli olarak denetlenir.

  • İki faktörlü kimlik doğrulama (2FA) zorunlu hale getirilmiştir.

6.2. Veri Şifreleme

  • Hassas veriler (müşteri verisi, ödeme bilgisi, kimlik bilgisi vb.) AES-256, RSA gibi güçlü algoritmalarla şifrelenir.

  • Hem aktarımda hem depolamada şifreleme uygulanır.

6.3. Sistem Yedekleme ve Geri Yükleme

  • Tüm sistemler günlük ve haftalık olarak yedeklenir.

  • Yedekler, farklı coğrafi bölgelerde ve offline ortamda saklanır.

  • Felaket kurtarma senaryoları düzenli olarak test edilir.

6.4. Zararlı Yazılım ve Saldırı Tespiti

  • Antivirüs, anti-malware, IDS/IPS, firewall sistemleri aktif şekilde çalışır.

  • Güncel tehdit istihbarat kaynakları ile entegre sistemler kullanılır.

6.5. Mobil Cihaz ve BYOD Politikası

  • Mobil cihazlar şifreli depolama ve uzaktan silme özelliği taşımalıdır.

  • Kişisel cihazlarla kurumsal ağa bağlanmak için güvenlik kontrollerinden geçmek zorunludur.

7. Fiziksel Güvenlik

  • Tüm ofislerde kartlı geçiş, güvenlik kameraları, ziyaretçi kontrolü gibi fiziksel önlemler uygulanır.

  • Sunucu odaları yangın söndürme, sıcaklık ve nem takibi gibi çevresel kontrollerle korunur.

8. Bilgi Güvenliği İhlalleri ve Olay Yönetimi

  • Olası bir ihlal durumunda devreye girecek olay müdahale planı mevcuttur.

  • Bilgi Güvenliği İhlal Bildirim Formu her personel için erişilebilir durumdadır.

  • 24 saat içinde yönetime bildirim zorunluluğu vardır.

  • İhlal sonrası kök neden analizi yapılır, düzeltici faaliyetler planlanır.

9. İş Sürekliliği ve Felaket Kurtarma

Activate Bilişim Teknolojileri A.Ş., hizmetlerinde kesinti yaşanmaması için detaylı bir iş sürekliliği planı (BCP) ve felaket kurtarma planı (DRP) oluşturmuştur.

Bu planlar:

  • Kritik sistemleri önceliklendirir.

  • Saha dışı yedekleme merkezlerine anlık senkronizasyon sağlar.

  • Acil durum tatbikatlarıyla test edilir.

10. Sürekli İyileştirme ve Denetim

  • Bilgi güvenliği yönetim sistemi (BGYS) yılda en az bir kez iç denetime tabi tutulur.

  • ISO/IEC 27001:2022 standardına uygunluk gözden geçirilir.

  • Dış denetimlere açıklık esastır.

  • Her yıl yönetim gözden geçirme toplantısı gerçekleştirilir.

11. İlgili Tarafların Uyumu ve Bilgilendirilmesi

  • Tüm çalışanlar, tedarikçiler ve dış hizmet sağlayıcıları BGYS politikası hakkında bilgilendirilir.

  • Gerekli durumlarda bilgilendirme toplantıları ve farkındalık eğitimleri düzenlenir.

  • Tüm taraflardan yazılı taahhüt alınır.

12. Politika Güncelleme ve Yayınlama

Bu bilgi güvenliği politikası yılda bir kez veya şu durumlarda gözden geçirilir:

  • Yeni yasal düzenlemeler

  • Kritik güvenlik olayları

  • BT altyapısında büyük değişiklikler

  • Yeni hizmet veya ürün sunumları

Tüm güncellemeler yönetim kurulu onayıyla yürürlüğe girer ve tüm personele duyurulur.

13. Uyulacak Standartlar ve Referanslar

  • ISO/IEC 27001:2022 — Bilgi Güvenliği Yönetim Sistemi Standardı

  • ISO/IEC 27005 — Bilgi Güvenliği Risk Yönetimi

  • ISO 22301 — İş Sürekliliği Yönetim Sistemi

  • KVKK (Kişisel Verilerin Korunması Kanunu)

  • GDPR (Avrupa Veri Koruma Yönetmeliği)

  • Elektronik Tebligat ve e-Devlet Standartları

  • COBIT, ITIL ve NIST çerçeveleri

14. Sonuç ve Taahhüt

Activate Bilişim Teknolojileri A.Ş. olarak, bilgi güvenliğini kurumsal stratejimizin ayrılmaz bir parçası olarak görmekteyiz. Bilginin güvenliğini sağlamak, hem müşterilerimize verdiğimiz sözün hem de topluma karşı sorumluluğumuzun gereğidir.

Bu nedenle:

  • Tüm çalışanlarımızdan bilgi güvenliği kurallarına eksiksiz uyum beklenmektedir.

  • Tüm dış paydaşlarımızla şeffaf ve güvenilir bilgi alışverişi temel alınmaktadır.

  • Tüm süreçlerimiz, sürekli iyileştirme anlayışıyla geliştirilmektedir.

Her personel bu politikanın bir parçasıdır. Her birim, bilgi güvenliğine katkı sağlamakla yükümlüdür. Bu anlayışla hep birlikte daha güvenli bir dijital gelecek inşa ediyoruz.