Common use of Teknik Tedbirler Clause in Contracts

Teknik Tedbirler. Bilgi güvenliği, erişim ve kullanım, saklama ve imha konularında kurumsal politikalar hazırlanmış olup uygulanmaktadır. • Bilgi güvenliği olay yönetimi ile yapılan analizler sonucunda bilişim sistemlerini etkileyecek riskler ve tehditler izlenmektedir. Bilgi güvenliği ihlal olayları raporlanmakta ve kayıt altına alınmaktadır. Bu kapsamda gerekli önlemler alınmaktadır. • Ağ güvenliği sağlanmakta ve güvenlik duvarları kullanılmaktadır. • Otomatik güncellemeye sahip anti virüs programları kullanılmaktadır. Düzenli olarak bu programın güncelliği ve çalışır olup olmadığı denetlenmektedir. • Sızma testi yapılarak Şirketin bilişim sistemlerine yönelik risk, tehdit, zafiyet ve varsa boşluklar ortaya çıkarılarak gerekli önlemler alınmaktadır. • Internet üzerinden Şirketin bilgisayar ağına erişen kullanıcılar için VPN teknolojisi çerçevesinde özel kullanım prosedürü belirlenmiştir. • Elektronik ortamlarda log kayıtları kullanıcı müdahalesi olmayacak şekilde tutulmaktadır. • Kişisel veri içeren sistemlere erişim sınırlandırılmıştır. Bu kapsamda çalışanlara, yapmakta oldukları iş ve görevler ile yetki ve sorumlulukları için gerekli olduğu ölçüde erişim yetkisi tanınmış ve kullanıcı adı ve şifre kullanılmak suretiyle ilgili sistemlere erişim sağlanmıştır. • Şirket içerisinde yetki matrisi oluşturulmuştur. • Kişisel verilerin işlendiği ve muhafaza edildiği elektronik ortamlarda güçlü parolalar kullanılmaktadır. • Kişisel veri içeren fiziksel ortamlara giriş çıkışlarla ilgili gerekli güvenlik önlemleri alınmaktadır. • Kişisel verilerin işlendiği elektronik ortamlarda güvenli loglama sistemleri kullanılmaktadır. • Bilişim sistemleri güvenliğinin sağlanması için sistem odasına yalnızca yetkili personel girebilmektedir. Sistem odası 7/24 güvenlik kamerası ile izlenmektedir. Sistem odası sel, yağmur, yangın gibi çevresel tehditlere karşı korunmakta ve buna uygun önlemler alınmaktadır. • Kişisel verilerin güvenli olarak saklanmasını sağlayan veri yedekleme programları kullanılmaktadır. Bilgisayarların yerel diskleri üzerine bilgi depolamak yasaklanmış olup, dosya ve belgeler güvenliği sağlamak için yedekleme işlemlerinin gerçekleştirildiği kurumsal depolama aygıtları üzerinde saklanmaktadır. • Kağıt ortamında bulunan kişisel veriler kilitli dolaplarda saklanmaktadır. Fiziksel güvenlik sağlanarak yetkisiz erişim engellenmektedir. • Kağıt ortamında bulunan kişisel verilerin imhası kağıt öğütücü ile gerçekleştirilmektedir. • Silinen kişisel verilerin ilgili kullanıcılar için erişilemez ve tekrar kullanılamaz olması için gerekli tedbirler alınmaktadır. • Resmi ve ön izin olmaksızın, herhangi bir depolama aygıtının (USB bellek aygıtı, flash bellek, akıllı telefon, tablet) bilgisayara bağlanması yasaklanmıştır. • Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği veya erişildiği fiziksel ortamların güvenliği sağlanmakta, yetkisiz giriş çıkışlar ile erişim engellenmektedir. • Özel nitelikli kişisel veriler elektronik ortamda işleniyor ve/veya aktarılıyor ise dosyalar şifrelenmekte, aktarım için Şirket kurumsal e-posta adresi kullanılmaktadır. Taşınabilir CD/bellek gibi herhangi bir depolama aygıt ortamında aktarılan özel nitelikli kişisel veriler kriptografik yöntemlerle (güvenli anahtar) şifrelenmektedir. Kağıt ortamı yoluyla aktarımı gerekiyorsa evrakın çalınması, kaybolması ya da yetkisiz kişiler tarafından görülmesi gibi risklere karşı gerekli önlemler alınmakta ve evrak “gizli” formatta gönderilmektedir.

Teknik Tedbirler. Bilgi güvenliğiŞirketimiz tarafından, erişim ve kullanım, saklama ve imha konularında kurumsal politikalar hazırlanmış olup uygulanmaktadır. • Bilgi güvenliği olay yönetimi ile yapılan analizler sonucunda bilişim sistemlerini etkileyecek riskler ve tehditler izlenmektedir. Bilgi güvenliği ihlal olayları raporlanmakta ve kayıt altına alınmaktadır. Bu kapsamda gerekli önlemler alınmaktadır. • Ağ güvenliği sağlanmakta ve güvenlik duvarları kullanılmaktadır. • Otomatik güncellemeye sahip anti virüs programları kullanılmaktadır. Düzenli işlediği kişisel verilerle ilgili olarak bu programın güncelliği ve çalışır olup olmadığı denetlenmektedir. alınan teknik tedbirler aşağıda sayılmıştır: • Sızma testi yapılarak Şirketin (Penetrasyon) testleri ile şirketimiz bilişim sistemlerine yönelik risk, tehdit, zafiyet ve varsa boşluklar açıklıklar ortaya çıkarılarak gerekli önlemler alınmaktadır. • Internet üzerinden Şirketin bilgisayar ağına erişen kullanıcılar için VPN teknolojisi çerçevesinde özel kullanım prosedürü belirlenmiştirBilgi güvenliği olay yönetimi ile gerçek zamanlı yapılan analizler sonucunda bilişim sistemlerinin sürekliliğini etkileyecek riskler ve tehditler sürekli olarak izlenmektedir. • Elektronik ortamlarda log kayıtları kullanıcı müdahalesi olmayacak şekilde Bilişim sistemlerine erişim ve kullanıcıların yetkilendirilmesi, erişim ve yetki matrisi ile kurumsal aktif dizin üzerinden güvenlik politikaları aracılığı ile yapılmaktadır. • Şirketimizin bilişim sistemleri teçhizatı, yazılım ve verilerin fiziksel güvenliği için gerekli önlemler alınmaktadır. • Çevresel tehditlere karşı bilişim sistemleri güvenliğinin sağlanması için, donanımsal (sistem odasına sadece yetkili personelin girişini sağlayan erişim kontrol sistemi, 7/24 çalışan izleme sistemi, yerel alan ağını oluşturan kenar anahtarların fiziksel güvenliğinin sağlanması, yangın söndürme sistemi, iklimlendirme sistemi vb.) ve yazılımsal (güvenlik duvarları, atak önleme sistemleri, ağ erişim kontrolü, zararlı yazılımları engelleyen sistemler vb.) önlemler alınmaktadır. • Kişisel verilerin hukuka aykırı işlenmesini önlemeye yönelik riskler belirlenmekte, bu risklere uygun teknik tedbirlerin alınması sağlanmakta ve alınan tedbirlere yönelik teknik kontroller yapılmaktadır. • Şirketimiz içerisinde erişim prosedürleri oluşturularak kişisel verilere erişim ile ilgili raporlama ve analiz çalışmaları yapılmaktadır. • Kişisel verilerin bulunduğu saklama alanlarına erişimler kayıt altına alınarak uygunsuz erişimler veya erişim denemeleri kontrol altında tutulmaktadır. • Kişisel veri içeren sistemlere erişim sınırlandırılmıştır. Bu kapsamda çalışanlaraŞirketimiz, yapmakta oldukları iş silinen kişisel verilerin ilgili kullanıcılar için erişilemez ve görevler ile yetki ve sorumlulukları tekrar kullanılamaz olması için gerekli olduğu ölçüde erişim yetkisi tanınmış ve kullanıcı adı ve şifre kullanılmak suretiyle ilgili sistemlere erişim sağlanmıştırtedbirleri almaktadır. • Şirket içerisinde yetki matrisi oluşturulmuşturGüvenlik açıkları takip edilerek uygun güvenlik yamaları yüklenmekte ve bilgi sistemleri güncel halde tutulmaktadır. • Kişisel verilerin işlendiği ve muhafaza edildiği elektronik ortamlarda güçlü parolalar kullanılmaktadır. • Kişisel veri içeren fiziksel ortamlara giriş çıkışlarla ilgili gerekli güvenlik önlemleri alınmaktadır. • Kişisel verilerin işlendiği elektronik ortamlarda güvenli loglama kayıt tutma (loglama) sistemleri kullanılmaktadır. • Bilişim sistemleri güvenliğinin sağlanması için sistem odasına yalnızca yetkili personel girebilmektedir. Sistem odası 7/24 güvenlik kamerası ile izlenmektedir. Sistem odası sel, yağmur, yangın gibi çevresel tehditlere karşı korunmakta ve buna uygun önlemler alınmaktadır. • Kişisel verilerin güvenli olarak saklanmasını sağlayan veri yedekleme programları kullanılmaktadır. Bilgisayarların yerel diskleri üzerine bilgi depolamak yasaklanmış olup• Elektronik olan veya olmayan ortamlarda saklanan kişisel verilere erişim, dosya ve belgeler güvenliği sağlamak için yedekleme işlemlerinin gerçekleştirildiği kurumsal depolama aygıtları üzerinde saklanmaktadırerişim prensiplerine göre sınırlandırılmaktadır. • Kağıt ortamında bulunan Özel nitelikli kişisel veriler kilitli dolaplarda saklanmaktadır. Fiziksel güvenlik sağlanarak yetkisiz erişim engellenmektedirverilerin güvenliğine yönelik ayrı politika belirlenmiştir. • Kağıt ortamında bulunan Özel nitelikli kişisel verilerin imhası kağıt öğütücü ile gerçekleştirilmektedir. • Silinen veri işleme süreçlerinde yer alan çalışanlara yönelik özel nitelikli kişisel verilerin ilgili kullanıcılar için erişilemez ve tekrar kullanılamaz olması için gerekli tedbirler alınmaktadır. • Resmi ve ön izin olmaksızınveri güvenliği konusunda eğitimler verilmiş, herhangi bir depolama aygıtının (USB bellek aygıtıgizlilik sözleşmeleri yapılmış, flash bellek, akıllı telefon, tablet) bilgisayara bağlanması yasaklanmıştırverilere erişim yetkisine sahip kullanıcıların yetkileri tanımlanmıştır. • Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği elektronik ortamlar kriptografik yöntemler kullanılarak muhafaza edilmekte, kriptografik anahtarlar güvenli ortamlarda tutulmakta, tüm işlem kayıtları loglanmakta, ortamların güvenlik güncellemeleri sürekli takip edilmekte, gerekli güvenlik testlerinin düzenli olarak yapılması/yaptırılması, test sonuçlarının kayıt altına alınması, • Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği fiziksel ortamların yeterli güvenlik önlemleri alınmakta, fiziksel güvenliği sağlanmakta, sağlanarak yetkisiz giriş çıkışlar ile erişim engellenmektedir. • Özel nitelikli kişisel veriler elektronik ortamda işleniyor ve/veya aktarılıyor ise dosyalar şifrelenmekte, aktarım için Şirket e-posta yoluyla aktarılması gerekiyorsa şifreli olarak kurumsal e-posta adresi kullanılmaktadıradresiyle veya KEP hesabı kullanılarak aktarılmaktadır. Taşınabilir bellek, CD/bellek , DVD gibi herhangi bir depolama aygıt ortamında aktarılan özel nitelikli kişisel veriler ortamlar yoluyla aktarılması gerekiyorsa kriptografik yöntemlerle (güvenli anahtar) şifrelenmektedirŞifrelenmekte ve kriptografik anahtar farklı ortamda tutulmaktadır. Kağıt Farklı fiziksel ortamlardaki sunucular arasında aktarma gerçekleştiriliyorsa, sunucular arasında VPN kurularak veya FTP yöntemiyle veri aktarımı gerçekleştirilmektedir. Kâğıt ortamı yoluyla aktarımı gerekiyorsa evrakın çalınması, kaybolması ya da yetkisiz kişiler tarafından görülmesi gibi risklere karşı gerekli önlemler alınmakta ve evrak “gizli” formatta gönderilmektedir.

Teknik Tedbirler. Bilgi güvenliğiİşlem sistemlerinin kötü niyetli yazılımlara karşı uygulamalar aracılığı ile korunması, erişim • Zafiyet ve kullanım, saklama ve imha konularında kurumsal politikalar hazırlanmış olup uygulanmaktadır. • Bilgi güvenliği olay yönetimi Sızma (Penetrasyon) testleri ile yapılan analizler sonucunda bilişim sistemlerini etkileyecek riskler ve tehditler izlenmektedir. Bilgi güvenliği ihlal olayları raporlanmakta ve kayıt altına alınmaktadır. Bu kapsamda gerekli önlemler alınmaktadır. • Ağ güvenliği sağlanmakta ve güvenlik duvarları kullanılmaktadır. • Otomatik güncellemeye sahip anti virüs programları kullanılmaktadır. Düzenli olarak bu programın güncelliği ve çalışır olup olmadığı denetlenmektedir. • Sızma testi yapılarak Şirketin bilişim sistemlerine yönelik risk, tehdit, zafiyet tehdit ve varsa boşluklar açıklıklar ortaya çıkarılarak gerekli önlemler alınması, • Ağ ve uygulama hizmetleri kimlik doğrulama ile erişim gerçekleştirilmesi, • Ağ ve uygulama hizmetlerine erişimde şifreleme kullanılması, • Erişim kontrolü ve bilgiye erişim kısıtlamalarının uygulanması, • Erişim kayıtlarının toplanması ve değerlendirilmesi, • Kurumun bilişim sistemleri teçhizatı, yazılım ve verilerin fiziksel güvenliği için gerekli önlemler alınmaktadır, • Bilişim sistemlerine erişim ve kullanıcıların yetkilendirilmesi, erişim ve yetki matrisi ile kurumsal aktif dizin üzerinden güvenlik politikaları aracılığı ile yapılmaktadır. • Internet üzerinden Şirketin bilgisayar ağına erişen kullanıcılar için VPN teknolojisi çerçevesinde özel kullanım prosedürü belirlenmiştir. • Elektronik ortamlarda log kayıtları kullanıcı müdahalesi olmayacak şekilde tutulmaktadır. • Kişisel veri içeren sistemlere erişim sınırlandırılmıştır. Bu kapsamda çalışanlara, yapmakta oldukları iş ve görevler ile yetki ve sorumlulukları için gerekli olduğu ölçüde erişim yetkisi tanınmış ve kullanıcı adı ve şifre kullanılmak suretiyle ilgili sistemlere erişim sağlanmıştır. • Şirket içerisinde yetki matrisi oluşturulmuştur. • Kişisel verilerin işlendiği ve muhafaza edildiği elektronik ortamlarda güçlü parolalar kullanılmaktadır. • Kişisel veri içeren fiziksel ortamlara giriş çıkışlarla ilgili gerekli güvenlik önlemleri alınmaktadır. • Kişisel verilerin işlendiği elektronik ortamlarda güvenli loglama sistemleri kullanılmaktadır. • Bilişim Çevresel tehditlere karşı bilişim sistemleri güvenliğinin sağlanması için sistem odasına yalnızca sadece yetkili personel girebilmektedir. Sistem odası 7/24 güvenlik kamerası ile izlenmektedir. Sistem odası selpersonelin girişini sağlayan erişimin sağlanması, yağmur, yangın gibi çevresel tehditlere karşı korunmakta ve buna uygun önlemler alınmaktadır. • Kişisel verilerin güvenli olarak saklanmasını sağlayan veri yedekleme programları kullanılmaktadır. Bilgisayarların yerel diskleri üzerine bilgi depolamak yasaklanmış oluphukuka aykırı işlenmesini önlemeye yönelik risklere uygun teknik tedbirlerin alınması ve alınan tedbirlere yönelik teknik kontrollerin yapılması, dosya ve belgeler güvenliği sağlamak için yedekleme işlemlerinin gerçekleştirildiği kurumsal depolama aygıtları üzerinde saklanmaktadır. • Kağıt ortamında bulunan kişisel veriler kilitli dolaplarda saklanmaktadır. Fiziksel güvenlik sağlanarak yetkisiz erişim engellenmektedir. • Kağıt ortamında bulunan kişisel Kişisel verilerin imhası kağıt öğütücü ile gerçekleştirilmektedir. bulunduğu saklama alanlarına erişimler kayıt altına alınarak uygunsuz erişimlerin önlenmesi, • Silinen kişisel verilerin ilgili kullanıcılar için erişilemez ve tekrar kullanılamaz olması için gerekli tedbirler alınmaktadır. hale getirilmesinin sağlanması, • Resmi Kişisel verilerin yok edilmesi geri dönüştürülemeyecek ve ön izin olmaksızındenetim izi bırakmayacak şekilde sağlanır • Güvenlik açıklarının takibi ve uygun güvenlik yamalarının yüklenerek bilgi sistemlerinin güncel tutulması, herhangi bir depolama aygıtının • Kişisel verilerin işlendiği elektronik ortamlarda güvenli kayıt tutma (USB bellek aygıtıloglama) sistemlerinin kullanılması, flash bellek• Kişisel verilerin güvenli olarak saklanmasını sağlayan veri yedekleme programlarının kullanılması, akıllı telefon• Elektronik olan veya olmayan ortamlarda saklanan kişisel verilere erişim sınırlandırılması, tablet) bilgisayara bağlanması yasaklanmıştır• Kişisel veri işleme süreçlerinde yer alan çalışanlara yönelik özel nitelikli kişisel veri güvenliği konusunda eğitimler verilmiş, gizlilik sözleşmeleri yapılmış, verilere erişim yetkisine sahip kullanıcıların yetkileri tanımlanmıştır. • Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği elektronik ortamlar kriptografik yöntemler kullanılarak muhafaza edilmekte, kriptografik anahtarlar güvenli ortamlarda tutulmakta, tüm işlem kayıtları loglanmakta, ortamların güvenlik güncellemeleri sürekli takip edilmekte, gerekli güvenlik testlerinin düzenli olarak yapılması/yaptırılması, test sonuçlarının kayıt altına alınması, • Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği fiziksel ortamların yeterli güvenlik önlemleri alınmakta, fiziksel güvenliği sağlanmakta, sağlanarak yetkisiz giriş çıkışlar ile erişim engellenmektedir. • Özel nitelikli kişisel veriler elektronik ortamda işleniyor ve/veya aktarılıyor ise dosyalar şifrelenmekte, aktarım için Şirket e-posta yoluyla aktarılması gerekiyorsa şifreli olarak kurumsal e-posta adresi kullanılmaktadıradresiyle veya KEP hesabı kullanılarak aktarılmaktadır. Taşınabilir bellek, CD/bellek , DVD gibi herhangi bir depolama aygıt ortamında aktarılan özel nitelikli kişisel veriler ortamlar yoluyla aktarılması gerekiyorsa kriptografik yöntemlerle (güvenli anahtar) şifrelenmektedirşifrelenmekte ve kriptografik anahtar farklı ortamda tutulmaktadır. Farklı fiziksel ortamlardaki sunucular arasında aktarma gerçekleştiriliyorsa, sunucular arasında VPN kurularak veya sFTP yöntemiyle veri aktarımı gerçekleştirilmektedir. Kağıt ortamı yoluyla aktarımı gerekiyorsa evrakın çalınması, kaybolması ya da yetkisiz kişiler tarafından görülmesi gibi risklere karşı gerekli önlemler alınmakta ve evrak “gizli” formatta gönderilmektedir.

Teknik Tedbirler. Bilgi güvenliğiŞirket tarafından, erişim ve kullanım, saklama ve imha konularında kurumsal politikalar hazırlanmış olup uygulanmaktadır. • işlediği kişisel verilerle ilgili olarak alınan teknik tedbirler aşağıda sayılmıştır: - Bilgi güvenliği olay yönetimi ile gerçek zamanlı yapılan analizler sonucunda bilişim sistemlerini sistemlerinin sürekliliğini etkileyecek riskler ve tehditler sürekli olarak izlenmektedir. Bilgi - Bilişim sistemlerine erişim ve kullanıcıların yetkilendirilmesi, erişim ve yetki matrisi ile kurumsal aktif dizin üzerinden güvenlik politikaları aracılığı ile yapılmaktadır. - Bilişim sistemleri teçhizatı, yazılım ve verilerin fiziksel güvenliği ihlal olayları raporlanmakta ve kayıt altına alınmaktadır. Bu kapsamda için gerekli önlemler alınmaktadır. • Ağ güvenliği sağlanmakta - Çevresel tehditlere karşı bilişim sistemleri güvenliğinin sağlanması için, donanımsal (sistem odasına sadece yetkili personelin girişini sağlayan erişim kontrol sistemi, 7/24 çalışan izleme sistemi, yerel alan ağını oluşturan kenar anahtarların fiziksel güvenliğinin sağlanması, yangın söndürme sistemi, iklimlendirme sistemi vb.) ve yazılımsal (güvenlik duvarları kullanılmaktadır. • Otomatik güncellemeye sahip anti virüs programları kullanılmaktadır. Düzenli olarak bu programın güncelliği ve çalışır olup olmadığı denetlenmektedir. • Sızma testi yapılarak Şirketin bilişim sistemlerine yönelik riskduvarları, tehditatak önleme sistemleri, zafiyet ve varsa boşluklar ortaya çıkarılarak gerekli ağ erişim kontrolü, zararlı yazılımları engelleyen sistemler vb.) önlemler alınmaktadır. • Internet üzerinden Şirketin bilgisayar ağına erişen kullanıcılar için VPN teknolojisi çerçevesinde özel kullanım prosedürü belirlenmiştir- Kişisel verilerin hukuka aykırı işlenmesini önlemeye yönelik riskler belirlenmekte, bu risklere uygun teknik tedbirlerin alınması sağlanmakta ve alınan tedbirlere yönelik teknik kontroller yapılmaktadır. • Elektronik ortamlarda log kayıtları kullanıcı müdahalesi olmayacak şekilde - Erişim prosedürleri oluşturularak kişisel verilere erişim ile ilgili raporlama ve analiz çalışmaları yapılmaktadır. - Kişisel verilerin bulunduğu saklama alanlarına erişimler kayıt altına alınarak uygunsuz erişimler veya erişim denemeleri kontrol altında tutulmaktadır. • - Kişisel veri içeren sistemlere erişim sınırlandırılmıştır. Bu kapsamda çalışanlara, yapmakta oldukları iş verilerin hukuka aykırı olarak başkaları tarafından elde edilmesi halinde bu durumu ilgili kişiye ve görevler ile yetki Kurula bildirmek için uygun bir sistem ve sorumlulukları için gerekli olduğu ölçüde erişim yetkisi tanınmış ve kullanıcı adı ve şifre kullanılmak suretiyle ilgili sistemlere erişim sağlanmıştır. • Şirket içerisinde yetki matrisi altyapı oluşturulmuştur. • - Güvenlik açıkları takip edilerek uygun güvenlik yamaları yüklenmekte ve bilgi sistemleri güncel halde tutulmaktadır. - Kişisel verilerin işlendiği ve muhafaza edildiği elektronik ortamlarda güçlü parolalar kullanılmaktadır. • Kişisel veri içeren fiziksel ortamlara giriş çıkışlarla ilgili gerekli güvenlik önlemleri alınmaktadır. • - Kişisel verilerin işlendiği elektronik ortamlarda güvenli loglama kayıt tutma (loglama) sistemleri kullanılmaktadır. • Bilişim sistemleri güvenliğinin sağlanması için sistem odasına yalnızca yetkili personel girebilmektedir. Sistem odası 7/24 güvenlik kamerası ile izlenmektedir. Sistem odası sel, yağmur, yangın gibi çevresel tehditlere karşı korunmakta ve buna uygun önlemler alınmaktadır. • - Kişisel verilerin güvenli olarak saklanmasını sağlayan veri yedekleme programları kullanılmaktadır. Bilgisayarların yerel diskleri üzerine bilgi depolamak yasaklanmış olup, dosya - Saklama ve belgeler güvenliği sağlamak için yedekleme işlemlerinin gerçekleştirildiği kurumsal depolama aygıtları üzerinde saklanmaktadırimha politikasına uygun imha süreçleri tanımlanmakta ve uygulanmaktadır. • Kağıt ortamında bulunan kişisel veriler kilitli dolaplarda saklanmaktadır. Fiziksel güvenlik sağlanarak yetkisiz erişim engellenmektedir. • Kağıt ortamında bulunan - Özel nitelikli kişisel verilerin imhası kağıt öğütücü ile gerçekleştirilmektedirgüvenliğine yönelik ayrı politika belirlenmiştir. • Silinen - Özel nitelikli kişisel verilerin ilgili kullanıcılar için erişilemez ve tekrar kullanılamaz olması için gerekli tedbirler alınmaktadırveri işleme süreçlerinde yer alan çalışanlara yönelik özel nitelikli kişisel veri güvenliği konusunda eğitimler verilmiş, gizlilik sözleşmeleri yapılmış, verilere erişim yetkisine sahip kullanıcıların yetkileri tanımlanmıştır. • Resmi ve ön izin olmaksızın, herhangi bir depolama aygıtının (USB bellek aygıtı, flash bellek, akıllı telefon, tablet) bilgisayara bağlanması yasaklanmıştır. • - Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği elektronik ortamlar kriptografik yöntemler kullanılarak muhafaza edilmekte, kriptografik anahtarlar güvenli ortamlarda tutulmakta, tüm işlem kayıtları loglanmakta, ortamların güvenlik güncellemeleri sürekli takip edilmekte, gerekli güvenlik testlerinin düzenli olarak yapılması/yaptırılması, test sonuçlarının kayıt altına alınması sağlanmaktadır. - Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği fiziksel ortamların yeterli güvenlik önlemleri alınmakta, fiziksel güvenliği sağlanmakta, sağlanarak yetkisiz giriş çıkışlar ile erişim engellenmektedir. • - Özel nitelikli kişisel veriler elektronik ortamda işleniyor ve/veya aktarılıyor ise dosyalar şifrelenmekte, aktarım için Şirket e-posta yoluyla aktarılması gerekiyorsa şifreli olarak kurumsal e-posta adresi kullanılmaktadıradresiyle veya KEP hesabı kullanılarak aktarılmaktadır. - Taşınabilir bellek, CD/bellek , DVD gibi herhangi bir depolama aygıt ortamında aktarılan özel nitelikli kişisel veriler ortamlar yoluyla aktarılması gerekiyorsa kriptografik yöntemlerle (güvenli anahtar) şifrelenmektedirşifrelenmekte ve kriptografik anahtar farklı ortamda tutulmaktadır. - Farklı fiziksel ortamlardaki sunucular arasında aktarma gerçekleştiriliyorsa, sunucular arasında VPN kurularak veya sFTP yöntemiyle veri aktarımı gerçekleştirilmektedir. Kağıt ortamı yoluyla aktarımı gerekiyorsa evrakın çalınması, kaybolması ya da yetkisiz kişiler tarafından görülmesi gibi risklere karşı gerekli önlemler alınmakta ve evrak “gizli” formatta gönderilmektedir.

Teknik Tedbirler. Bilgi güvenliği, erişim ve kullanım, saklama ve imha konularında kurumsal politikalar hazırlanmış olup uygulanmaktadır. • Bilgi güvenliği olay yönetimi ile yapılan analizler sonucunda bilişim sistemlerini etkileyecek riskler ve tehditler izlenmektedir. Bilgi güvenliği ihlal olayları raporlanmakta ve kayıt altına alınmaktadır. Bu kapsamda gerekli önlemler alınmaktadır. • Ağ güvenliği sağlanmakta ve güvenlik duvarları kullanılmaktadır. • Otomatik güncellemeye sahip anti virüs programları kullanılmaktadır. Düzenli olarak bu programın güncelliği ve çalışır olup olmadığı denetlenmektedir. • Sızma testi yapılarak Şirketin bilişim sistemlerine yönelik risk, tehdit, zafiyet ve varsa boşluklar ortaya çıkarılarak gerekli önlemler alınmaktadır. • Internet üzerinden Şirketin bilgisayar ağına erişen kullanıcılar için VPN teknolojisi çerçevesinde özel kullanım prosedürü belirlenmiştir. • Elektronik ortamlarda log kayıtları kullanıcı müdahalesi olmayacak şekilde tutulmaktadır. • Kişisel veri içeren sistemlere erişim sınırlandırılmıştır. Bu kapsamda çalışanlara, yapmakta oldukları iş ve görevler ile yetki ve sorumlulukları için gerekli olduğu ölçüde erişim yetkisi tanınmış ve kullanıcı adı ve şifre kullanılmak suretiyle ilgili sistemlere erişim sağlanmıştır. • Şirket içerisinde yetki matrisi oluşturulmuştur. • Kişisel verilerin işlendiği ve muhafaza edildiği elektronik ortamlarda güçlü parolalar kullanılmaktadır. • Kişisel veri içeren fiziksel ortamlara giriş çıkışlarla ilgili gerekli güvenlik önlemleri alınmaktadır. • Kişisel verilerin işlendiği elektronik ortamlarda güvenli loglama sistemleri kullanılmaktadır. • Bilişim sistemleri güvenliğinin sağlanması için kilitli sistem odasına yalnızca yetkili personel girebilmektedir. Sistem odası 7/24 güvenlik kamerası ile izlenmektedir. Sistem odası sel, yağmur, yangın gibi çevresel tehditlere karşı korunmakta ve buna uygun önlemler alınmaktadır. • Kişisel verilerin güvenli olarak saklanmasını sağlayan veri yedekleme programları kullanılmaktadır. Bilgisayarların yerel diskleri üzerine bilgi depolamak yasaklanmış olup, dosya ve belgeler güvenliği sağlamak için yedekleme işlemlerinin gerçekleştirildiği kurumsal depolama aygıtları üzerinde saklanmaktadır. • Kağıt ortamında bulunan kişisel veriler kilitli dolaplarda saklanmaktadır. Fiziksel güvenlik sağlanarak yetkisiz erişim engellenmektedir. • Kağıt ortamında bulunan kişisel verilerin imhası kağıt öğütücü ile gerçekleştirilmektedir. • Silinen kişisel verilerin ilgili kullanıcılar için erişilemez ve tekrar kullanılamaz olması için gerekli tedbirler alınmaktadır. • Resmi ve ön izin olmaksızın, herhangi bir depolama aygıtının (USB bellek aygıtı, flash bellek, akıllı telefon, tablet) bilgisayara bağlanması yasaklanmıştır. • Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği veya erişildiği fiziksel ortamların güvenliği sağlanmakta, yetkisiz giriş çıkışlar ile erişim engellenmektedir. • Özel nitelikli kişisel veriler elektronik ortamda işleniyor ve/veya aktarılıyor ise dosyalar şifrelenmekte, aktarım için Şirket kurumsal e-posta adresi kullanılmaktadır. Taşınabilir CD/bellek gibi herhangi bir depolama aygıt ortamında aktarılan özel nitelikli kişisel veriler kriptografik yöntemlerle (güvenli anahtar) şifrelenmektedir. Kağıt ortamı yoluyla aktarımı gerekiyorsa evrakın çalınması, kaybolması ya da yetkisiz kişiler tarafından görülmesi gibi risklere karşı gerekli önlemler alınmakta ve evrak “gizli” formatta gönderilmektedir.

Teknik Tedbirler. Bilgi güvenliği, erişim ve kullanım, saklama ve imha konularında kurumsal politikalar hazırlanmış olup uygulanmaktadırKas Grup tarafından işlenen kişisel verilere ilişkin olarak alınan teknik tedbirler aşağıda sıralanmıştır. • Bilgi Çalışanlar için veri güvenliği olay yönetimi ile yapılan analizler sonucunda bilişim sistemlerini etkileyecek riskler konusunda belli aralıklarla eğitim ve tehditler izlenmektedir. Bilgi güvenliği ihlal olayları raporlanmakta ve kayıt altına alınmaktadır. Bu kapsamda gerekli önlemler alınmaktadırfarkındalık çalışmaları yapılmaktadır. • Ağ güvenliği sağlanmakta ve güvenlik duvarları kullanılmaktadır. • Otomatik güncellemeye sahip anti virüs programları kullanılmaktadır. Düzenli olarak bu programın güncelliği ve çalışır olup olmadığı denetlenmektedir. • Sızma testi yapılarak Şirketin bilişim sistemlerine yönelik risk, tehdit, zafiyet ve varsa boşluklar ortaya çıkarılarak gerekli önlemler alınmaktadır. • Internet üzerinden Şirketin bilgisayar ağına erişen kullanıcılar Çalışanlar için VPN teknolojisi çerçevesinde özel kullanım prosedürü belirlenmiştir. • Elektronik ortamlarda log kayıtları kullanıcı müdahalesi olmayacak şekilde tutulmaktadır. • Kişisel veri içeren sistemlere erişim sınırlandırılmıştır. Bu kapsamda çalışanlara, yapmakta oldukları iş ve görevler ile yetki ve sorumlulukları için gerekli olduğu ölçüde erişim yetkisi tanınmış ve kullanıcı adı ve şifre kullanılmak suretiyle ilgili sistemlere erişim sağlanmıştır. • Şirket içerisinde yetki matrisi oluşturulmuştur. • Kişisel verilerin işlendiği ve muhafaza edildiği elektronik ortamlarda güçlü parolalar Erişim logları düzenli olarak tutulmaktadır. • Gizlilik taahhütnameleri yapılmaktadır. • Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkileri kaldırılmaktadır. • Güncel anti-virüs sistemleri kullanılmaktadır. • Güvenlik duvarları kullanılmaktadır. • Kişisel veri içeren fiziksel ortamlara giriş çıkışlarla ilgili gerekli güvenlik önlemleri alınmaktadır. • Kişisel veriler yedeklenmekte ve yedeklenen kişisel verilerin işlendiği elektronik ortamlarda güvenli loglama sistemleri güvenliği de sağlanmaktadır. • Kullanıcı hesap yönetimi ve yetki kontrol sistemi uygulanmakta olup bunların takibi de yapılmaktadır. • Mevcut risk ve tehditler belirlenmiştir. • Sızma testi uygulanmaktadır. • Şifreleme yapılmaktadır • Veri kaybı önleme yazılımı (DLP) kullanılmaktadır. • Bilişim Temiz masa temiz ekran politikası uygulanmaktadır. • Kas Grup internet sitesi ve web tabanlı uygulamalarına erişimlerde https protokolü kullanılmakta sha 256 bit rsa algoritması ile şifrelenmektedir. • Çevresel tehditlere karşı bilişim sistemleri güvenliğinin sağlanması için için, donanımsal (sistem odasına yalnızca sadece yetkili personel girebilmektedir. Sistem odası personelin girişini sağlayan erişim kontrol sistemi, 7/24 güvenlik kamerası ile izlenmektedir. Sistem odası sel, yağmurçalışan izleme sistemi, yangın gibi çevresel tehditlere karşı korunmakta söndürme, iklimlendirme sistemi) ve buna uygun yazılımsal (güvenlik duvarı, atak önleme sistemi, ağ erişim kontrolü, zararlı yazılımları engelleyen sistemler vb) önlemler alınmaktadır. • Kişisel verilerin güvenli olarak saklanmasını sağlayan Özel nitelikli kişisel veri yedekleme programları kullanılmaktadır. Bilgisayarların yerel diskleri üzerine bilgi depolamak yasaklanmış olupişleme süreçlerinde yer alan çalışanlara yönelik özel nitelikli kişisel veri güvenliği konusunda eğitimler verilmiş, dosya ve belgeler güvenliği sağlamak için yedekleme işlemlerinin gerçekleştirildiği kurumsal depolama aygıtları üzerinde saklanmaktadır. • Kağıt ortamında bulunan kişisel veriler kilitli dolaplarda saklanmaktadır. Fiziksel güvenlik sağlanarak yetkisiz erişim engellenmektedir. • Kağıt ortamında bulunan kişisel verilerin imhası kağıt öğütücü ile gerçekleştirilmektedir. • Silinen kişisel verilerin ilgili kullanıcılar için erişilemez ve tekrar kullanılamaz olması için gerekli tedbirler alınmaktadır. • Resmi ve ön izin olmaksızın, herhangi bir depolama aygıtının (USB bellek aygıtı, flash bellek, akıllı telefon, tablet) bilgisayara bağlanması yasaklanmıştırgizlilik sözleşmeleri yapılmıştır. • Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği fiziksel ortamların yeterli güvenlik önlemleri alınmakta, fiziksel güvenliği sağlanmakta, sağlanarak yetkisiz giriş ve çıkışlar ile erişim engellenmektedir. • Özel nitelikli kişisel veriler elektronik ortamda işleniyor ve/veya aktarılıyor ise dosyalar şifrelenmekte, aktarım için Şirket e-posta yoluyla aktarılması gerekiyorsa şifreli olarak kurumsal e-posta adresi kullanılmaktadıradresiyle aktarılmaktadır. Taşınabilir CD/bellek bellek, cd, dvd gibi herhangi bir depolama aygıt ortamında aktarılan özel nitelikli kişisel veriler ortamlar yoluyla aktarılması gerekiyorsa kriptografik yöntemlerle (güvenli anahtar) şifrelenmektedir. Farklı fiziksel ortamlarda ki sunucular arasında ki dosya transferleri vpn ile yapılmaktadır. Kağıt ortamı yoluyla aktarımı gerekiyorsa evrakın çalınması, kaybolması ya da yetkisiz kişiler tarafından görülmesi gibi risklere karşı gerekli önlemler alınmakta ve evrak “gizli” formatta gönderilmektediralınmaktadır.