Bilgi Güvenliği Yönetim Sistemi (BGYS) politikasının amacı, Trek Veri Hizmetleri A.Ş. ve ilgili şirketlerinin “BGYS Kapsam Dokümanında” belirtilen şirketler, lokasyonlar, varlıklar, süreçler ve personel için şirket stratejileri doğrultusunda BGYS’ye yönelik anlayışını aktarmak, BGYS amaç ve hedeflerini kayıt altına almak ve bu anlayışın uygulanması için yapılması gerekenleri aktarmaktır.

Trek Veri Hizmetleri A.Ş. yasal uyumluluklar ve BGYS kuralları çerçevesinde, gelişmiş teknoloji ile desteklenmiş, uygun erişim kontrolleri ve güvenlik önlemleri alınmaktadır. Bilgi güvenliği tehditleri göz önünde bulundurularak, bilgi varlıkları ve hizmetleri açısından riskler ve önlemler arasında uygun bir denge sağlanarak, Bilgi Güvenliği Risk Yönetimi Sistemi uygulanmaktadır.

Temel olarak bilgi güvenliği uygulama amacımız;

* Süreçlerin yönetilmesinde bilgi güvenliği iş standartlarının sağlanması, tüm birim ve personel tarafından içselleştirilmesi

* İşlenen verilerin gizlilik, bütünlük ve erişilebilirliğinin en üst seviyeye çıkarılması

* Yasal gerekliliklere, mevzuatlara ve sözleşmelere uyum sağlanmasıdır

* Kuruluşumuz ve bilgi sistemlerine ilişkin 3.taraflar ve müşterilerimizin bilgilerinin gizliliği, bütünlüğü ve erişebilirliğinin sağlanmasını,

* Bilgi Güvenliği kapsamında ISO 27001 standartı, ilgili yasal mevzuat ve şartlar ile üçüncü taraflar ile yapılan sözleşmelere uymayı,

* Varlıklarımıza ilişkin tüm riskleri sistematik bir biçimde yöneterek azaltmayı ve böylelikle tüm paydaşlarımızla sürdürülebilir ilişkiler kurmayı,

* Yaşanan bilgi güvenliği olayları ve ihlallerini yeniden oluşmasını engelleyecek biçimde düzeltmeyi

Üst yönetim olarak, belirlenen bilgi güvenliği amaçlarını gerçekleştirmek ve TS ISO IEC 27001 de belirtilen gereksinimleri yerine getirecek şekilde tanımlanmış, yürürlüğe konulmuş ve uygulanmakta olan “Bilgi Güvenliği Yönetim Sistemine” uyacağımızı ve sistemin verimli bir şekilde çalışması için gerekli olan kaynakları tahsis edeceğimizi, etkinliğini sağlayacağımız, sürekli iyileştireceğimizi ve bunun tüm taraflarca anlaşılmasını, içselleştirilmesini sağlayacağımızı beyan ederiz.

Temel BGYS Prensipleri;

• Trek Veri Hizmetleri A.Ş. bilgi güvenliğinin uluslararası standartlarda yönetilmesi ve sağlanmasında ISO/IEC 27001 Bilgi Güvenliği Yönetim Sistemi çerçevesindeki bilgi güvenliği prensipleri ile KVKK, Türkiye Cumhuriyeti Cumhurbaşkanlığı Dijital Dönüşüm Ofisi Bilgi ve İletişim Güvenliği Rehberi başta olmak üzere ilgili otoriteler tarafından çıkarılan yasal düzenlemelere uyum sağlanır.

• Trek Veri Hizmetleri A.Ş. bilgi kaynaklarına erişimi olan her çalışan DT-BGYS-TH001-Kurumsal Kullanıcı Taahhütnamesini her 3.taraf kuruluş DT-BGYS-SZ001-Üçüncü Taraf Gizlilik Sözleşmesi ve DT-BGYS-SZ002-Üçüncü Taraf Çalışanları Gizlilik Sözleşmesi imzalamış olmalıdır.

• Trek Veri Hizmetleri A.Ş. çalışanları ve 3.tarafın erişim hakları ihtiyaç nispetinde atanmalı, erişim kontrolü için mümkün olan en güvenli teknoloji ve teknikler kullanılmalıdır. Ayrıcalıklı erişimler kontrollü biçimde sağlanmalıdır.

• Sistem temini ve geliştirilmesinde güvenlik gereksinimleri belirlenmeli, sistem kabulü veya testlerinde güvenlik gereksinimlerinin karşılanıp karşılanmadığı kontrol edilmiş olmalıdır.

• Trek Veri Hizmetleri A.Ş. tarafından sağlanan bilgi işlem sistemleri ve uygulamaları, donanım ve cihazları hem Trek Veri Hizmetleri A.Ş. çalışanları hem de 3.taraflar için iş amacı dışında kullanılmamalıdır.

• Trek Veri Hizmetleri A.Ş. tarafından açıkça belirtilen durum ve yöntemler dışında 3. taraflar ile kurum bilgilerini paylaşılmamalı, satılmamalı, aktarılmamalı, yayınlanmamalı ve internet ortamında paylaşılmamalıdır. Hiçbir 3.taraf ve çalışanı Trek Veri Hizmetleri A.Ş. ’a ait bilgileri yazılı izin olmaksızın paylaşmamalı, satmamalı, aktarmamalı, yayınlanmamalı ve herhangi bir ortamda paylaşmamalıdır.

• Hiçbir 3.taraf ve çalışanı erişimine izin verilmiş uygulama ve alanlardaki kullanıcı adı ve parolaları başkası ile paylaşmamalıdır. Kendilerine verilmiş olan kullanıcı adı ve parola bilgilerini yetkilendirilmemiş kişilerin ele geçirmesine imkan verecek şekilde söylenmemeli, yazılmamalı, kaydedilmemeli ve elektronik ortamda depolanmamalıdır.

• Trek Veri Hizmetleri A.Ş.’a ait bilgi sistemleri üzerindeki kaynaklara erişecek tüm bilgisayarlar domain’e dahil edilerek kullanılmalıdır.

• Trek Veri Hizmetleri A.Ş. ’a ait bilgi işlem sistemleri, veritabanları, dosyalar, ağ topolojileri, cihaz konfigürasyonları ve benzeri kaynaklar firma tarafından açıkça yetkilendirilmedikçe 3.taraflar ile paylaşılmamalıdır.

• Trek Veri Hizmetleri A.Ş. çalışanları ve Trek Veri Hizmetleri A.Ş. için çalışan 3.taraf çalışanları; çalıştıkları sürece veya görevleri herhangi bir nedenle sona erse bile bilgileri gizlilik prensibine uygun olarak korumaktan sorumludur.

• Taşınabilir sistemlerin kullanıcıları, bu sistemlerin güvenliğini sağlamalı ve kurallara uyulmalıdır.

• Başta kullanıcı bilgisayarları ve sunucular olmak üzere mümkün olan tüm sistemler, zararlı yazılımlara karşı korunmalıdır.

• Bilgilerin ve bilgi içeren ortamlarının imhasında yayınlanan kurallara uyulmalıdır.

• Herkese açık bilgiler dışındaki bilgiler internet üzerinde, haber gruplarında, posta listelerinde ve forumlarda paylaşılmamalıdır.

• Yeni bilgi sistemlerinin devreye alınması ve geliştirilmesi belirlenen kurallara uygun şekilde gerçekleştirilmelidir.

• Çalışanlara ve gerekli görülen durumlarda 3. taraflara tahsis edilen e-posta hesapları kurallara uygun şekilde kullanılmalıdır.

• Trek Veri Hizmetleri A.Ş. ’a ait bilgi işlem sistemlerini izinsiz olarak kullanım dışı bırakılmamalı, yeri değiştirilmemeli ve firma dışına çıkartılmamalıdır.

• Güvenlik yazılımları (örn. antivirüs, kişisel güvenlik duvarı, vb.) bilgi işlem sistemlerden kaldırmamalı veya devre dışı bırakmamalıdır.

• İstemciden istemciye dosya paylaşım programlarını (P2P, torrent, FTP) kurum bilgisayarlarına yüklememeli ve kullanmamalıdır.

• Trek Veri Hizmetleri A.Ş. ’a ait bilgisayarlara, firmanın yasakladığı yazılımları yüklememeli ve çalıştırmamalıdır.

• Domaine dahil olmayan sistemler ile etki alanına dahil olan sistemler arasında bilgi aktarımı yapılmamalıdır.

• 3. Taraflar ile gizlilik sözleşmesi imzalanmadan ve yetkili firma çalışanınca nezaret edilmeden kurum bilgi işlem sistemlerine ve donanımlarına bağlanmamalı ve çalışmalarına izin verilmemelidir.

• Sunucu sistemleri üzerinde, kişisel bilgisayar uygulamaları (örn; e-posta programları, ofis uygulamaları, yazılım geliştirme araçları, network test araçları, vb.) kurulmamalı ve kullanılmamalıdır.

• İş süreçleri için gerekmeyen ve kullanılmasına izin verilmeyen sunucu hizmetlerini (örn; HTTP, Telnet, SSH, vb.) bilgi işlem sistemleri üzerinde çalıştırılmamalıdır.

• Trek Veri Hizmetleri A.Ş. tarafından sağlanan ve kullanım amaç ve biçimleri yazılı olarak bildirilen kurum ağ bağlantı yöntemleri dışında bir yöntemle (örn; ADSL modem, 3G, 4,5 G modem, GPRS, vb.) internete veya başka ağlara bağlanmak için kullanılmamalıdır.

• Çalışanlar ve 3.taraf çalışanları Trek Veri Hizmetleri A.Ş. içi ya da dışı bilgi sistemlerine yetkisi olmadığı halde zorla girmeye çalışmamalıdır.

• Trek Veri Hizmetleri A.Ş.’a ait bilgi işlem sistemlerine şifreleme ve parola mekanizmalarını kırmaya yönelik program ve araçlarını yüklenmemeli ve kullanılmamalıdır.

• Trek Veri Hizmetleri A.Ş. ’a ait bilgi sistemleri üzerinde, firmanın bilgisi ve izni olmadan değişiklik, yükseltme, genişletme yapılmamalıdır.

• İşle ilgili olmayan veya telif hakları ile korunan dosyaları (örn. müzik, film, kitap dosyaları, vb.) firma bilgisayarlarına ve bilgi sistemlerine indirilmemeli, depolanmamalı, çoğaltılmamalı ve paylaşıma açılmamalıdır.

• Trek Veri Hizmetleri A.Ş. bilgi işlem sistemlerini iş dışında, eğlence amaçlı (oyun vb.) kullanılmamalıdır.

• Kriptografik kontrollerin kullanımında tüm yasa, sözleşme ve regülasyonlara uyulmalıdır. Örn; Seçilen anahtar uzunluğu ve metot yasa ve sözleşmeler ile uygun olmalıdır.

• Trek Veri Hizmetleri A.Ş. , bilgi işlem sistemlerinde veya süreçlerinde gözlenen güvenlik zafiyetlerini, açıklarını veya oluşmuş saldırıları, muhatapları dışında ilgili olmayan kişilere iletilmemeli, açıklanmamalı, yayınlanmalı veya bu zafiyetleri yetkisi dışındaki sistem ve bilgilere erişmek için veya kendi yetkilerini arttırmak için kullanılmamalıdır.

BGYS çalışmalarına katılım

• Trek Veri Hizmetleri A.Ş. çalışanları ve 3.taraflar ile çalışanları bu politikada belirtilen şartlara ve kurallara uymalıdır. Bilgi Güvenliği ile ilgili yayınlanan herhangi bir prosedür, talimat, yönetmelik, politika, taahhütname ve sözleşme şartlarına uyulmaması durumunda Disiplin Yönetmeliği Kuralları ile sözleşme şartlarındaki yaptırımlar uygulanır.

• Her çalışan kendisinin kontrolünde ve yönetiminde olan bilgi varlıklarının kontrolü ve gizliliğinden sorumludur.

• Uygulanan kontrollerin yeterliliğini ve verimliliğini izlemek ve güvenlik ihlal olaylarını ve ihlale yol açabilecek tehdit ve zayıflıkları koyulan kurallara göre gecikmeden raporlamak zorundadır.

• Bilgi güvenliği yöneticilerinin bilgisi olmadan bilgi varlıkları ile ilgili donanımsal, yazılımsal ve fiziksel herhangi bir değişiklik yapılmamalıdır. Yapılması gereken değişiklikler ile ilgili Bilgi ve İletişim Teknolojileri Bölümünün en üst düzey yöneticisine mutlaka haber verilmeli ve değişiklikler kayıt altına alınmalıdır.

Çalışanlar/Son Kullanıcılar:

• BGYS politika ve prosedürlerini bilmek ve uymak.

• Bilgi varlıklarını bilgi varlığı sahibinin izin verdiği amaçla kullanmak.

• Bilgi varlığı sahibi ve bilgi varlığı operasyonel sahibinin belirlediği kontrollere uymak.

• Erişilen bilgilerin bilgi sınıfına uygun biçimde gizliliğini sağlamak.

• Farkındalık eğitimlerine katılmak.

• Tespit edilen bilgi güvenliği ihlal olaylarını hemen ilgili prosedüre uygun olarak bildirmek.

• İşten ayrılma durumunda kuruluşta çalışmakta olduğu süre boyunca kullanım için

kendisine verilmiş olan ve kendisinin kuruluşta çalıştığı süre boyunca ürettiği tüm

varlıkları kuruluşa teslim etmek.

Yaptırım

Bilgi Güvenliği Politikasının ihlali durumunda, “Bilgi Güvenliği Kurulu” ve bir üst yöneticinin onayıyla “Disiplin Yönetmeliği”nde belirtilen kurallar ve ilgili maddeleri ve 3.taraflar ile yapılmış olan tüm sözleşmeler esas alınarak işlem yapılır.