BM- S.0010	VERİ GÜVENLİĞİ POLİTİKASI
Güncelleme Tarihi / No:	01.01.2025 / 0
Ana Doküman Adı / No:	Kişisel Verilerin İşlenmesi ve Korunmasına İlişkin Aydınlatma Metni / BM- S.0003

MADDE 1 – “VERİ SORUMLUSU / SATICI” BİLGİLERİ:

 

Adı-Soyadı :  Servet Aydemir

Ünvanı :  BİLGE MÜHENDİSLİK & DANIŞMANLIK

Fatura Adresi  :  Halitpaşa Mahallesi 110 Sokak No: 2/B Tema Zeytin Sitesi D:3 Mudanya BURSA

Vergi Numarası :  15298767702

Vergi Dairesi :  Mudanya

Telefon Numarası  :  0537 2496799

E-Posta :  info@bilge-muhendislik.com

Kep Adresi :  servet.aydemir.2@hs01.kep.tr

Web Sitesi :  www.bilge-muhendislik.com 

 

MADDE 2 – KONU VE KAPSAM:

İşbu  "Veri Güvenliği Politikası”  kapsamında, "Kişisel Veri Sahibi / TÜKETİCİ " olarak tanımlanan kişi/kurum sizi ifade etmektedir. "Veri Sorumlusu / SATICI" ifadesi ise "BİLGE MÜHENDİSLİK & DANIŞMANLIK- Servet Aydemir" i ifade eder. Elektronik ortamda ziyaret ettiğiniz "www.bilge-muhendislik.com" adlı internet adresi "WEB SİTESİ" olarak anılacaktır. 

İşbu  "Veri Güvenliği Politikası” nın konusu,  KVKK Kanunu’nun 12 nci maddesinde yer alan veri güvenliği yükümlülükleri uyarınca "BİLGE MÜHENDİSLİK & DANIŞMANLIK- Servet Aydemir" in, kendisi adına verileri işleyen “VERİ İŞLEYEN” sıfatına haiz şirket ve diğer "SATICI'NIN ALTYAPI SUNAN İŞ ORTAKLARI" ile beraber "www.bilge-muhendislik.com" isimli “WEB SİTESİ” nin, bu site üzerinden yapılan müşteri işlemlerinin ve işletme bilgi güvenliğinin sağlanması için, değişen ve gelişen teknolojiye ve imkanlara paralel ve bağlı olarak;  "WEB SİTESİ" ve entegre alt yapı sistemlerinde, veri koruma tedbirlerine riayet etmesinin sağlanması için güncel, yeterli kontrol ve uyarı mekanizmalarının temin edilerek etkin bir şekilde kullanılması, kötü amaçlı yazılımlardan korunmak ve bilgi sistem ağını düzenli olarak tarayarak tehlikeleri tespit etmek için öngörülen ve/veya uygulanan tedbirler hakkında bilgi verilmesi ve aydınlatılmasıdır.

“Veri Güvenliği Politikası” ile; 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) (07.04.2016 tarihinde 29677 sayılı Resmi Gazete'de yayınlanarak yürürlüğe girmiştir.) gereğince, “WEB SİTESİ” nin ve altyapısında mevcut kişisel verilerin güvenliğinin planlanması, uygulanması ve kontrol edilerek sürekli iyileştirilmesi hakkında alınan idari ve teknik tedbirler hakkında bilgilendirme yapılır. 

“Açık Rıza Beyanı Metni” ile kişisel veri güvenliği konusunda açık rıza gerektiren hususlar "Veri Sahibi / TÜKETİCİ"nin onayına sunulmuştur.

"Veri Sorumlusu /SATICI ", bilgi teknolojileri ihtiyaçlarını karşılamak için "Veri İşleyen" den hizmet almaktadır. Kanunun 12nci maddesinin ikinci fıkrası gereği "Veri İşleyen" kişisel verilerin güvenliğinin sağlanması konusunda "Veri Sorumlusu /SATICI " ile müştereken sorumludur.

 

“BİLGE MÜHENDİSLİK & DANIŞMANLIK- Servet Aydemir" tarafından, veri güvenliği ile ilgili olarak hedefler ve faaliyetler belirlenerek planlanır, uygulanır, kontrol edilir ve sürekli olarak iyileştirilmesi sağlanır. Bu amaçla süreç boyunca uygulanan idari ve teknik tedbirler ve adımlar şunlardır:

İdari Tedbirler:

• Mevcut faaliyetlerin, mevzuat, sözleşme, standart ve iş gereksinimlerini nasıl karşıladığı tanımlanır.
• Kişisel Verilerin Korunması Kanunu (KVKK) gereksinimlerinin nasıl karşılandığı tanımlanır.
• Bu çerçevede görev, rol ve sorumluluklar belirlenir.
• Gizlilik ve erişilebilirlik/ulaşılabilirlik kriterleri belirlenir.
• Bilgiler ve kaynaklarla ilgili envanterler hazırlanır.
• Kişisel veri Güvenliğine ilişkin dokümantasyon (özel nitelikli kişisel veriler dahil tüm süreçlere yönelik açıklayıcı, sistemli, kuralları net bir şekilde belli, yönetilebilir ve sürdürülebilir prosedür, politika ve formlar ) hazırlanır.
•  Veri güvenliği, hükümleri içeren sözleşme ve politikalar müşterilere, çalışanlara ve iş ortaklarına imzalatılarak aydınlatma yükümlülüğü yerine getirilir.
• Mevcut riskler ve tehditler tespit edilir, potansiyel riskler tanımlanır, değerlendirilir ve uygun tedbirler devreye alınır.
• Sürecin sürekli iyileştirilmesi için iç denetimler/ raporlama süreleri planlanır.
• Güncel teknoloji ve yenilikler takip edilerek, çözümler geliştirilir.
• “Üçüncü Taraf Hizmet Sağlayıcılar" özenle seçilir, 
• Tercih edilecek yazılımların standartlara uygun seçilir,
• Çalışanların ve iş ortaklarının belirlenen uygulamalara uyması için gerekli önlemleri alınır, gizlilik taahhütnameleri hazırlanır ve imzalatılır.
• Gerekli duyurular yapılır,
• Sorumluların erişilebilir olması sağlanır.
• Çalışanlar için veri güvenliği konusunda, Kanun ve buna bağlı yönetmelikler ile özel nitelikli kişisel veri güvenliği konularında belli aralıklarla farkındalığın oluşması ve uygulanması için eğitim, etkinlik ve farkındalık çalışmaları yapılması, ayrıca çalışanların nitelikli bilgi ve becerilerinin geliştirilmesi için de düzenli eğitimler verililir.
• “Kişisel Veri Güvenliği Rehberi”nin “Çalışanların Eğitilmesi ve Farkındalık Çalışmaları” başlığı altında düzenlenen “… çalışanların kişisel verilerin hukuka aykırı olarak açıklanmaması ve paylaşılmaması gibi konular hakkında eğitim almaları, çalışanlara yönelik farkındalık çalışmaları yapılması ve güvenlik risklerinin belirlenebildiği bir ortam oluşturulması kişisel veri güvenliğinin sağlanması bakımından çok önemlidir.” ifadesine uygun olarak çalışana yönelik bilgilendirmeler yapılır, örneklendirmelerle desteklenir ve yeterli önemin verilmesi sağlanır,   
• Bu uygulamaların ihlali durumunda ilgili süreçler başlatılır ve sürecin sağlıklı işleyip işlemediği takip edilir.

 

Teknik Tedbirler:

1-RİSK ANALİZİ

Risk analizinde, kişisel verilerin özel nitelikli kişisel veri olup olmadığı, gizlilik seviyesi, ihlailinin yol açabileceği zarar nitelik ve niceliği değerlendirilir.

Riski azaltmak için, kişisel veriler mümkün olduğunca azaltılır.

 

2-E-POSTA GÜVENLİĞİ

Kurumsal olmayan şahsi e-posta adreslerinden kurumsal iletişim yapılmaması

Kurumsal e-postaların şahsi amaçlarla (özel iletişim, kişisel sosyal medya hesapları vb.) kullanılmaması,

Güvenli e-posta amacıyla kep veya kurumsal e-posta kullanılması,

Çalışanların e-posta erişimlerinin iki aşamalı kimlik doğrulama olarak güncellenmesi, 

E-posta sistemlerinin ayarlarının güvenli olacak biçimde yapılandırılması,

Özel Nitelikli Kişisel Verilerin E-Posta Gönderimleri şifreli olarak veya KEP veya kurumsal posta hesabı kullanılması,

 

3- PAYLAŞIMLAR

Sosyal medya üzerinden gizlilik dereceli veri paylaşımı ve haberleşme yapılmaması,

Mobil uygulamalar üzerinden, gizlilik dereceli veri paylaşımı ve haberleşme yapılmaması,

 

4- YETKİLENDİRME

Çalışanlar için yetki matrisi oluşturulması,

Yetkilendirme yapılacak personel hakkında ilgili mevzuat çerçevesinde güvenlik soruşturması veya arşiv araştırması yaptırılması,

Üst düzey yöneticiler ve tedarikçi iş ortakları da dahil olmak üzere, personelin sistemlere erişim yetkilendirmelerinin, fiilen yürütülen işler ve ihtiyaçlar nazara alınarak yapılmasının  sağlanması, çalışanlara, yapmakta oldukları iş ve görevler ile yetki ve sorumlulukları için gerekli olduğu ölçüde erişim yetkisi tanınması, 

Erişim yetki ve rol dağılımı net şekilde belirlenmesi, verilere erişim yetkisine sahip kullanıcıların, yetki kapsamlarının ve sürelerinin net olarak tanımlanması,

Çalışanların kullanıcı adı ve şifre kullanılmak suretiyle ilgili sistemlere erişiminin sağlanması, 

Admin yetkisi ve yönetici hesabı kullanımı kısıtlanması, 

Kişisel verilere erişimlerin yetkilendirilmesi ve sınırlandırılması,

Erişim aracısı yazılıma ait kullanıcı yetkilendirmelerinin yapılması, 

Kullanıcı hesap yönetimi ve yetki kontrol sistemi uygulaması ve takibi,

Uygunsuz erişimlerin kontrol altında tutulması,

Periyodik olarak yetki kontrollerinin gerçekleştirilmesi,

Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkilerinin derhal kaldırılması, kendisine tahsis edilen envanterin iade alınması,

 

5- ORTAM GÜVENLİĞİ

Kişisel veri içeren ortamların güvenliğinin sağlanması için:

Kişisel verilerin bulunduğu ortamın niteliğine göre yeterli güvenlik önlemlerinin (elektrik kaçağı, yangın, su baskını, hırsızlık vb. durumlara karşı) alındığından emin olunması,

Verilerin kağıt ortamı yoluyla aktarımı gerekiyorsa evrakın çalınması, kaybolması ya da yetkisiz kişiler tarafından görülmesi gibi risklere karşı gerekli önlemlerin alınması

Verilerin saklandığı ortamların fiziksel güvenliğinin sağlanarak yetkisiz giriş çıkışların engellenmesi, bu konuda gereken güvenlik tedbirlerin alınması

Kağıt yoluyla aktarılan kişisel veriler için ekstra güvenlik tedbirleri alınması ve ilgili evrakların üzerindeki kaşe veya format aracılığı ile içerik hakkında uyarı yapılması,

"Gizli Bilgi" lerin internete kapalı ve fiziksel güvenliği sağlanmış bir ağda ve erişim kontrollü cihazlarda tutulması,

Kritik veri, doküman ve belgelerin bulunduğu ve/veya görüşmelerin gerçekleştirildiği oda/ortamlarda mobil cihazlar ve veri transferi özelliğine sahip cihazların bulundurulmaması,

Ortamın toz, nem, ve saire gibi verilerin muhafazasına zarar verebilecek faktörlerden temizlenmesi,  

Verilere kolay ulaşılabilirliği sağlayacak düzenin sağlanması, (Etiketleme, raflama, dosyalama, kategoriye göre renklendirme, ve saire şekillerde)

Gereksiz evrak yükü ile ulaşılabilirlik ve izlenebilirlik engellenmemeli, işbu “Saklama ve İmha Politikası”nda belirtilen sürelere uygun şekilde imha, silme, yok etme ve anonimleştirme işlemlerinin yapılması,

Dijital verilerin ve yedeklerin internete kapalı ve fiziksel güvenliği sağlanmış bir ağda ve erişim kontrollü cihazlarda tutulması,

Verilerin kağıt ortamı yoluyla aktarımı gerekiyorsa evrakın çalınması, kaybolması ya da yetkisiz kişiler tarafından görülmesi gibi risklere karşı gerekli önlemlerin alınması ve evrakın “Gizli Bilgi" kaşeli veya formatında gönderilmesi,

Kritik veri, doküman ve belgelerin bulunduğu ve/veya görüşmelerin gerçekleştirildiği oda/ortamlarda mobil cihazlar ve veri transferi özelliğine sahip cihazların bulundurulmaması,

 

6- ŞİFRELEME

İşlemlerde ve verilerin işlendiği elektronik ortamlarda güçlü şifre ve parola kullanılması, 

Düzenli aralıklarla şifre ve parolaların değiştirilmesinin sağlanması, 

Şifre girişi deneme sayısının sınırlandırılması (Kaba kuvvet algoritması (BFA) kullanımı gibi yaygın saldırılardan korunmak için), 

Çift faktör özelliği olan sistemlerde bu özelliğin aktifleştirilmesi, 

Verilere uzaktan erişim gerekiyorsa en az iki kademeli kimlik doğrulama sisteminin sağlanması,

Taşınabilir bellek, CD, DVD ortamında aktarılan özel nitelikli kişiler veriler şifrelenerek aktarılması,

Verilerin kriptografik yöntemler kullanılarak muhafaza edilmesi, 

Verilerin işlendiği elektronik ortamda ve özel nitelikli kişisel veriler için güvenli şifreleme / kriptografik anahtarlar kullanılması ve farklı birimlerce yönetilmesi, anahtar yönetimi uygulanması

Kriptografik anahtarların güvenli ve farklı ortamlarda tutulması,

 

7- LOGLAMA SİSTEMİ

Loglama sistemi ( güvenli kayıt tutma) kullanılması,

Veriler üzerinde gerçekleştirilen tüm hareketlerin işlem kayıtlarının güvenli olarak loglanması,

Erişim loglarının düzenli olarak tutulması,

İşlem kayıtlarının loglanması,

Log kayıtları kullanıcı müdahalesi olmayacak şekilde tutulması

Log kayıtları değiştirilmeye karşı önlem alınarak saklanması,

Log kayıtlarının adli olaylarda kanıt niteliğinde kullanılabilmesi için zaman damgasıyla damgalanması, 

Logların korelasyonunun sağlanması 

 

8- İNTERNET BAĞLANTI GÜVENLİĞİ

Ağ Güvenliği ve uygulama güvenliği sağlanması

Ağ yoluyla kişisel veri aktarımlarında kapalı sistem ağ kullanılması,

Kritik durumlarda/noktalarda internetin kapatılması

Güvenlik duvarları kullanılması, uçtan uca tünelleme yöntemleri, yetkilendirme ve kimliklendirme mekanizmaları vb. bağlantı güvenliği tedbirleri alınması,

Kişisel verileri barındıran uzaktan erişim sağlayan cihazların, veri trafiğinin izlenmesi dışında başka riskler de barındıran güvensiz hot spot noktalarındaki ağlara katılmaması,  bağlantı güvenli olsa bile 5651 s. Kanun gereğince hot spot paylaşımı yapanlar log tutmak zorunda olduklarından, hedef konumda olduğu ve IP ve açık portlarına dair bilgileri otomatikman kaydedebilme riski mevcut olduğu hususlarına dikkat edilmesi, hukuka uygun biçimde kişisel veri barındırma için sisteme, halka açık hot spot noktalarından VPN vb. kullanmadan bağlanılmaması,  

 

9- SUNUCU

Farklı fiziksel ortamlardaki sunucular arasında aktarma gerçekleştiriliyorsa, sunucular arasında VPN kurularak veya sFTP yöntemiyle veri aktarımının gerçekleştirilmesi,

VPN erişimde kullanılan sertifikaların yenilenmesi, 

Sistemin enjeksiyon saldırılarına karşı (SQL vb. programlama dilleri manipüle edilerek, vb. şekillerde veri tabanı bilgilerine erişilmesi) veri tabanı sunucularında gerekli filtreleme önlemlerinin alınması, 

Farklı internet siteleri ve/veya mobil uygulama kanallarından temin edilecek veriler için ve internet kullanıcılarına açık olan uygulamalarda, bağlantıların SSL ya da daha güvenli bir yol ile gerçekleştirilmesi (veri trafiğinin dinlenmemesi için ) 

"Kişisel Veri Güvenliği Rehberi” nin “Siber Güvenliğin Sağlanması” başlığı altında yer alan “her yazılım ve donanımın bir takım kurulum ve yapılandırma işlemlerine tabi tutulması gerekmektedir.” ifadesine uygun olarak DLP sisteminin doğru yapılandırılması ve gerekli tedbirlerin mümkün olan ölçülerde  alınması, ( belirli adedin üstünde e-posta gönderiminin engellenmesi; T.C. Kimlik Numarası /kredi kartı numarası/ IBAN / telefon numarası / e-posta adresi vb. gibi kişisel verilerin bulunduğu belgelerin e-posta ile kurum dışına gönderilmesinin engellenmesi; TCKN bilgileri, Kredi Kartı bilgileri ve IBAN bilgilerinin kurum içindeki hareketi ve kurum dışına çıkışı izlenmesi ve gerektiğinde engellenmesi; vb. tedbirler)   

 

10- YAZILIMLAR

Yazılım kullanılmadan önce güvenlik testlerinden geçirilmiş olması, güvenli yazılımların seçilmesi,

Yazılımların güvenlik testlerinin düzenli olarak yapılması/yaptırılması, test sonuçlarının kayıt altına alınması,

Yerli uygulamaların kullanımının tercih edilmesi,

İmkanı varsa kullanıcıların bilgisi/izni olmaksızın sistemlere erişim imkânı sağlayan güvenlik zafiyeti olan bir açıklık içermediğine dair üretici ve/veya tedarikçilerden taahhütname alınması,

 

11-CİHAZLAR

Kişisel olarak kullanılanlar da dâhil olmak üzere kaynağından emin olunmayan taşınabilir cihazların (dizüstü bilgisayar, mobil cihazlar, harici bellek/disk, CD/DVD vb.)  kullanılmaması ve sisteme bağlanılmaması,

"Gizli Bilgi" içeren veya mahremiyet içeren veri, doküman ve belgelerin yetkilendirilmemiş veya kişisel olarak kullanılan cihazlarda (dizüstü bilgisayar, mobil cihaz, harici bellek vb.) bulundurulmaması,

"Gizli Bilgi" içeren verilerin saklandığı cihazların kayıt altında tutulması, dışarıya çıkartılacak ise mümkünse içerisinde yer alan verilerin donanımsal ve/veya yazılımsal olarak şifrelenmesi/kriptolanması,

Cihazların yetkili kullanıcılarına  zimmetlenmesi,

 

12-TEHDİT ALGILAYICI SİSTEM, YAZILIM ve PROGRAMLAR

Veri kaybı Önleme Yazılımı,

Güncel anti-virüs, antispam sistemleri kullanılması,

Saldırı tespit ve önleme sistemleri,

Gerektiğinde veri maskeleme önlemi uygulanması,

Bilişim sistemleri, techizatı, yazılım ve verilerinin fiziksel güvenliği için gerekli önlemler alınması,

Bilgi teknolojileri sistemleri tedarik, geliştirme ve bakımı kapsamında güvenlik önlemleri alınması,

Kişisel veri güvenliğinin takibi yapılması,

 

13- YEDEKLEME

Verilerin güvenli saklanması için güvenli yedekleme programları kullanılması,

Yedeklenen kişisel verilerin güvenliğinin sağlanması,

 

14- DEPOLAMA

Kişisel verilerin, mümkün oldukça bulut depolama hizmetlerinde saklanmaması,

Bulutta depolanan kişisel verilerin güvenliğinin sağlanması,

Özellikle kimlik, sağlık, iletişim ve finansal kayıt bilgilerinin güvenli bir şekilde depolanmasının sağlanması,

 

15-İÇ VE DIŞ DENETİMLER

Periyodik olarak sistemlere ve ortamlara ait güvenlik amaçlı  "sızma testi" yapılması/ yaptırılması, test sonuçlarının kayıt altına alınması,

Kurum içi periyodik ve/veya rastgele iç denetimler yapılması/ yaptırılması

Güvenlik testlerinin düzenli yapılması,

"Gizli Bilgi"lerin işlendiği ortamlarda mümkün ise yayma güvenliği (TEMPEST) veya benzeri güvenlik önlemlerin alınması,

 

16- RAPORLAMA

Kişisel veri Güvenliği sorunları hızlı bir şekilde raporlanmasının sağlanması,

 

17-TEHDİT DURUMUNDA ACİL YAPILACAKLAR

Hukuka aykırı işlem tespitinde ilgili kişiye ve kuruma bildirmek için altyapı oluşturulması,

Sistemde herhangi bir güvenlik açığı tespit edildiğinde , örneğin ödeme sisteminde olabilecek bir güvenlik açığı durumunda ödeme sistemini değiştirilmesi ya da sistemde bulunan kredi kartı bilgileri imha edilmesi, en kısa sürede de ihlalin gerçekleşme tarihi, kapsamı ve muhtemel etkileri hakkında "Kişisel Veri Sahibi / TÜKETİCİ " ye bizzat bilgi verilmesi, (Aksi halde, 6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) 4 üncü maddesinin (2) numaralı fıkrasının (b) ve (ç) bendine aykırı hareket etmiş sayılacaktır.) 

Riskli durumlarda, riskli hesapla ilişiğin kesilmesi, zaman kaybetmeksizin hesabın silinmesi ya da girişlerin kapatılması gibi yöntemlerle erişimin sınırlandırılması, 

Kötü niyetli yazılım, servis dışı bırakma saldırısı, bilişim sisteminin kötüye kullanılması vb. gibi istenmeyen olaylarda delillerin toplanması ve güvenli bir şekilde saklanması,     

 

 

MADDE 3 – EK DOKÜMANLAR:

----------

 

MADDE 4 – İMZA / ONAY:

Veri güvenliğine ilişkin; "www.bilge-muhendislik.com" adlı internet sitesinin ve kişisel verilerin, kötü amaçlı yazılım ve saldırılara karşı güvenliğinin sağlanması amacıyla "Veri Sorumlusu /SATICI" sıfatıyla  “Halitpaşa Mahallesi 110 Sokak No: 2/B D:3 Mudanya BURSA” adresinde mukim " BİLGE MÜHENDİSLİK & DANIŞMANLIK- Servet Aydemir” tarafından hazırlanan “Veri Güvenliği Politikası” nı eksiksiz okudum, anladım, alınan ve alınacak tüm idari ve teknik tedbirleri ve belirtilen tüm hususları özgür irade ve açık rızamla kabul ettiğimi beyan eder, üzerime düşen yükümlülüklerimi yerine getireceğimi, yerine getiremez isem bundan dolayı "Veri Sorumlusu / SATICI" yı sorumlu tutmayacağımı kabul ve taahhüt ediyorum.  

 

Kabul Ediyorum   [  ]                          Kabul Etmiyorum [  ]