YASAL BILGILER MERKEZI

Yasal metinler ve kurumsal politikalar

Regülasyon, güvenlik ve kullanıcı hakları kapsamındaki tüm güncel dokümanlara tek ekrandan erişin.

Bilgi Güvenliği Politikası

Amaç

  • Bu politika; SPK'nın VII-128.10 sayılı Bilgi Sistemleri Tebliği ve III-35/B.1 sayılı Kripto Varlık Hizmet Sağlayıcılar Tebliği kapsamında bilgi güvenliği yönetim sisteminin kurulması, izlenmesi, test edilmesi ve raporlanmasına ilişkin gereklilikleri karşılamak amacıyla oluşturulmuştur.
  • İşbu politika Necen Kripto Varlık Alım Satım Platformu A.Ş.'nin (Şirket) bilgi sistemlerinin yönetimi, kurumsal yönetim uygulamalarının bir parçası olarak ele alınarak, Şirket'in operasyonunun istikrarlı, rekabetçi, gelişen ve güvenli bir çizgide sürdürebilmesi için bilgi sistemlerine ilişkin stratejilerin iş hedefleri ile uyumlu olması sağlanarak, bilgi sistemleri yönetimine ilişkin politika, süreç ve prosedürlerin tesis edilmesi, düzenli olarak gözden geçirilmesi, teknolojik gelişmeler doğrultusunda güncelliğinin sağlanması, bilgi güvenliği ihlal olaylarının tespitinde ve yönetiminde uygulanması gereken hususları belirleyerek, sorumlukların tespit edilmesi, risklerin tanımlanması, kontrol noktalarının, temel prensiplerin, yükümlülüklerin ve tedbirlerin ortaya konulması amacıyla oluşturulmuştur.

Dayanak

  • Sermaye Piyasası Kurulu'nun VII-128.9 sayılı Bilgi Sistemleri Yönetimi Tebliği'nde Bilgi İşlem Birimi'nin Şirket bünyesinde kurulabileceği veya dışarıdan alınmak suretiyle sağlanabileceği belirtilmiş olup, gerekli bilgi işlem hizmetlerinin sağlanması için ilgili Tebliğ hükümlerine dayanılarak hazırlanmıştır.

Kapsam

  • Şirket, Sermaye Piyasası Kurulu'nun III-35./B.1 sayılı Kripto Varlık Hizmet Sağlayıcıların Kuruluş ve Faaliyet Esasları Hakkında Tebliğ hükümleri uyarınca bilgi işlem hizmetini yatırım kuruluşlarından ve uzmanlaşmış diğer kuruluşlardan alabilir.
  • İşbu politika, kuruma ait tüm bilişim altyapısı, uygulamalar, kripto varlık cüzdan altyapısı, kullanıcı erişim hakları, üçüncü taraf sistem bağlantıları, log yönetimi, yedekleme, felaket kurtarma, güvenlik açıkları yönetimi, zafiyet testleri, olay müdahale süreçleri ve siber güvenlik ihlallerine yönelik tüm faaliyetleri kapsar.

Tanımlar

  • Kurul/SPK: Sermaye Piyasası Kurulu'nu,
  • Tebliğ: Sermaye Piyasası Kurulu'nun III-35./B.1 sayılı Kripto Varlık Hizmet Sağlayıcıların Kuruluş ve Faaliyet Esasları Hakkında Tebliğ'ni,
  • Şirket/Kuruluş: Necen Kripto Varlık Alım Satım Platformu A.Ş.'yi,
  • BG Yöneticisi: Bilgi Güvenliği Yönetim Sorumlusunu,
  • Birincil sistemler: Şirket'in 6362 sayılı Sermaye Piyasası Kanunu'ndan ve anılan Kanuna ilişkin alt düzenlemelerden kaynaklanan görevlerini yerine getirmeleri için gerekli bilgilerin elektronik ortamda güvenli ve istenildiği an erişime imkan sağlayacak şekilde kaydedilmesini ve kullanılmasını sağlayan altyapı, donanım, yazılım ve veriden oluşan sistemin tamamını,
  • Bütünlük: Bilginin doğruluğu ve tamlığını koruma özelliğini,
  • Denetim izi: Finansal ya da operasyonel işlemler ile bilgi güvenliği ihlal olaylarının başlangıcından bitimine kadar adım adım takip edilmesini sağlayacak kayıtlar ile bu kayıtlar üzerinde yapılan işlemleri gösteren kayıtları,
  • Düzeltici faaliyet: Bilgi sistemlerinde yaşanan herhangi bir acil durum, hata, arıza veya kötüye kullanım sonrasında olayın etkilerini azaltmak için yerine getirilen faaliyeti,
  • Erişilebilirlik: Bilginin yetkili kullanıcı, uygulama veya sistem tarafından talep edildiğinde erişilebilir ve kullanılabilir olma özelliğini,
  • Gizlilik: Bilgi sistemlerine ve bilgiye sadece yetkili kullanıcı, uygulama veya sistem tarafından erişilebilmesini,
  • Güvenli alan: Bilgi işleme, iletişim ve depolama donanımlarını barındıran alanı,
  • İkincil sistemler: Birincil sistemler aracılığı ile yürütülen faaliyetlerde bir kesinti olması halinde, bu faaliyetlerin iş sürekliliği planında belirlenen kabul edilebilir kesinti süreleri içerisinde sürdürülür hale getirilmesini ve 6362 sayılı Sermaye Piyasası Kanunu'ndan ve anılan Kanuna ilişkin alt düzenlemelerde Şirket için tanımlanan sorumlulukların yerine getirilmesi açısından gerekli olan bütün bilgilere kesintisiz ve istenildiği an erişilmesini sağlayan birincil sistem yedeklerini,
  • Kanun: 6362 sayılı Sermaye Piyasası Kanunu'nu,
  • Kontrol: Bilgi sistemleri süreçleriyle ilgili olarak gerçekleştirilen ve iş hedeflerinin gerçekleştirilmesi, istenmeyen olayların belirlenmesi, engellenmesi ve düzeltilmesine ilişkin yeterli derecede güvenceyi oluşturmayı hedefleyen politikalar, prosedürler, uygulamalar ve organizasyonel yapıların tamamını,
  • Üçüncü taraf: Şirket ile müşteriler dışında kalan gerçek veya tüzel kişileri,
  • Üst yönetim: Yönetim kurulu tarafından belirlenen kişi ya da grubu, yönetim kurulu tarafından belirleme yapılmadığı durumlarda ise Şirket'in en üst yetkilisini,
  • ifade eder.

Bilgi Güvenliği Hedefleri

  • Bilgi sistemlerinin kurulması, işletilmesi, yönetilmesi ve kullanılmasına ilişkin; bilginin gizliliğinin, bütünlüğünün ve gerektiğinde erişilebilir olmasının sağlanmasına yönelik olarak bilgi güvenliği politikası üst yönetim tarafından hazırlanır ve yönetim kurulu tarafından onaylanır. Onaylanan bilgi güvenliği politikası personele duyurulur. Bu politika, bilgi güvenliği süreçlerinin işletilmesi için gerekli rollerin ve sorumlulukların tanımlanmasını, bilgi sistemlerine ilişkin risklerin yönetilmesine dair süreçlerin oluşturulmasını, kontrollerin tesis edilmesini ve gözetimini kapsar.
  • Şirket'in bilgi güvenliği hedefleri; mevzuata uyumun sağlanması, müşteri varlıklarının ve bilgilerinin korunması, hizmet sürekliliğinin teminat altına alınması ve kurumsal itibarın sürdürülebilir şekilde korunması esaslarına dayanır. Bu hedefler, bilgi güvenliği politikası ve buna bağlı alt düzenlemeler aracılığıyla somutlaştırılır ve ölçülebilir hale getirilir.
  • Bu kapsamda Şirket, bilgi sistemleri üzerinden işlenen tüm verilerin gizliliğinin korunmasını temel bir hedef olarak benimser. Müşteri bilgileri, işlem verileri ve kuruma ait kritik bilgiler; yetkisiz erişim, ifşa, değiştirme veya silme risklerine karşı teknik ve idari önlemlerle korunur. Veri gizliliğinin sağlanması, yalnızca teknik tedbirlerle sınırlı olmayıp, personel farkındalığı ve süreç disiplinini de kapsayan bütüncül bir yaklaşımla ele alınır.
  • Bilginin bütünlüğünün korunması, Şirket'in bir diğer temel bilgi güvenliği hedefidir. Bilgi sistemleri üzerinden gerçekleştirilen işlemlerin doğru, tam ve tutarlı şekilde kaydedilmesi; yetkisiz veya hatalı müdahaleler sonucu verinin bozulmasının önlenmesi; kritik işlemlerde denetim izlerinin tutulması suretiyle veri bütünlüğü güvence altına alınır. Bu hedef doğrultusunda, değişiklik yönetimi, yetkilendirme ve kayıt mekanizmaları etkin şekilde işletilir.
  • Erişilebilirliğin sağlanması, bilgi güvenliğinin ayrılmaz bir unsuru olarak değerlendirilir. Şirket, yetkili kullanıcıların bilgi sistemlerine ve verilere ihtiyaç duydukları anda erişebilmesini temin etmeyi; sistem kesintileri, siber saldırılar veya teknik arızalar nedeniyle hizmet sürekliliğinin aksamasını önlemeyi hedefler. Bu amaçla iş sürekliliği, yedekleme ve felaket kurtarma mekanizmaları tesis edilir ve düzenli olarak test edilir.
  • Bilgi güvenliği hedefleri kapsamında ayrıca; bilgi sistemleri kaynaklı risklerin proaktif biçimde tanımlanması, bu risklerin kabul edilebilir seviyelere indirilmesi ve risk yönetimi süreçlerinin kurumsal karar alma mekanizmalarına entegre edilmesi amaçlanır. Bilgi güvenliği, statik bir yapı olarak değil; teknolojik gelişmeler, yeni tehditler ve mevzuat değişiklikleri doğrultusunda sürekli iyileştirilen dinamik bir süreç olarak ele alınır.
  • Son olarak, Şirket bilgi güvenliği hedeflerini gerçekleştirirken; Sermaye Piyasası Kurulu düzenlemeleri ve TÜBİTAK tarafından belirlenen teknik kriterler başta olmak üzere ilgili tüm mevzuata tam uyum sağlamayı ve denetime açık, şeffaf bir bilgi güvenliği yönetim yapısı tesis etmeyi temel ilke olarak benimser.

Bilgi Güvenliği Rollerinin Tanımlanması ve Kurumsal Sorumluluk Yapısı

  • Şirket bünyesinde bilgi güvenliğinin etkin, sürekli ve mevzuata uyumlu biçimde sağlanabilmesi amacıyla; bilgi güvenliğine ilişkin görev, yetki ve sorumluluklar kurumsal organizasyon yapısı içerisinde açık, izlenebilir ve hesap verebilir olacak şekilde tanımlanır. Bu çerçevede roller, kişi bazlı değil rol bazlı olarak belirlenir; atamalar ise yetkinlik, deneyim ve görev gereklilikleri dikkate alınarak yapılır.
  • Bilgi güvenliği yönetişiminin en üst seviyedeki sorumluluğu Yönetim Kurulu'na aittir. Yönetim Kurulu, bilgi güvenliği politikasının onaylanmasından, bu politika kapsamında tesis edilen kontrol ve süreçlerin etkinliğinin gözetiminden ve bilgi sistemleri kaynaklı risklerin kurumsal risk yönetimi çerçevesinde ele alınmasından sorumludur. Bilgi güvenliğini etkileyebilecek kritik sistem yatırımları, altyapı değişiklikleri ve dış kaynak kullanımına ilişkin kararlar, risk değerlendirmeleri dikkate alınarak Yönetim Kurulu'nun bilgisi ve gözetimi altında yürütülür.
  • Üst Yönetim, bilgi güvenliği politikasının fiilen uygulanmasını temin etmekle yükümlü olup; bu kapsamda gerekli insan kaynağının, teknik altyapının ve finansal kaynakların tahsisini sağlar. Üst Yönetim, bilgi güvenliği süreçlerinin günlük operasyonlara entegre edilmesini, görev ayrılığı ilkesinin uygulanmasını ve bilgi güvenliği risklerinin kabul edilebilir seviyelerde tutulmasını gözetir.
  • Bilgi Sistemleri Güvenliği Sorumlusu, bilgi güvenliği risklerinin tanımlanması, izlenmesi, değerlendirilmesi ve raporlanmasından birincil derecede sorumlu olup; bilgi güvenliğine ilişkin teknik ve idari kontrollerin tesis edilmesini, işletilmesini ve etkinliğinin izlenmesini sağlar. Bu rol, bilgi güvenliği ihlallerinin yönetilmesi, olaylara müdahale süreçlerinin koordine edilmesi ve üst yönetime düzenli raporlama yapılması görevlerini de kapsar.
  • Bilgi Teknolojileri fonksiyonu içerisinde yer alan yazılım geliştirme, sistem ve altyapı yönetimi ile güvenlik rollerinin her biri; görev ayrılığı ilkesi gözetilerek yapılandırılır. Üretim ortamları, geliştirme ve test ortamlarından ayrıştırılır; kritik sistemlere erişimler rol bazlı yetkilendirilir ve kayıt altına alınır. Aynı personelin, hem geliştirme hem de üretim ortamında tek başına kontrol sağlayacak yetkilere sahip olması engellenir. Bu hususlar, bilgi güvenliğinin bütünlüğü ve kötüye kullanım risklerinin azaltılması açısından temel ilke olarak benimsenir.
  • Bilgi sistemlerine erişimi bulunan tüm çalışanlar ve üçüncü taraf hizmet sağlayıcılar, kendi görev alanlarıyla sınırlı olmak kaydıyla bilgi güvenliği politikasına uymakla yükümlüdür. Bu kişiler, bilgi güvenliğini tehdit edebilecek durumları derhal ilgili birimlere bildirmek ve belirlenen güvenlik kurallarına uygun davranmakla sorumludur.

Bilgi Sistemleri Risk Yönetimi

  • (1) Şirket, bilgi sistemlerine ilişkin riskleri ölçmek, izlemek, işlemek ve raporlamak üzere risk yönetimi süreç ve prosedürlerini tesis eder ve güncelliğini sağlar.
  • (2) Bilgi sistemlerine ilişkin risklerin yönetilmesinde asgari olarak aşağıdaki hususlar değerlendirmeye katılır:
    • a) Bilgi teknolojilerindeki hızlı gelişmeler sebebiyle rekabetçi ortamda gelişmelere uymamanın olumsuz sonuçları, gelişmelere uyma konusundaki zorluklar ve yasal mevzuatın değişebilmesi,
    • b) Bilgi sistemleri kullanımının öngörülemeyen hatalara ve hileli işlemlere zemin hazırlayabilmesi,
    • c) Bilgi sistemlerinde dış kaynak kullanımından dolayı dış kaynak hizmeti veren kuruluşlara bağımlılığın oluşabilmesi,
    • ç) İş ve hizmetlerin önemli oranda bilgi sistemlerine bağlı hale gelmesi,
    • d) Bilgi sistemleri üzerinden gerçekleştirilen işlemlerin, verilerin ve denetim izlerine ilişkin tutulan kayıtların güvenliğinin sağlanmasının zorlaşması.
  • (3) Bilgi sistemlerine ilişkin risk analizi yapılır. Yılda en az bir defa veya bilgi sistemlerinde meydana gelebilecek önemli değişikliklerde tekrarlanır.
  • (4) Bilgi sistemlerinin teknik açıklarına ilişkin bilgi, zamanında elde edilir ve kuruluşun bu tür açıklara karşı zafiyeti değerlendirilerek, riskin ele alınması için uygun tedbirler alınır.
  • (5) Şirket'in bilgi sistemleri, bilgi güvenliği gereklerinin yerine getirilmesi hususunda herhangi bir görevi bulunmayan ve sızma testi konusunda ulusal veya uluslararası belgeye sahip gerçek veya tüzel kişiler tarafından en az yılda bir kez sızma testine tabi tutulur.
  • (6) Sızma testinde VII-128.9 Bilgi Sistemleri Yönetimi Tebliğin 1 numaralı ekinde yer alan usul ve esaslar uygulanır.

Bilgi Sistemleri Kontrollerinin Tesisi ve Yönetilmesi

  • (1) Şirket üst yönetimi, bilgi güvenliği politikası kapsamında, bilgi sistemlerinden kaynaklanan güvenlik risklerinin yeterli düzeyde yönetildiğinden emin olmak için, bilgi sistemlerinin ve üzerinde işlenmek, iletilmek, depolanmak üzere bulunan verilerin gizlilik, bütünlük ve erişilebilirliklerini sağlayacak önlemlere ilişkin kontrollerin geliştirilmesini, işletilmesini, güncelliğini sağlar ve gerekli yönetsel sorumlulukları tanımlar.
  • (2) Bilgi sistemleri kontrolleri kapsamında asgari olarak aşağıdaki hususlar dikkate alınır:
    • a) Her kontrol süreci için süreç sahibinin, rollerin, faaliyetlerin ve sorumlulukların açık bir şekilde tanımlanması,
    • b) Kontrol süreçlerinin periyodik biçimde tanımlanması,
    • c) Her kontrol sürecinin hedef ve amaçlarının açıkça tanımlanmış olması ve performansının ölçülebilir olması.
  • (3) Bilgi sistemleri kontrollerine ilişkin etkinlik, yeterlilik ve uygunluk ile öngörülen risk ya da risklerin etkisini azaltmaya yönelik faaliyetler devamlı bir şekilde takip edilir ve değerlendirilir. Değerlendirme neticesinde tespit edilen önemli kontrol eksiklikler üst yönetime raporlanır ve gerekli önlemlerin alınması sağlanır.
  • Bilgi sistemlerine ilişkin kontroller, yılda iki kez olmak üzere Bilgi Sistemleri Güvenliği Sorumlusu tarafından gerçekleştirilecek ve sonuçları Üst Yönetime ve Yönetim Kurulu'na raporlanacaktır.

Varlık Yönetimi

  • (1) Şirket, sahip olduğu bilgi varlıklarını ve bu varlıkların sorumlularını belirler, bu varlıkların envanterini oluşturur ve envanterin güncelliğini sağlar.
  • (2) Bilgi varlıkları önem derecelerine göre sınıflandırılır.
  • (3) Taşınabilir ortamlar, içerdiği bilgilerin hassasiyet derecesine göre kaybolma veya hırsızlık risklerine karşı korunur ve önem derecesi yüksek bilgileri veya bu bilgilere erişim sağlayan yazılımları barındıran taşınabilir ortamlar yetkilendirme olmaksızın kurum dışına çıkarılmaz.
  • (4) Depolama ortamları elden çıkarılmadan önce üzerinde kuruluşa ait veri, bilgi ve lisanslı yazılımın bulunmamasına yönelik gerekli önlemler alınır.
  • (5) Temiz masa ve temiz ekran ilkeleri benimsenir.

Görevler Ayrılığı Prensibi

  • (1) Bilgi sistemleri üzerinde hata, eksiklik veya kötüye kullanım risklerini azaltmak için görev ve sorumluluk alanları ayrılır. Sistem, veri tabanı ve uygulamaların geliştirilmesinde, test edilmesinde ve işletilmesinde görevler ayrılığı prensibi uygulanır. Görev ve sorumluluklar belirli aralıklarla gözden geçirilir ve güncelliği sağlanır.
  • (2) Bilgi sistemleri süreçleri tasarlanırken kritik işlemlerin tek bir personele veya dış kaynak hizmeti sunan kuruluşa bağımlı olmaması göz önünde bulundurulur.
  • (3) Görevlerin tam ve uygun şekilde ayrılmasının mümkün olmadığı durumlarda oluşabilecek hata, eksiklik veya kötüye kullanımı önlemeye ve tespit etmeye yönelik telafi edici kontroller tesis edilir.

Fiziksel ve Çevresel Güvenlik

  • (1) Fiziksel erişimin yalnızca yetkilendirilmiş kişilerce yapılmasını sağlamak amacıyla, güvenli alanlar gerekli giriş kontrolleriyle korunur.
  • (2) Güvenli alanlara giriş ve çıkışlar gerekçelendirilir, yetkilendirilir, kaydedilir ve izlenir.
  • (3) Yangın, sel, deprem, patlama, yağma ve diğer doğal ya da insan kaynaklı felaketlerden kaynaklanan hasara karşı fiziksel koruma tasarlanır ve uygulanır.

Ağ Güvenliği

  • (1) Ağların tehditlere karşı korunması ve ağları kullanan sistem, veri tabanı ve uygulamaların güvenliğinin sağlanması için kontroller tesis edilir ve etkin bir şekilde yönetilir.
  • (2) İletişim altyapıları dinlemeye ve fiziksel hasarlara karşı korunur.
  • (3) Mobil cihazların ağ erişimine ilişkin risklere yönelik güvenlik önlemleri alınır ve uygulanır.
  • (4) Bilgi sistemleri altyapısına yönelik yetkisiz erişimler engellenir ve gözetim süreçleri tesis edilir.
  • (5) Yüksek riskli uygulamaların güvenlik düzeyini artırmak için bağlantı süreleri ile ilgili kısıtlamalar kullanılır.
  • (6) İç kaynak yoluyla sağlanan veya dış kaynak kullanımı yoluyla alınan her türlü ağ hizmetinin güvenlik kriterleri, hizmet düzeyleri ve yönetim gereksinimleri tanımlanır ve hizmet anlaşmalarına dâhil edilir.
  • (7) Uzaktan erişim sağlayan kullanıcıları kontrol etmek için gerekli yetkilendirmeler yapılır. Bu kapsamda belirli konumlardan ve ekipmanlardan gelen bağlantıları yetkilendirmek için otomatik ekipman tanımlaması göz önüne alınır.
  • (8) Kurumsal ağ dışındaki ağlarla olan iletişimde, dış ağlardan gelebilecek tehditler için sürekli gözetim altında tutulan güvenlik duvarı çözümleri kullanılır.
  • (9) İç ağın farklı güvenlik gereksinimlerine sahip alt bölümleri birbirinden ayrılarak, denetimli geçişi temin eden kontroller tesis edilir.

Kimlik Doğrulama

  • (1) Bilgi sistemleri üzerinden gerçekleşen işlemler için, risk değerlendirmesi sonucuna uygun kimlik doğrulama yöntemi belirlenir. Yöntem tercih edilirken, bilgi sistemleri üzerinden gerçekleştirilmesi planlanan işlemlerin niteliği, doğurabileceği finansal veya finansal olmayan etkilerinin büyüklüğü, işleme konu verinin, hassasiyeti ve kimlik doğrulama yönteminin kullanım kolaylığı göz önünde bulundurulur.
  • (2) Kimlik doğrulama yöntemi, müşterilerin ve personelin bilgi sistemlerine dâhil olmalarından, işlemlerini tamamlayıp sistemden ayrılmalarına kadar geçecek tüm süreci kapsayacak şekilde uygulanır. Kimlik doğrulama bilgisinin oturumun başından sonuna kadar doğru olmasını garanti edecek gerekli önlemler alınır. Parola kullanımı gerektiren kimlik doğrulama yöntemlerinde, parolaların tahmin edilmesi ve kırılması zor bir karmaşıklıkta ve uzunlukta olması sağlanır.
  • (3) Kullanılan kimlik doğrulama verilerinin tutulduğu ortamların ve bu amaçla kullanılan araçların güvenliğini sağlamaya yönelik gerekli önlemler alınır. Bu önlemler asgari olarak kimlik doğrulama verilerinin şifreli olarak saklanması, bu veriler üzerinde yapılacak her türlü değişikliği algılayacak sistemlerin kurulması, yeterli denetim izlerinin tutulması ve güvenliğinin sağlanması hususlarını içerir. Kimlik doğrulama verilerinin aktarımı sırasında gizliliğinin sağlanmasına yönelik önlemler alınır.

Yetkilendirme

  • (1) Şirket, bilgi sistemlerine erişim için uygun bir yetkilendirme ve erişim kontrolü tesis eder. Yetkilendirme düzeyi ve erişim haklarının atanmasında görev ve sorumluluklar göz önünde bulundurularak, gerekli olacak en düşük yetkinin atanması ve en kısıtlı erişim hakkının verilmesi yaklaşımı esas alınır. Atanacak yetkiler ve sorumluluklar görevler ayrılığı ilkesi ile tutarlı olur.
  • (2) Tüm yetkiler ve erişim hakları her yıl güncel durumla uyumlulukları açısından değerlendirilmeye tabi tutulur.
  • (3) Yetkilendirme verilerinin güvenliği sağlanır ve bu veriler üzerinde yapılacak her türlü değişikliği algılayacak sistemler kurulur. Yetkilendirme verilerinin tutulduğu ortamlara yetkisiz erişim teşebbüsleri kayıt altına alınır ve düzenli olarak gözden geçirilir.
  • (4) İstihdamın sonlanması durumunda, ilgili tüm yetkilendirmeler ivedilikle iptal edilir.

İşlemlerin, Kayıtların ve Verilerin Bütünlüğü

  • (1) Şirket, bilgi sistemleri üzerinden gerçekleşen işlemlerin, kayıtların ve verilerin bütünlüğünün sağlanmasına yönelik gerekli önlemleri alır. Bütünlüğü sağlamaya yönelik önlemler verinin iletimi, işlenmesi ve saklanması aşamalarının tamamını kapsayacak şekilde tesis edilir. Bilgi sistemlerine ilişkin dış kaynak hizmeti alınan kuruluşlar nezdinde gerçekleşen işlemler için de aynı yaklaşım gösterilir.
  • (2) Kritik işlemler, kayıtlar ve verilerde meydana gelebilecek bozulmaları saptayacak teknikler kullanılır.

Veri Gizliliği

  • (1) Şirket, bilgi sistemleri faaliyetleri kapsamında gerçekleşen işlemlerin ve bu işlemler kapsamında iletilen, işlenen ve saklanan verilerin gizliliğini sağlayacak önlemleri alır. Gizliliği sağlamak üzere yapılacak çalışmalar asgari olarak aşağıda belirtilen hususları içerir:
    • a) Bilgi sistemleri yapısı ile iş ve işlem çeşitliliği göz önünde bulundurularak verilerin önem derecesine uygun önlemlerin alınması,
    • b) Verilere erişim haklarının kişilerin görev ve sorumlulukları çerçevesinde belirlenmesi, erişimlerin kayıt altına alınması, bu kayıtların yetkisiz erişim ve müdahalelere karşı korunması,
    • c) Veri gizliliğini sağlamada şifreleme tekniklerinin kullanılması durumunda, güvenilirliği ve sağlamlığı ispatlanmış algoritmaların kullanılması; geçerliliğini yitirmiş, çalınmış veya kırılmış şifreleme anahtarlarının kullanılmasının engellenmesi, verinin ve operasyonun önem düzeyine göre anahtarların değiştirilme sıklıklarının belirlenmesi.
  • (2) Şirket, bilgi sistemleri faaliyetleri kapsamında gerçekleşen işlemlere ilişkin iletilen, işlenen ve saklanan önem derecesi yüksek verilerin kasten veya yanlışlıkla kurum dışına sızmasını önlemeye yönelik olarak gerekli önlemleri alır.

Bilgi Sistemlerine İlişkin Dış Kaynak Yoluyla Alınan Hizmetlerin Yönetimi

  • (1) Şirket üst yönetimi tarafından, bilgi sistemleri kapsamında dış kaynak yoluyla alınacak hizmetlerin doğuracağı risklerin yeterli düzeyde değerlendirilmesine, yönetilmesine ve dış kaynak yoluyla alınan hizmeti sağlayan kuruluşlarla ilişkilerin etkin bir şekilde yürütülebilmesine olanak sağlayacak bir gözetim mekanizması tesis edilir. Tesis edilecek gözetim mekanizması asgari olarak aşağıda belirtilen hususları içerir:
    • a) Dış kaynak yoluyla alınan bilgi sistemleri hizmeti kapsamındaki tüm sistem ve süreçlerin Şirket'in kendi risk yönetimi, güvenlik, gizlilik ve müşteri gizliliğine ilişkin ilkelerine uygun olması,
    • b) Şirket verilerinin dış kaynak yoluyla alınan bilgi sistemleri hizmeti sağlayan kuruluşa aktarılmasının gerekli olduğu durumlarda, söz konusu kuruluşun bilgi güvenliği konusundaki ilke ve uygulamalarının en az Şirket'in uyguladığı düzeyde olması,
    • c) Dış kaynak yoluyla alınan bilgi sistemleri hizmetine ilişkin hususların Şirket'in iş sürekliliği göz önünde bulundurularak düzenlenmesi ve gerekli önlemlerin alınması,
    • ç) Dış kaynak yoluyla alınan bilgi sistemleri hizmetlerinde ölçme, değerlendirme, raporlama ve güvenlik fonksiyonlarında nihai sorumluluğun Şirket'te olması,
    • d) Dış kaynak yoluyla alınan hizmetin, Şirket'in yasal yükümlülüklerini yerine getirmelerini ve etkin biçimde denetlenmelerini engelleyici nitelikte olmaması,
    • e) Şirket'in önem arz eden konulara ilişkin dış kaynak hizmeti aldıkları kuruluşlarla sözleşme imzalamadan önce ilgili kuruluş bünyesinde dış kaynak hizmetini istenilen kalitede gerçekleştirebilecek düzeyde teknik donanım ve altyapı, mali güç, tecrübe, bilgi birikimi ve insan kaynağı bulunup bulunmadığı hususlarını da dikkate alacak şekilde inceleme ve değerlendirme çalışması yapmaları ve bu çalışma sonucunda hazırlanacak teknik yeterlilik raporunun üst yönetime sunulması.
  • (2) Dış kaynak kullanımına ilişkin koşul, kapsam ve her türlü diğer tanımlama, dış kaynak yoluyla alınan hizmeti sağlayan kuruluşça da imzalanmış olacak şekilde sözleşmeye bağlanır. Sözleşme, asgari olarak aşağıdaki hususları içerir:
    • a) Hizmet seviyelerine ilişkin tanımlamalar,
    • b) Hizmetin sonlandırılmasına ilişkin koşullar,
    • c) Hizmetin, beklenmedik şekillerde sonlandırılması veya kesintiye uğraması durumunda uygulanacak yaptırımlar,
    • ç) Şirket'in bilgi güvenliği politikası dâhilinde önem arz eden konulara ilişkin gereklilikler,
    • d) Sözleşme kapsamında üretilecek ürün bulunması halinde, ürünün sahipliği ile fikri ve sınai mülkiyet haklarını da göz önünde bulundurarak düzenleyen hükümler,
    • e) Sözleşmede dış kaynak yoluyla alınan hizmeti sağlayan kuruluşlar için yükümlülük teşkil eden hükümlerin, alt yüklenici kuruluşlar ile yapılacak olan sözleşmelerde de bağlayıcı maddeler olarak yer almasını sağlayacak hükümler,
    • f) Hizmet sağlayıcı kuruluşun, sermaye piyasası mevzuatı kapsamında Kurul tarafından talep edilecek bilgileri istenen zamanda ve nitelikte sağlamasına ilişkin yükümlülüğü ve Kurul'un sözleşme kapsamında sunulan hizmet ile ilgili olarak hizmet sağlayıcı bünyesindeki gerekli gördüğü her türlü bilgi, belge ve kayda erişim hakkı.
  • (3) Dış kaynak yoluyla alınan hizmeti sağlayan kuruluşlara verilen erişim hakları özel olarak değerlendirilir. Fiziksel veya mantıksal olabilecek bu erişimler için risk değerlendirmesi yapılır, gerekiyorsa ek kontroller tesis edilir. Risk değerlendirmesi yapılırken ihtiyaç duyulan erişim türü, erişilecek verinin önemi ile erişimin bilgi güvenliği üzerindeki etkileri dikkate alınır. Alınan hizmetin sonlanması durumunda ilgili tüm erişim hakları iptal edilir.
  • (4) Şirket üst yönetimi, dış kaynak yoluyla gerçekleştirilen hizmetler için hizmetin erişilebilirliğini, performansını, kalitesini, bu hizmet kapsamında gerçekleşen güvenlik ihlali olayları ile dış kaynak yoluyla hizmet sağlayan kuruluşun güvenlik kontrollerini, finansal koşullarını ve sözleşmeye uygunluğunu yakından takip etmek için yeterli bilgi ve tecrübeye sahip sorumluları belirler.

Müşteri Bilgilerinin Gizliliği

  • (1) Şirket bilgi sistemleri aracılığıyla edindiği veya sakladığı müşteri bilgilerinin gizliliğini sağlamaya yönelik kontrolleri tesis eder ve bunların gerektirdiği önlemleri alır.
  • (2) Şirket personelin kişisel verilerin korunması ve işlenmesine uygun davranışlarını temin etmelerine yönelik gerekli tedbirleri alır. Bu maddede yer almayan durumlarda 24/3/2016 tarihli ve 6698 sayılı Kişisel Verilerin Korunması Kanunu uygulanır.

Müşterilerin Bilgilendirilmesi

  • (1) Şirket tarafından elektronik ortamda sunulan hizmetlerden yararlanacak müşteriler, sunulan hizmetlere ilişkin şartlar, riskler ve istisnaî durumlarla ilgili olarak açık bir şekilde bilgilendirilir ve söz konusu hizmetlere ilişkin risklerin etkisini azaltmaya yönelik olarak benimsenen bilgi güvenliği ilkeleri ve bu risklerden korunmak için kullanılması gereken yöntemler müşterilerin dikkatine sunulur.
  • (2) Bilgi sistemlerinden ve bunlara dayalı olarak verilen hizmetlerden dolayı müşterilerin yaşayabileceği sorunların takip edilebileceği ve müşterilerin şikâyetlerini ulaştırmalarına imkân tanıyacak mekanizmalar oluşturulur. Şikâyet ve uyarılar değerlendirilerek aksaklıkları giderici çalışmalar yapılır.

Üçüncü Taraflarla Bilgi Değişimi

  • (1) Üçüncü taraflara Şirket'in bilgi sistemine erişim hakkı vermeden önce gerekli güvenlik gereksinimleri tanımlanır ve uygulanır. Şirket'in bilgi içeren ortamları, üçüncü taraflar ile yapılan bilgi aktarımları sırasında gerçekleşebilecek kötüye kullanım veya bozulmaya karşı korunur.
  • (2) Şirket bu bölümün birinci maddesi kapsamında alacağı tedbirler Kurul'un bilgi alımı faaliyetlerine engel teşkil edemez.

Kayıt Mekanizmasının Oluşturulması

  • (1) Şirket, bilgi sistemleri üzerindeki riskleri, sistem veya faaliyetlerin karmaşıklığını ve kapsamının genişliğini göz önünde bulundurarak bilgi sistemlerinin kullanımına ilişkin etkin bir denetim izi kayıt mekanizması tesis eder. Bu sayede, bilgi sistemleri dâhilinde gerçekleşen ve Şirket'in faaliyetlerine ait kayıtlarda değişiklik ve silmeye sebep olan işlemlere ilişkin denetim izlerinin yeterli detayda ve açıklıkta kaydedilmesi temin edilir. Kayıt mekanizmasının yetkisiz sistemsel ve kullanıcı erişimlerine karşı korunmasına yönelik önlemler alınır.
  • (2) Denetim izlerinin bütünlüğünün bozulmasının önlenmesi ve herhangi bir bozulma durumunda bunun tespit edilebilmesi için gerekli teknikler kullanılır. Denetim izlerinin bütünlüğü düzenli olarak gözden geçirilir ve olağandışı durumlar üst yönetime raporlanır.
  • (3) Denetim izlerinde asgari olarak aşağıdaki bilgiler tutulur:
    • a) Yapılan işlemlerin türü ve niteliği,
    • b) İşlemlere ilişkin yetkisiz erişim teşebbüsleri,
    • c) İşlemi gerçekleştiren uygulama,
    • ç) İşlemi gerçekleştiren kişinin kimliği,
    • d) Yapılan işlemlerin zamanı.
  • (4) Denetim izleri asgari 5 yıl saklanır. Denetim izlerinin, yeterli güvenlik düzeyine sahip ortamlarda korunması ve yedeklerinin alınması suretiyle, yaşanması muhtemel olumsuzluklar sonrasında da öngörülen süre için erişilebilir olmaları temin edilir.
  • (5) Dış kaynak hizmeti alınan kuruluşlar, müşteriler ve personel, bilgi sistemleri üzerindeki aktivitelerinin kaydının tutulduğu konusunda bilgilendirilir.
  • (6) Denetim izlerinin tutulması, mevzuatın diğer hükümleri gereği Şirket'in belge saklamasına ilişkin yükümlülüklerini değiştirmez.

Zaman Senkronizasyonu

  • Şirket bilgi sistemlerinde kullandıkları zaman bilgisi tek bir referans kaynağına göre senkronize edilir. Zaman bilgisi atomik saatler vasıtasıyla temin edilir.

Bilgi Güvenliği İhlali

  • (1) Şirket her türlü bilgi güvenliği ihlal olayının ve bilgi sistemlerine ilişkin ortaya çıkan zayıflıkların yönetilmesini sağlayacak kontrolleri tesis eder. Bu kontroller asgari olarak aşağıdaki hususları içermektedir:
    • a) Gerçekleşen ihlal veya ortaya çıkan zayıflığın mümkün olan en kısa sürede kayda alınarak, çözülmesi için gerekli mekanizmaların tasarlanmış, sorumlulukların belirlenip, tüm personelin bilgilendirilmesi,
    • b) İhlal olayını veya zayıflığı bildiren kişinin, işlemin sonucu hakkında bilgilendirilmesi,
    • c) Bildirimi yapılan tüm ihlal olayı ve zayıflıkların kök sebebinin bulunması ve düzeltici faaliyetlerin uygulanması,
    • ç) Kritik ihlal olayları veya zayıflıkların üst yönetime raporlanması,
    • d) Tüm ihlal ve zayıflıkların; türü, ortaya çıkış zamanı, etkilediği bilgi sistemleri, iş süreçleri ve etki alanı ile buna karşı gerçekleştirilen düzeltici faaliyetler, harcanan zaman, maliyet ve işgücü miktarının kayda alınması,
    • e) Tekrarlayan veya benzer ihlal veya zayıflıklara organizasyonun hazırlıklı olmasının sağlanmasıdır.

Bilgi Sistemleri Edinimi, Geliştirilmesi ve Bakımı

  • (1) Şirket, bilgi sistemleri edinimi, geliştirilmesi ve bakımı için kontrolleri tesis eder. Bu kontroller asgari olarak aşağıdaki hususları içerir:
    • a) Şirket kendi bünyesinde geliştirilecek, değiştirilecek veya dış kaynak hizmeti yoluyla edinilecek her türlü bilgi sisteminin, fonksiyonel gereksinimleri ile tasarım, geliştirme ve test aşamalarının her biri için teknik ve güvenlik gereksinimleri yazılı hale getirilir.
    • b) Temin edilecek bilgi sistemleri yapısının Şirket'in ölçeği, faaliyetlerinin ve sunulan ürünlerin niteliği ve karmaşıklığı ile uyumlu olması zorunludur.
    • c) Bilgi sistemlerinin geliştirme, değişiklik veya edinimi faaliyeti boyunca, işin gelişimini takip edebilmek için proje gelişim raporları hazırlanır ve Şirket'in yönetim kurulu tarafından onaylanır.
    • ç) Bilgi sistemlerinde yapılacak önemli güncellemelerin veya değişikliklerin iş süreçlerini aksatmaması ve bilgi güvenliği riski oluşturmaması için güncelleme veya değişikliklere ilişkin planlama, test ve uygulama adımları detaylı olarak ele alınır.
    • d) Uygulamalarda veri girişlerinin tam, doğru ve geçerli şekilde yapılmasını, veri üzerindeki işlemlerin doğru sonuçları üretmesini sağlayacak, veri ve işlem kaybını, verinin yetkisiz değiştirilmesini ve kötüye kullanımını önleyecek uygun kontroller tesis edilir.
    • e) Uygulama güvenliği ve erişilebilirlik gereksinimleri belirlenirken organizasyonun belirlemiş olduğu veri sınıflandırması ve risk öncelikleri göz önünde bulundurulur.
    • f) Bilgi sistemleri gerçek ortamda kullanıma alınmadan önce kabul kriterleri belirlenir, hazırlanacak bir plana göre fonksiyonel, teknik ve güvenlik gereksinimleri testlerine tabi tutulur, test verileri özenle seçilerek korunur ve kontrol edilir.
    • g) Gerekli hallerde değiştirilmiş veya yeni geliştirilmiş sistem, gerçek ortamda kullanıma alınmadan önce, belirli bir olgunluk seviyesine ulaşana kadar eski sistemle beraber çalıştırılmasına devam edilir; bu şekilde paralel işletimin mümkün olmadığı durumlarda ise, değiştirilmiş veya yeni geliştirilmiş sistem belirli bir olgunluk seviyesine ulaşana kadar eski sistem veri kayıpsız olarak devreye alınabilir halde tutulur.
    • ğ) Bilgi sistemlerinin kullanımı ile ilgili gerekli eğitim materyalleri oluşturulur.
    • h) Geliştirme, test ve gerçek ortamdaki işlemler ile bu işlemlerin gerçekleştiği ortamlar, yetkisiz erişim ve değişim riskine karşı birbirinden ayrılır.

Bilgi Sistemleri Sürekliliği

  • (1) Şirket'in birincil ve ikincil sistemlerini yurt içinde bulundurmaları zorunludur.
  • (2) Şirket faaliyetlerini destekleyen bilgi sistemlerinin sürekliliğini sağlamak üzere iş sürekliliği planının bir parçası olan bilgi sistemleri süreklilik planını hazırlar.
  • (3) Plan kapsamında ikincil sistem tesis edilir ya da bu hizmeti destek hizmeti kuruluşlarından tedarik etme hususunda güvence sağlayan anlaşmalar yapılır. İkincil sistemde, Şirket veri ve sistem yedekleri kullanıma hazır bulundurulur.
  • (4) Plan, iş süreklilik planında belirlenen hedefleri de dikkate alacak şekilde, kritik iş süreçlerini destekleyen bilgi sistemleri hizmetlerine yönelik hazırlanır. Bu çerçevede hizmetlerin tekrar kullanıma açılmasını sağlayacak alternatifli kurtarma süreç ve prosedürleri tesis edilir ve gerekli önlemler alınır.
  • (5) Plan kapsamında, performans takibi ve kapasite planlaması yapılır, sistem kaynaklarının kullanımı izlenir.
  • (6) Bilgi sistemleri altyapısından kaynaklanabilecek kesintilere, işlem performansını düşürecek veya iş sürekliliğini aksatacak durumlara karşı gerekli önlemler alınır.
  • (7) Bilgi sistemlerinin sürekliliğini sağlamak amacıyla, risk değerlendirmesi, risk azaltma ve risk izleme faaliyetleri gerçekleştirilir.
  • (8) Plan, iş süreçlerini veya bilgi sistemlerini etkileyecek değişikliklerden sonra gözden geçirilerek güncellenir. Planın etkinliğini ve güncelliğini temin etmek üzere testler yapılır, testlere varsa dış kaynak yoluyla hizmet alınan kuruluşlar da dâhil edilir ve test sonuçları üst yönetime raporlanır. Testler, her yıl tekrarlanır.
  • (9) Bilgi sistemleri, iş sürekliliği planındaki önceliklere uygun olarak yedeklenir ve yedekten geri dönülmesi için gerekli süreçler bilgi sistemleri sürekliliği planına ve testine dâhil edilir.
  • (10) Şirket, bilgi güvenliği politikasının, bilgi sistemleri süreklilik planının, ağ topolojisinin, bilgi sistemleri varlık envanteri ile iş sürekliliği ve güvenliği açısından önem arz eden diğer dokümanların güncel sürümlerini ve bilgi sistemleri yönetimine ilişkin parolalarını güvenli ortamlarda saklar.

Değişiklik Yönetimi

  • (1) Şirket, bilgi sistemlerini oluşturan her türlü yazılım, donanım ve altyapı bileşenlerine, dokümantasyona ve bilgiye yapılan değişiklikleri yönetebilmek amacıyla kontroller geliştirir. Bu kontroller en az aşağıdaki hususları içerir:
    • a) Yapılacak her türlü değişiklik için; değişikliğin sebebini, kapsamını, etkisini, içerdiği riskleri, beklenen faydasını, değişikliği yapacak kişileri, maliyetini, gerekli test ve eğitim faaliyetlerini tanımlayan kayıtlar oluşturulur,
    • b) Planlanan değişiklikler onay sürecinden geçmedikçe işleme konulmaz,
    • c) Planlanan değişiklikler, devreye alınma tarihleri, test ve eğitim faaliyetleriyle ilgili düzenlemeler ilgili tüm taraflara önceden duyurulur,
    • ç) Değişikliğin uygulanmasında ortaya çıkan hatalar ve öngörülemeyen durumlarda uygulamaya alınacak geri dönüş prosedürleri ve bunlarla ilgili sorumluluklar önceden belirlenir,
    • d) Gerçekleştirilen değişikliklerin sonuçları gözden geçirilir,
    • e) Gerçekleştirilen, iptal edilen veya reddedilen tüm değişiklikler gerekçeleriyle birlikte kayda geçirilir ve saklanır.

Yürürlük

  • Bilgi İşlem Birimi yazılı prosedürlerin kabulü ve yürürlüğe konulması için Şirket yönetim kurulunun kararı şarttır. Prosedürlerde yapılacak değişikliklerde de aynı usul ve esaslara uyulması gerekmektedir.
  • İşbu prosedür, Yönetim Kurulu'nun onayı tarihi itibariyle yürürlüğe girer ve aynı zamanda ilgili personel ile de paylaşılır.