Teknik ve Organizasyonel Önlemler (TOM)

Giriş

Deskhero AB (“biz,” “bize,” veya “bizim“), kişisel verilerin işlenmesiyle bağlantılı riske uygun bir güvenlik seviyesi sağlamak için uygun teknik ve organizasyonel önlemleri uygulamaya kararlıdır (“siz” veya “Müşteri“), Kullanıcılar ve Müşterinin Müşterileri için, AB Genel Veri Koruma Tüzüğü (GDPR) ve diğer geçerli veri koruma yasalarına uygun olarak.

Bu belge, Hizmet Olarak Yazılım (SaaS) platformumuz (“Hizmet“), AWS altyapımızdan yararlanarak.

1. Organizasyonel Önlemler

1.1 Veri Koruma Yönetişimi

• Veri Koruma Görevlisi (DPO):
• Ad: Klas Karlsson
• E-posta: dpo@deskhero.com
• Telefon: +46 70 601 13 22

Sorumluluk:

• Veri koruma stratejisi ve uyumunun denetlenmesi.
• Veri koruma politika ve prosedürlerine uyumun izlenmesi.
• Veri sahipleri ve denetleyici otoriteler için iletişim noktası olarak hareket etme.

1.2 Politikalar ve Prosedürler

• Veri Koruma Politikaları:
• Veri koruma için dahili politikaların oluşturulması ve bunların düzenli olarak gözden geçirilip güncellenmesi.
• Politikalar; veri işleme, ihlal müdahalesi, erişim kontrolü ve çalışan sorumluluklarını kapsar.

• Çalışan Eğitimi:
• Tüm çalışanlar için veri koruma, gizlilik ve bilgi güvenliği konularında zorunlu eğitim programları.
• Yeni ortaya çıkan tehditler ve en iyi uygulamalar hakkında düzenli güncellemeler.

• Gizlilik Sözleşmeleri:
• Çalışanlar ve taşeronların gizlilik ve sır saklama sözleşmeleri imzalaması zorunludur.

1.3 Erişim Yönetimi

• Erişim Kontrol Politikası:
• Kişisel verilere erişim, bilmesi gereken esasına göre verilir.
• Kullanıcı erişim haklarının düzenli olarak gözden geçirilmesi.

• Kimlik Doğrulama Mekanizmaları:
• Sistem erişimi için güçlü parolalar ve çok faktörlü kimlik doğrulama (MFA) kullanımı.
• Birden fazla başarısız oturum açma girişiminden sonra hesap kilitleme politikaları.

1.4 Olay Müdahalesi

• Olay Müdahale Planı:
• Güvenlik olaylarını tespit etme, raporlama ve müdahale etme prosedürleri.
• Görevlendirilmiş olay müdahale ekibi.

• Bildirim Prosedürleri:
• Kişisel veri ihlallerinin gecikmeksizin Müşterilere ve yetkili makamlara bildirilmesi yükümlülüğü.

1.5 Tedarikçi Yönetimi

• Durum Tespiti:
• Alt İşleyicilerin veri koruma standartlarına uyumunun değerlendirilmesi.

• Sözleşmeler:
• Alt İşleyicilerle yapılan sözleşmelerin veri koruma yükümlülüklerini içermesinin sağlanması.

2. Teknik Önlemler

2.1 Veri Şifreleme

• Aktarım Sırasında:
• Kişisel veriler, kamu ağları üzerinden iletim sırasında TLS 1.2 veya üzeri kullanılarak şifrelenir.

• Bekleme Hâlinde:
• Veritabanlarında ve yedeklerde saklanan kişisel veriler, AWS şifreleme hizmetleri kullanılarak şifrelenir (ör. EBS birimleri için AES-256 şifreleme, RDS şifrelemesi).

2.2 Ağ Güvenliği

• AWS Altyapısı:
• Hizmetimiz, Amazon Web Services (AWS) üzerinde barındırılmakta olup, AWS'nin güvenli altyapı ve servislerinden yararlanır.

• Güvenlik Duvarları ve Security Group'lar:
• AWS Security Group'ları, kaynaklara gelen ve giden trafiği kontrol etmek için kullanılır ve örnek düzeyinde sanal güvenlik duvarı işlevi görür.

• Virtual Private Cloud (VPC):
• AWS VPC, ağ trafiğini izole etmek ve güvence altına almak üzere yapılandırılmıştır.
• Dahili kaynaklar için özel alt ağlar kullanılır; böylece veritabanları ve önbellekler genel internete açılmaz.

• AWS CloudFront ve Application Load Balancer (ALB):
• AWS CloudFront, içerik dağıtım ağı (CDN) ve giriş noktası olarak güvenli ve verimli dağıtım sağlar.
• AWS ALB, uygulamayı barındıran Amazon ECS (Elastic Container Service) konteynerlerine gelen trafiği dağıtır.

• Saldırı Tespiti ve Tehdit İzleme:
• Özel IDS/IPS sistemleri kullanılmasa da AWS hizmetleri ağ trafiği izleme yetenekleri sunar.

2.3 Sistem Güvenliği

• Güvenli Yapılandırma Yönetimi:
• Altyapı, Terraform kullanılarak yönetilir; bu sayede ortamlar arasında tutarlı ve güvenli yapılandırmalar sağlanır.

• Ortam Ayrımı:
• Dağıtımdan önce kod ve altyapı değişikliklerini test etmek için geliştirme (“sandbox”), hazırlık ve üretim olmak üzere ayrı ortamlar tutulur.

• Yama Yönetimi:
• İşletim sistemleri ve uygulamalara düzenli güncellemeler ve yamalar uygulanır; uygun yerlerde AWS hizmetleri ve otomasyon kullanılır.

2.4 Uygulama Güvenliği

• Güvenli Geliştirme Uygulamaları:
• Güvenli Yazılım Geliştirme Yaşam Döngüsü (SSDLC) ilkelerinin benimsenmesi.
• Düzenli kod incelemeleri, statik kod analizleri ve güvenlik testleri yapılır.

• Sızma Testi:
• Periyodik güvenlik değerlendirmeleri ve zafiyet taramaları yapılır; uygun olduğu durumlarda üçüncü taraf sızma testleri gerçekleştirilir.

2.5 Erişim Kontrolü

• AWS Identity and Access Management (IAM):
• Rol tabanlı erişim kontrolü (RBAC), AWS IAM rolleri ve politikaları kullanılarak uygulanır.
• AWS kaynaklarına erişim, en az ayrıcalık prensibine göre verilir.

• Multi-Factor Authentication (MFA):
• AWS yönetim arayüzlerine tüm yönetici erişimleri için MFA zorunludur.

• Günlük Kaydı ve İzleme:
• AWS CloudTrail, AWS ortamındaki API çağrılarını ve işlemleri kaydetmek için kullanılır.
• AWS CloudWatch, günlükleri ve metrikleri anormallikler için izler.

2.6 Veri Yedekleme ve Kurtarma

• Düzenli Yedekler:
• Veritabanlarının otomatik yedekleri, AWS RDS'in otomatik yedekleme özellikleri kullanılarak alınır.

• Şifreli Yedekler:
• Yedek veriler bekleme hâlindeyken AWS Key Management Service (KMS) ile şifrelenir.

• Felaket Kurtarma Planı:
• Veri geri yükleme ve hizmet sürekliliği için belgelenmiş prosedürler mevcuttur.

• Kurtarma Süreçlerinin Testi:
• Yedek geri yükleme ve kurtarma prosedürlerinin düzenli testleri yapılır.

2.7 Fiziksel Güvenlik

• AWS Veri Merkezleri:
• Fiziksel güvenlik kontrolleri AWS tarafından yönetilir, bunlar şunları içerir:
• 24/7 security personnel.
• Biometric access controls.
• CCTV surveillance.
• Environmental controls like fire suppression and climate control.

• AWS Uyumluluğu:
• AWS veri merkezleri, ISO 27001, SOC 1/2/3 gibi sektör standartlarına uyumludur ve bu durum uyum çabalarımızı destekler.

2.8 Uç Nokta Güvenliği

• Cihaz Güvenliği Politikaları:
• Şirket cihazları şu önlemlerle korunur:
• Full disk encryption.
• Up-to-date anti-malware software.
• Strong authentication mechanisms.

• Uzaktan Erişim:
• Uygun olduğu durumlarda, dahili sistemlere uzaktan erişim için güvenli VPN bağlantıları zorunludur.

• Uzaktan Silme Özellikleri:
• Kayıp veya hırsızlık durumunda şirket cihazlarını uzaktan silebilme yeteneği.

2.9 Günlükleme ve İzleme

• Kapsamlı Günlükleme:
• Sistem aktivitelerine, erişimlere ve hatalara ilişkin ayrıntılı günlükler tutulur.

• Güvenlik İzleme:
• CloudWatch ve GuardDuty gibi AWS hizmetleri kullanılarak güvenlik olayları gerçek zamanlı izlenir.

• Uyarı Mekanizması:
• Şüpheli aktiviteler veya güvenlik olayları için otomatik uyarılar yapılandırılmıştır.

2.10 Veri Minimizasyonu ve Takma Adlandırma

• Veri Minimizasyonu:
• Belirlenen amaçlar için yalnızca gerekli kişisel verilerin toplanması ve işlenmesi.

• Takma Adlandırma ve Anonimleştirme:
• Uygun olduğunda, veri sahiplerine yönelik riski azaltmak için kişisel veriler takma adlandırılır veya anonimleştirilir.

3. Düzenli Testler ve Değerlendirmeler

• Zafiyet Taraması:
• AWS ortamlarıyla uyumlu araçlar kullanılarak sistemlerin düzenli olarak otomatik zafiyet taramalarının yapılması.

• Güvenlik Denetimleri:
• Güvenlik önlemlerinin etkinliğini değerlendirmek için periyodik güvenlik denetimleri ve değerlendirmeleri yapılır.

• AWS Well-Architected İncelemeleri:
• En iyi uygulamaların izlendiğinden emin olmak için AWS Well-Architected Framework kullanılarak düzenli incelemeler yapılır.

4. Standartlara Uyum

• Yasal Uyumluluk:
• GDPR ve diğer ilgili veri koruma yasalarına uyum.

• En İyi Uygulamalarla Hizalama:
• Güvenlik uygulamalarının sektörün en iyi uygulama ve yönergeleriyle uyumlandırılması, bunlar arasında:

• AWS Güvenlik En İyi Uygulamaları.
• NIST Siber Güvenlik Çerçevesi.

5. Tasarım ve Varsayılan Olarak Veri Koruma

• Gizlilik Etki Değerlendirmeleri (PIA):
• Yeni işleme faaliyetleri veya mevcut süreçlerdeki önemli değişiklikler için gerçekleştirilir.

• Güvenli Varsayılanlar:
• Sistemler ve uygulamalar, varsayılan olarak yalnızca gerekli kişisel verilerin işlenmesini sağlayacak şekilde yapılandırılmıştır.

6. Farkındalık ve Eğitim

• Çalışan Eğitimi:
• Veri koruma politika, prosedür ve en iyi uygulamaları üzerine, AWS'ye özgü güvenlik eğitimleri de dâhil olmak üzere düzenli eğitim oturumları.

• Güvenlik Farkındalık Programları:
• Kuruluş içinde güvenlik ve gizlilik kültürünü teşvik etmeye yönelik sürekli girişimler.

7. Alt İşleyici Güvenliği

• AWS Paylaşılan Sorumluluk Modeli:
• AWS’nin bulutun güvenliğinden, bizim ise bulut içindeki güvenlikten sorumlu olduğu AWS Paylaşılan Sorumluluk Modeli’nin anlaşılması ve buna uyum.

• Tedarikçi Yönetimi:
• Alt İşleyicilerin güvenlik ve uyum gereksinimlerimizi karşıladığından emin olmak için düzenli değerlendirmeler.

8. Olay Yönetimi

• Tespit ve Raporlama:
• AWS izleme hizmetleri kullanılarak güvenlik olaylarını hızla tespit edebilecek sistemler.

• Yanıt Prosedürleri:
• Sınırlama, ortadan kaldırma, kurtarma ve iletişim için tanımlanmış adımlar.

• Bildirim Yükümlülükleri:
• Kişisel veri ihlallerini gecikmeksizin Müşterilere ve yetkililere bildirme prosedürleri.

9. Veri Saklama ve Silme

• Veri Saklama Politikaları:
• Kişisel veriler, toplandığı amaçlar için gerekli olduğu veya yasal olarak zorunlu olduğu süre boyunca saklanır.

• Güvenli Silme:
• Saklama süresinin sonunda kişisel veriler güvenli bir şekilde silinir veya anonimleştirilir.

• Veri Silme Talepleri:
• GDPR uyumlu olarak veri sahiplerinin silme taleplerini ele almak için süreçler mevcuttur.

10. İletişim Bilgileri

Teknik ve organizasyonel önlemlerimizle ilgili herhangi bir soru veya endişeniz varsa lütfen Veri Koruma Görevlimiz (DPO) ile iletişime geçin:

• Ad: Klas Karlsson
• E-posta: dpo@deskhero.com
• Telefon: +46 70 601 13 22

Not: Bu belge, güvenlik uygulamalarımızdaki değişiklikleri yansıtmak üzere zaman zaman güncellenebilir. Önemli değişiklikler hakkında Müşterileri, Gizlilik Politikası ve Veri İşleme Sözleşmesi.