Teknik ve Organizasyonel Önlemler (TOM)

Giriş

Deskhero AB (“biz,” “bize,” veya “bizim“), kişisel verilerin işlenmesiyle ilişkili riske uygun bir güvenlik seviyesi sağlamak için uygun teknik ve organizasyonel önlemleri uygulamayı taahhüt eder (“siz” veya “Müşteri“), Kullanıcılar ve Müşterinin Müşterileri ile ilgili olarak, AB Genel Veri Koruma Tüzüğü (GDPR) ve diğer geçerli veri koruma yasalarına uygun olarak.

Bu belge, Yazılım-olarak-Hizmet (SaaS) platformumuz (“Hizmet“), AWS altyapımızdan yararlanarak.

1. Organizasyonel Önlemler

1.1 Veri Koruma Yönetişimi

• Veri Koruma Görevlisi (DPO):
• Ad: Klas Karlsson
• E-posta: dpo@deskhero.com
• Telefon: +46 70 601 13 22

Sorumluluk:

• Veri koruma stratejisi ve uyumluluğunu denetleme.
• Veri koruma politika ve prosedürlerine uyumu izleme.
• Veri sahipleri ve denetleyici otoriteler için iletişim noktası olarak hareket etme.

1.2 Politikalar ve Prosedürler

• Veri Koruma Politikaları:
• Veri korumasına yönelik, düzenli olarak gözden geçirilen ve güncellenen dahili politikaların oluşturulması.
• Politikalar veri işleme, ihlal müdahalesi, erişim kontrolü ve çalışan sorumluluklarını kapsar.

• Çalışan Eğitimi:
• Tüm çalışanlar için veri koruma, gizlilik ve bilgi güvenliği konularında zorunlu eğitim programları.
• Ortaya çıkan tehditler ve en iyi uygulamalar hakkında düzenli güncellemeler.

• Gizlilik Sözleşmeleri:
• Çalışanlar ve taşeronların gizlilik ve sır saklama sözleşmeleri imzalaması zorunludur.

1.3 Erişim Yönetimi

• Erişim Kontrol Politikası:
• Kişisel verilere erişim, bilmesi gereken esasına göre verilir.
• Kullanıcı erişim haklarının düzenli olarak gözden geçirilmesi.ac

• Kimlik Doğrulama Mekanizmaları:
• Sistem erişimi için güçlü parolalar ve çok faktörlü kimlik doğrulama (MFA) kullanımı.
• Birden fazla başarısız oturum açma denemesinden sonra hesap kilitleme politikaları.

1.4 Olay Müdahalesi

• Olay Müdahale Planı:
• Güvenlik olaylarını tespit etme, raporlama ve müdahale etme prosedürleri.
• Belirlenmiş olay müdahale ekibi.

• Bildirim Prosedürleri:
• Kişisel veri ihlallerinin gecikmeksizin Müşterilere ve yetkililere bildirilmesine yönelik yükümlülükler.

1.5 Satıcı Yönetimi

• Gerekli Özen:
• Alt İşleyicilerin veri koruma standartlarına uyumluluğunun değerlendirilmesi.

• Sözleşmeler:
• Alt İşleyicilerle yapılan sözleşmelerin veri koruma yükümlülüklerini içermesini sağlamak.

2. Teknik Önlemler

2.1 Veri Şifreleme

• Aktarım Sırasında:
• Kişisel veriler, halka açık ağlar üzerinden iletim sırasında TLS 1.2 veya üzeri kullanılarak şifrelenir.

• Hareketsiz Halde:
• Veritabanlarında ve yedeklerde saklanan kişisel veriler, AWS şifreleme hizmetleri kullanılarak şifrelenir (örn. EBS birimleri için AES-256, RDS şifrelemesi).

2.2 Ağ Güvenliği

• AWS Altyapısı:
• Hizmetimiz, Amazon Web Services (AWS) üzerinde barındırılmakta olup, AWS’nin güvenli altyapı ve hizmetlerinden yararlanır.

• Güvenlik Duvarları ve Security Group’lar:
• AWS Security Groups, kaynaklara gelen ve giden trafiği kontrol ederek örnek düzeyinde sanal güvenlik duvarları görevi görür.

• Sanal Özel Bulut (VPC):
• AWS VPC, ağ trafiğini izole etmek ve güvence altına almak için yapılandırılmıştır.
• Veritabanlarının ve önbelleklerin genel internete açılmamasını sağlamak için dahili kaynaklarda özel alt ağlar kullanılır.

• AWS CloudFront ve Application Load Balancer (ALB):
• AWS CloudFront, içerik dağıtım ağı (CDN) ve giriş noktası olarak güvenli ve verimli dağıtım sağlar.
• AWS ALB, uygulamayı barındıran Amazon ECS (Elastic Container Service) konteynerlerine gelen trafiği dağıtır.

• Saldırı Tespiti ve Tehdit İzleme:
• Özel IDS/IPS sistemleri kullanılmasa da AWS hizmetleri ağ trafiği izleme yetenekleri sunar.

2.3 Sistem Güvenliği

• Güvenli Yapılandırma Yönetimi:
• Altyapı, Terraform kullanılarak yönetilir; bu sayede ortamlar arasında tutarlı ve güvenli yapılandırmalar sağlanır.

• Ortam Ayrımı:
• Kod ve altyapı değişikliklerini dağıtımdan önce test etmek için geliştirme (“sandbox”), hazırlık (staging) ve üretim ortamları ayrı tutulur.

• Yama Yönetimi:
• İşletim sistemleri ve uygulamalara düzenli güncellemeler ve yamalar uygulanır; uygun olduğunda AWS hizmetleri ve otomasyon kullanılır.

2.4 Uygulama Güvenliği

• Güvenli Geliştirme Uygulamaları:
• Güvenli Yazılım Geliştirme Yaşam Döngüsü (SSDLC) ilkelerinin benimsenmesi.
• Düzenli kod incelemeleri, statik kod analizleri ve güvenlik testleri gerçekleştirilir.

• Sızma Testleri:
• Dönemsel güvenlik değerlendirmeleri ve zafiyet taramaları yapılır; uygun olduğunda üçüncü taraf sızma testleri de dahil edilir.

2.5 Erişim Kontrolü

• AWS Identity and Access Management (IAM):
• Rol tabanlı erişim kontrolü (RBAC), AWS IAM rol ve politikaları kullanılarak uygulanır.
• AWS kaynaklarına erişim, en az ayrıcalık prensibiyle verilir.

• Multi-Factor Authentication (MFA):
• AWS yönetim arayüzlerine yönelik tüm yönetici erişimleri için MFA zorunludur.

• Günlük Kaydı ve İzleme:
• AWS CloudTrail, AWS ortamındaki API çağrılarını ve işlemleri kaydetmek için kullanılır.
• AWS CloudWatch, günlükleri ve metrikleri anormallikler için izler.

2.6 Veri Yedekleme ve Kurtarma

• Düzenli Yedeklemeler:
• Veritabanlarının otomatik yedekleri, AWS RDS’in otomatik yedekleme özellikleri kullanılarak alınır.

• Şifreli Yedeklemeler:
• Yedek veriler, AWS Key Management Service (KMS) kullanılarak hareketsiz halde şifrelenir.

• Felaket Kurtarma Planı:
• Veri geri yükleme ve hizmet sürekliliği için belgelenmiş prosedürler mevcuttur.

• Kurtarma Süreçlerinin Testi:
• Yedek geri yükleme ve kurtarma prosedürlerinin düzenli testleri yapılır.

2.7 Fiziksel Güvenlik

• AWS Veri Merkezleri:
• Fiziksel güvenlik kontrolleri AWS tarafından yönetilir; bunlar arasında şunlar bulunur:
• 24/7 security personnel.
• Biometric access controls.
• CCTV surveillance.
• Environmental controls like fire suppression and climate control.

• AWS Uyum:
• AWS veri merkezleri, ISO 27001, SOC 1/2/3 gibi sektör standartlarına uygundur ve bu da uyumluluk çabalarımızı destekler.

2.8 Uç Nokta Güvenliği

• Cihaz Güvenlik Politikaları:
• Şirket cihazları şu önlemlerle güvence altına alınır:
• Full disk encryption.
• Up-to-date anti-malware software.
• Strong authentication mechanisms.

• Uzaktan Erişim:
• Uygulanabilir durumlarda, dahili sistemlere uzaktan erişim için güvenli VPN bağlantıları gereklidir.

• Uzaktan Silme Yeteneği:
• Kayıp veya hırsızlık durumunda şirket cihazlarını uzaktan silme yeteneği.

2.9 Günlük Kaydı ve İzleme

• Kapsamlı Günlük Kaydı:
• Sistem aktiviteleri, erişim günlükleri ve hata günlüklerinin ayrıntılı kayıtları tutulur.

• Güvenlik İzleme:
• CloudWatch ve GuardDuty gibi AWS hizmetleri kullanılarak güvenlik olayları gerçek zamanlı izlenir.

• Uyarı Sistemleri:
• Şüpheli aktiviteler veya güvenlik olayları için otomatik uyarılar yapılandırılmıştır.

2.10 Veri Minimizasyonu ve Takma Adlandırma

• Veri Minimizasyonu:
• Yalnızca belirlenen amaçlar için gerekli kişisel verilerin toplanması ve işlenmesi.

• Takma Adlandırma ve Anonimleştirme:
• Uygun olduğunda, veri sahiplerine yönelik riski azaltmak için kişisel veriler takma adlandırılır veya anonimleştirilir.

3. Düzenli Testler ve Değerlendirmeler

• Zafiyet Taraması:
• AWS ortamlarıyla uyumlu araçlar kullanılarak sistemlerin düzenli olarak otomatik taramalarla zafiyetlerinin tespit edilmesi.

• Güvenlik Denetimleri:
• Güvenlik önlemlerinin etkinliğini değerlendirmek amacıyla dönemsel güvenlik denetimleri ve değerlendirmeleri yapılır.

• AWS Well-Architected İncelemeleri:
• En iyi uygulamaların takip edildiğinden emin olmak için AWS Well-Architected Framework kullanılarak düzenli incelemeler yapılır.

4. Standartlara Uyum

• Mevzuata Uyum:
• GDPR ve diğer ilgili veri koruma yasalarına uyum.

• En İyi Uygulamalarla Hizalama:
• Güvenlik uygulamalarının sektörün en iyi uygulamaları ve yönergeleriyle hizalanması; bunlar arasında şunlar bulunur:

• AWS Güvenlik En İyi Uygulamaları.
• NIST Siber Güvenlik Çerçevesi.

5. Tasarım ve Varsayılan Olarak Veri Koruma

• Gizlilik Etki Değerlendirmeleri (PIA):
• Yeni işleme faaliyetleri veya mevcut süreçlerdeki önemli değişiklikler için gerçekleştirilir.

• Güvenli Varsayılanlar:
• Sistemler ve uygulamalar, varsayılan olarak yalnızca gerekli kişisel verilerin işlenmesini sağlayacak şekilde yapılandırılmıştır.

6. Farkındalık ve Eğitim

• Çalışan Eğitimi:
• Veri koruma politika, prosedür ve en iyi uygulamaları hakkında, AWS’ye özel güvenlik eğitimleri de dahil olmak üzere düzenli eğitim oturumları.

• Güvenlik Farkındalık Programları:
• Kuruluş içinde güvenlik ve gizlilik kültürünü teşvik etmek için devam eden girişimler.

7. Alt İşleyici Güvenliği

• AWS Paylaşılan Sorumluluk Modeli:
• AWS’nin bulutun ‘güvenliğinden’ sorumlu olduğu, bizim ise buluttaki ‘güvenlikten’ sorumlu olduğumuz AWS Paylaşılan Sorumluluk Modeli’nin anlaşılması ve buna uyulması.

• Satıcı Yönetimi:
• Alt İşleyicilerin güvenlik ve uyumluluk gereksinimlerimizi karşıladığından emin olmak için düzenli değerlendirmeler.

8. Olay Yönetimi

• Tespit ve Raporlama:
• AWS izleme hizmetleri kullanılarak güvenlik olaylarını hızla tespit edecek sistemler mevcut.

• Müdahale Prosedürleri:
• Sınırlama, ortadan kaldırma, kurtarma ve iletişim için belirlenmiş adımlar.

• Bildirim Yükümlülükleri:
• Kişisel veri ihlallerini gecikmeksizin Müşterilere ve yetkililere bildirme prosedürleri.

9. Veri Saklama ve Silme

• Veri Saklama Politikaları:
• Kişisel veriler, toplandığı amaçlar için gerekli olduğu veya yasal olarak zorunlu olduğu süre boyunca saklanır.

• Güvenli Silme:
• Saklama süresinin sonunda kişisel veriler güvenli bir şekilde silinir veya anonimleştirilir.

• Veri Silme Talepleri:
• GDPR’ye uygun olarak, veri sahiplerinin silme taleplerini ele almak için süreçler mevcuttur.

10. İletişim Bilgileri

Teknik ve organizasyonel önlemlerimizle ilgili herhangi bir soru veya endişeniz varsa, lütfen Veri Koruma Görevlimiz (DPO) ile iletişime geçin:

• Ad: Klas Karlsson
• E-posta: dpo@deskhero.com
• Telefon: +46 70 601 13 22

Not: Bu belge, güvenlik uygulamalarımızdaki değişiklikleri yansıtmak için zaman zaman güncellenebilir. Önemli değişiklikler konusunda, Gizlilik Politikası ve Veri İşleme Sözleşmesi.