Teknik ve Organizasyonel Önlemler

Vtiger - Teknik ve Organizasyonel Önlemler (TOM'ler)

Bu belge Ek II'yi tamamlamaktadır: GDPR (AB Genel Veri Koruma Yönetmeliği) Madde 28 (İşlemci) kapsamında Vtiger ile Müşteri arasındaki Veri İşleme Eki'nin (DPA) Teknik ve Organizasyonel Önlemleri.

Vtiger, GDPR'nin 32. Maddesine (İşleme Güvenliği) uygun olarak teknik ve organizasyonel önlemleri uygular. Bu önlemler, güvenliği ve korumayı artırmak için aktif ISO 27001 sertifikası da dahil olmak üzere, fizibiliteye ve en son teknolojiye göre sürekli olarak geliştirilmektedir.

Vtiger olarak, Kişisel Verilerin ve çalışanlarımızın eriştiği diğer verilerin güvenliğini sağlamak için çeşitli politikaları, standartları ve süreçleri sürdürmeye ve uygulamaya kararlıyız. Veri korumaya olan bağlılığımız, gizlilik ve güvenlik için uzman bir ekibe sahip olmayı, harici taraflar için veri koruma sağlamayı, kuruluş genelinde tutarlı koruma sağlamayı, alt yüklenicilere sıkı kontrol sağlamayı ve düzenli denetimler ve sertifikalar yürütmeyi içerir. Endüstri standartlarıyla uyumlu olduklarından emin olmak için bu önlemleri periyodik olarak güncelliyoruz.

Teknik ve organizasyonel önlemlerin aşağıdaki açıklaması, uygulanabilir olduğu durumlarda, bu veri kategorilerine göre farklılaştırılacaktır.

1. Gizlilik

1.1 Fiziksel Erişim Kontrolü

Yetkisiz kişilerin, kişisel verileri işlemek için kullanılan veri işleme sistemlerine erişimini önlemek için önlemler alınmaktadır.

Teknik Önlemler
  • Kilitli bina ve ofis
  • Biyometrik erişim
  • Manuel kilitleme sistemi
  • Otomatik kilit sistemli kapılar
  • Güvenlik Personeli
  • Girişin Video Gözetimi
  • Sahada üretim sunucusu yok
Organizasyonel Tedbirler
  • Temel düzenleme kontrol listesi
  • Güvenlik Görevlisi Personeli Karşılaması
  • Ziyaretçi kitabı
  • Çalışan/Ziyaretçi Rozeti
  • Çalışan Eşliğinde Ziyaretçi
  • Bilgi Güvenliği Politikası
  • Çalışma Talimatları Erişim Kontrolü

Vtiger veri güvenliğine öncelik verirken, bulut bilişimde paylaşılan sorumluluk modelini kabul etmek önemlidir. Vtiger, bulut kaynakları sağlamak için AWS, DigitalOcean ve OV gibi Bulut Hizmet Sağlayıcılarını (CSP'ler) kullanır. Bu CSP'ler temel altyapıyı güvence altına alır ve sağlam güvenlik kontrollerini sürdürür. İSS'nin güvenlik kontrollerinin nasıl bulunabileceğine ilişkin daha fazla ayrıntı okuyun.

1.2 Mantıksal Erişim Kontrolü

Veri işleme sistemlerine yetkisiz erişimi engellemek için güvenlik önlemleri alınmaktadır.

Teknik Önlemler
  • Kullanıcı adı ve güçlü şifreyle giriş yapın
  • güvenlik duvarı
  • Saldırı Tespit Sistemleri
  • Uzaktan erişim için VPN kullanın
  • Disklerin, Cihazların/Dizüstü Bilgisayarların/Tabletlerin Şifrelenmesi
  • İki faktörlü kimlik doğrulama
  • Otomatik Masaüstü/Dizüstü bilgisayar kilidi
  • Cihazlara ve sunuculara kurulu antivirüs yazılımı
  • Erişim izlenir ve günlüğe kaydedilir
  • Başarısız oturum açma/kimlik doğrulama işlemlerinde Otomatik Hesap Kilitleme
  • Tüm kullanım etkinliği ve veri değişiklikleri günlüğe kaydedilir
Organizasyonel Tedbirler
  • Rol tabanlı yetkilendirme dahil kullanıcı izin yönetimi
  • Kullanıcıya özel profiller oluşturma
  • Bilgi Güvenliği Politikası
  • Şifre politikası
  • Mobil Cihaz Politikası
  • Çalışma Talimatları: BT Güvenliği SOP ve Çalışan Erişim Kontrolü
  • Çalışan İncelemesi
  • Eğitim ve Farkındalık
  • De Minimis Prensibi

Vtiger Çalışan Erişimi ve Müşteri Kontrolü

Vtiger çalışanları, Vtiger ürünlerine ve müşteri verilerine yalnızca güvenli arayüzler aracılığıyla erişebilir. Bu erişim yalnızca müşterilerin bunu kendi ayarlarında açıkça etkinleştirmeleri durumunda verilir. Tüm erişim istekleri, denetim amacıyla titizlikle günlüğe kaydedilir.

Vtiger, çalışanların erişimini ihtiyaç esasına göre belirli personelle sınırlandırarak meşru nedenlerle müşteri verilerini yalnızca yetkili kişilerin görüntüleyebilmesini sağlar. Müşteri uygulamasına şunlar için erişilir:

1.3 Yetki Kontrolü

Veri işleme sistemine yalnızca yetkili kişilerin erişebilmesini sağlayacak önlemler alınmaktadır. Kişisel veriler, işlenmesi, kullanılması ve saklanması sırasında uygun izin alınmadan okunamaz, kopyalanamaz, değiştirilemez ve kaldırılamaz.

Teknik Önlemler
  • Veri taşıyıcının/cihazların fiziksel olarak silinmesi
  • SSH Şifreli erişim
  • Sertifikalı SSL şifreleme
  • Artık kullanılmayan Dosyaları ve Kağıtları Parçalayın
  • Saklama süresinden sonra veya müşteri talep ettiğinde yedeklerin arşivden otomatik olarak silinmesi
  • Özellikle veri girerken, değiştirirken ve silerken uygulamalara erişimlerin günlüğe kaydedilmesi
Organizasyonel Tedbirler
  • Bilgi Güvenliği Politikası
  • Yönetici Rollerini En Aza İndirin
  • Kullanıcı haklarının yöneticiler tarafından yönetilmesi
  • Bilgi ve varlıkların kullanılmasına ilişkin çalışma talimatları

1.4 Ayırma Kontrolü

Farklı amaçlarla toplanan verilerin izole kalmasını sağlamak için katı veri ayırma uygulamalarına yönelik önlemler uygulanmaktadır. Bu, verilerin sistem içinde kategorize edildiği ve farklı bölümlerde saklandığı mantıksal ayırmayı ve verilerin tamamen farklı donanımlarda depolandığı potansiyel olarak fiziksel ayırmayı içerir.

Teknik Önlemler
  • Fiziksel ayırma (sistemler/veritabanları/veri taşıyıcıları)
  • İlgili uygulamaların çoklu kiracılığı
  • İstemci uygulaması ve verileri mantıksal olarak ayrılmıştır
  • Geliştirme, test ve üretim ortamının aşamalandırılması
Organizasyonel Tedbirler
  • Bilgi Güvenliği Politikası
  • Veri Koruma Politikası
  • Yetkilendirme konsepti aracılığıyla kontrol
  • Çalışma talimatı: Operasyonel güvenlik ve Yazılım geliştirme ve test etmede güvenlik

1.5 Şifreleme Kontrolü

Verilerin aktarım halindeyken ve beklemedeyken korunmasına yönelik ileri metodoloji kullanılarak önlemler alınmaktadır.

Teknik Önlemler

Aktarım Halinde Veri Şifreleme (Hareket Halinde)

  • Tüm veri iletimi için Aktarım Katmanı Güvenliği (TLS 1.2 ve üzeri) ve Güvenli Yuva Katmanı (SSL) protokolleri uygulandı.
  • Bu protokoller, veriyi sistemler arasında dolaşırken şifreler ve onu ele geçiren kimse için okunamaz hale getirir.

Kullanımda Olmayan Veri Şifreleme (Saklanan)

  • Depolama Diskleri: Disk Düzeyinde Şifreleme ile Şifrelenir
  • Hassas Veriler: AES-256 (256 bit Gelişmiş Şifreleme Standardı) ile Şifrelenmiştir
  • Anahtar Yönetimi: AWS Anahtar Yönetimi Hizmeti (KMS)
  • Yedeklemeler: AWS S256'te AES-3 ile şifrelenmiştir
  • Veri Maskeleme: Müşteriye özel ayrıntılar gizlenir.
Organizasyonel Tedbirler
  • Anahtar Rotasyonu: Güvenliği ihlal edilmiş bir anahtarla ilişkili riski en aza indirmek için veriler ve yedeklemeler için kullanılan şifreleme anahtarlarının düzenli rotasyonu.
  • Erişim Kontrolü: Şifreleme anahtarlarına erişimi, kesin bir bilmesi gereken esasına göre sınırlı sayıda yetkili personelle sınırlandırın.
  • Denetim: Erişimi izlemek ve olası anormallikleri belirlemek için ayrıntılı anahtar kullanım günlüklerini tutun.

2. Bütünlük

2.1 Transfer Kontrolü

Kişisel verilere elektronik iletim sırasında veya veri depolama cihazlarında saklanırken yetkisiz erişimi önlemek, okunmamasını, kopyalanmamasını, değiştirilmemesini veya kaldırılmamasını sağlamak için önlemler alınmaktadır.

Teknik Önlemler
  • VPN kullanımı
  • Erişimlerin ve almaların günlüğe kaydedilmesi
  • SFTP, HTTPS ve güvenli bulut depoları gibi şifreli bağlantılar aracılığıyla sağlama
Organizasyonel Tedbirler
  • Düzenli alma ve iletim süreçlerinin araştırılması
  • Nakliye personeli ve araçlarının dikkatli seçimi
  • Protokolle kişisel devir teslim
  • Bilgi Güvenliği Politikası
  • Veri Koruma Politikası

2.2 Giriş Kontrolü

Kişisel verileri veri işleme sistemlerine kimin girdiğini, değiştirdiğini veya kaldırdığını doğrulamak ve incelemek için önlemler mevcuttur. Günlüğe kaydetme, işletim sistemi, ağ, güvenlik duvarı, veritabanı ve uygulama gibi farklı düzeylerdeki girişleri kontrol eder.

Teknik Önlemler
  • Verilerin girişi, değiştirilmesi ve silinmesinin teknik olarak günlüğe kaydedilmesi
  • Günlüklerin manuel veya otomatik kontrolü (katı dahili spesifikasyonlara göre)
Organizasyonel Tedbirler
  • Hangi programların hangi verileri girmek, değiştirmek veya silmek için kullanılabileceğinin araştırılması
  • Bireysel kullanıcı adları üzerinden veri girişi, değişikliği ve silinmesinin izlenebilirliği
  • Yetkilendirme konseptine dayalı olarak veri girme, değiştirme ve silme haklarının atanması
  • Silme işlemlerine ilişkin sorumlulukları netleştirin
  • Bilgi Güvenliği Politikası

3. Kullanılabilirlik ve Dayanıklılık

3.1 Kullanılabilirlik Kontrolü

Kişisel verileri kazara yok olmaya veya kaybolmaya karşı korumak için önlemler mevcuttur (örneğin, UPS, klima, yangından korunma, veri yedekleme, güvenli veri ortamı depolama).

Teknik Önlemler
  • Minimum %99.9 kesintisiz çalışma (hafta sonu geceleri planlanan bakım hariç).
  • Veri Sürekliliği
  • Yangın ve duman algılama sistemleri
  • Yangın söndürücü sunucu odası
  • Sunucu odasının sıcaklık ve nemini izleme
  • Sunucu odası iklimlendirmesi
  • UPS sistemi ve acil durum dizel jeneratörleri
  • Sunucu odasındaki koruyucu soket şeritleri
  • RAID sistemi / sabit disk yansıtma
  • Video gözetim sunucu odası
Organizasyonel Tedbirler
  • Yedekleme konsepti
  • Acil durum planının varlığı
  • Tesis dışı yedekleme depolama alanı
  • Gerekirse işletim sistemi ve veri bölümlerinin ayrılması

3.2 Kurtarılabilirlik Kontrolü

Fiziksel veya teknik bir olay olması durumunda kişisel verilere erişimin hızlı bir şekilde yeniden sağlanmasına yönelik önlemler mevcuttur.

Teknik Önlemler
  • Yedekleme izleme ve raporlama
  • Otomasyon araçlarından geri yüklenebilirlik
  • Kritiklik ve müşteri spesifikasyonlarına göre yedekleme konsepti
Organizasyonel Tedbirler
  • Felaket kurtarma planı
  • Yedekleme işleminin kontrolü
  • Veri kurtarmanın düzenli olarak test edilmesi ve sonuçların günlüğe kaydedilmesi
  • Yedekleme ortamını sunucu odasının dışında güvenli bir yerde saklayın
  • Acil durum planının varlığı

4. Düzenli İnceleme, Ölçme ve Değerlendirme Prosedürleri

4.1 Veri Koruma Yönetimi (DPM)

Veri Koruma Yönetimi (DPM), yaşam döngüsü boyunca hassas bilgilerin güvenliğini sağlamaya, yönetmeye ve korumaya yönelik kapsamlı bir strateji ve uygulamalar kümesini kapsar. Buna erişimin kontrol edilmesi, yetkisiz kullanımın önlenmesi ve olay durumunda veri kurtarılmasının sağlanması da dahildir.

Teknik Önlemler
  • Çalışanların erişebileceği tüm veri koruma düzenlemelerinin merkezi dokümantasyonu
  • ISO 27001'e göre güvenlik sertifikası
  • TOM'lerin etkinliği en az yılda bir kez gözden geçirilir ve TOM'ler güncellenir
Organizasyonel Tedbirler
  • Bir Veri Koruma Görevlisi (DPO) atanır.
  • Tüm personel üyeleri eğitimlidir ve gizliliği ve veri gizliliğini korumakla yükümlüdürler. En az yılda bir kez düzenli farkındalık eğitimleri alıyorlar.
  • Veri Koruma Etki Değerlendirmeleri (DPIA'lar) gerektiği şekilde gerçekleştirilir.
  • GDPR'nin 13. ve 14. maddeleri uyarınca bilgi yükümlülüklerine uymak için süreçler oluşturulmuştur.
  • Veri sahiplerinden gelen bilgi taleplerinin ele alınmasına yönelik resmileştirilmiş bir süreç mevcuttur.
  • Veri koruma hususları kurumsal risk yönetimimize entegre edilmiştir.
  • Veri merkezi operasyonları da dahil olmak üzere şirketin önemli bölümleri ISO 27001 sertifikasına sahip olup, yıllık izleme denetimleri gerçekleştirilmektedir.

4.2 Olay Müdahale Yönetimi

Güvenlik ihlali müdahalesini ve veri ihlali sürecini desteklemek için önlemler mevcuttur.

Teknik Önlemler
  • Güvenlik duvarı kullanımı ve düzenli güncelleme
  • Spam filtresi kullanımı ve düzenli güncelleme
  • Virüs tarayıcı kullanımı ve düzenli güncelleme
  • Sipariş üzerine müşteri sistemleri için Saldırı Tespit Sistemi (IDS)
  • Sipariş üzerine müşteri sistemleri için İzinsiz Giriş Önleme Sistemi (IPS)
Organizasyonel Tedbirler
  • Denetleyici makamlara raporlama yükümlülükleri de dahil olmak üzere, güvenlik olaylarını ve veri ihlallerini tespit etmek ve raporlamak için belgelenmiş bir süreç
  • Veri Koruma Görevlisinin (DPO) dahil olduğu güvenlik olaylarının ele alınmasına yönelik standart prosedür
  • Dahili biletleme sistemini kullanarak güvenlik olaylarını ve veri ihlallerini belgelemek
  • Güvenlik olaylarını ve veri ihlallerini takip etmek için standart süreç
  • İhlal bildirimi politikası

4.3 Tasarım ve Varsayılan Olarak Veri Koruma

GDPR Madde 25 uyarınca tasarım gereği ve varsayılan olarak veri koruma ilkelerine uymak için önlemler mevcuttur.

Teknik Önlemler
  • Üçüncü taraf uygulama onayı: Geliştirmede kullanılan tüm üçüncü taraf uygulamalar için ekip liderlerinin ve BT operasyon yöneticilerinin onayı gereklidir.
  • Güvenli indirme kaynağı: Geliştirme araçlarının yalnızca üretici sunucuları gibi güvenli kaynaklardan indirilmesini zorunlu kılın.
  • Tek Oturum Açma (SSO): Üçüncü taraf uygulamaların erişimi merkezi olarak yönetmesi için mümkün olan yerlerde SSO'yu uygulayın.
  • Daha az güvenli uygulamayı devre dışı bırakma: Yönetici yapılandırmaları aracılığıyla daha az güvenli üçüncü taraf uygulamalarını varsayılan olarak devre dışı bırakın.
Organizasyonel Tedbirler
  • Gizliliğe duyarlı tasarım: Kullanıcıların girmesi gereken veri miktarını en aza indiren ürün geliştirmeyi teşvik edin. Gereksiz veri alanlarından kaçının veya bunları isteğe bağlı hale getirin.
  • Varsayılan gizlilik ayarları: Kullanıcı verilerinin korunmasına öncelik vermek için varsayılan olarak gizlilik dostu ayarları önceden seçin.
  • PbD: Veri Koruma Politikası ("tasarım gereği / varsayılan olarak gizlilik" ilkelerini içerir)

4.4 Sipariş Kontrolü (dış kaynak kullanımı, taşeronlar ve sipariş işleme)

Müşteri adına işlenen kişisel verilerin yalnızca müşterinin talimatları doğrultusunda işlenmesini sağlamak için önlemler mevcuttur.

Teknik Önlemler
  • Uzaktan erişimin harici taraflarca izlenmesi, örneğin uzaktan destek bağlamında
  • Alt yüklenicilerin buna göre takibi.
Organizasyonel Tedbirler
  • Verileri müşteri talimatlarına göre işleyin
  • Tedarikçi yönetimi ve tedarikçi değerlendirmesi için çalışma talimatları oluşturun
  • Ek taşeronların kullanımına ilişkin düzenlemelere uyun
  • Alt işleyicileri öncelikle veri koruma ve güvenliğe odaklanarak dikkatlice seçin
  • Görevlendirilmiş işleme veya AB standart sözleşme maddeleri gibi gerekli veri işleme anlaşmalarını sonuçlandırmak
  • Yüklenici çalışanlarının veri gizliliğini korumasını ve Bilgi Güvenliği Politikasına uymasını sağlayın
  • Sözleşme feshedildikten sonra verileri yok ettiğinizden emin olun.