Vtiger - Teknik ve Organizasyonel Önlemler (TOM'ler)
Bu belge Ek II'yi tamamlamaktadır: GDPR (AB Genel Veri Koruma Yönetmeliği) Madde 28 (İşlemci) kapsamında Vtiger ile Müşteri arasındaki Veri İşleme Eki'nin (DPA) Teknik ve Organizasyonel Önlemleri.
Vtiger, GDPR'nin 32. Maddesine (İşleme Güvenliği) uygun olarak teknik ve organizasyonel önlemleri uygular. Bu önlemler, güvenliği ve korumayı artırmak için aktif ISO 27001 sertifikası da dahil olmak üzere, fizibiliteye ve en son teknolojiye göre sürekli olarak geliştirilmektedir.
Vtiger olarak, Kişisel Verilerin ve çalışanlarımızın eriştiği diğer verilerin güvenliğini sağlamak için çeşitli politikaları, standartları ve süreçleri sürdürmeye ve uygulamaya kararlıyız. Veri korumaya olan bağlılığımız, gizlilik ve güvenlik için uzman bir ekibe sahip olmayı, harici taraflar için veri koruma sağlamayı, kuruluş genelinde tutarlı koruma sağlamayı, alt yüklenicilere sıkı kontrol sağlamayı ve düzenli denetimler ve sertifikalar yürütmeyi içerir. Endüstri standartlarıyla uyumlu olduklarından emin olmak için bu önlemleri periyodik olarak güncelliyoruz.
Teknik ve organizasyonel önlemlerin aşağıdaki açıklaması, uygulanabilir olduğu durumlarda, bu veri kategorilerine göre farklılaştırılacaktır.
1. Gizlilik
1.1 Fiziksel Erişim Kontrolü
Yetkisiz kişilerin, kişisel verileri işlemek için kullanılan veri işleme sistemlerine erişimini önlemek için önlemler alınmaktadır.
Teknik Önlemler
Kilitli bina ve ofis
Biyometrik erişim
Manuel kilitleme sistemi
Otomatik kilit sistemli kapılar
Güvenlik Personeli
Girişin Video Gözetimi
Sahada üretim sunucusu yok
Organizasyonel Tedbirler
Temel düzenleme kontrol listesi
Güvenlik Görevlisi Personeli Karşılaması
Ziyaretçi kitabı
Çalışan/Ziyaretçi Rozeti
Çalışan Eşliğinde Ziyaretçi
Bilgi Güvenliği Politikası
Çalışma Talimatları Erişim Kontrolü
Vtiger veri güvenliğine öncelik verirken, bulut bilişimde paylaşılan sorumluluk modelini kabul etmek önemlidir. Vtiger, bulut kaynakları sağlamak için AWS, DigitalOcean ve OV gibi Bulut Hizmet Sağlayıcılarını (CSP'ler) kullanır. Bu CSP'ler temel altyapıyı güvence altına alır ve sağlam güvenlik kontrollerini sürdürür. İSS'nin güvenlik kontrollerinin nasıl bulunabileceğine ilişkin daha fazla ayrıntı okuyun.
1.2 Mantıksal Erişim Kontrolü
Veri işleme sistemlerine yetkisiz erişimi engellemek için güvenlik önlemleri alınmaktadır.
Başarısız oturum açma/kimlik doğrulama işlemlerinde Otomatik Hesap Kilitleme
Tüm kullanım etkinliği ve veri değişiklikleri günlüğe kaydedilir
Organizasyonel Tedbirler
Rol tabanlı yetkilendirme dahil kullanıcı izin yönetimi
Kullanıcıya özel profiller oluşturma
Bilgi Güvenliği Politikası
Şifre politikası
Mobil Cihaz Politikası
Çalışma Talimatları: BT Güvenliği SOP ve Çalışan Erişim Kontrolü
Çalışan İncelemesi
Eğitim ve Farkındalık
De Minimis Prensibi
Vtiger Çalışan Erişimi ve Müşteri Kontrolü
Vtiger çalışanları, Vtiger ürünlerine ve müşteri verilerine yalnızca güvenli arayüzler aracılığıyla erişebilir. Bu erişim yalnızca müşterilerin bunu kendi ayarlarında açıkça etkinleştirmeleri durumunda verilir. Tüm erişim istekleri, denetim amacıyla titizlikle günlüğe kaydedilir.
Vtiger, çalışanların erişimini ihtiyaç esasına göre belirli personelle sınırlandırarak meşru nedenlerle müşteri verilerini yalnızca yetkili kişilerin görüntüleyebilmesini sağlar. Müşteri uygulamasına şunlar için erişilir:
Müşteri desteği sağlama
Müşterilerin yaşadığı teknik sorunların giderilmesi
Potansiyel güvenlik tehditlerini belirleme ve bunlara yanıt verme
1.3 Yetki Kontrolü
Veri işleme sistemine yalnızca yetkili kişilerin erişebilmesini sağlayacak önlemler alınmaktadır. Kişisel veriler, işlenmesi, kullanılması ve saklanması sırasında uygun izin alınmadan okunamaz, kopyalanamaz, değiştirilemez ve kaldırılamaz.
Teknik Önlemler
Veri taşıyıcının/cihazların fiziksel olarak silinmesi
SSH Şifreli erişim
Sertifikalı SSL şifreleme
Artık kullanılmayan Dosyaları ve Kağıtları Parçalayın
Saklama süresinden sonra veya müşteri talep ettiğinde yedeklerin arşivden otomatik olarak silinmesi
Özellikle veri girerken, değiştirirken ve silerken uygulamalara erişimlerin günlüğe kaydedilmesi
Organizasyonel Tedbirler
Bilgi Güvenliği Politikası
Yönetici Rollerini En Aza İndirin
Kullanıcı haklarının yöneticiler tarafından yönetilmesi
Bilgi ve varlıkların kullanılmasına ilişkin çalışma talimatları
1.4 Ayırma Kontrolü
Farklı amaçlarla toplanan verilerin izole kalmasını sağlamak için katı veri ayırma uygulamalarına yönelik önlemler uygulanmaktadır. Bu, verilerin sistem içinde kategorize edildiği ve farklı bölümlerde saklandığı mantıksal ayırmayı ve verilerin tamamen farklı donanımlarda depolandığı potansiyel olarak fiziksel ayırmayı içerir.
Teknik Önlemler
Fiziksel ayırma (sistemler/veritabanları/veri taşıyıcıları)
İlgili uygulamaların çoklu kiracılığı
İstemci uygulaması ve verileri mantıksal olarak ayrılmıştır
Geliştirme, test ve üretim ortamının aşamalandırılması
Organizasyonel Tedbirler
Bilgi Güvenliği Politikası
Veri Koruma Politikası
Yetkilendirme konsepti aracılığıyla kontrol
Çalışma talimatı: Operasyonel güvenlik ve Yazılım geliştirme ve test etmede güvenlik
1.5 Şifreleme Kontrolü
Verilerin aktarım halindeyken ve beklemedeyken korunmasına yönelik ileri metodoloji kullanılarak önlemler alınmaktadır.
Teknik Önlemler
Aktarım Halinde Veri Şifreleme (Hareket Halinde)
Tüm veri iletimi için Aktarım Katmanı Güvenliği (TLS 1.2 ve üzeri) ve Güvenli Yuva Katmanı (SSL) protokolleri uygulandı.
Bu protokoller, veriyi sistemler arasında dolaşırken şifreler ve onu ele geçiren kimse için okunamaz hale getirir.
Kullanımda Olmayan Veri Şifreleme (Saklanan)
Depolama Diskleri: Disk Düzeyinde Şifreleme ile Şifrelenir
Hassas Veriler: AES-256 (256 bit Gelişmiş Şifreleme Standardı) ile Şifrelenmiştir
Anahtar Yönetimi: AWS Anahtar Yönetimi Hizmeti (KMS)
Yedeklemeler: AWS S256'te AES-3 ile şifrelenmiştir
Veri Maskeleme: Müşteriye özel ayrıntılar gizlenir.
Organizasyonel Tedbirler
Anahtar Rotasyonu: Güvenliği ihlal edilmiş bir anahtarla ilişkili riski en aza indirmek için veriler ve yedeklemeler için kullanılan şifreleme anahtarlarının düzenli rotasyonu.
Erişim Kontrolü: Şifreleme anahtarlarına erişimi, kesin bir bilmesi gereken esasına göre sınırlı sayıda yetkili personelle sınırlandırın.
Denetim: Erişimi izlemek ve olası anormallikleri belirlemek için ayrıntılı anahtar kullanım günlüklerini tutun.
2. Bütünlük
2.1 Transfer Kontrolü
Kişisel verilere elektronik iletim sırasında veya veri depolama cihazlarında saklanırken yetkisiz erişimi önlemek, okunmamasını, kopyalanmamasını, değiştirilmemesini veya kaldırılmamasını sağlamak için önlemler alınmaktadır.
Teknik Önlemler
VPN kullanımı
Erişimlerin ve almaların günlüğe kaydedilmesi
SFTP, HTTPS ve güvenli bulut depoları gibi şifreli bağlantılar aracılığıyla sağlama
Organizasyonel Tedbirler
Düzenli alma ve iletim süreçlerinin araştırılması
Nakliye personeli ve araçlarının dikkatli seçimi
Protokolle kişisel devir teslim
Bilgi Güvenliği Politikası
Veri Koruma Politikası
2.2 Giriş Kontrolü
Kişisel verileri veri işleme sistemlerine kimin girdiğini, değiştirdiğini veya kaldırdığını doğrulamak ve incelemek için önlemler mevcuttur. Günlüğe kaydetme, işletim sistemi, ağ, güvenlik duvarı, veritabanı ve uygulama gibi farklı düzeylerdeki girişleri kontrol eder.
Teknik Önlemler
Verilerin girişi, değiştirilmesi ve silinmesinin teknik olarak günlüğe kaydedilmesi
Günlüklerin manuel veya otomatik kontrolü (katı dahili spesifikasyonlara göre)
Organizasyonel Tedbirler
Hangi programların hangi verileri girmek, değiştirmek veya silmek için kullanılabileceğinin araştırılması
Bireysel kullanıcı adları üzerinden veri girişi, değişikliği ve silinmesinin izlenebilirliği
Yetkilendirme konseptine dayalı olarak veri girme, değiştirme ve silme haklarının atanması
Silme işlemlerine ilişkin sorumlulukları netleştirin
Bilgi Güvenliği Politikası
3. Kullanılabilirlik ve Dayanıklılık
3.1 Kullanılabilirlik Kontrolü
Kişisel verileri kazara yok olmaya veya kaybolmaya karşı korumak için önlemler mevcuttur (örneğin, UPS, klima, yangından korunma, veri yedekleme, güvenli veri ortamı depolama).
Teknik Önlemler
Minimum %99.9 kesintisiz çalışma (hafta sonu geceleri planlanan bakım hariç).
Veri Sürekliliği
Yangın ve duman algılama sistemleri
Yangın söndürücü sunucu odası
Sunucu odasının sıcaklık ve nemini izleme
Sunucu odası iklimlendirmesi
UPS sistemi ve acil durum dizel jeneratörleri
Sunucu odasındaki koruyucu soket şeritleri
RAID sistemi / sabit disk yansıtma
Video gözetim sunucu odası
Organizasyonel Tedbirler
Yedekleme konsepti
Acil durum planının varlığı
Tesis dışı yedekleme depolama alanı
Gerekirse işletim sistemi ve veri bölümlerinin ayrılması
3.2 Kurtarılabilirlik Kontrolü
Fiziksel veya teknik bir olay olması durumunda kişisel verilere erişimin hızlı bir şekilde yeniden sağlanmasına yönelik önlemler mevcuttur.
Teknik Önlemler
Yedekleme izleme ve raporlama
Otomasyon araçlarından geri yüklenebilirlik
Kritiklik ve müşteri spesifikasyonlarına göre yedekleme konsepti
Organizasyonel Tedbirler
Felaket kurtarma planı
Yedekleme işleminin kontrolü
Veri kurtarmanın düzenli olarak test edilmesi ve sonuçların günlüğe kaydedilmesi
Yedekleme ortamını sunucu odasının dışında güvenli bir yerde saklayın
Acil durum planının varlığı
4. Düzenli İnceleme, Ölçme ve Değerlendirme Prosedürleri
4.1 Veri Koruma Yönetimi (DPM)
Veri Koruma Yönetimi (DPM), yaşam döngüsü boyunca hassas bilgilerin güvenliğini sağlamaya, yönetmeye ve korumaya yönelik kapsamlı bir strateji ve uygulamalar kümesini kapsar. Buna erişimin kontrol edilmesi, yetkisiz kullanımın önlenmesi ve olay durumunda veri kurtarılmasının sağlanması da dahildir.
Teknik Önlemler
Çalışanların erişebileceği tüm veri koruma düzenlemelerinin merkezi dokümantasyonu
ISO 27001'e göre güvenlik sertifikası
TOM'lerin etkinliği en az yılda bir kez gözden geçirilir ve TOM'ler güncellenir
Organizasyonel Tedbirler
Bir Veri Koruma Görevlisi (DPO) atanır.
Tüm personel üyeleri eğitimlidir ve gizliliği ve veri gizliliğini korumakla yükümlüdürler. En az yılda bir kez düzenli farkındalık eğitimleri alıyorlar.
Veri Koruma Etki Değerlendirmeleri (DPIA'lar) gerektiği şekilde gerçekleştirilir.
GDPR'nin 13. ve 14. maddeleri uyarınca bilgi yükümlülüklerine uymak için süreçler oluşturulmuştur.
Veri sahiplerinden gelen bilgi taleplerinin ele alınmasına yönelik resmileştirilmiş bir süreç mevcuttur.
Veri koruma hususları kurumsal risk yönetimimize entegre edilmiştir.
Veri merkezi operasyonları da dahil olmak üzere şirketin önemli bölümleri ISO 27001 sertifikasına sahip olup, yıllık izleme denetimleri gerçekleştirilmektedir.
4.2 Olay Müdahale Yönetimi
Güvenlik ihlali müdahalesini ve veri ihlali sürecini desteklemek için önlemler mevcuttur.
Teknik Önlemler
Güvenlik duvarı kullanımı ve düzenli güncelleme
Spam filtresi kullanımı ve düzenli güncelleme
Virüs tarayıcı kullanımı ve düzenli güncelleme
Sipariş üzerine müşteri sistemleri için Saldırı Tespit Sistemi (IDS)
Sipariş üzerine müşteri sistemleri için İzinsiz Giriş Önleme Sistemi (IPS)
Organizasyonel Tedbirler
Denetleyici makamlara raporlama yükümlülükleri de dahil olmak üzere, güvenlik olaylarını ve veri ihlallerini tespit etmek ve raporlamak için belgelenmiş bir süreç
Veri Koruma Görevlisinin (DPO) dahil olduğu güvenlik olaylarının ele alınmasına yönelik standart prosedür
Dahili biletleme sistemini kullanarak güvenlik olaylarını ve veri ihlallerini belgelemek
Güvenlik olaylarını ve veri ihlallerini takip etmek için standart süreç
İhlal bildirimi politikası
4.3 Tasarım ve Varsayılan Olarak Veri Koruma
GDPR Madde 25 uyarınca tasarım gereği ve varsayılan olarak veri koruma ilkelerine uymak için önlemler mevcuttur.
Teknik Önlemler
Üçüncü taraf uygulama onayı: Geliştirmede kullanılan tüm üçüncü taraf uygulamalar için ekip liderlerinin ve BT operasyon yöneticilerinin onayı gereklidir.
Güvenli indirme kaynağı: Geliştirme araçlarının yalnızca üretici sunucuları gibi güvenli kaynaklardan indirilmesini zorunlu kılın.
Tek Oturum Açma (SSO): Üçüncü taraf uygulamaların erişimi merkezi olarak yönetmesi için mümkün olan yerlerde SSO'yu uygulayın.
Daha az güvenli uygulamayı devre dışı bırakma: Yönetici yapılandırmaları aracılığıyla daha az güvenli üçüncü taraf uygulamalarını varsayılan olarak devre dışı bırakın.
Organizasyonel Tedbirler
Gizliliğe duyarlı tasarım: Kullanıcıların girmesi gereken veri miktarını en aza indiren ürün geliştirmeyi teşvik edin. Gereksiz veri alanlarından kaçının veya bunları isteğe bağlı hale getirin.
Varsayılan gizlilik ayarları: Kullanıcı verilerinin korunmasına öncelik vermek için varsayılan olarak gizlilik dostu ayarları önceden seçin.
PbD: Veri Koruma Politikası ("tasarım gereği / varsayılan olarak gizlilik" ilkelerini içerir)
4.4 Sipariş Kontrolü (dış kaynak kullanımı, taşeronlar ve sipariş işleme)
Müşteri adına işlenen kişisel verilerin yalnızca müşterinin talimatları doğrultusunda işlenmesini sağlamak için önlemler mevcuttur.
Teknik Önlemler
Uzaktan erişimin harici taraflarca izlenmesi, örneğin uzaktan destek bağlamında
Alt yüklenicilerin buna göre takibi.
Organizasyonel Tedbirler
Verileri müşteri talimatlarına göre işleyin
Tedarikçi yönetimi ve tedarikçi değerlendirmesi için çalışma talimatları oluşturun
Ek taşeronların kullanımına ilişkin düzenlemelere uyun
Alt işleyicileri öncelikle veri koruma ve güvenliğe odaklanarak dikkatlice seçin
Görevlendirilmiş işleme veya AB standart sözleşme maddeleri gibi gerekli veri işleme anlaşmalarını sonuçlandırmak
Yüklenici çalışanlarının veri gizliliğini korumasını ve Bilgi Güvenliği Politikasına uymasını sağlayın
Sözleşme feshedildikten sonra verileri yok ettiğinizden emin olun.