Amaç
Madde 1 - Bu yönetmeliğin amacı, Girişim Kitle Fonlama Platformu Anonim Şirketi’nin (bundan sonra Platform olarak anılacaktır) tüm faaliyetlerinde bünyesinde çalışanlar ve ilgili tarafların uyması gereken bilgi güvenliği şartlarının çerçevesini çizmek ve yazılı kurallara ilişkin ilke ve esasları düzenlemektir.
Kapsam
Madde 2 - Bu politika, Girişim Kitle Fonlama Platformu Anonim Şirketi’nin bilgi sistemleri varlıklarını, bilgi sistemlerine erişim sağlayan personelleri, yazılım geliştirme, satış, kurulum, destek, entegrasyon, eğitim ve danışmanlık hizmetlerinin iş süreçleri ile bilgi sistemlerinin kurulması, işletilmesi, yönetilmesi ve kullanılmasına ilişkin; bilginin gizliliğinin, bütünlüğünün ve gerektiğinde erişilebilir olmasının sağlanmasına yönelik olarak bilgi güvenliği politikası üst yönetim tarafından hazırlanır ve yönetim kurulu tarafından onaylanır. Onaylanan bilgi güvenliği politikası personele duyurulur. Bu politika, bilgi güvenliği süreçlerinin işletilmesi için gerekli rollerin ve sorumlulukların tanımlanmasını, bilgi sistemlerine ilişkin risklerin yönetilmesine dair süreçlerin oluşturulmasını, kontrollerin tesis edilmesini ve gözetimini kapsar.
Hukuki Dayanak
Madde 3 - Bu Politika, Sermaye Piyasası Kurulu’nun 27.10.2021 tarihli 31641sayılı Resmi Gazete ’de yayınlanan “Paya Dayalı Kitle Fonlaması Tebliği (lll – 35/A.2) ve 05.01.2018 tarihli 30292 sayılı Resmi Gazete ’de yayınlanan ‘Bilgi Sistemleri Yönetimi Tebliği (VII-128.9) esas alınarak hazırlanmıştır.
Sorumluluk ve Yetki
Madde 4 - Bilgi Güvenliği Politikasının sürekliliğinin sağlanmasından BGYS Yöneticisi sorumludur. Bilgi Güvenliği politikasında yapılacak güncellemeler yönetim gözden geçirme toplantılarında belirlenir ve BGYS yöneticisi tarafından “Üst Yönetimin” onayı alınarak dokümana yansıtılır.
Bilgi Güvenliği
Madde 5 - Bilgi, diğer önemli ticari ve kurumsal varlıklar gibi, bir işletme ve kurum için değeri olan ve bu nedenle korunması gereken bir varlıktır. Bilgi güvenliği iş sürekliliğini sağlar, kayıpları en aza indirir, tehlike ve tehdit alanlarından korur. Bilgi güvenliği, bahsedilen politikada aşağıdaki bilgi niteliklerinin korunması olarak tanımlanır:
Bilgi güvenliği politikası dokümanı, yukarıdaki korumaları ve gereksinimleri sağlayabilmek için oluşturulmuş denetimlerin uygulanması sırasında kullanılacak en üst seviyedeki prensiplerin belirtildiği dokümandır.
Bilgi Güvenliği Hedefleri ve Amaçları
Madde 6 - Bilgi Güvenliği Politikası, Platform’un;
Bilgi Güvenliği Organizasyonu
Madde 7 - Platform’da Bilgi Güvenliği Yönetim Sistemi ile ilgili aşağıdaki şekilde bir organizasyon yapılmıştır.
İş Sürekliliği Planı
Madde 8 - Platform, Kalite Yönetim Sistemi ve Bilgi Sistemleri Yönetimi Tebliği baz alınarak İş Sürekliliği Planı ve Acil Durum Eylem Planı hazırlanmıştır. Platform ’un değer yaratan faaliyetlerini, herhangi bir felaket, kriz ve afet durumunda önceden belirlenen seviyede yürütebilmesi için gerekli olan bu planlarda iş sürekliliği ve acil durum yönetim kapsamı, yapısı, temel unsurları, bilgi sistemleri sürekliliği planı, acil ve beklenmedik durum planı dokümante edilerek tanımlanmıştır. Olası durumlarda hazırlanan planlar ile Platform’un herhangi bir kesinti anında faaliyetlerinin sürdürülmesi veya zamanında kurtarılmasını sağlamak üzere operasyonel, finansal, yasal ve itibari olumsuz etkileri en aza indirmek, sorunları yönetebilmek, herhangi bir beklenmedik ve acil durumda öncelikli gerçekleştirilecek eylemleri, alınacak önlemleri belirleyerek, Şirket’in varlık ve itibarını korumak hedeflenmiştir.
Risk Yönetimi
Madde 9 - Platform’un Risk Yönetim Çerçevesi; Bilgi Güvenliği ve Hizmet Yönetimi risklerinin tanımlanmasını, değerlendirilmesini ve işlenmesini kapsar. Risk Analizi ve Risk İşleme Planı Bilgi Güvenliği ve Hizmet Yönetimi risklerinin nasıl kontrol edildiğini tanımlar. Risk İşleme Planının yönetiminden ve gerçekleştirilmesinden BGYS Yürütme ve Yönetim Komitesi sorumludur.
Bilgi sistemlerine ilişkin risklerin yönetilmesinde asgari olarak aşağıdaki hususlar değerlendirmeye katılır:
Yukarıda verilen hususlar için aşağıda bulunan Risk Yönetim Planı hazırlanmıştır.
RİSK YÖNETİM PLANI | |||||||
Cihaz Adı | Kritik Varlık Değeri | Tehdit | Açıklık | Olasılık | Etki | Risk üstlenme | Düzenleyici / risk azaltıcı faaliyetler |
YAZILIMIN KOŞULDUĞU ANA SERVERLAR | 5 | Elektrik Kesintisi | Elektrikle çalışıyor | 1 | 5 | Risk kabul edilmiştir | Veri merkezinde bulunan sanal serverlar muhtemel kesintilere karşı UPS mevcuttur. UPS'ler ile ilgili herhangi bir arıza veya yetersizlik söz konusu olması halinde ise Jeneratör bulunmaktadır. |
Fiziksel Müdahale | İnsan faktörü | 1 | 5 | Risk kabul edilmiştir | Veri merkezinde bulunan fiziksel serverlara erişim yalnızca şirketin belirlediği yetkili kişiler tarafınca SSL VPN ile iki faktör doğrulama yöntemi kullanılarak yapılabilmektedir. | ||
İnternet bağlantısının kesilmesi | Servis Sağlayıcıları | 1 | 5 | Risk azaltılacaktır | Kullanılan veri merkezinin internet bağlantısı hâlihazırda iki servis sağlayıcı ile sağlanmaktadır. Her iki servis sağlayıcıda da problem yaşanması durumunda diğer lokasyonda bulunan serverlar devreye girecektir. | ||
Çalışma Ortamı, Nem, Sıcaklık | Ortamın fiziksel koşulları | 2 | 4 | Risk azaltılacaktır | Veri merkezinde bulunan, Sistem odası anlık olarak takip edilmektedir. | ||
Doğal Afetler, Yangın, Su Baskını | Bina ve mekânın özellikleri | 1 | 5 | Risk azaltılacaktır | Veriler yedeklenmektedir. Olası bir felaket senaryosunda, alınan yedeklerden dönüş sağlanacaktır. | ||
Hırsızlık | İnsan faktörü | 2 | 5 | Risk azaltılacaktır | Veri merkezi 7/24 güvenlik kamerası ve güvenlik görevlileri tarafından izlenmektedir. Binaya ve sunucunun bulunduğu bölgeye erişim sadece izni bulunan yetkili tarafından yapılır. Herhangi bir şekilde verilerin fiziksel olarak çalınması ihtimal dâhilinde dahi olsa hâlihazırda güvenlik gereksinimi yüksek olan veriler şifrelendiği için fiziksel olarak ele geçirilse bile 3. kişiler tarafından kullanılamayacaktır. Verinin çalınması ihtimaline karşı veri güvenlik uygulaması tüm dosya ve klasörleri anlık olarak takip etmekte ve yetkisiz erişim denemeleri karşısında ivedilikle müdahale ederek bağlantıyı kesmektedir. Sunucudaki verilerin ve donanımın fiziksel olarak çalınması senaryosunda ise alınan yedekler devreye alınabilecektir. | ||
Konfigürasyon Arızası | Yazılım yapısı | 1 | 5 | Risk azaltılacaktır | Teknik destek şirket içinde çözümlenmektedir. Yazılım koruması yeni antivirüs programı ve firewall ile desteklenmektedir. Konfigürasyon yedeği, her versiyona özel olarak alınmaktadır. | ||
Bant Genişliği Aşımı | Fazla trafik /cihaz kapasitesi | 2 | 3 | Risk azaltılacaktır | Anlık olarak izlenen veri trafiği kapasitesine göre server konfigürasyonları ilgili teknik personel tarafından ivedi bir şekilde artırılabilmektedir. | ||
Hacking, Fidye, Ddos ve Benzeri saldırılar | Dijital Saldırılar | 3 | 4 | Risk azaltılacaktır | Serverlar, yoğun istek almaları durumunda öncelikle istek atan IP'lere göre robot kontrolü yapmaktadır. İsteğin ısrarla sürdürülmesi durumunda Firewall konfigürasyonları devreye girerek ısrarcı IP'leri bloke etmektedir. Fidye ve benzeri virüslere karşı Log analiz ve data güvenliği uygulamaları sunucu bağlantılarını keserek ilgili ekibe sms ve mail ile bildirim göndermektedir. Sunucu ve client vlanları ayrılmıştır. Sunucular sadece VPN erişimine açıktır. | ||
TÜM OFİS BİLGİSAYARLARI | 3 | Yazılım Arızası | Yazılım yapısı | 1 | 5 | Risk azaltılacaktır | Tüm yazılımların teknik destek altyapıları değerlendirilerek gerekli olması durumunda teknik destek personeli devreye girmektedir. |
Donanım Arızası | Donanım Yapısı | 2 | 4 | Risk azaltılacaktır | Teknik destek Şirket bünyesinde sağlanmaktadır. Gerekli görülmesi halinde donanım hizmet sağlayıcılar ile gerekli altyapı sağlanmıştır. | ||
Hacklenme ve korsan yazılımlar tarafından enfekte olma | Kullanıcı tarafında gerçekleşen risk | 4 | 4 | Yazılım koruması güncel antivirüs programı ve firewall ile desteklenmektedir. Konfigürasyon yedeği, her versiyona özel olarak alınmaktadır. Server ve client vlanları ayrıldı. Sunucular sadece VPN erişimine açık. | |||
Fiziksel Müdahale | İnsan faktörü | 1 | 5 | Risk kabul edilmiştir | Erişim yalnızca şirketin belirlediği yetkili kişiler tarafından yapılabilmektedir. | ||
İnternet bağlantısının kesilmesi | Servis Sağlayıcıları | 1 | 5 | Risk azaltılacaktır | İnternet bağlantısı hâlihazırda iki servis sağlayıcı ile sağlanmaktadır. Her iki servis sağlayıcıda da problem yaşanması durumunda mobil internet erişimi sağlanacaktır. | ||
Çalışma Ortamı, Nem, Sıcaklık | Ortamın fiziksel koşulları | 2 | 5 | Risk azaltılacaktır | Hali hazırda ofisin yer aldığı Bilişim vadisi yönetimi tarafından gerekli önlemler alınmaktadır. | ||
Doğal Afetler, Yangın, Su Baskını | Bina ve mekânın özellikleri | 1 | 5 | 3.taraflar ile paylaşılacak | Hali hazırda ofisin yer aldığı Bilişim vadisi yönetimi tarafından gerekli önlemler alınmaktadır. | ||
Hırsızlık | İnsan faktörü | 2 | 3 | Risk azaltılacaktır | Şirket binası 7/24 güvenlik kamerası ve güvenlik görevlileri tarafından izlenmektedir. Binaya erişim izni bulunmayan kimse ulaşamamaktadır. Herhangi bir şekilde verilerin fiziksel olarak çalınması ihtimal dâhilinde dahi olsa hâlihazırda güvenlik gereksinimi yüksek olan veriler şifrelendiği için fiziksel olarak ele geçirilse de 3. kişiler tarafından kullanılamayacaktır. Donanımın fiziksel olarak çalınması senaryosunda alınan yedekler devreye alınabilecektir. | ||
YAZICI, FAX, TELEFON VS. | 5 | Elektrik Kesintisi | Elektrikle çalışıyor | 3 | 3 | Risk azaltılacaktır | UPS mevcuttur. |
Fiziksel Müdahale | İnsan faktörü | 2 | 3 | Risk kabul edilmiştir | Erişim yalnızca şirketin belirlediği yetkili kişiler tarafından yapılabilmektedir. | ||
Doğal Afetler, Yangın, Su Baskını | Bina ve mekânın özellikleri | 1 | 5 | 3.taraflar ile paylaşılacak | Hırsız alarmı mevcuttur. Ortam Kameralar yardımı ile izlenmektedir. İş yeri sigortası mevcuttur. Dış kapı kapalı tutulmaktadır.24 saat güvenlik mevcuttur. | ||
Çalışma Ortamı, Nem, Sıcaklık | Ortamın fiziksel koşulları | 2 | 5 | Risk kabul edilmiştir | Oda sıcaklığı, oda termostatı ve klimalar ile istenilen sıcaklığa ayarlanabilmektedir. | ||
Virüs Saldırısı | Teknik Açıklık | 4 | 3 | Risk azaltılacaktır | Antivirüs yazılımı var; lisanssız programlar kaldırıldı, sosyal ağlar ve uygunsuz içerikli sitelere erişim engellendi. Sunucu ve client vlanları ayrıldı. Sunucular sadece VPN erişimine açıktır. | ||
Hırsızlık | Taşınabilir varlık | 1 | 5 | Risk azaltılacaktır | Kameralar bina giriş-çıkış ve kat koridorlarında her ofis girişini görecek şekilde yerleştirilmiştir. Bina girişinde turnike sistemi ile otopark girişinde plaka tanıma sistemli bariyer sistemi bulunmaktadır. |
Rol ve Sorumluluklar Tablosu
Madde 10 - Bu maddede Platform iiçin her bir kontrol süreci için süreç sahibinin, rollerin, faaliyetlerin ve sorumlulukların açık bir şekilde tanımları bulunmaktadır. Ayrıca kontrol süreçleri periyodik olarak yapılmakla birlikte, dönemsel performans ölçümleri ile bilgi sistemleri kontrollerine ilişkin etkinlik, yeterlilik ve uygunluk ile öngörülen risk ya da risklerin etkisini azaltmaya yönelik faaliyetler devamlı bir şekilde takip edilmekte ve değerlendirilmektedir. Değerlendirme neticesinde tespit edilen önemli kontrol eksiklikleri üst yönetime raporlanır ve gerekli önlemlerin alınması derhal sağlanır.
BGYS YÖNETİM TEMSİLCİSİ |
|
BGYS YÖNETİCİSİ |
|
Varlık Yönetimi
Madde 11 - Bu maddede Varlık Yönetimi’ne dair hususlar yer almaktadır.
Bilgi varlıklarımız, sorumluları ve önem derecelerine göre sınıflandırılmasının yer aldığı envanter aşağıda olup, gerekli hallerde güncelleme yapılmaktadır. Taşınabilir ortamlar, içerdiği bilgilerin hassasiyet derecesine göre kaybolma veya hırsızlık risklerine karşı korunur ve önem derecesi yüksek bilgileri veya bu bilgilere erişim sağlayan yazılımları barındıran taşınabilir ortamlar yetkilendirme olmaksızın kurum dışına çıkarılmaz. Depolama ortamları elden çıkarılmadan önce üzerinde kuruluşa ait veri, bilgi ve lisanslı yazılımın bulunmamasına yönelik gerekli önlemler alınır. Temiz masa ve temiz ekran ilkeleri şirketimizce benimsenmiştir.
Platformumuzun 20 Kasım Temmuz 2022 Tarihli Varlık Envanteri aşağıdaki belirtildiği gibidir:
Envanter No | Türü | Markası | Modeli | Alım Zamanı | Seri No / Detay |
GKFP-D-001 | LAPTOP | HUAWAI | MATEBOOK D 15 | 2022 | S/N: BXRPM21A10001184 |
GKFP-D-002 | LAPTOP | HUAWAI | MATEBOOK D 15 | 2022 | S/N: BXRPM21A10000492 |
GKFP-D-003 | YAZICI | HP | Laser MFP 135a | 2021 | SN CNB2P3HJQH |
GKFP-D-004 | MONİTÖR | MSİ | OPTIX G24 SERIES | 2022 | S/N:BA0T011506284 |
GKFP-D-005 | MONİTÖR | MSİ | OPTIX G24 SERIES | 2022 | S/N:BA0T011506079 |
GKFP-D-006 | PC KASA | DELL | VOSTRO 3888 | 2022 | FF84RH3 |
GKFP-D-007 | PC KASA | DELL | VOSTRO 3888 | 2022 | 6234RH3 |
GKFP-D-008 | KAMERA KAYIT CİHAZI | HİLook | NVR-104H-DV4P | 2022 | D51364918 |
GKFP-D-009 | WİRELESS ADAPTÖRÜ | Türk Telekom | ZXHN H298A V9 | 2022 | ZTC094AD63FE1E |
GKFP-D-010 | KAMERA | HIKVISION | DS-2CD1123G0F-I | 2022 | D99221667 |
GKFP-D-011 | TELEFON | XIAOMI | Mİ NOTE10 | 2022 | 27515/20T700678 |
GKFP-D-012 | LAPTOP | ASUS | Notebook PC K513E | 2022 | 24M: MAN0CV08D922419 |
Görevlerin Ayrılığı Prensibi
Madde 12 - Bu maddede Bilgi Sistemleri üzerinde hata, eksiklik veya kötüye kullanım risklerini azaltmak için görev ve sorumluluk alanlarının ayrılığı prensibine göre hareket edilir. Uygulanan örgüt yapısı içerisinde Bilgi Sistemleri ve Veri Güvenliği Birimi ile Yazılım Geliştirme Birimleri ayrı ayrı oluşturulmuş olup, gerekli testler testin niteliğine göre diğer birimler ile veya dış kaynaklardan sağlanmaktadır.
Şirketimizde;
Fiziksel ve Çevresel Güvenlik
Madde 13 - Bu maddede Fiziksel ve Çevresel Güvenlik’e dair hükümler yer almaktadır.
Platformumuz İdari İşler Birimi tarafından;
Ağ Güvenliği
Madde 14 - Bu maddede Ağ Güvenliğine dair hükümler yer almaktadır. Söz konu maddede yer alan tedbirlerden Bilgi Sistemleri ve Veri Güvenliği Birimi ve İdari İşler birimi sorumludur.
Kimlik Doğrulama
Madde 15 - Bu maddede Sistem Kullanıcılarının Kimlik Doğrulamalarına dair hükümler yer almaktadır.
Platform sisteminde kullanıcıların giriş bilgileri ve şifreleri kriptolu bir şekilde saklanır. Bu sayede sızmalar dahi olsa kullanıcı güvenliği sağlanır. Kullanıcıların şifrelerinin belirli bir güvenlik seviyesinde olması için uygulanan “Şifre Güvenliği Prosedürü” sistemde uygulanmaktadır. Bu prosedüre göre şifrelerin aşağıdaki özellikleri mevcuttur:
Bu önlemlere ek olarak, kullanıcılar şifre değişimi yaptıklarında açık oturumları sonlandırılır. Hâlihazırda açık oturumlarını görebilen kullanıcılar, profil ayarları kısmından mevcut açık oturumları ve daha önce yapılan başarılı / başarısız giriş denemelerini görebilir.
Ayrıca kullanıcılar sisteme ilk kayıt esnasında sırasıyla e-posta hesaplarını, cep telefonu numaralarını, e-devlet üzerinden T.C. kimlik numaralarını ve varsa MKK sicil numaralarını doğrulamak zorundadırlar. Bu işlemleri gerçekleştirmeyen kullanıcılar Platform üzerinde herhangi bir işlem yapamazlar.
Veri Gizliliği
Madde 16 - Bu maddede KVKK hükümlerine göre Veri Gizliliğine dair hükümler yer almaktadır.
Girişim Kitle Fonlama Platformu A.Ş. (Platform) olarak, kendisi adına, vekil olarak, bir şirket veya kuruluşun temsilcisi olarak Platform ile iletişime geçen girişimcilerin, yatırımcıların, hissedarların, iş ortaklarımızın, çalışanlarımızın, iş başvurusunda bulunmak veya internet sitemizi ziyaret etmek suretiyle veya diğer iletişim yöntemleri ile bizimle ilişki kuran diğer gerçek kişilerin, Platformumuzla paylaştığı kişisel verilerinin korunmasına ilişkin büyük önem vermektedir. Bu kapsamda 6698 Sayılı Kişisel Verilerin Korunması Kanunu (KVKK) çerçevesinde veri sorumlusu olan Kurumumuz, aşağıda detayları yer alan “Kişisel Verilerin Korunması ve Gizlilik Politikası” (Politika) ile kişisel verilerin işlenmesi, çerez ve benzeri teknolojilerin kullanımı konularında uygulamaya aldığı kural ve politikalarını kamuoyu ile paylaşmaktadır.
Kişisel Verilerin İşlenmesi
Kişisel Verinin İşlenmesi; kişisel verilerin tamamen veya kısmen otomatik olarak veya herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması veya kullanılmasının engellenmesi gibi kişisel veriler üzerinde gerçekleştirilebilecek her türlü işlem olarak tanımlanmaktadır. Platform, kişisel verilerin, “hukuka ve dürüstlük kurallarına uygun olarak”, “doğru ve güncel olması” için elden gelen çabayı göstererek, kurum faaliyetlerine uygun “belirli, açık ve meşru” amaçlar için ve “işlendikleri amaçla bağlantılı, sınırlı ve ölçülü” olacak şekilde, ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilecek şekilde” işlemeyi hedeflemektedir.
Girişim Kitle Fonlama Platformu kişisel verileri, ilgili kişinin açık rızası olmadan işlememektedir. Ancak, “Kanunlarda açıkça öngörülmesi”, “fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması”, “bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması”, “veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması”, “ilgili kişinin kendisi tarafından alenileştirilmiş olması”, “bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması, “ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması” hallerinden birisinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesi KVKK hükümleri gereğince mümkün olabilecektir.
Platformumuz, Kanunun 12. maddesine uygun olarak, kişisel verilerin hukuka aykırı olarak açıklanmasını, erişimini, aktarılmasını veya başka şekillerde meydana gelebilecek güvenlik eksikliklerini önlemek için, korunacak verinin niteliğine göre gerekli tedbirleri almaktadır. Bu kapsamda; Şirketimiz Kişisel Verileri Koruma Kurulu (“Kurul”) tarafından yayımlanmış olan rehberlere uygun olarak gerekli güvenlik düzeyini sağlamaya yönelik teknik ve idari tedbirleri almakta, denetimleri yapmakta veya yaptırmaktadır.
Dış Kaynak Kullanımı
Madde 17 - Bu maddede Dış Kaynak Kullanımına dair hükümler yer almaktadır.
Bilgi güvenliği yönetim sistemi standardının gerektirdiği dış kaynaklı bilgiler aşağıdakileri temin etmek için kontrol edilir:
Yazılı bilgilerin kontrolü için, Platform uygunluğuna göre aşağıdaki faaliyetleri ele alınır:
Platform tarafından, “Doküman ve Kayıtların Kontrolü Prosedürü” ile düzenlenerek bilgi güvenliği yönetim sisteminin planlaması ve işletimi için gerekli olduğu tespit edilen dış kaynaklı yazılı bilgiler, kontrol edilir.
Platformda kullanılan, bilgi güvenliği sistemini etkileyen tüm evraklar çoğaltılarak kullanılır. Tutulan kayıtlar ilgili bölümlerinde ve iş bitimi sonrası merkezde olmak üzere toplam beş yıl muhafaza edilir. Destek dokümantasyonda sayılan bilgi güvenliği kayıtları GİRİŞİM KİTLE FONLAMA PLATFORMU ANONİM ŞİRKETİ'nde süresiz olarak saklanır. Yönetim Temsilcisi her takvim yılı altı ayda bir destek dokümanlarının güncel olup olmadığını kontrol eder ve güncel olmasını sağlar.
Gelen ve Giden evraklar kaydedilerek Genel Müdür’e iletilir. Genel Müdür gelen yazıları inceleyerek ilgili Bölüm/Birim Sorumlularını ve yapılacak işlemleri evrak üzerinde belirtir. Evrakların bir adet kopyasını Genel Müdürün belirlediği Bölüm/Birim Sorumlularına ulaştırır. Dışarıdan alınan ve verilen teklifleri ilgili firmanın dosyasına, diğer evrakların orijinalleri ise GELEN EVRAK klasörüne kaldırır. Gönderilecek yazılar Antetli Kâğıt kullanılarak gerçekleştirilir.
Elle tutulan bilgi güvenliği kayıtlarının hepsi ilgili dosyasında ilgili birim sorumluları tarafından muhafaza edilir. Dokümanlar beş yıllık saklanma süresi sonunda Yönetim Temsilcisi ve ilgili Birim Sorumlusu tarafından bir daha kullanılamayacak şekilde imha edilir.
Elle tutulmayan kayıtlar ise, dijital ortamda ilgili klasörlerine kaldırılarak süresiz olarak kaydedilir ve server ya da CD/DVD ortamında ayda bir yedekleri alınır.
Bilgi güvenliği kayıtları, bilgi güvenliği yönetim sistemi prosedür, proses ve talimatlarında belirtilen saklama süresi sona ermeden, sözleşmelerde belirtildiği hallerde müşteri veya müşteri temsilcisinin değerlendirmelerine sunulur.
Bilgi güvenliği kayıtlarını saklamaktan sorumlu kişiler, bilgi güvenliği kayıtlarının saklanması sırasında çevre şartlarından dolayı hasar görmesini, bozulmasını engelleyecek önlemleri alırlar. Bu kayıtlara kolay ulaşılmasına imkân sağlayacak şekilde işaretleme ve sınıflandırma yöntemlerini geliştirilir. Geliştirdikleri uygulama önerilerinin Yönetim Temsilcisi’nden onayını aldıktan sonra uygulama başlatılır. Aynı zamanda uygulama şekli ilgili prosedür ve talimatlara eklenir.
Tüm prosedür ve talimatların ekler ve kayıtlar bölümünde yer alan ilgili bölümlerdeki saklanma süreleri sonunda bilgi güvenliği kayıtlarının toplanarak arşive kaldırılması Yönetim Temsilcisi tarafından sağlanır. Toplam saklanma süresi sona eren bilgi güvenliği kayıtları Yönetim Temsilcisi ve ilgili Birim Sorumlusu ile birlikte bir daha kullanılamayacak şekilde imha edilir.
İlave olarak dış kaynak yöntemi ile alınan sunucu hizmetlerinin sağlanmasında kullanılan sistemlere erişim yalnızca yetkili kişilerin kontrolünde sağlanır. Bu hizmetlerin sağlanmasında bilgi güvenliği prosedürleri uygulanır ve kişisel verilerin korunumuna azami önem gösterilir. Dış kaynak yöntemi ile karşılanan ihtiyaçlarda Platform ile hizmet sağlayıcı arasında gerekli önlemlerin alınmasını sağlayan sözleşmeler tesis edilir.
Kullanıcı Bilgilendirme
Madde 18 - Bu maddede sistem kullanıcılarının bilgilendirmelerine dair hükümler yer almaktadır.Platforma kayıt olan tüm kullanıcılar; Çıkar Çatışması Politikası, Değerlendirme Politikası, Bilgi Güvenliği Politikası, KVKK Bildirimi ve Genel Risk Bildirimi ile yapılan iş ve işlemlerle ilgili olarak şartlar, riskler ve istisnai durumlarla ilgili bilgilendirilir.
Platform, işlemler hakkında bilgi vermek veya güncel kampanyalar ile ilgili bilgilendirmek amacı ile zaman zaman kullanıcıları ile telefon, e-posta veya diğer iletişim yolları ile irtibata geçebilir. Kullanıcılar, Platforma üye olurken onayladıkları şart ve koşullarımız doğrultusunda kendileri ile bu tarz iletişimde bulunulmasına razı olduklarını onaylamış olurlar. Kendileri ile bu tarz bir iletişimde bulunulmasını istemeyen müşteriler, Girişim Kitle Fonlama Platformu Anonim Şirketi ile 08504416366 numaralı telefonla veya girisimkitlefonlama@hs01.kep.tr e-posta yoluyla irtibata geçerek bu taleplerini dile getirebilme hakkına sahiptirler.
Bunlara ek olarak platforma kayıtlı kullanıcılar; platform kullanımı esnasında karşılaştıkları sorunları mevcut feedback sistemi üzerinden ticket kaydı oluşturarak bildirme kolaylığına sahiptirler. Bu sistem üzerinden oluşturulan hata kayıtları ile bildirilen hata ve sorunların tarihçesi tutulacaktır. Tarihçesi tutulan kayıtlar üzerinden en çok sorun yaşanan alanlar ve en çok sorulan soruların istatistiksel verileri çıkarılabilecek ve böylece sorunlu alanların dinamiklerinde gerekli iyileştirmeler yapılabilecektir. Aynı zamanda kullanıcılar yaşadıkları sorunlar ile ilgili sorunları tekrar sormaya ihtiyaç duymadan sorunlarını çözebileceklerdir.
Ayrıca canlı yardım uygulaması ile mesai saatleri içerisinde kullanıcılar sistem ile ilgili yaşadıkları sorunları kolayca ilgililere iletebileceklerdir. Canlı yardım ile kullanıcıların sorunları tanımlamada yaşadıkları zorluklar ve uzaktan yardım alma kolaylığı sayesinde hızlı bir şekilde çözüme ulaşmaları sağlanacaktır.
İşlem Kayıtları
Madde 19 - Bu maddede sistem kullanıcılarının yaptıkları işlemler için sistem kayıtlarına dair hükümler yer almaktadır.
Platform üzerinden yapılan işlemlerde risklerin azaltılması amacıyla kullanıcıların yaptıkları işlemlerin denetim izleri kayıt altına alınmaktadır. Bu sisteme göre kullanıcının yaptığı her türlü işlem kayıt altına alınır ve gerekli uyarı mekanizmaları kurularak hatalı ve fraud işlemlerin önlenmesi hedeflenmektedir. Örnek olarak art arda yapılan hatalı girişler sonrası kullanıcının sisteme girişi belirli bir süre boyunca engellenecektir. İlgili denetim izlerinin bütünlüğünün bozulmasının önlenmesi ve olası bozulmaların tespiti için denetim izi kayıtları düzenli aralıklarla mutabakat yapılarak doğruluğundan emin olunur.
Denetim izleri aşağıdaki verileri içerir:
Denetim izleri geriye dönük olarak süresiz olarak saklanabilir, yedeklenir ve yüksek güvenlik düzeyine sahip ortamlarda korunur. Saklanan denetim izlerine çok kısa sürede ulaşmak mümkün olmaktadır.
Denetim izlerinin işaretlenmesinde kullanılan işlem zamanlarının doğruluğunun sağlanması için NTP protokolü ile sistem, belirli aralıklarla zaman sunucusuna bağlanarak tarihi eşzamanlar. Böylelikle sistem saati, atomik saatlerle çalışan zaman sunucuları ile eşleşerek sürekli olarak tarihin güncel kalmasını sağlar.
Birincil ve İkincil Sistemler
Madde 20 - Bu maddede Veri ve Kayıtların birincil ve ikincil sistemlerde tutulasına dair hükümler yer almaktadır.
Sistemin sürekliliğinin sağlanması, yük dengesinin oluşturulması, herhangi bir saldırı durumunda zararlı bağlantıların engellenmesi ve olası risklerin azaltılması amacıyla; platformun verilerinin iletiminde ve yayınında birden fazla sunucu görev almaktadır.
Bu yapıya göre belirli periyotlarda yedek alan sunucular, ana sunucuda ya da ana sunucunun bulunduğu konumda herhangi bir sıkıntı olması durumunda kısa süre içerisinde yayına geçerek sistemin devamlılığını sağlar. Bu esnada servis dışı olan sunucu ile ilgili sorunların giderilmesinin ardından; servis dışı sunucu ile veri eşleme yapılarak verilerin normalizasyonu ve yeniden güvenliği sağlanır. Bu çalışma sistemi sayesinde sistemin sürekliliği ve verilerin güvenliği sağlanır.
Bilgi Sistemlerinin Sürekliliği
Madde 21 - Bu maddede Bilgi Sisteminin Sürekliliğine dair hükümler yer almaktadır.
İş ve Bilgi Sistemlerinin Sürekliliği Planları; Platform ’un faaliyetlerini etkileyen bir kesinti ya da olağanüstü bir durum yaşanması sonrasında, kritik iş birimlerinin ve aktivitelerin sürekliliğini sağlamak amacıyla hazırlanmış kurtarma stratejilerini ve aksiyonlarını kapsamaktadır. Kurtarma stratejileri ve aksiyonlar Kurum hizmetleri baz alınarak oluşturulmuştur. İş ve Bilgi Sistemleri Sürekliliği Planları olmayan kurumların, kritik süreçlerinde/aktivitelerinde yaşayacakları kesintiler sonucu itibar/saygınlık kaybı (imaj) yaşanma, finansal zarara uğrama, uyum açısından zor duruma düşme ve kendisine bağımlılığı olan üçüncü tarafları kötü yönde etkileme ihtimalleri daha yüksektir. İş ve Bilgi Sistemleri Sürekliliği Planlarının, Yönetim Kurulu’nun yetki verdiği Bilgi Güvenliği Yöneticisi tarafından yürütülmesi sağlanır. İş Sürekliliği Planları; İş Sürekliliği Planı, Bilgi Sistemleri Süreklilik Planı ve eklerinden oluşmaktadır. Plan dâhilinde görevli personelin hem İş Sürekliliği Planı’na hem de kendisi ile ilgili kurtarma planlarına (varsa ilgili ek dokümanlara) hâkim olması gerekir.
İş ve Bilgi Sistemleri Sürekliliği Planları; Platform çalışanları, müşterileri ve Platform kaynakları (teknoloji, ekipman) için güvenli bir çevre oluşturmak, olağanüstü durumlar için hazırlıklı olmak, olay anında ve sonrasında yapılacak işlemleri tanımlamak, Kurum süreçlerine/aktivitelerine minimum kesinti ve zararla devam etmesini sağlamak amacıyla hazırlanmıştır. Doküman dâhilinde; türü ve sebebi ne olursa olsun, herhangi bir kesinti ya da olağanüstü durumda, Kurumun kritik iş süreçlerinin/aktivitelerinin sürekliliğini sağlayan iş sürekliliği planlamasının alt başlıkları ifade edilmiştir.
Genel Esaslar
Madde 22 - Bu politika ile çerçevesi çizilen bilgi güvenliği gereksinimleri ve kurallarına ilişkin ayrıntılar, BGYS prosedürleri ile düzenlenir. Platform çalışanları ve 3. taraflar bu prosedürleri bilmek ve çalışmalarını bu kurallara uygun şekilde yürütmekle yükümlüdür. Bu kural ve prosedürlerin, aksi belirtilmedikçe, basılı veya elektronik ortamda depolanan ve işlenen tüm bilgiler ile bütün bilgi sistemlerinin kullanımı için dikkate alınması esastır.
Bilgi Güvenliği Yönetim Sistemi, “Bilgi Teknolojisi Güvenlik Teknikleri ve Bilgi Güvenliği Yönetim Sistemleri Gereksinimleri standartları temel alınarak ve SPK tarafından 05.01.2018 tarihli 30292 sayılı Resmi Gazete’de yayınlanarak yürürlüğe giren ‘Bilgi Sistemleri Yönetimi Tebliği (VII-128.9) esas alınarak işletilir.
BGYS dokümanlarının gerektiği zamanlarda güncellenmesi BGYS Yöneticisi sorumluluğundadır. Ek, form, talimat gibi dokümanların güncellenmesi ise ilgili birimlerin sorumluluğundadır. Platform tarafından çalışanlara veya 3. taraflara sunulan bilgi sistemleri ve altyapısı ile bu sistemler kullanılarak üretilen her türlü bilgi, belge ve ürün aksini gerektiren kanun hükümleri veya sözleşmeler bulunmadıkça Platform’a aittir.
Kritik iş süreçlerini büyük felaketlerin ve işletim hatalarının etkilerinden korumak amacıyla iş sürekliliği yönetimi uygulanır. Çalışanların bilgi güvenliği farkındalığını artıracak ve sistemin işleyişine katkıda bulunmasını sağlayacak eğitimler düzenli olarak mevcut Platform çalışanlarına ve yeni işe başlayan çalışanlara verilir. Bilgi güvenliğinin gerçek veya şüpheli tüm ihlalleri rapor edilir; ihlallere sebep olan uygunsuzluklar tespit edilir, ana sebepleri bulunarak tekrar edilmesini engelleyici önlemler alınır.
Temel BGYS Prensipleri
Madde 23 - Temel BGYS Prensipleri şu şekildedir;
Uyulması Gereken BGYS Kuralları
Madde 24 - Uyulması Gereken Kabul Edilebilir Kullanım Kuralları, çalışanlar ve 3. taraflar için Platform iş süreçlerinde ve ilgili çalışmalarında bilgi depolama, iletim ve kullanım biçimleri ile ilgili uyulması gereken kuralları belirler. Aşağıda yer alan davranışlar; aksi yönde açık ve net bir iş tanımı, talimat veya prosedür bulunmadıkça Bilgi Güvenliği Politikasının ihlali olarak değerlendirilir.
Yaptırım
Madde 25 - Platform politika ve prosedürlerine uyulmadığının tespit edilmesi halinde, bu ihlalden sorumlu olan çalışan ya da 3. taraf için geçerli olan usul, esas ve sözleşmelerde geçen ilgili maddelerinde belirlenen yaptırımlar uygulanır.
Yönetim Taahhüdü
Madde 26 - Platform hedef ve politikalarını gerçekleştirmek için Bilgi Güvenliği Yönetim Sistemini gereksinimleri yerine getirecek şekilde kurarak yürütür. Platform Yönetimi, tanımlanmış, yürürlüğe konmuş ve uygulanmakta olan Bilgi Güvenliği Yönetim Sistemine uyacağını ve sistemin verimli şekilde çalışması için gerekli olan kaynakları tahsis edeceğini, etkinliğini, sürekli iyileştireceğini ve bunun tüm çalışanlar tarafından anlaşılmasını sağlayacağını taahhüt eder. Bu taahhüdün sonucu olarak, Platform genelinde bilgi güvenliği farkındalık programları düzenler ve alt yapı yatırımlarını sürdürür.
BBGYS kurulurken üst yönetim tarafından BGYS Yönetim Temsilcisi ve BGYS Yöneticisi, atama yazısı ile atanır. BGYS Yönetim Temsilcisi ve BGYS Yöneticisi değiştiğinde, işten ayrıldığında üst yönetim tarafından doküman revize edilerek atama tekrar yapılır. BGYS Yöneticisini belirlemek ve değiştirmek üst yönetimin yetkisindedir.
Yönetim kademelerindeki yöneticiler güvenlik konusunda alt kademelerde bulunan personele sorumluluk verme ve örnek olma açısından yardımcı olurlar. Üst kademelerden başlayan ve uygulanan bir güvenlik anlayışıyla, Platform’un en alt kademe personeline kadar inilmesi zorunludur. Bu yüzden Platform yöneticilerinin gerek yazılı gerekse sözlü olarak güvenlik prosedürlerine uymaları, güvenlik konusundaki çalışmalara katılmaları konusunda güvenlik ile ilgili çalışmalarda bulunan personele destek olurlar. Platform üst yönetimi, bilgi güvenliği kapsamlı çalışmalar için gerek duyulan bütçeyi oluşturur.
Yönetim Gözden Geçirmesi
Madde 27 - Platform Yönetim Gözden geçirme toplantıları BGYS Yürütme ve Yönetim Komitesi tarafından yapılır.
Üçüncü Tarafların Bilgiye Erişimi
Madde 28 - Platform çalışanı olmayan 3. tarafların, bilgi sistemlerini kullanma ihtiyacı olması durumunda (Örneğin: Platform dışı bakım onarım personeli) BGYS Yöneticisi, bu kişilerin Platform ile ilgili bilgi güvenliği politikalarından haberdar olmalarından sorumludur. Bu amaçla geçici ya da sürekli çalışma sözleşmelerinde sözleşme imzalanmadan önce kararlaştırılmış ve onaylanmış güvenlik anlaşmaları yapılmalıdır. Gerektiği takdirde üçüncü taraf personelinin politikaya uyması için süre tahsis edilmelidir.
Platform’un ilgili mevzuat gereği sistem entegrasyonu bulunan Merkezi Kayıt Kuruluşu, Takasbank A.Ş. ve Türksat (E-Devlet) ile yapılan veri paylaşımları bu maddenin kapsamına girmez.
Bilgi Güvenliği Politikasının Güncellenmesi ve Gözden Geçirilmesi
Madde 29 - Platform Politika dokümanının sürekliliğinin sağlanmasından ve gözden geçirilmesinden BGYS Yöneticisi sorumludur. Bilgi Güvenliği Politikası organizasyonel değişiklikler, iş şartları, yasal ve teknik düzenlemeler vb. nedenlerle günün koşullarına uyumluluk açısından değerlendirilir.
Bilgi Güvenliği Politikası Dokümanı, en az yılda bir kez gözden geçirilmelidir. Bunun dışında sistem yapısını veya risk değerlendirmesini etkileyecek herhangi bir değişiklikten sonra da gözden geçirilmeli ve herhangi bir değişiklik gerekiyorsa versiyon değişimi olarak kayıt altına alınmalı ve her versiyon üst yönetime onaylatılmalıdır. Her versiyon değişikliği tüm kullanıcılara e-mail, sunucu üzerinden ya da yazılı olarak yayımlanmalıdır. Gözden geçirmelerde;
Politikada Yer Almayan Diğer Hususlar
Madde 30 - Bu Politika metninde düzenlenmemiş, Politika kapsamı ile ilgili diğer konularda Platform tarafından çıkarılan diğer Politika metninde, genelgeler ile sermaye piyasası işlemlerini düzenleyen yasalar ve diğer ilgili mevzuat hükümleri esas alınır.
Politika Hükümlerinde Değişiklikler
Madde 31 - Politika hükümlerini değiştirme yetkisi iç kontrolden sorumlu yönetim kurulu üyesinin tavsiyesi ile yönetim kuruluna aittir.
Ekler:
Madde 32 - İşbu Politikanın ekleri şu şekildedir.Yürütme
Madde 33 - Bu Politika hükümleri Girişim Kitle Fonlama Platformu A.Ş tarafından yürütülür.
Yürürlük
Madde 34 - İş bu Politika hükümleri Girişim Kitle Fonlama Platformu Anonim Şirketi Yönetim Kurulunun 30/12/2021 tarihli kararı ile kabul edilmiştir. İşbu Bilgi Güvenliği Politikası YK Karar tarihi itibarıyla yürürlüğe girer.