DİJİTAL KİTLE FONLAMA PLATFORMU A.Ş.
BİLGİ GÜVENLİĞİ POLİTİKASI

BİRİNCİ BÖLÜM
AMAÇ, KAPSAM ve HUKUKİ DAYANAK

Amaç 

Madde 1- Bu yönetmeliğin amacı, Dijital Kitle Fonlama Platformu A.Ş. (bundan sonra Platform olarak anılacaktır)’nin tüm faaliyetlerinde bünyesinde çalışanlar ve ilgili tarafların uyması gereken bilgi güvenliği şartlarının çerçevesini çizmek ve yazılı kurallara ilişkin ilke ve esasları düzenlemektir.

Kapsam

Madde 2 – Bu politika Dijital Kitle Fonlama Platformu A.Ş.’nin bilgi sistemleri varlıklarını, bilgi sistemlerine erişim sağlayan personelleri, yazılım geliştirme, satış, kurulum, destek, entegrasyon, eğitim, danışmanlık hizmetlerinin iş süreçleri ile Bilgi sistemlerinin kurulması, işletilmesi, yönetilmesi ve kullanılmasına ilişkin; bilginin gizliliğinin, bütünlüğünün ve gerektiğinde erişilebilir olmasının sağlanmasına yönelik olarak üst yönetim tarafından hazırlanır ve yönetim kurulu tarafından onaylanır. Onaylanan bilgi güvenliği politikası personele duyurulur. Bu politika, bilgi güvenliği süreçlerinin işletilmesi için gerekli rollerin ve sorumlulukların tanımlanmasını, bilgi sistemlerine ilişkin risklerin yönetilmesine dair süreçlerin oluşturulmasını, kontrollerin tesis edilmesini ve gözetimini kapsar.

Hukuki Dayanak

Madde 3- Bu Politika, Sermaye Piyasası Kurulu’nun 03.10.2019 tarihli 30907 sayılı Resmi Gazete ’de yayınlanan “Paya Dayalı Kitle Fonlaması Tebliği (lll – 35/A.1) ve 5.1.2018 tarihli 30292 sayılı Resmi Gazete ’de yayınlanan ‘Bilgi Sistemleri Yönetimi Tebliği (VII-128.9) esas alınarak hazırlanmıştır.

İKİNCİ BÖLÜM
TARAFLAR, SORUMLULUKLAR ve BİRİMLER

Sorumluluk ve Yetki

Madde 4 – Bilgi Güvenliği Politikasının güncelliğinin ve sürekliliğinin sağlanmasından Bilgi Sistemleri ve Veri Güvenliği (BSVG) Birimi sorumludur. Bilgi Güvenliği politikasında yapılacak güncellemeler Yönetim Gözden Geçirme toplantılarında belirlenir ve BSVG Birimi tarafından dokümana yansıtılır. Her güncellemede doküman Üst Yönetim tarafından onaylanır.  

Bilgi Güvenliği

Madde 5 – Bilgi, diğer önemli ticari ve kurumsal varlıklar gibi, bir işletme ve kurum için değeri olan ve bu nedenle uygun olarak korunması gereken bir varlıktır. Bilgi güvenliği iş sürekliliğini sağlamak, kayıpları en aza indirmek için tehlike ve tehdit alanlarından korur.  Bilgi güvenliği, bu politikada aşağıdaki bilgi niteliklerinin korunması olarak tanımlanır:

• Gizlilik: Bilginin sadece erişim yetkisi verilmiş kişilere erişilebilir olduğunu garanti etmek,
• Bütünlük: Bilginin ve işleme yöntemlerinin doğruluğunu ve yetkisiz değiştirilememesini temin etmek,
• Erişilebilirlik: Yetkili kullanıcıların, gerek duyulduğunda bilgiye ve ilişkili kaynaklara en hızlı şekilde erişebileceklerini garanti etmek.

Bilgi güvenliği politikası dokümanı, yukardaki korumaları ve gereksinimleri sağlayabilmek için oluşturulmuş denetimlerin uygulanması sırasında kullanılacak en üst seviyedeki prensiplerin belirtildiği dokümandır.

Bilgi Güvenliği Hedefleri ve Amaçları

Madde 6 – Bilgi Güvenliği Politikası, Platform’un;

• Çalışanlarına Platform güvenlik gereksinimlerine uygun şekilde hareket etmesi konusunda yol göstermek,
• Bilinç ve farkındalık seviyelerini artırmak ve bu şekilde Platform’da oluşabilecek riskleri minimuma indirmek,
• Platform’un güvenilirliğini ve imajını korumak,
• Üçüncü taraflarla yapılan sözleşmelerde belirlenmiş uygunluğu sağlamak,
• Teknik güvenlik kontrollerini uygulamak,
• Platform’un temel ve destekleyici iş faaliyetlerinin en az kesinti ile devam etmesini sağlamak amacıyla Platform’un tüm işleyişini etkileyen fiziksel ve elektronik bilgi varlıklarını korumayı hedefler.

Bilgi Güvenliği Organizasyonu

Madde 7 – Platform’da Bilgi Güvenliği Yönetim Sistemi (BGYS) ile ilgili aşağıdaki şekilde bir organizasyon yapılmıştır.                                                                                                               

• BGYS ile ilgili faaliyetlerin sürdürülmesinden ve geliştirilmesinden, BGYS’nin kurulması ve işletilmesinden BSVG Birimi sorumludur.
• BSVG Sorumlusu Üst Yönetim tarafından atanır.
• BSVG Birimi BGYS çalışmalarını takip etmek ve koordine etmekle yükümlüdürler.
• BGYS’nin işletilmesi, sürdürülmesi gözden geçirilmesi, eylem planı oluşturulması, karar alınması ve uygulanması faaliyetleri Üst Yönetim ile birlikte yürütülmektedir.
• BSVG Birimi ve Üst Yönetim İş sürekliliği tatbikat raporlarının değerlendirmesi veya önemli bir güvenlik ihlal olayı olması durumunda da toplanabilir.

İş Sürekliliği Planı

Madde 8 – Platform, Kalite Yönetim Sistemi ve Bilgi Sistemleri Yönetimi Tebliği baz alınarak İş Sürekliliği ve Acil Durum Eylem Planı hazırlanmıştır. Platform ’un değer yaratan faaliyetlerini, herhangi bir felaket, kriz ve afet durumunda önceden belirlenen seviyede yürütebilmesi için gerekli olan bu planlarda iş sürekliliği ve acil durum yönetim kapsamı, yapısı, temel unsurları, bilgi sistemleri sürekliliği planı dokümante edilerek tanımlanmıştır. Olası durumlarda hazırlanan planlar ile Platform’un herhangi bir kesinti anında faaliyetlerinin sürdürülmesi veya zamanında kurtarılmasını sağlamak üzere operasyonel, finansal, yasal ve itibari olumsuz etkileri en aza indirmek, sorunları yönetebilmek, herhangi bir beklenmedik ve acil durumda öncelikli gerçekleştirilecek eylemleri, alınacak önlemleri belirleyerek, Şirket’in varlık ve itibarını korumak hedeflenmiştir.

Risk Yönetimi

Madde 9 – Bilgi Sistemleri Yönetimi Tebliği (VII-128.9) ile ilgili olarak Platform’a ait Bilgi Güvenliği ve Hizmet Yönetimi risklerinin tanımlanmasını, değerlendirilmesini ve işlenmesini kapsar.

Bilgi sistemlerine ilişkin risklerin yönetilmesinde asgari olarak aşağıdaki hususlar değerlendirmeye katılır:

1. Bilgi teknolojilerindeki hızlı gelişmeler sebebiyle rekabetçi ortamda gelişmelere uymamanın olumsuz sonuçları, gelişmelere uyma konusundaki zorluklar ve yasal mevzuatın değişebilmesi,
2. Bilgi sistemleri kullanımının öngörülemeyen hatalara ve hileli işlemlere zemin hazırlayabilmesi,
3. Bilgi sistemlerinde dış kaynak kullanımından dolayı dış kaynak hizmeti veren kuruluşlara bağımlılığın oluşabilmesi,
4. İş ve hizmetlerin önemli oranda bilgi sistemlerine bağlı hale gelmesi,
5. Bilgi sistemleri üzerinden gerçekleştirilen işlemlerin, verilerin ve denetim izlerine ilişkin tutulan kayıtların güvenliğinin sağlanmasının zorlaşması.

Yukarıda verilen hususlar için aşağıda bulunan Risk Yönetim Planı hazırlanmıştır.

Rol ve Sorumluluklar Tablosu

Madde 10 – Bu maddede Platform için her bir kontrol süreci için süreç sahibinin, rollerin, faaliyetlerin ve sorumlulukların açık bir şekilde tanımları bulunmaktadır.

Varlık Yönetimi

Madde 11 –Bu maddede Varlık Yönetimi’ne dair hususlar yer almaktadır.

Bilgi varlıkları envanteri oluşturulur ve envanterin güncelliği sağlanır. Taşınabilir ortamlar, içerdiği bilgilerin hassasiyet derecesine göre kaybolma veya hırsızlık risklerine karşı korunur ve önem derecesi yüksek bilgileri veya bu bilgilere erişim sağlayan yazılımları barındıran taşınabilir ortamlar yetkilendirme olmaksızın kurum dışına çıkarılmaz. Depolama ortamları elden çıkarılmadan önce üzerinde kuruluşa ait veri, bilgi ve lisanslı yazılımın bulunmamasına yönelik gerekli önlemler alınır.

Fiziksel ve Çevresel Güvenlik

Madde 13 – Bu maddede Fiziksel ve Çevresel Güvenlik’e dair hükümler yer almaktadır.

Fiziksel erişimin yalnızca yetkilendirilmiş kişilerce yapılmasını sağlamak amacıyla, güvenli alanlar gerekli giriş kontrolleriyle korunur. Güvenli alanlara giriş ve çıkışlar gerekçelendirilir, yetkilendirilir, kaydedilir ve izlenir. Yangın, sel, deprem, patlama, yağma ve diğer doğal ya da insan kaynaklı felaketlerden kaynaklanan hasara karşı fiziksel koruma tasarlanır ve uygulanır.

Ağ Güvenliği

Madde 14 –Bu maddede Ağ Güvenliğine dair hükümler yer almaktadır. Söz konu maddede yer alan tedbirlerden BSVG Birimi sorumludur.

1. Ağların tehditlere karşı korunması ve ağları kullanan sistem, veri tabanı ve uygulamaların güvenliğinin sağlanması için kontroller tesis edilir ve etkin bir şekilde yönetilir.
2. İletişim altyapıları dinlemeye ve fiziksel hasarlara karşı korunur.
3. Mobil cihazların ağ erişimine ilişkin risklere yönelik güvenlik önlemleri alınır ve uygulanır.
4. Bilgi sistemleri altyapısına yönelik yetkisiz erişimler engellenir ve gözetim süreçleri tesis edilir.
5. Yüksek riskli uygulamaların güvenlik düzeyini artırmak için bağlantı süreleri ile ilgili kısıtlamalar kullanılır.
6. İç kaynak yoluyla sağlanan veya dış kaynak kullanımı yoluyla alınan her türlü ağ hizmetinin güvenlik kriterleri, hizmet düzeyleri ve yönetim gereksinimleri tanımlanır ve hizmet anlaşmalarına dâhil edilir.
7. Uzaktan erişim sağlayan kullanıcıları kontrol etmek için gerekli yetkilendirmeler yapılır. Bu kapsamda belirli konumlardan ve ekipmanlardan gelen bağlantıları yetkilendirmek için otomatik ekipman tanımlaması göz önüne alınır.
8. Kurumsal ağ dışındaki ağlarla olan iletişimde, dış ağlardan gelebilecek tehditler için sürekli gözetim altında tutulan güvenlik duvarı çözümleri kullanılır.
9. İç ağın farklı güvenlik gereksinimlerine sahip alt bölümleri birbirinden ayrılarak, denetimli geçişi temin eden kontroller tesis edilir. 

Kimlik Doğrulama

Madde 15 –Bu maddede Sistem Kullanıcılarının Kimlik Doğrulamalarına dair hükümler yer almaktadır.

Kullanıcı güvenliği sağlanması adına kullanıcıların giriş bilgileri kriptolu bir şekilde saklanır. Kullanıcıların şifrelerinin güvenlik seviyesinin artırılması için sistemde uygulanan “Şifre Güvenliği Prosedürü” gereği şifreler, aşağıdaki şartları sağmalıdır.

• Şifreler minimum 8 karakter, alfanumerik ve üst karakter içerecek şekilde olmalıdır.
• Şifreler 123456, qwerty, aaabbb, 111111,.. gibi klavyeden oluşan basit tuş yöntemleri ile belirlemez, tekrarlanan karakterlerden oluşmaz ve sistem bu şekilde değiştirilen şifreleri kabul etmiyor durumdadır.
• Şifrenin unutulması durumunda geçici bir şifre kullanıcının kayıtlı mail adresine iletilir. Sisteme ilk girişte kullanıcı bu şifreyi değiştirmeye zorlanır.
• Şifreler 60 günde bir değiştirilmek zorundadır. Şifrelerin kullanım süreleri bitmeden 10 gün önce uyarı mesajları gönderilmeye başlanmaktadır. Şifrelerin süresi bitmesi durumunda kullanıcılar şifrelerini değiştirmeye zorlanır.

Bu önlemlere ek olarak, kullanıcılar şifre değişimi yaptıklarında açık oturumları sonlandırılacaktır. Halihazırda açık oturumlarını görebilen kullanıcılar, profillerinde bulunan Güvenlik & Girişler sekmesini altında bulunan Hesap ve Girişler başlığını kullanarak, mevcut açık oturumları ve daha önce yapılan başarılı / başarısız giriş denemelerini görebilirler.

Ayrıca kullanıcılar sisteme ilk kayıt esnasında sırasıyla e-posta hesaplarını, cep telefonu numaralarını, e-devlet üzerinden T.C. kimlik numaralarını ve varsa MKK sicil numaralarını doğrulamak zorundadırlar. Bu işlemleri gerçekleştirmeyen kullanıcılar platform üzerinde işlem yapamazlar.

İki faktörlü doğrulama sistemi ile her girişte kullanıcının cep telefonuna gelen SMS ile doğrulama yapması sayesinde ek güvenlik sağlanmaktadır.

Veri Gizliliği

Madde 16 –Bu maddede KVKK hükümlerine göre Veri Gizliliğine dair hükümler yer almaktadır.

Platform olarak, kendisi adına veya vekil olarak ya da bir şirket veya kuruluşun temsilcisi olarak Platform ile iletişime geçen girişimcilerin, yatırımcıların, hissedarlarımızın, iş ortaklarımızın, çalışanlarımızın ve iş başvurusunda bulunmak veya internet sitelerimizi ziyaret etmek suretiyle ya da diğer iletişim yöntemleri ile bizimle ilişki kuran diğer gerçek kişilerin, Platformumuzla paylaştığı kişisel verilerinin korunmasına büyük önem vermektedir. Bu kapsamda 6698 Sayılı Kişisel Verilerin Korunması Kanunu (KVKK) çerçevesinde veri sorumlusu olan Platform, “Kişisel Verilerin Korunması ve Gizlilik Politikası” (Politika) ile kişisel verilerin işlenmesi, çerez ve benzeri teknolojilerin kullanımı konularında uygulamaya aldığı kural ve politikalarını kamuoyu ile paylaşmaktadır.

Dış Kaynak Kullanımı

Madde 17 – Bilgi Teknolojisi Sistemleri, bilgi ağı ve/veya kullanıcı bilgisayarı ortamlarının yönetimi dış kaynaklara verilirken, bilgi güvenliği ihtiyaçları ve şartları her iki taraf arasında kabul edilmiş bir sözleşmede açıkça yer alır.

Kullanıcı Bilgilendirme

Madde 18 – Platforma kayıt olan tüm kullanıcılar; Üyelik Sözleşmesi, Girişimci Sözleşmesi, Çıkar Çatışması Politikası, Değerlendirme Politikası, Bilgi Güvenliği Politikası, Çerez Politikası, KVKK Bildirimi ve Genel Risk Bildirimi ile yapılan iş ve işlemlerle ilgili olarak şartlar, riskler ve istisnai durumlar ile ilgili bilgilendirilir.

Platform, işlemler hakkında bilgi vermek veya güncel kampanyalar ile ilgili bilgilendirmek amacı ile zaman zaman kullanıcıları ile telefon, e-posta veya diğer kanallar ile iletişime geçebilir. Kullanıcılara üye olurken sunulan sözleşmeler ile bu konu ile ilgili gerekli onaylar ile rızaları alınmaktadır.

İşlem Kayıtları

Madde 19 –Bu maddede sistem kullanıcılarının yaptıkları işlemler için sistem kayıtlarına dair hükümler yer almaktadır.

Bilgi sistemleri üzerindeki riskler, sistem veya faaliyetlerin karmaşıklığı ve kapsamının genişliği göz önünde bulundurularak bilgi sistemlerinin kullanımına ilişkin etkin bir denetim izi kayıt mekanizması tesis edilir. Bu sayede, bilgi sistemleri dâhilinde gerçekleşen ve faaliyetlere ait kayıtlarda değişiklik ve silmeye sebep olan işlemlere ilişkin denetim izlerinin yeterli detayda ve açıklıkta kaydedilmesi temin edilir. Kayıt mekanizmasının yetkisiz sistemsel ve kullanıcı erişimlerine karşı korunmasına yönelik önlemler alınır.  Denetim izlerinde asgari olarak aşağıdaki bilgiler tutulur:

• Yapılan işlemlerin türü ve niteliği,
• İşlemlere ilişkin yetkisiz erişim teşebbüsleri,
• İşlemi gerçekleştiren uygulama,
• İşlemi gerçekleştiren kişinin kimliği,
• Yapılan işlemlerin zamanı.

Denetim izleri geriye dönük olarak süresiz olarak saklanabilir, yedeklenir ve yüksek güvenlik düzeyine sahip ortamlarda korunur. Saklanan denetim izlerine çok kısa sürede ulaşmak mümkün olmaktadır.

Denetim izlerinin işaretlenmesinde kullanılan işlem zamanlarının doğruluğunun sağlanması için NTP protokolü ile sistem, belirli aralıklarla zaman sunucusuna bağlanarak tarihi eşzamanlar. Böylelikle sistem saati, atomik saatlerle çalışan zaman sunucuları ile eşleşerek sürekli olarak tarihin güncel kalmasını sağlar.

Bilgi Sistemleri Sürekliliği

Madde 20 – Bilgi Sistemlerinin Sürekliliği Planı ekte yer almaktadır.

ÜÇÜNCÜ BÖLÜM
ESASLAR ve PRENSİPLER

Genel Esaslar

Madde 21 –Bu politika ile çerçevesi çizilen bilgi güvenliği gereksinimleri ve kurallarına ilişkin ayrıntılar, BGYS prosedürleri ile düzenlenir. Platform çalışanları ve 3. taraflar bu prosedürleri bilmek ve çalışmalarını bu kurallara uygun şekilde yürütmekle yükümlüdür. Bu kural ve prosedürlerin, aksi belirtilmedikçe, basılı veya elektronik ortamda depolanan ve işlenen tüm bilgiler ile bütün bilgi sistemlerinin kullanımı için dikkate alınması esastır.

BGYS, SPK tarafından 5.1.2018 tarihli 30292 sayılı Resmi Gazete’de yayımlanarak yürürlüğe giren ‘Bilgi Sistemleri Yönetimi Tebliği (VII-128.9) esas alınarak işletilir.

BGYS dokümanlarının gerektiği zamanlarda güncellenmesi BSVG Birimi sorumluluğundadır. Ek, form, talimat gibi dokümanların güncellenmesi ise ilgili birimlerin sorumluluğundadır. Platform tarafından çalışanlara veya 3. taraflara sunulan bilgi sistemleri ve altyapısı ile bu sistemler kullanılarak üretilen her türlü bilgi, belge ve ürün aksini gerektiren kanun hükümleri veya sözleşmeler bulunmadıkça Platform’a aittir.

Kritik iş süreçlerini büyük felaketlerin ve işletim hatalarının etkilerinden korumak amacıyla iş sürekliliği yönetimi uygulanır. Çalışanların bilgi güvenliği farkındalığını artıracak ve sistemin işleyişine katkıda bulunmasını sağlayacak eğitimler düzenli olarak mevcut Platform çalışanlarına ve yeni işe başlayan çalışanlara verilir. Bilgi güvenliğinin gerçek ya da şüpheli tüm ihlalleri rapor edilir; ihlallere sebep olan uygunsuzluklar tespit edilir, ana sebepleri bulunarak tekrar edilmesini engelleyici önlemler alınır

Temel BGYS Prensipleri

Madde 22 –   Temel BGYS Prensipleri şu şekildedir;

• Gerekli durumlarda çalışanlar ve üçüncü taraflarla Platfom ’un gizlilik ihtiyaçlarını güvence altına almayı amaçlayan gizlilik anlaşmaları yapılır.
• Dış kaynak kullanım durumlarında oluşabilecek güvenlik gereksinimleri analiz edilerek güvenlik şart ve kontrolleri şartname ve sözleşmelerde ifade edilir.
• Bilgi varlıklarının envanteri bilgi güvenliği yönetim ihtiyaçları doğrultusunda oluşturulur ve varlık sahiplikleri atanır.
• Kurumsal veriler sınıflandırılır ve her sınıftaki verilerin güvenlik ihtiyaçları ve kullanım kuralları belirlenir.
• İşe alım, görev değişikliği ve işten ayrılma süreçlerinde uygulanacak bilgi güvenliği kontrolleri belirlenir ve uygulanır.
• Güvenli alanlarda saklanan varlıkların ihtiyaçlarına paralel fiziksel güvenlik kontrolleri uygulanır.
• Platform’a ait bilgi varlıkları için Platform içinde ve dışında maruz kalabilecekleri fiziksel tehditlere karşı gerekli kontrol ve politikalar geliştirilir ve uygulanır.
• Kapasite yönetimi, üçüncü taraflarla ilişkiler, yedekleme, sistem kabulü ve diğer güvenlik süreçlerine ilişkin prosedür ve talimatlar geliştirilir ve uygulanır.
• Ağ cihazları, işletim sistemleri, sunucular ve uygulamalar için denetim kaydı üretme konfigürasyonları ilgili sistemlerin güvenlik ihtiyaçlarına paralel biçimde ayarlanır. Denetim kayıtlarının yetkisiz erişime karşı korunması sağlanır.
• Erişim hakları ihtiyaç nispetinde atanır. Erişim kontrolü için mümkün olan en güvenli teknoloji ve teknikler kullanılır.
• Sistem temini ve geliştirilmesinde güvenlik gereksinimleri belirlenir, sistem kabulü veya testlerinde güvenlik gereksinimlerinin karşılanıp karşılanmadığı kontrol edilir.
• Bilgi güvenliği ihlal olayları ve zayıflıklarının raporlanması için gerekli altyapı oluşturulur. İhlal olay kayıtları tutulur, gerekli düzeltici önleyici faaliyetler uygulanır ve düzenlenen farkındalık eğitimleri vasıtasıyla güvenlik olaylarından öğrenme sağlanır.
• Kritik altyapı için süreklilik planları hazırlanır, bakımı ve tatbikatı yapılır.
• Yasalara, iç politika ve prosedürlere, teknik güvenlik standartlarına uyum için gerekli süreçler tasarlanır, sürekli ve periyodik olarak yapılacak gözetim ve denetim faaliyetleri ile uyum güvencesi sağlanır.

Uyulması Gereken BGYS Kuralları

Madde 23 – Uyulması Gereken Kabul Edilebilir Kullanım Kuralları, çalışanlar ve 3. taraflar için Platform iş süreçlerinde ve ilgili çalışmalarında bilgi depolama, iletim ve kullanım biçimleri ile ilgili uyulması gereken kuralları belirler. Aşağıda yer alan davranışlar; aksi yönde açık ve net bir iş tanımı, talimat veya prosedür bulunmadıkça Bilgi Güvenliği Politikasının ihlali olarak değerlendirilir.

• Platform tarafından sağlanan bilgi işlem sistemleri ve uygulamalar iş amaçlı olarak kullanılır. İş süreçlerini engellemeyecek düzeyde ve Bilgi Güvenliği Politikasını ve BGYS prosedürlerini ihlal etmeyen kişisel kullanımlar kabul edilebilir kapsamda değerlendirilir.
• Çalışma alanlarında, “Temiz Masa ve Temiz Ekran” prensiplerine uygun olarak, Genel özellikteki bilgiler dışında bilgilerin başkalarınca görülmesine imkân verilmeyecek şekilde önlemler alınmalıdır;
• Genel olmayan belgeler, masalarda bırakılmamalıdır.
• Genel olmayan dosyalar üzerinde çalışılırken bilgisayar ekranları herkesin görebileceği konumda bırakılmamalıdır.
• Genel olmayan dokümanlar diğer kişilerce görülmesini engellemek amacıyla, kullanılmadığı zamanlarda masa üstlerinden kaldırılıp gerekli korumaları alınmış çekmece ve dolaplarda saklanmalıdır.
• Genel olmayan belgeler dışında doğrudan işle ilgili olarak kendisine ulaştırılmayan ya da teslim edilmeyen Platform belgelerini incelememeli, değiştirmemeli, saklamamalı, kopyalamamalı, silmemeli ve paylaşmamalıdır.
• Platform tarafından açıkça belirtilen durum ve yöntemler dışında 3. taraflar ile Platform bilgilerini paylaşmamalı, satmamalı, aktarmamalı, yayınlamamalı ve internet ortamında paylaşmamalıdır.
• Birim çalışanları çalıştıkları ortamdaki masa ve dolap çekmecelerini kilitli tutmalı ve anahtarları sorumlu kişiler haricinde kimseyle paylaşmamalıdır.
• Bilgisayarlar, aktif kullanım dışında iken şifreli ekran koruyucular devreye alınmalıdır.
• Mesai zamanları dışında bilgisayar sistemleri kapalı tutulmalıdır.
• Çalışanlar, kendilerine verilmiş olan kullanıcı adı ve şifreleri sadece kendileri kullanmalıdır.
• Çalışanlar, kendilerine verilmiş olan kullanıcı adı ve parola bilgilerini yetkilendirilmemiş kişilerin ele geçirmesine imkân verecek şekilde söylememeli, yazmamalı, kaydetmemeli ve elektronik ortamda depolamamalıdır.
• Platform’un, bilgi ve haberleşme sistemleri ve donanımları (İnternet, e-posta, telefon, çağrı cihazları, faks, bilgisayarlar, mobil cihazlar ve cep telPlatformrı vb.) Platform işlerinin yürütülmesi için kullanılmalıdır. Bu sistemler yasadışı, Platform’un diğer politika, standart ve rehberlerine aykırı veya Platform’a zarar verecek herhangi bir şekilde kullanılmamalıdır.
• Platform’a ait bilgi sistemleri üzerindeki kaynaklara erişecek tüm bilgisayarlar etki alanına dahil edilerek kullanılmalıdır.
• Gerekmedikçe bilgisayar kaynaklarını paylaşıma açılmamalıdır. Kaynakların paylaşıma açılması halinde sadece ilgili kişilere yetki verilmelidir.
• Gizli ve hassas bilgiler elektronik ortamda Platform içine ve özellikle Platform dışına gönderilmeden önce şifrelenmelidir.
• Gizlilik dereceli bilgiler içeren belgeleri, elektronik ortamları ve bilgi işlem sistemlerini korumak için gerekli fiziksel önlemleri “Fiziksel Güvenlik Prosedürü”ne uygun şekilde yerine getirmemelidir.
• Platform’a ait bilgi işlem sistemlerini, veri tabanlarını, dosyaları, ağ topolojilerini, cihaz konfigürasyonlarını ve benzeri kaynakları, Platform tarafından açıkça yetkilendirilmedikçe 3.taraflar ile paylaşmamalıdır.
• Platform çalışanları, çalıştıkları sürece veya Platform’dan ayrılmaları (emeklilik, istifa, vs.) durumunda Platform bilgilerini gizlilik prensibine uygun olarak korumaktan sorumludur
• Taşınabilir sistemlerin kullanıcıları, bu sistemlerin güvenliğini sağlamak üzere “Taşınabilir Ortam Kullanımı Prosedürü” ne uymalıdırlar.
• Başta kullanıcı bilgisayarları ve sunucular olmak üzere mümkün olan tüm sistemler, zararlı yazılımlara karşı korunması için “Virüslü ve Zararlı Yazılımdan Korunma Prosedürü “ne uygun şekilde kullanılmalıdır.
• Gizlilik dereceli bilgiler elektronik ortamda işlenirken, depolanırken, aktarılırken “Bilgi İşleme Prosedürü “ne uygun şekilde davranılmalıdır.
• Gizlilik dereceli bilgilerin ve bilgi içeren ortamlarının imhasında “Teçhizatın Elden Çıkarma Prosedürü “ne uygun şekilde davranılmalıdır.
• Herkese açık sistemler (örn. Genel internet sayfaları) hariç tüm bilişim sistemlerine erişim parola korumalı olmalıdır. Parolalar “Şifre Politikası ’na uygun şekilde tanımlanmalı ve kullanılmalıdır.
• Gizlilik dereceli bilgilerin posta, faks, telefon, e-posta ve benzeri elektronik yöntemlerle iletiminde “Bilgi İşleme Prosedürü “ne uygun davranılmalıdır.
• Herkese açık bilgiler dışındaki bilgileri internet üzerinde, haber gruplarında, posta listelerinde ve forumlarda paylaşmamalıdır.
• Yeni bilgi sistemlerinin devreye alınması ve geliştirilmesi “Yeni Bilgi Sistemleri ve Yapılan Geliştirme Prosedürü “ne uygun yapılmalıdır.
• Çalışanlara ve gerekli görülen durumlarda 3. taraflara tahsis edilen e-posta hesapları, “E-posta Prosedürü “ne uygun şekilde kullanılmalıdır.
• Bilgi işlem sistemlerinin teknik güvenlik gereksinimlerine uygun durumda bulunup bulunmadığı, “Teknik Açıklıklarının Kontrolü Prosedürü “ne uygun şekilde kontrol edilmelidir.
• Platform’a ait bilgi işlem sistemlerini izinsiz olarak kullanım dışı bırakılmamalı, yeri değiştirilmemeli ve Platform dışına çıkartılmamalıdır.
• Kullanım gerekliliği Platform tarafından yazılı olarak belirtilen güvenlik yazılımlarını (örn. Anti virüs, kişisel güvenlik duvarı, vb.) bilgi işlem sistemlerden kaldırmamalı veya devre dışı bırakmamalıdır.
• İstemciden istemciye dosya paylaşım programlarını (P2P) Platform bilgisayarlarına yüklememeli ve kullanmamalıdır.
• Platform’a ait bilgisayarlara, Platform’un yasakladığı yazılımları yüklememeli ve çalıştırmamalıdır.
• Platform tarafından lisanslanmış yazılımları çoğaltmamalı, paylaşıma açmamalı ve Platform dışına çıkarmamalıdır.
• Etki alanına dahil olmayan sistemler ile etki alanına dahil olan sistemler arasında bilgi aktarımı yapılmamalıdır.
• Taraflar ile gizlilik sözleşmesi imzalanmadan ve yetkili Platform çalışanınca nezaret edilmeden Platform bilgi işlem sistemlerine ve donanımlarına bağlanmamalı ve çalışmalarına izin verilmemelidir.
• Sunucu sistemleri üzerinde, kişisel bilgisayar uygulamalarını (örn; e-posta programları, ofis uygulamaları, yazılım geliştirme araçları, network test araçları, vb.) kurulmamalı ve kullanılmamalıdır.
• İş süreçleri için gerekmeyen ve kullanılmasına izin verilmeyen sunucu hizmetlerini (örn; HTTP, Telnet, SSH, vb.) bilgi işlem sistemleri üzerinde çalıştırılmamalıdır.
• Platform tarafından sağlanan ve kullanım amaç ve biçimleri yazılı olarak bildirilen Platform ağ bağlantı yöntemleri dışında bir yöntemle (örn; ADSL modem, 3G modem, GPRS, vb.) internete veya başka ağlara bağlanmak için kullanılmamalıdır.
• Çalışanlar, Platform içi ya da Platform dışı bilgi sistemlerine yetkisi olmadığı halde zorla girmeye çalışmamalıdır.
• Platform’a ait bilgi işlem sistemlerine şifreleme ve parola mekanizmalarını kırmaya yönelik program ve araçlarını yüklenmemeli ve kullanılmamalıdır.
• Platform’a ait bilgi sistemleri üzerinde, Platform’un bilgisi ve izni olmadan değişiklik, yükseltme, genişletme yapılmamalıdır.
• İşle ilgili olmayan veya telif hakları ile korunan dosyaları (örn. Müzik, film, kitap dosyaları, vb.) Platform bilgisayarlarına ve bilgi sistemlerine indirilmemeli, depolanmamalı, çoğaltılmamalı ve paylaşıma açılmamalıdır.
• Platform bilgi işlem sistemlerini iş dışında, eğlence amaçlı (oyun vb.) kullanılmamalıdır.
• Platform e-posta hesabı ile zincirleme e-posta gönderilmemelidir.
• Platform bilgi işlem sistemlerinde veya süreçlerinde gözlenen güvenlik zafiyetlerini, açıklarını veya oluşmuş saldırıları Bilgi Güvenliği İhlal Olayı Yönetim Prosedüründe belirtilen “bildirme” yöntemi ve muhatapları dışında ilgili olmayan kişilere iletilmemeli, açıklanmamalı, yayınlanmamalı veya bu zafiyetleri yetkisi dışındaki sistem ve bilgilere erişmek için veya kendi yetkilerini arttırmak için kullanılmamalıdır.

Yaptırım 

Madde 24 – Platform politika ve prosedürlerine uyulmadığının tespit edilmesi halinde, bu ihlalden sorumlu olan çalışan ya da 3. taraf için geçerli olan usul, esas ve sözleşmelerde geçen ilgili maddelerinde belirlenen yaptırımlar uygulanır. 

Yönetim Taahhüdü

Madde 25 – Platform Yönetimi, tanımlanmış, yürürlüğe konmuş ve uygulanmakta olan BGYS uyacağını ve sistemin verimli şekilde çalışması için gerekli olan kaynakları tahsis edeceğini, etkinliğini, sürekli iyileştireceğini ve bunun tüm çalışanlar tarafından anlaşılmasını sağlayacağını taahhüt eder. Bu taahhüdün sonucu olarak, Platform genelinde bilgi güvenliği farkındalık programları düzenler ve alt yapı yatırımlarını sürdürür.

BGYS kurulurken BSVG Sorumlusu üst yönetim tarafından atanır. BSVG Birimi değiştiğinde, işten ayrıldığında üst yönetim tarafından doküman revize edilerek atama tekrar yapılır.

Yönetim kademelerindeki yöneticiler güvenlik konusunda alt kademelerde bulunan personele sorumluluk verme ve örnek olma açısından yardımcı olurlar. Üst kademelerden başlayan ve uygulanan bir güvenlik anlayışıyla, Platform’un en alt kademe personeline kadar inilmesi zorunludur. Bu yüzden Platform yöneticilerinin gerek yazılı gerekse sözlü olarak güvenlik prosedürlerine uymaları, güvenlik konusundaki çalışmalara katılmaları konusunda güvenlik ile ilgili çalışmalarda bulunan personele destek olurlar. Platform üst yönetimi, bilgi güvenliği kapsamlı çalışmalar için gerek duyulan bütçeyi oluşturur.

Yönetim Gözden Geçirmesi

Madde 26 – Platform Yönetim Gözden geçirme toplantıları BSVG Birimi ve üst yönetim tarafından yapılır.

Üçüncü Tarafların Bilgiye Erişimi

Madde 27 – Platform çalışanı olmayan 3. tarafların, bilgi sistemlerini kullanma ihtiyacı olması durumunda (ör: Platform dışı bakım onarım personeli) BSVG Birimi, bu kişilerin Platform ile ilgili bilgi güvenliği politikalarından haberdar olmalarından sorumludur. Bu amaçla geçici ya da sürekli çalışma sözleşmelerinde sözleşme imzalanmadan önce kararlaştırılmış ve onaylanmış güvenlik anlaşmaları yapılmalıdır. Gerektiği takdirde üçüncü taraf personelinin politikaya uyması için süre tahsis edilmelidir.

Platform’un ilgili mevzuat gereği sistem entegrasyonu bulunan Merkezi Kayıt Kuruluşu, Takasbank A.Ş. ve E-Devlet ile yapılan veri paylaşımları bu maddenin kapsamına girmez.

Bilgi Güvenliği Politikasının Güncellenmesi ve Gözden Geçirilmesi

Madde 28- Platform Politika dokümanının sürekliliğinin sağlanmasından ve gözden geçirilmesinden BSVG Birimi sorumludur.  Bilgi Güvenliği Politikası organizasyonel değişiklikler, iş şartları, yasal ve teknik düzenlemeler vb. nedenlerle günün koşullarına uyumluluk açısından değerlendirilir.

Bilgi Güvenliği Politikası Dokümanı, en az yılda bir kez gözden geçirilmelidir. Bunun dışında sistem yapısını veya risk değerlendirmesini etkileyecek herhangi bir değişiklikten sonra da gözden geçirilmeli ve herhangi bir değişiklik gerekiyorsa versiyon değişimi olarak kayıt altına alınmalı ve her versiyon üst yönetime onaylatılmalıdır. Her versiyon değişikliği tüm kullanıcılara e-mail, sunucu üzerinden ya da yazılı olarak yayımlanmalıdır. Gözden geçirmelerde;

• Politikanın etkinliği, kaydedilmiş güvenlik arızalarının yapısı, sayısı ve etkisi aracılığıyla gözlemlenmelidir.
• Politikanın güncelliği teknolojik değişimlerin etkisi vasıtasıyla gözlemlenmelidir.
• Politika, sistem yapısını veya risk değerlendirmesini etkileyecek herhangi bir değişiklikten sonra gözden geçirilmelidir

DÖRDÜNCÜ BÖLÜM
DİĞER HUSUSLAR

Politika ’da Yer Almayan Diğer Hususlar

Madde 29- Bu Politika metninde düzenlenmemiş, Politika kapsamı ile ilgili diğer konularda Platform tarafından çıkarılan diğer Politika metninde, genelgeler ile sermaye piyasası işlemlerini düzenleyen yasalar ve diğer ilgili mevzuat hükümleri esas alınır.

Politika Hükümlerinde Değişiklikler

Madde 30 - Politika hükümlerini değiştirme yetkisi yönetim kuruluna aittir.

Ekler

Madde 31 - İşbu Politikanın ekleri şu şekildedir.

• İş Sürekliliği ve Acil Durum Eylem Planı
  • Bilgi Sistemleri Sürekliliği Planı

Yürütme

Madde 32 - Bu Politika hükümleri Dijital Kitle Fonlama Platformu A.Ş tarafından yürütülür.

Yürürlük  

Madde 33 - İş bu Politika hükümleri Dijital Kitle Fonlama Platformu A.Ş. Yönetim Kurulunun 25 Mayıs 2021 tarihli kararı ile kabul edilmiştir. İşbu Bilgi Güvenliği Politikası YK Karar tarihi itibarıyla yürürlüğe girer.