| 1. AMAÇ | ||||||||||||
| Bu politika, SAFYÜN HALI .A.Ş. ve diğer organizasyonlar arasında gerçekleşebilecek herhangi bir bilgi kaybı, değişikliği veya yanlış kullanımı önlenmek amacıyla yazılmıştır. | ||||||||||||
| 2. KAPSAM | ||||||||||||
| Bu politika çok önemlidir ve tüm organizasyon çalışanları için geçerlidir. Bu politika SAFYÜN HALI .A.Ş.’nin ortağı olan organizasyonların yazılım, medya, elektronik alışveriş sistemleri ve herhangi diğer ofis ve iletişim sistemlerini kapsar. | ||||||||||||
| 3. UYGULAMA | ||||||||||||
| 1. Organizasyon, elektronik transferlere yönelik muhasebe kayıtlarının tutulmakta olduğundan emin olmalıdır. Böylece kuruluşun kayıtları güncel olacaktır. | ||||||||||||
| 2. Üçüncü taraflar için geliştirilmiş olan yazılımların, sadece bilgisayar kodu halinde dağıtılması gerekir. | ||||||||||||
| 3. Organizasyonun yazılımlarını veya verilerini kullanmakta olan üçüncü taraflar, gerekli koruma ölçütlerini içeren bir yazılı sözleşme imzalamalıdır. Böylece üçüncü tarafların söz konusu bilgiyi izinsiz kullanması, değiştirmesi veya çoğaltması engellenmiş olacaktır. | ||||||||||||
| 4. Elektronik ortamda sözleşmenin yapıldığı üçüncü taraflarla, kağıt üzerinde de anlaşma yapılmalıdır. Yazılı sözleşmeler en güvenli sözleşme biçimidir. | ||||||||||||
| 5. Bilgi ve veri alışverişinden önce dış tarafların kimliklerinin tespit edilmesi gerekir. | ||||||||||||
| 6. Üçüncü tarafa açılan tüm gizli bilgilerin kesinlikle şifrelenmesi gerekir. | ||||||||||||
| 7. Gizli bilgilerin ülke dışına çıkartılması veya toplu taşıma ile transfer edilebilmesi için yetki gerekir. | ||||||||||||
| 8. Bilginin uluslararası seyahati sırasında sadece yetkili çalışanların gizlilik içeren bilgiye erişimi vardır. | ||||||||||||
| 9. Üçüncü taraflara yollanan bilgisayar ortamı yeni olmalı veya herhangi bir bilgi içermemelidir. | ||||||||||||
| 10. Güncellenmelerin veya yeni ürünlerin yollanması için müşteri otorizasyonu (onayı) gerekir. | ||||||||||||
| 11. Organizasyonun sahasında kullanılan şifreleme yöntemleri ve güvenlik sertifikaları standarda uyum sağlamalı ve finansal kurumların gerekliliklerini karşılamalıdır. | ||||||||||||
| 12. Elektronik alışveriş yapmak üzere kuruluşlar arası bir ağ kurulmadan önce bir ticari ortaklık sözleşmesi imzalanmalıdır. | ||||||||||||
| 13. Yetkisi olmayan çalışanlar tarafından gönderilen e–mailler, organizasyonu bağlamaz. | ||||||||||||
| 14. İş iletişiminin sağlanması için sadece organizasyon tarafından yetkilendirilen çalışanların e–mail adresleri kullanılmalıdır. | ||||||||||||
| 15. Organizasyon, yeni ürünler ile ilgilenmeyen müşterilerinin bir listesini tutmalıdır. Buradaki amaç organizasyonun müşterileri ile iyi ilişkiler kurmasının sağlanmasıdır. | ||||||||||||
| 16. Tüm ödeme bilgileri, bilgisayar sistemine kayıt edilmeden önce şifrelenmelidir. | ||||||||||||
| 17. Müşteriden gelen ödeme hakkındaki bilgiler müşterilere tam olarak yollanmamalıdır. Bilgi yollanırken hesap numarası v.b. bilgilerin belirli bir kısmını yollamak daha doğru olacaktır. | ||||||||||||
| 18. Organizasyon, web sitesinin korunmasını ve elektronik ticaret standartlarına uyum göstermesini sağlayacaktır. | ||||||||||||
| 19. Organizasyonun müşterileri, organizasyonun mailleşme listesinden isimlerini çıkartabilmek için ne yapmaları gerektiğini bilmelidir. | ||||||||||||
| 20. Organizasyon, müşterilerini mail listesine eklemeden önce onlardan izin almalıdır. | ||||||||||||
| 21. Organizasyon, müşterilerine, yapılan hesaplardaki doğruluğu gösterebilmek için yeterli bilgiyi vermelidir. | ||||||||||||
| 22. Müşterilerin hesaplarında herhangi bir değişiklik olması durumunda bir müşterilerden onay talebi istenmelidir. | ||||||||||||
| 23. Alışveriş sırasında kaydedilen bilgiler, transfer sırasında şifrelenmelidir. Böylece gizlilik içeren bilgiler, veri transferi sırasında istenmeyen taraflara geçmeyecektir. | ||||||||||||
| 24. E – mail ile gönderilen her türlü hassas bilgi şifrelenmelidir. | ||||||||||||
| 25. Gizli bilgiler sadece uygun data server’larda kayıt altına alınmalıdır. | ||||||||||||
| 26. Yazılım yükleme veya yazılım güncellemelerini yapma ve sistem bakımını gerçekleştirme yetkisi sadece IT Ekibinindir. | ||||||||||||
| 27. Kritik bir dosyada çeşitli değişikliklerin yapılması durumunda, dosyanın en az iki yedeği alınmalıdır. | ||||||||||||
| 28. Organizasyon bir e – mail’in içeriğinde herhangi bir değişiklik yapılmasını yasaklamalıdır. | ||||||||||||
| 29. Organizasyonda bilgi sistemleri aracılığı ile gönderilen mesajlar, saldırgan veya ayrımcılık içeren bildiriler içermemelidir. Organizasyonun bilgi sistemi sadece iş gereklilikleri için kullanılmalıdır. | ||||||||||||
| 30. Tüm junk mailler, uygun faaliyetleri yürütecek olan e – mail yöneticisine gönderilmelidir. | ||||||||||||
| 31. Bir e – mail’e gizlilik içermekte olduğuna dair bir not eklendiğinde, bu mesajı sadece e – mailin gönderildiği kişinin maili aldığından emin olunmalıdır. | ||||||||||||
| 32. E – mail’lerde taranmış imzalar bulunmamalıdır. | ||||||||||||
| 33. Organizasyonun çalışanları çeşitli tartışma gruplarına katılmamalıdır. | ||||||||||||
| 34. E – mail yoluyla gönderilen bilgiler, bu bilginin kimden gelmekte olduğunu içermelidir. | ||||||||||||
| 35. E – mail yoluyla gönderilen bilgiler, spesifik bir geri dönüş adresi içermelidir. | ||||||||||||
| 36. Organizasyon, e – maillerin gönderilmesi ve imha edilmesi ile ilgili prosedürler içermelidir. | ||||||||||||
| 37. Faks yoluyla gönderilen gizlilik içeren herhangi bir bilginin şifrelenmiş ve bir kapak sayfası ile kapatılmış olması gerekir. Bunlara ek olarak, alıcıların kendilerine bir faks gönderilmiş olduğu hakkında bilgilendirilmiş olması gerekir. | ||||||||||||
| 38. Gizlilik içeren bilgiler, handsfree telefonlarda görüşülmemelidir. | ||||||||||||
| 39. Organizasyon, bilgi sistemi vasıtasıyla gönderilmiş herhangi bir bilgiyi algılayabilmeli veya zararlı olabileceğini düşündüğü herhangi bir veriyi silme hakkında sahiptir. Böylece kuruluşun itibarını zedeleyebilecek illegal malzemenin transfer edilmesi veya depolanması engellenmiş olur. | ||||||||||||
| 40. Bilgi sistemleri verilerini içeren tüm girdi/çıktı araçlarının, gizli bilgilerin akışını engelleyebilmek için IT Ekibi tarafından korunması gerekir. | ||||||||||||
| 41. Silinebilir ortamlara kaydedilmiş olan gizli bilgilerin kullanımdan sonra etkin yöntemler kullanılarak silinmesi gerekir. | ||||||||||||
| 42. Gizlilik içeren bilgiler telefon aracılığı ile paylaşılmamalıdır. | ||||||||||||
| 43. Çalışanlar gizlilik içeren bilgileri telesekreterlere veya sesli mesajlaşma sistemlerine kayıt etmemelidir. | ||||||||||||
| 44. Faturalama bilgilerini transfer edebilmek için umumi telefonların kullanılması durumunda, çalışanlar telefon kartlarını veya kredi kartlarını mümkün olduğu kadar telefonun numaralarından veya ahizesinden uzak tutmalıdır. | ||||||||||||
| 45. Toplantılarda yapılan video konferanslar, yönetim veya katılımcılar tarafından izin verilmedikçe kayıt edilmemelidir. | ||||||||||||
| 46. İşle ilgili tüm aramalar kuruluş telefonları kullanımı ile yapılmalıdır. | ||||||||||||
| 47. Gizlilik içeren bilgilerin umumi yerlerde konuşulmaması gerekir. | ||||||||||||
| 48. Organizasyona ait kredi kartı numaraları varsa, bu numaralar sadece kuruluş telefonu kullanıldığında, telefon aracılığı ile iletilebilir. | ||||||||||||
| 49. Posta aracılığı ile gönderilen gizli bilgiler iki zarf içinde yollanmalıdır. Dış zarfta, içerideki bilginin hassaslığı ile ilgili hiç bir bilgi yazmamalı, ancak iç zarfta bilginin gizli olduğu belirtilmelidir. | ||||||||||||
| 50. Kağıt üzerindeki gizli bilgilerin gönderilmesi durumunda, bilgilerin taahhütlü yollanması gerekir. | ||||||||||||
| 51. İç dokümanlardaki herhangi bir değişiklik talebi, değişikliği talep eden kişinin kim olduğunu göstermelidir. | ||||||||||||
| 52. Bilgi sistemleri sadece iş için kullanılmalıdır. | ||||||||||||
| 53. Gizli bilgilerin cep telefonlarında veya telsizler aracılığı ile paylaşılması kesinlikle yasaktır. | ||||||||||||
| 54. Kablosuz bağlantı ile gönderilen bilgilerin yollanmadan önce şifrelenmesi gerekir. | ||||||||||||
| 55. Üçüncü taraflar, kuruluşta bir toplantıya katılmak durumunda olduklarında, bu kişilerin gizli bilgiler barındıran bölgelerde dolaşması engellenmelidir. | ||||||||||||
| 56. Gizli bilgilerin bir toplantıda tartışılması durumunda, toplantı süresince, bu bilginin gizli olduğu ve dinleyenlerin bu bilginin gizliliğini korumaları gerektiği belirtilmelidir. | ||||||||||||
| 57. Kuruluşun intranetine yerleştirilen her bilgi veya uygulama daha önceden yetkili kişiler tarafından onaylanmalı ve kuruluşun malı olarak kalmaya devam etmelidir. Bu bilgiler kuruluşun bilgileri olarak saklı tutulacaktır. | ||||||||||||
| 58. Kuruluş içindeki donanım malzemelerin yerini değiştirmek için ilgili kişilerden IT Ekibinden izin alınmalıdır. | ||||||||||||
| 4. YAPTIRIM | ||||||||||||
| Bu politikaya uygun olarak çalışmayan tüm personel hakkında Disiplin Prosedürü hükümleri uygulanır. |
