1. Bilgi güvenliği programı
Constructor Technology şu anda müşteri verilerini korumak için idari, fiziksel ve teknik kontroller içeren bir bilgi güvenliği ve uyum programı (“Bilgi Güvenliği Programı”) uygulamakta ve sürdürmektedir. Constructor Technology, geçerli yasalara, sözleşme gerekliliklerine ve endüstri veri güvenliği standartlarına uyum için gerekli olduğu sürece Bilgi Güvenliği Programını sürdürecektir.
Constructor Technology, periyodik risk değerlendirmeleri ve incelemeler yapar ve uygun olduğunda, Bilgi Güvenliği Programını en az yılda bir veya Constructor Technology'nin iş uygulamalarındaki önemli bir değişiklik müşteri verilerinin güvenliğini, gizliliğini veya bütünlüğünü etkilediğinde revize eder. Constructor Technology, bilgi güvenliği uygulamalarını müşteri verilerinin gizliliğini, erişilebilirliğini veya bütünlüğünü zayıflatacak veya tehlikeye atacak şekilde değiştirmeyecektir.
Bilgi Güvenliği Programının bir parçası olarak, Constructor Technology, bu Teknik ve Organizasyonel Önlemlerin geçerli yasa ve ilgili Sözleşmeye uyduğunu belirlemek ve değerlendirmeye dayalı olarak uygun şekilde ayarlamak için en az yılda bir kez değerlendirme sürecine sahiptir.
2. Constructor Technology personeli
Constructor Technology, Constructor Technology Personeli için roller ve sorumlulukları açıkça tanımlar. Constructor Technology, tüm Constructor Technology Personeli için işe alım veya katılım öncesinde tarama ve geçmiş kontrolü yapar.
Constructor Technology, Constructor Technology Personelini veri koruma yükümlülükleri hakkında en az yılda bir kez eğitmek için bir güvenlik ve gizlilik farkındalık eğitim programına sahiptir ve sürdürmektedir. Bu eğitim programı, veri sınıflandırma yükümlülükleri, güvenlik kontrolleri ve uygulamaları ile güvenlik olayları ve veri ihlalleri hakkında eğitim içerir. Müşteri Verilerine erişim sağlamadan önce, Constructor Technology, Constructor Technology Personelinin Bilgi Güvenliği Programına uymak zorunda olduklarını anlamalarını ve bunu belgelendirmelerini gerektirir.
Constructor Technology, Bilgi Güvenliği Programına veya diğer belirlenmiş güvenlik politikalarına veya prosedürlerine sıkı sıkıya uymayan Constructor Technology Personeli için bir disiplin sürecine sahiptir. Constructor Technology, Constructor Technology Personelinin Müşteri ile olan ilişkisinin sona ermesinden sonra kabul edilen ve onaylanan gizlilik ve gizlilik yükümlülüklerinin yürürlükte kalmasını sağlamak için bir sürece sahiptir.
3. Fiziksel güvenlik
Constructor Technology, tüm Müşteri Verilerinin endüstri lideri güvenlik standartlarına uyan güvenli, bulut tabanlı veri merkezlerinde işlendiğini garanti eder. Constructor Technology, Müşteri Verilerinin işlendiği fiziksel konumları yönetmese de, kapsamlı fiziksel güvenlik önlemlerinin uygulanmasını sağlamak için bulut sağlayıcılarımızla gözetim ve işbirliği yaparız.
Constructor Technology, bulut hizmet sağlayıcıları ile işbirliği içinde, Müşteri Verilerinin işlendiği bulut veri merkezlerinde aşağıdaki fiziksel erişim kontrol önlemlerini uygular. Bu güvenli bulut ortamları dışında Müşteri Verilerine erişim kesinlikle yasaktır:
a) Bulut altyapısına erişim yetkilendirmesini belirleme, değiştirme ve iptal etme için belgelenmiş süreçler.
b) Bulut veri merkezlerine fiziksel erişim yalnızca yetkili personel ile sınırlıdır.
c) Bulut sağlayıcıları tarafından yetkisiz erişim ve erişim girişimlerinin önlenmesi ve tespiti için kapsamlı önlemler uygulanır, bunlar arasında çok faktörlü kimlik doğrulama, video gözetimi, izinsiz giriş tespit sistemleri ve sıkı güvenlik protokolleri bulunur.
d) Constructor Technology ve bulut hizmet sağlayıcıları tarafından yürütülen erişim yetkilendirmelerinin periyodik ve belgelenmiş incelemeleri, yalnızca yetkili personelin kritik sistemlere erişimi olduğunu garanti eder.
4. Sistemlere mantıksal erişim kontrolü
Constructor Technology, yetkisiz kişilerin Müşteri Verileri için veri işleme sistemlerine erişimi olmadığını garanti eder. Constructor Technology, Müşteri Verilerinin işlendiği sistemlere ve ağlara erişimi kontrol etmek için aşağıdaki önlemleri uygular:
a) Müşteri Verileri için veri işleme sistemlerine ve kamuya açık olmayan ağlara erişimi yetkilendirme, değiştirme ve iptal etme için belgelenmiş süreçler mevcuttur.
b) Erişim hakları "Bilmesi Gereken" ve "En Az Ayrıcalık" esaslarına göre verilir.
c) Kişiselleştirilmiş ve benzersiz kullanıcı kimlikleri ve güvenli kimlik doğrulama süreci ile kimlik doğrulama, yetkilendirme ve muhasebenin etkili kontrolü uygulanır.
d) Mantıksal erişim yetkilendirmelerinin belgelenmiş incelemesi periyodik olarak yapılır.
e) Sistem erişim yetkilendirmelerinin ve rol atamalarının belgelenmiş incelemesi periyodik olarak yapılır.
f) Ağ altyapısını güvence altına almak için uygun önlemler belgelenir ve izlenir.
5. Müşteri verilerine erişim kontrolü
Bir veri işleme sistemini kullanma yetkisine sahip olan kişiler, erişim yetkilerine tabi olarak Müşteri Verilerine erişebilir. Müşteri Verileri, işleme sırasında, kullanım sırasında ve depolamadan sonra yetkisiz olarak okunamaz, kopyalanamaz, değiştirilemez veya kaldırılamaz.
Constructor Technology, sipariş verilerine erişim yetkisi için sorumlu oldukları ölçüde aşağıdaki erişim kontrol önlemlerini alacaktır:
a) Erişimi yetkilendirme, değiştirme, kopyalama ve veri çekilmesi için belgelenmiş bir süreç mevcuttur.
b) Yeterli haklar ve roller konsepti ile erişim yetkilendirmelerinin etkili kontrolleri mevcuttur.
c) Veri erişim yetkilendirmelerinin ve rol atamalarının düzenli ve belgelenmiş incelemesi periyodik olarak yapılır.
d) Terminal ekipmanları, sunucular ve diğer altyapı unsurlarının yetkisiz erişime karşı korunması için makul önlemler mevcuttur.
e) Mobil cihazların (dizüstü bilgisayarlar, tablet PC'ler, akıllı telefonlar vb.) ve veri medyalarının (harici sabit diskler, USB bellekler, hafıza kartları vb.) korunması için - güncel teknoloji durumuna uygun - algoritmalarla veri medyası şifrelemesi uygulanır.
f) Veri erişimi ve veri işlemleri denetim kaydı altındadır.
g) Denetim kayıtları periyodik olarak gözden geçirilir.
6. Veri girişi ve veri işleme kontrolü
Constructor Technology, Müşteri Verilerinin ne zaman, kim tarafından ve nasıl erişildiğini, değiştirildiğini veya veri işleme sistemlerinden kaldırıldığını doğrulamak için kontroller uygular. Constructor Technology, Müşteri Verilerinin Müşteri talimatlarına uygun olarak işlendiğini garanti eder.
Constructor Technology, veri girişi ve işleme kontrolü için aşağıdaki önlemleri alacaktır:
a) Güvenlik politikaları ve prosedürleri Müşteri Verilerini sınıflandırır ve sınıflandırmalar güncel olarak doğrulanır ve sürdürülür.
b) Müşteri Verilerinin nasıl girileceği, erişileceği, değiştirileceği ve kaldırılacağına dair uygun talimatları içeren Müşteri Verilerinin işlenmesi belgelenir.
c) Müşteri Verilerinin işlenmesiyle görevlendirilen kişilere, veri koruma, veri koruma düzenlemeleri, ilgili iç prosedürler ve veri sorumlusu özel talimatları hakkında zamanında tavsiyeler verilir.
d) Veri girişi ve işleme işlemleri denetlenebilir kayıtlarda kaydedilir.
e) Uygun olduğunda, Constructor Technology, Müşteri Verilerini anonimleştirmek veya takma ad kullanmak için önlemler alır.
7. Veri aktarım kontrolü
Constructor Technology, iletim kontrolü için aşağıdaki önlemleri alacaktır:
a) Ağ altyapısını güvence altına almak için uygun önlemler (örneğin, İzinsiz Giriş Tespit Sistemleri, uzaktan ve ayrıcalıklı erişim için iki faktörlü kimlik doğrulama kullanımı, ağların ayrılması, şifreleme ağ protokolleri vb.) uygulanır.
b) Mobil cihazların (dizüstü bilgisayarlar, tablet PC'ler, akıllı telefonlar vb.) ve veri medyalarının (harici sabit diskler, USB bellekler, hafıza kartları vb.) korunması için - güncel teknoloji durumuna uygun - algoritmalarla veri medyası şifrelemesi uygulanır.
c) Müşteri Verileri güvenli kanallar kullanılarak iletilir.
d) Müşteri Verileri için şifreli iletişim protokolleri (örneğin, TLS tabanlı protokoller, SSH, IPsec veya vb.) kullanılır.
8. Erişilebilirlik kontrolü
Constructor Technology, tüm Müşteri Verilerinin kazara veya yetkisiz erişilemezlik, yok edilme veya kaybolmaya karşı korunduğunu garanti eder.
Constructor Technology, Müşteri Verilerinin erişilebilirliğini sağlamak için aşağıdaki önlemleri uygular:
a) Constructor Technology, Müşteri Verileri içeren sistemler için belgelenmiş, resmi olarak uygulanmış ve test edilmiş bir İş Sürekliliği (BCP) ve Felaket Kurtarma (DRP) programlarına sahiptir ve sürdürmektedir.
b) Sistemlerin ve verilerin yedeklenmesi ve kurtarılması için süreçler belgelenmiştir.
c) Constructor Technology, Müşteri Verilerini barındıran sistemler için yedek bütünlüğünün düzenli (en az yıllık) incelemesini ve testini yapar.
d) Constructor Technology, kritik güvenlik güncellemelerinin ve yamalarının gerekli kurulumunu sağlamak için bir sisteme sahiptir.
e) Constructor Technology, sistemleri mevcut ve gelişen kötü amaçlı yazılım tehditlerinden korumak için kötü amaçlı yazılımlardan etkilenen sistemlere bir anti-virüs yazılımı dağıtır.
Constructor Technology, bir Güvenlik Olayı Müdahale Planı (SIRP) uygular. SIRP, Müşteri verilerinin gizliliğini, bütünlüğünü veya erişilebilirliğini etkileyebilecek güvenlik olaylarını etkili bir şekilde tespit etmek, yanıtlamak ve hafifletmek için prosedürleri, protokolleri ve sorumlulukları özetler.
SIRP, ancak bunlarla sınırlı olmamak üzere şunları içerir:
- Geçerli yasalar ve düzenlemeler tarafından gerekli görüldüğü şekilde güvenlik olaylarını bildirmek için net yükseltme ve bildirim prosedürleri.
- Bir güvenlik olayının ciddiyetini ve kapsamını değerlendirme prosedürleri.
- Güvenlik olaylarını sınırlamak ve hafifletmek için adımlar, üçüncü taraf sağlayıcılarla koordinasyon dahil.
- Kanıtları koruma, adli soruşturmalar yürütme ve uygulanabilir olduğunda kolluk kuvvetleriyle işbirliği yapma prosedürleri.
- Bir güvenlik ihlali durumunda etkilenen tarafları, Müşterinin müşterileri veya çalışanları dahil, bilgilendirme iletişim protokolleri.
Güvenlik olaylarından etkilenen hizmetleri, sistemleri veya verileri geri yüklemek ve daha fazla ihlali önlemek için uygulanabilir adımlar.
9. Ayrım kontrolü
Constructor Technology, verilerin ayrılması için aşağıdaki önlemleri alacaktır:
a) Constructor Technology, farklı amaçlar için toplanan Müşteri Verilerinin mantıksal, fiziksel veya şifreleme ayrımına sahiptir ve sürdürmektedir.
b) Constructor Technology, test, geliştirme ve üretim sistemleri ortamlarının mantıksal ve/veya fiziksel ayrımını sürdürmektedir.
10. Web sitesi ve uygulama güvenliği (sızma testi, zafiyet taraması)
Constructor Technology'nin ağlarının, sistemlerinin ve uygulamalarının tasarımı, Constructor Technology'nin Bilgi Güvenliği Programı ile uyumludur. Geçerli güvenlik standartları ve politikaları, sistem geliştirme yaşam döngüsünde ve devam eden operasyonlar sırasında ele alınır.
Constructor Technology, uygulamaların ve web sitelerinin güvenliğini sağlamak için aşağıdaki önlemleri alır:
a) Constructor Technology, OWASP tarafından tanımlanan yaygın zafiyetler ve bu güvenlik gereksinimlerini içeren uygulamaların ve web sitelerinin güvenliğini gözden geçirir ve hem otomatik hem de manuel testler kullanarak test eder.
b) Constructor Technology, işletim sistemleri, veritabanları, sunucu uygulamaları ve ağ cihazlarının zafiyet ve yapılandırma uyumluluğu için periyodik taramalar yapar.
c) Constructor Technology, uygulamalar ve ağlar üzerinde en az yıllık sızma testi yapar.
d) Constructor Technology, Kişisel Bilgileri işleyen uygulamaları, "Tasarımda Güvenlik" ve "Varsayılan Olarak Gizlilik" ilkelerinin uygulandığından emin olmak için standart SDLC süreci, web değerlendirmesi ve onaylanmış araçlar kullanarak geliştirir.
e) Uygun olduğunda, Constructor Technology, kişisel verileri anonimleştirmek veya takma ad kullanmak için onaylanmış önlemler kullanır.
11. Hesap verebilirliği sağlama önlemleri
a) Constructor Technology, tüm Müşteri Veri işleme faaliyetlerinin kayıtlarını tutar ve işlemciler ve alt işlemciler yüklenicilerinin de bu kayıtları tutmasını gerektirir.
b) Constructor Technology ile (alt) işlemci arasındaki her geçerli anlaşma, (alt) işlemcilerin Müşteri ve Constructor Technology'ye Geçerli Veri Koruma Yasalarına uyumu göstermede yardımcı olmasını gerektiren bir hüküm içerir.
c) Constructor Technology, işlemciler ve alt işlemciler yüklenicilerinin, Müşteri Verileri hakkında hükümet yetkililerinden veya kolluk kuvvetlerinden gelen taleplerin veya emirlerin yasallığını analiz etmek ve Müşteri Verilerinin serbest bırakılmasının yasa tarafından yetkilendirilip yetkilendirilmediğini belirlemek için bir süreç sürdürmesini gerektirir.
