Politikalarımız

Entegre Kalite Politikası

 

  • Enerji piyasasında %100 yenilenebilir Enerji Üretimine sahip özel sektör tedarikçisi olarak ENDA ENERJİ Holding A.Ş. kalite odaklı yaklaşımla hizmet veren, gerek tedarikçilerine, müşterilerine ve çevreye gerekse çalışanlarına karşı sorumluluklarının bilinciyle faaliyetlerine devam eden bir kuruluştur. İstikrarlı ve sürekli artan başarı performansının ve iç/dış müşteri memnuniyetinin temel faktörü olan bu yaklaşımla, müşteri memnuniyeti ve kalitede süreklilik sağlamak hedeflenmektedir.
  • Sürdürülebilir bir dünya için, doğal kaynakları en verimli şekilde kullanmayı da kendisine ilke edinen ENDA ENERJİ Holding A.Ş. gerek çalışma prensipleri gerek sosyal sorumluluk, toplumsal ve çevresel bilinç ve gerekse insan haklarına verdiği önemle aşağıdaki ilkeleri Entegre Yönetim Sistem Politikasının yapı taşları olarak kabul etmektedir.
  • Çevre sorunlarına karşı duyarlı olmak ve çevresel sorumluluğu artıracak her türlü faaliyete destek vermek; çevre dostu teknolojilerin geliştirilmesini ve yaygınlaştırılmasını desteklemek.
  • Ticari faaliyetlerde rüşvet ve haraç dahil, her türlü yolsuzlukla mücadele etmek.
  • Öncelikle müşterilerimiz olmak üzere tüm paydaşlarımızın beklentilerini en iyi şekilde karşılamayı tüm iş süreçlerimizi etkin şekilde yönetmeyi ve iyileştirmeyi yenilenebilir enerji kaynaklarını değerlendirerek, çevreci ve temiz enerji üretmeyi taahhüt ederiz.
  • Entegre Yönetim Sistemi performansının iyileştirilmesi amacıyla, çalışanlarımızın farkındalığını arttırmak için çalışmalar yaparız, fikir ve görüşlerini alarak sisteme katılımlarını sağlarız.
  • Çalışanlarımız ve tüm paydaşlarımız için Entegre Yönetim Sistemi duyarlılığını esas alan bir çalışma ortamı sunmayı taahhüt ederiz.
  • Entegre Yönetim Sistemi verimliliği açısından; müşteri memnuniyetinin sağlanmasını, kirliliğin önlenmesi ve çevrenin korunmasını, yaralanmanın, sağlık bozulmalarının önlenmesini, yenilenebilir enerji kaynaklarının değerlendirilmesini sağlayarak performansımızı sürekli iyileştirmeyi taahhüt ederiz.
  • Tüm operasyon kararlarımızın Entegre Yönetim Sistemine etkilerini dikkate alarak faaliyetlerimizin doğal parçası olan süreç risklerini, iş sağlığı tehlikelerini, çevre etkilerini ve önemli enerji kullanım alanlarını belirler; etkilerinin asgariye indirilmesi ve kontrol altına alınmasına yönelik planlı inisiyatiflerin devreye alınmasını taahhüt ederiz.
  • Enerji verimliliği açısından en uygun ürünleri seçer ve enerji performansının iyileşmesine dayalı tüm tasarımları destekleriz.
  • Çalışanlarımızın başarıya ulaşmasında en büyük enerjimiz ve motivasyon kaynağımız çalışanlarımızın farkındalığı ve katılımı olacaktır. Enda Enerji olarak amacımız rekabet gücümüzü sürekli arttırmak ve firmamızı gururla temsil edebilmektir.
  • Entegre Yönetim Sistemleri süreçlerimizi sürekli iyileştirmek; sistemin etkinliğini ve verimliliğini, teknolojik gelişmeleri süreçlerimizde kullanarak arttırmak.
  • Sözleşmelerimizin gereklerine, yürürlükte olan ilgili yasal mevzuat ve standartlara uygun olarak tedarik ve hizmet sunmak.
  • “Çalışanlarımız kuruluşumuz için bir değerdir”, ilkesi ile hareket ederek, sürekli eğitimler ile çalışanlarımızın kişisel, mesleki gelişimlerini ve memnuniyetlerini artırarak, yönetime bireysel katkılarını sağlamak, çevre duyarlılığı tüm çalışanlara yaymak.
  • Tedarikçilerimizle birlikte karşılıklı iş birliği ve güven içerisinde çalışarak verimliliğimizi arttırmak.
  • Müşterilerimizin memnuniyetini en üst seviyede tutabilmek ve sürekliğini sağlamak amacıyla, müşterilerimizin çözüm ortağı olmak.
  • İlgili tarafların ihtiyaç ve beklentilerini göz önünde bulundurarak, uygulanabilir şartları karşılayarak yönetim sistemini sürdürmek.
  • Var olan üstün hizmet kalitemizi daha da geliştirebilmek adına; faaliyetlerimizi düzeltici, önleyici, iyileştirici süreç odaklı yaklaşım ile gerçekleştirmek, ilkelerimizi ölçülebilir hedeflerimiz ile desteklemek.
  • Hedefimiz; her türlü müşteri talebi karşılayabilen, güvenilir ve sürekli olan, kaliteden ödün vermeyen, sektörde öncü olan, gelişen teknolojiyi yakından takip eden, dürüstlüğe ve satış sonrası hizmete büyük önem veren, zamanı iyi planlayıp kaliteyi ön planda tutarak hızlı bir hizmet sistemi uygulayan, dışa açık, sürekli gelişen uluslararası bir firma olmaktır.

ENDA ENERJİ, her zaman ISO 9001 – ISO 14001- ISO 45001- ISO 50001 – ISO 10002- ISO 27001 – ISO 27701 – ISO 31000, ISO 22301- ISO 14064-1 hizmette farklılık oluşturarak, sektörde yönlendirici bir kuruluş olarak çalışacaktır. Başta Yöneticilerimiz olmak üzere, tüm çalışanlarımız Entegre Yönetim Sistem Politikamızın ilkelerini uygulamak ve geliştirmekten sorumludur.

İş sürekliliği kapasitemizi, ISO 22301 uluslararası standardına uygun olarak sürekli iyileştiriyoruz.

İş sürekliliğini sağlamak için İş Sürekliliği Yönetim Sistemi’ni (ISYS) geliştirmeyi, gerekli operasyonel süreçleri tasarlamayı ve güncel tutmayı,

Bir olayda veya önemli bir iş kesintisinde önceden belirlenmiş kabul edilebilir seviyelerdeki faaliyetlerin sürekliliğini sağlamayı,

Kriz ve acil durum yönetimi faaliyetlerini merkezi olarak koordine etmeyi

İş sürekliliği planlarını düzenli eğitim, farkındalık çalışmaları ve test/tatbikatlar ile iyileştirmeyi

  • ISO 14064-1 Standardı kapsamında, İklim değişikliği etkilerini azaltmaya yönelik enerji verimliliği projelerinin geliştirilmesi ve sistemlerin iyileştirilmesi için, 
  • Kurumsal sürdürülebilirlik politikaları geliştirmek ve sürdürülebilirlik performansını sürekli ölçerek raporlar yayınlamak
  • Tüm Çalışanlara karbon ayak izi azaltımı konusunda eğitimler vermek, onların sürdürülebilirlik farkındalığını artırmak
  • Tedarikçilerinin çevresel performanslarını ve Enerji ihtiyaçlarını yenilenebilir enerji kaynaklarından sağlama performanslarını  denetlemek, 
  • Karbon Ayak izi emisyonlarının hesaplamalarında kullanılacak doğru, tutarlı ve dokümante edilebilen metodolojilerin ve modellerin seçilmesi, 
  • Kurumsal karbon ayak izi hesaplamalarında dahili veya harici Karbon emisyon azaltım   faaliyet seçilmesi ve gerekçelendirilmesi Karbon  emisyon ve uzaklaştırmalarıyla ilgili kullanılan faktörlerin belirlenmesi; bunlar arasında, kaynakların ve yutakların tespiti, hesaplama zamanı, süresi, belirsizlik değeri; hedeflerini sağlamak, 
  • Şirket, bu adımlardan sonra kurumsal karbon ayak izi  envanter çalışması yaparak kurumsal karbon ayak izini hesaplanması ve doğrulanmasında sürdürebilirlik sağlamayı 

Taahhüt etmektedir.

Genel Müdür

 

Enerji Yönetim Sistem Politikası

ENDA ENERJİ Holding A.Ş, Enerji piyasasında %100 yenilenebilir Enerji Üretimine sahip özel sektör tedarikçisi olarak

  • Yenilenebilir Enerji üretimini yüksek kalite standartlarında gerçekleştiren ENDA A.Ş., tesislerinde enerji kullanımını minimum seviyeye indirerek enerji tasarrufuna katkı sağlamaktadır.
  • Politikamıza uygun olarak belirlenen amaç ve hedeflerimizi Enerji Performans Göstergelerini izleyerek performansımızı sürekli gözden geçireceğimizi,
  • Enerji kullanımı, tüketimi ve verimliliği ile ilgili olarak tabii olduğumuz yürürlükteki yasal şartlara ve diğer şartlara uyacağımızı,
  • Enerji kullanımında en büyük payı olan elektrik enerjisini tasarımdan başlayarak proseslerimize kadar her aşamada değerlendirmeyi,
  • Tüm çalışanlarımızın, alt yüklenicilerimizin ve tedarikçilerimizin enerji verimliliği konusunda farkındalığını arttırmayı 
  • Makine ve teçhizat satın alırken enerji verimliliğini dikkate alarak enerji performansını arttırmayı,
  • Enerji tüketim verilerinin toplanması ve yorumlanabilmesi için veri takip sisteminin oluşturulması
  • ISO 14064-1 Standardı kapsamında, İklim değişikliği etkilerini azaltmaya yönelik enerji verimliliği projelerinin geliştirilmesi ve sistemlerin iyileştirilmesi
  • Kurumsal sürdürülebilirlik politikaları geliştirmek ve sürdürülebilirlik performansını sürekli ölçerek raporlar yayınlamak
  • Etkin bir atık ve enerji yönetim sistemi kurmak
  • Tüm çalışanlara karbon ayak izi azaltımı konusunda eğitimler vermek, onların sürdürülebilirlik farkındalığını artırmak
  • Tedarikçilerinin çevresel performanslarını ve Enerji ihtiyaçlarını yenilenebilir enerji kaynaklarından sağlama performanslarını  denetlemek
  • Atıkları azaltma, yeniden kullanma ve geri dönüştürme yaklaşımını tüm süreçlerine entegre etmek
  • Şirket araçları alımında / kiralamasında elektrik araçlara yönelmek ve araç planlamasında Kurumsal Karbon ayak izi azaltım sürecini önceliklendirmek. 
  • Mevcut ve işe yeni başlayan tüm personelimize enerji yönetim sistemleri ile ilgili düzenli eğitim vermeyi
  • İş sürekliliği kapasitemizi, ISO 22301 uluslararası standardına uygun olarak sürekli iyileştirmeyi, 
  • İş sürekliliğini sağlamak için İş Sürekliliği Yönetim Sistemi’ni (ISYS) geliştirmeyi, gerekli operasyonel süreçleri tasarlamayı ve güncel tutmayı,
  • Bir olayda veya önemli bir iş kesintisinde önceden belirlenmiş kabul edilebilir seviyelerdeki faaliyetlerin sürekliliğini sağlamayı,
  • Kriz ve acil durum yönetimi faaliyetlerini merkezi olarak koordine etmeyi
  • İş sürekliliği planlarını düzenli eğitim, farkındalık çalışmaları ve test/tatbikatlar ile iyileştirmeyi

Taahhüt Ederiz.

Genel Müdür

Bilgi Güvenliği Politikası

1. AMAÇ 

Bu politika, yasal mevzuat ve sözleşmeyle belirlenmiş yükümlülükler, kurumsal strateji ile uyumun sağlanması, hedeflerimiz doğrultusunda kurduğumuz bilgi güvenliği yönetim sistemine olan desteğimizi ve bağlılığımızı Enda Enerji Holding A.Ş. Yönetim Kurulu olarak beyan etmek, tüm çalışanlara ve ilgili taraflara ( ortakları, alt yüklenicileri ve ilgili üçüncü taraflar (müşteri, tedarikçi vb.) arasında kararlaştırılan sözleşme hükümlerine uyulmasını bildirmek amacıyla oluşturulmuştur. 

2. KAPSAM 

Elektrik enerjisi üretim, alım, satım ve dağıtım işlemleri ve bu işlemlere ilişkin elektrik üretimi, finans ve muhasebe, insan kaynakları, satınalma ve bilgi işlem gibi faaliyetlerin bilgi güvenliğinin sağlanması kapsam olarak belirlenmiştir. 

3. SORUMLULUK 

Bilgi güvenliği sisteminin yönetiminden Bilgi Güvenliği Yönetim Takımı sorumludur. 

Yönetim Kurulu, Bilgi Güvenliği Yönetim Takımının desteklenmesi ve denetlenmesinden sorumludur. 

Kişisel veri sorumlusu ve kişisel veri işleyen personel, kişisel veri işleyen tüm kuruluşlar, bilgi güvenliği politikalarının geliştirilmesi ve sürdürülmesi sırasında, yürürlükte olan kişisel veri koruma mevzuatını ve/veya düzenlemelerini takip etmekden sorumludur. 

4. POLİTİKA 

4.1.  Bilgi Güvenliği Hedefimiz
Bilgi varlıklarının gizlilik, bütünlük ve erişebilirliğini etkileyecek risklerin önlenmesi ve yönetimi için gerekli kontrol ve uygulamaları belirleyen sistemin ISO 27001 ve ISO 27701 standardına ve 6698 KVKK ‘na uygun kurulması, denetimi ve iyileştirilmesi sağlanır.

4.2.  Yönetim Desteği ve Kaynaklar
Bilgi güvenliği yönetim sisteminin kurulması ve sürdürülmesi için her türlü destek ve kaynak sağlanır. Yönetim Kurulu, denetleme ve strateji konusunda görevini yerine getirir. 

4.3.  Uygulanabilirlik
Planlamalarda ve alınan kararlarda uygulanabilirlik yönü göz önünde bulundurulur. Kurumsal iş süreçlerine uyuma ve sürdürülebilirliğe dikkat edilir.

4.4.  Personel
Bilgi güvenliğinin sagˆlanması ve sistemin sürdürülebilirligği çalışanların katkı ve desteği ile mümkündür. Bu amaçla tüm çalışanlarımız bilgi güvenliği tehditleri hakkında bilgilendirilir ve gerekli farkındalık eğitimleri verilir. Tüm çalışanlar belirlenen kurallara uymalıdır.

4.5.  Yasal Mevzuat
Yasal mevzuat, bilgi güvenliği konusunda yükümlülükler getirmektedir. Uyum sağlanması için gerekli takip ve düzenlemeler yapılacaktır.

4.6.  Sözleşmeler
Müşterilerimizin bilgi güvenliği beklentileri yerine getirilir. Bilgilerinin gizliliği sağlanır. Tedarikçilerimizin bilgi güvenliği kurallarımıza uymaları beklenir. 6698 KVKK gereği tüm sözleşmelerde Kişisel veri güvenliği ve gizlilik koşullarını sağlaması beklenir.

4.7.  Kişisel Veriler
Kişisel verilerin korunması bizim için etik değerler açısından önemli bir konudur. ISO 27701 Standardı ve Kişisel verilerin korunması kanunu ve yönetmelikleri, kurul kararlarına uyum sağlanır.

4.8.  Riskler
Bilgi varlıklarının gizlilik, bütünlük ve erişebilirliğini tehdit eden riskler düzenli olarak analiz edilerek düzeltici faaliyetler gerçekles¸tirilir.

4.9.  İş Sürekliliği
İş süreçlerimizin yürütülmesini sağlayan bilgi işleme olanaklarının kesintisizliği ve yedekli olarak sürdürülebilirliği bizim için çok önemlidir. Bu amaçla gerekli yatırımlar için kaynak sağlanır.

4.10.  Kontrol ve Denetleme
Bilgi güvenliği politikalarına ve kurallarına uyulması, Yönetim Kurulu tarafından düzenli olarak kontrol edilir ve değerlendirilir.

4.11.  Bilgilerin Sahipliği
Yaratılan, güncellenen ve kullanılan bilgi varlıklarının mülkiyeti şirketimize aittir.
Bu varlıklara erişen herkes bunun bilincini taşımalıdır.

4.12.  Kural Dışılıklar ve Uygunsuzluklar
Bilgi kaynaklarını kullanarak şirket ve etik kurallarına veya yasalara aykırı faaliyetlerde bulunmak kabul edilemez.
Bu ve benzeri faaliyetler ve teşebbüsler disiplin suçu olarak ele alınır ve gerekli disiplin ve yasal süreçler uygulanır.

Genel Müdür

 

KVKK Politikası

1.   AMAÇ

6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVK Kanunu”) 07.04.2016 tarihli Resmî Gazetede yayımlanarak yürürlüğe girmesi ile birlikte bireylerin kişisel verilerinin bütüncül bir düzenleme içerisinde korunması yasal düzenleme altına alınmıştır. Bu kapsamda, Kişisel Verileri Koruması ve İşlenmesi Politikası (“Politika”), Enda Enerji Holding A.Ş. (“Şirket/Şirketimiz)’in KVK Kanunu ve ilgili mevzuat tarafından ortaya konulan kuralları somut olarak nasıl uygulayacaklarına ilişkin yol gösterici bir nitelik taşımaktadır. Şirketimiz bu doğrultuda kendi bünyesinde Politika’ya uyum için gerekli düzenlemeleri yaparak ve periyodik olarak Politika’ya uyum konusunda iç denetim mekanizmalarını işleterek Politika’ya uygunluğun devamlılığını sağlayacaktır.

2.   KAPSAM 

İşbu (“Politika“); Şirket olarak,  madde 1.3.’de tanımlanan Çalışanların, Eski Çalışanların, Çalışan Adaylarının, Stajyerlerin, Topluluk Çalışanlarının, Çalışan Yakınlarının, Şirket Hissedarlarının/Ortaklarının, Şirket Yetkililerinin, Ürün veya Hizmet Alan Kişilerin (Müşterilerin), Potansiyel Ürün veya Hizmet Alıcılarının, Ziyaretçilerin, , Tedarikçi Yetkililerinin, Tedarikçi Çalışanlarının, otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlediğimiz tüm kişisel verilere ilişkindir.

3.   TANIMLAR

KVK Kanunu ve ikincil düzenlemelerde yer alan tanımlar ayrıca bu kısımda belirtilmemekte olup, bu Politika içerisinde ayrıca tanımlanmadığı sürece düzenlemelerde yer aldığı şekilde kullanılmaktadır. 

Çalışan: Şirketimizle imzaladığı iş sözleşmesi ile işçi işveren ilişkisi bulunan gerçek kişiler.

Topluluk Çalışanı: Şirketimiz tarafından yürütülen veri kayıt sistemi, insan kaynakları, denetim, bilgi teknolojileri güvenliği ve altyapısının sağlanması, hukuki uyum vb. faaliyetler çerçevesinde kişisel verileri işlenen Topluluk Şirketleri çalışanları.

Çalışan Adayı: Şirketimize ve/veya Topluluk Şirketlerine herhangi bir yolla iş başvurusunda bulunmuş ya da özgeçmiş ve ilgili bilgilerini Şirketimizin incelemesine açmış olan gerçek kişiler.

Stajyer: Şirketimiz ve/veya Topluluk Şirketlerinde deneyim kazanmak, yapılan işleri öğrenmek, mesleki bilgilerini geliştirmek için çalışan kişiler.

Eski Çalışan: Şirketimiz ve/veya Topluluk Şirketleri ile arasındaki iş sözleşmesi herhangi bir nedenle sona ermiş gerçek kişiler.

Topluluk Şirketleri: Şirketin doğrudan, dolaylı grup şirketleri ve bağlı ortaklıkları.

Şirket Hissedarı/Ortağı: Şirketin ve Topluluk Şirketlerinin hissedarı/ortağı gerçek kişileri.

Şirket Yetkilileri: Şirketimiz ve/veya Topluluk Şirketlerinin yönetim kurulu üyesi ve diğer yetkili gerçek kişiler.

Tedarikçi Çalışanı: Şirketimizin ve/veya Topluluk Şirketlerinin ticari faaliyetlerini yürütürken Şirketimizin emir ve talimatlarına uygun olarak sözleşme temelli veya herhangi bir sözleşmesel ilişkisi bulunmadan Şirketimize hizmet sunan tedarikçilerin, iş ortaklarının, üçüncü kişilerin çalışanları.

Tedarikçi yetkilisi: Şirketimizle ve/veya Topluluk Şirketlerimizle ticari faaliyet yürüten iş ortağı, tedarikçi vb üçüncü kişi yönetim kurulu üyesi, genel müdür vb diğer yetkili gerçek kişiler.

Ürün veya Hizmet Alan Kişi (Müşteri): Şirketimiz ve/veya Topluluk Şirketleri ile herhangi bir sözleşmesel ilişkisi olup olmadığına bakılmaksızın Şirketimiz iş birimlerinin yürüttüğü operasyonlar kapsamında Topluluk Şirketleri’nin iş ilişkileri üzerinden kişisel verileri elde edilen gerçek kişiler.

Potansiyel Ürün veya Hizmet Alıcısı: Şirketimiz ve/veya Topluluk Şirketlerimizin ürün ve hizmetlerinin tanıtım ve pazarlamasının yapıldığı kişiler,

Ziyaretçi: Şirketimizin ve/veya Topluluk Şirketlerinin sahip olduğu fiziksel yerleşkelere çeşitli amaçlarla girmiş olan veya internet sitelerimizi ziyaret eden gerçek kişiler.

 

4.   UYGULAMA

4.1.  KİŞİSEL VERİLERİN İŞLENMESİNE İLİŞKİN UYGULANACAK İLKELER

Şirketimiz tarafından KVK Kanun’u ve diğer ikincil düzenlemelere uyum sağlanması ve uyumun sürdürülmesi için aşağıda sıralanan temel ilkeler benimsenmelidir:

4.1.1.   Hukuka ve Dürüstlük Kuralına Uygun İşleme: Şirketimiz; Türkiye Cumhuriyeti Anayasası başta olmak üzere kişisel verilerin korunması mevzuatına uygun olarak, kişisel veri işleme faaliyetlerini hukuka ve dürüstlük kurallarına uygun biçimde yürütmektedir. 

4.1.2.   Kişisel Verilerin Doğru ve Gerektiğinde Güncel Olmasını Sağlama: Şirketimiz; ilgili kişilerin temel haklarını ve kendi meşru menfaatlerini dikkate alarak işlediği kişisel verilerin doğru ve güncel olmasını sağlamaktadır. Bu doğrultuda gerekli tedbirleri almaktadır. 

4.1.3.   Belirli, Açık ve Meşru Amaçlarla İşleme: Şirketimiz, meşru ve hukuka uygun olan kişisel veri işleme amacını açık ve kesin olarak belirlemektedir. Şirketimiz, kişisel verileri yürütmekte olduğu ticari faaliyet ile bağlantılı ve bunlar için gerekli olan kadar işlemektedir. 

4.1.4.   İşlendikleri Amaçla Bağlantılı, Sınırlı ve Ölçülü Olma: Şirketimiz, kişisel verileri belirlenen amaçların gerçekleştirilebilmesine elverişli bir biçimde işlemekte ve amacın gerçekleştirilmesiyle ilgili olmayan veya ihtiyaç duyulmayan kişisel verilerin işlenmesinden kaçınmaktadır. 

4.1.5.   İlgili Mevzuatta Öngörülen veya İşlendikleri Amaç için Gerekli Olan Süre Kadar Muhafaza Etme: Şirketimiz, kişisel verileri ancak ilgili mevzuatta belirtildiği veya işlendikleri amaç için gerekli olan süre kadar muhafaza etmektedir. Bu kapsamda, Şirketimiz öncelikle ilgili mevzuatta kişisel verilerin saklanması için bir süre öngörülüp öngörülmediğini tespit etmekte, bir süre belirlenmişse bu süreye uygun davranmakta, bir süre belirlenmemişse kişisel verileri işlendikleri amaç için gerekli olan süre kadar saklamaktadır. Sürenin bitimi veya işlenmesini gerektiren sebeplerin ortadan kalkması halinde kişisel veriler Şirketimiz tarafından silinmekte, yok edilmekte veya anonim hale getirilmektedir.

 

4.2.  KİŞİSEL VERİLERİN İŞLENME ŞARTLARI

Şirketimiz tarafından kişisel veriler, ilgili kişinin açık rıza vermesi halleri saklı kalmak kaydıyla, KVK Kanunu’nun 5. maddesinde belirtilen şartlardan bir veya bir kaçına uygun olarak işlenmektedir. İşlenen verilerin özel nitelikli kişisel veri olması halinde, işbu Politika’nın 4.3 başlığı (“Özel Nitelikli Kişisel Verilerin İşlenmesi ve Aktarılması”) içerisinde yer alan şartlar uygulanacaktır.

4.2.1.   İlgili Kişinin Açık Rızasının Bulunması: İlgili kişinin açık rızası belirli bir konuya ilişkin, bilgilendirilmeye dayalı olarak ve özgür iradeyle açıklanmalıdır. Aşağıda yer alan kişisel veri işleme şartlarının varlığı durumunda  ilgili kişinin açık rızasına gerek kalmaksızın kişisel veriler işlenebilecektir. 

4.2.2.   Kanunlarda Açıkça Öngörülmesi: İlgili kişinin, kanunlarda kişisel verilerinin işlenmesine ilişkin açıkça bir hüküm olması halinde bu veri işleme şartının varlığından söz edilebilecektir. 

4.2.3.   Fiili İmkansızlık Sebebiyle İlgilinin Açık Rızasının Alınamaması: Fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda olan veya rızasına geçerlilik tanınamayacak olan kişinin kendisinin ya da başka bir kişinin hayatı veya beden bütünlüğünü korumak için kişisel verisinin işlenmesinin zorunlu olması halinde ilgili kişinin kişisel verileri işlenebilecektir. 

4.2.4.   Sözleşmenin Kurulması veya İfasıyla Doğrudan İlgi Olması: İlgili kişinin taraf olduğu bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, kişisel verilerin işlenmesinin gerekli olması halinde işbu şart yerine getirilmiş sayılabilecektir.  

4.2.5.   Şirketin Hukuki Yükümlülüğünü Yerine Getirmesi: Şirketimizin hukuki yükümlülüklerini yerine getirmesi için işlemenin zorunlu olması halinde ilgili kişinin kişisel verileri işlenebilecektir. 

4.2.6.   İlgili Kişinin Kişisel Verisini Alenileştirmesi: İlgili kişinin, kişisel verisini alenileştirmiş olması halinde ilgili kişisel veriler alenileştirme amacıyla sınırlı olarak işlenebilecektir. 

4.2.7.   Bir Hakkın Tesisi veya Korunması için Veri İşlemenin Zorunlu Olması: Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması halinde ilgili kişinin kişisel verileri işlenebilecektir. 

4.2.8.   Şirketimizin Meşru Menfaati için Veri İşlemenin Zorunlu Olması: İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla Şirketimizin meşru menfaatleri için veri işlemesinin zorunlu olması halinde ilgili kişinin kişisel verileri işlenebilecektir.

 

4.3.  KİŞİSEL VERİLERİN AKTARILMASI

Şirketimiz meşru ve hukuka uygun olan kişisel veri işleme amaçları doğrultusunda işbu Politika kapsamında yer verilen gerekli güvenlik önlemlerini alarak ve gizlilik koşullarını oluşturarak, ilgili kişinin kişisel verilerini ve özel nitelikli kişisel verilerini yurtiçinde;  

4.3.1.   Enerji Piyasası Düzenleme Kurumu başta olmak üzere kanunen yetkili kurum ve kuruluşlara; İlgili kamu kurum ve kuruluşlarının hukuki yetkisi dahilinde talep ettiği amaçla sınırlı olarak, 

4.3.2.   Topluluk Şirketleri ; ile Topluluk Şirketleri’nin katılımını gerektiren Şirket faaliyetlerinin topluluk ilke ve stratejilerine uygun olarak temin etmekle sınırlı olarak,

4.3.3.   Şirket Hissedarlarına/Ortaklarına; ilgili mevzuat hükümlerine göre Şirketimizin ticari faaliyetlerinin yerine getirilebilmesi ve denetim amaçlarıyla sınırlı olarak, 

4.3.4.   Tedarikçilere; Şirketimizin tedarikçiden temin ettiği ve ticari faaliyetlerini yerine getirmek için gerekli hizmetlerin Şirketimize sunulmasını sağlamak amacıyla sınırlı olarak,

4.3.5.   Kanunen yetkili özel hukuk kişilerine; başta ödemeler dahilinde Türkiye Bankalar Birliği bünyesindeki bankalar ile Şirket ve Topluluk Şirketleri bağımsız denetçileri olmak üzere ilgili özel kurum ve kuruluşların yürütmekte olduğu faaliyetler kapsamında giren konular ile ilgili sınırlı olarak ve çalışanlarımıza sağlanan yan hak ve menfaatlerin sağlanması amacıyla,

aktarmaktadır. 

 

4.4.  ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENMESİ VE AKTARILMASI

Özel nitelikli kişisel veriler Şirketimiz tarafından, işbu Politika’da belirtilen ilkelere uygun olarak ve Kişisel Verileri Koruma Kurul (“Kurul”)’un belirleyeceği yöntemler de dahil olmak üzere gerekli her türlü idari ve teknik tedbirler alınarak ve aşağıdaki şartların varlığı halinde işlenmekte ve aktarılmaktadır: 

4.4.1.   Sağlık ve cinsel hayat dışındaki özel nitelikli kişisel veriler, kanunlarda açıkça öngörülmesi diğer bir ifade ile ilgili faaliyetin tabi olduğu kanunda kişisel verilerin işlenmesine ilişkin açıkça bir hüküm olması halinde ilgili kişinin açık rızası aranmaksızın işlenebilecektir. Aksi durumda söz konusu özel nitelikli kişisel verilerin işlenebilmesi için ilgili kişinin açık rızası alınacaktır. 

4.4.2.   Sağlık ve cinsel hayata ilişkin özel nitelikli kişisel veriler, kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından açık rıza aranmaksızın işlenebilecektir. Aksi durumda söz konusu özel nitelikli kişisel verilerin işlenebilmesi için ilgili kişinin açık rızası alınacaktır.

 

4.5.  ŞİRKETİMİZ TARAFINDAN İŞLENEN KİŞİSEL VERİLERİN KATEGORİZASYONU VE İŞLENME AMAÇLARI 

Şirketimiz, KVK Kanunu’nun 10. maddesine uygun olarak, kişisel verilerin elde edilmesi sırasında ilgili kişileri aydınlatmaktadır. Bu kapsamda Şirketimiz, varsa temsilcisinin kimliği, kişisel verilerin hangi amaçla işleneceği, işlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, kişisel veri toplamanın yöntemi ve hukuki sebebi ile ilgili kişinin sahip olduğu hakları konusunda aydınlatma yapmaktadır. 

İşbu Politika ’da belirtilen amaçlar ve şartlar çerçevesinde, işlenen kişisel veri kategorilerine ve kategoriler hakkında detaylı bilgilere Politika’nın EK -1 (“Kişisel Veri Kategorileri”) dokümanından ulaşılabilecektir. Söz konusu kişisel verilerin işleme amaçlarına ilişkin detaylı bilgiler Politika’nın EK- 2’sinde (“Kişisel Veri İşleme Amaçları”) yer almaktadır.

Genel Müdür

Sürdürülebilir Çevre Politikası

ENDA Enerji, Türkiye enerji sektörünün şirketlerinden biri olarak, ulusal çevre mevzuatı, ilgili çevre standartları ve bu alandaki en iyi teknolojileri temel alan sürdürülebilir bir çevre yönetimi politikası izlemektedir. 

Bu politikanın temel yapı taşlarını aşağıdaki ilkeler oluşturmaktadır. 

  • Sürdürülebilir bir dünya için, doğal kaynakları en verimli şekilde kullanmayı da kendisine ilke edinen ENDA ENERJİ Holding A.Ş. gerek çalışma prensipleri gerek sosyal sorumluluk, toplumsal ve çevresel bilinç ve gerekse insan haklarına verdiği önemle aşağıdaki ilkeleri Entegre Yönetim Sistem Politikasının yapı taşları olarak kabul etmektedir,
  • Tüm çalışanlarımıza verilen eğitimler ile sürdürülebilir çevre bilincini oluşturmak ve geliştirmek, aynı şekilde alt yüklenicilerimizde ve tedarikçilerimizde de çevresel ve sosyal sorumluluk olgusunu yaygınlaştırmak,
  • Sürdürülebilirlik yaklaşımı ile doğal kaynakların ve ekolojik türlerin korunması yönünde çalışmalar yapmak, bütçelenen plan dahilinde yıllık ağaçlandırma planları yapmak ve gerekli aksiyonları yapmak,
  • Sürdürülebilir atık yönetimi ile kirliliği kaynakta azaltarak atık oluşumunun en aza indirilmesini, tekrar kullanımını, geri dönüşümünü, geri kazanımını ve bertarafını sağlamak,
  • ISO 14064-1 Standardı kapsamında, İklim değişikliği etkilerini azaltmaya yönelik enerji verimliliği projelerinin geliştirilmesi ve sistemlerin iyileştirilmesi
  • Kurumsal sürdürülebilirlik politikaları geliştirmek ve sürdürülebilirlik performansını sürekli ölçerek raporlar yayınlamak
  • Etkin bir atık ve enerji yönetim sistemi kurmak
  • CO2 emisyonları ile  ilgili risk ve fırsatlarımızı ISO 14001 kapsamında ve kurumsal risk yönetimi süreçlerimiz ile entegre şekilde tanımlar, gözden geçirir ve raporlarız.
  • Tüm Çalışanlara karbon ayak izi azaltımı konusunda eğitimler vermek, onların sürdürülebilirlik farkındalığını artırmak
  • Tedarikçilerinin çevresel performanslarını ve Enerji ihtiyaçlarını yenilenebilir enerji kaynaklarından sağlama performanslarını  denetlemek
  • Atıkları azaltma, yeniden kullanma ve geri dönüştürme yaklaşımını tüm süreçlerine entegre etmek
  • Şirket araçları alımında / kiralamasında elektrik araçlara yönelmek ve araç planlamasında Kurumsal Karbon ayak izi azaltım sürecini önceliklendirmek. 
  • İşletmelerimize yönelik Kurumsal Karbon ayak izi  Envanterlerinin oluşturulması ve Üretim ve hizmetlerden kaynaklanan Karbon  salınım sürecinin azaltılması çalışmalarının Sürdürebilirlik sürecine entegre edilmesi,
  • Kurumsal karbon ayak izinin raporlanması ve Kurumsal karbon ayak izi raporunun bağımsız kuruluşlarca doğrulatılması
  • Karbon ayak izi raporlarının yorumlanması ve Karbon Ayak izi  Emisyonlarının azaltılması için planların oluşturulması
  • Doğrudan ve dolaylı Karbon Ayak izi oluşturma  kaynaklarının belirlenmesi ve iyileştirme çalışmaları 
  • İşletme üretimi sırasında ve sonrasında bozulan arazinin doğaya yeniden kazandırılmasını sağlamak, 
  • Yönetim Sistemlerini etkin bir şekilde uygulamak ve bu kapsamda çevresel analizleri sistematik olarak yapmak,
  • Gerçekleştirdiğimiz faaliyetlerin tüm aşamalarını gözden geçirerek sürdürülebilirlik uygulamalarını sürekli olarak geliştirmek ve iyileştirmek.
  • Sürdürülebilir çevresel politikası uygulamalarını şeffaf bir şekilde paydaşlarla paylaşmak.

Genel Müdür

İsg Politikası

“Yasal Mevzuat ve Şartlara Uyarak, Ekip Ruhu İçerisinde İnsan Sağlının Korunması, kapsamımızda belirtilen Üretim ve hizmetler Konusunda Riskleri Belirlenip Kontrol Altına Alınması, Alınacak Eğitimler İle İSG Şartlarında Sürekli İyileştirmeler Yapılarak Minimum Risklerle Çalışılmasıdır.”

İSG Politikamız aşağıdaki metodoloji ile belirlenmiş, gözden geçirilmekte ve gerektiğinde güncellenmektedir.

  • İşyeri ve eklentilerinde; çalışanların, alt yüklenicilerin, ziyaretçilerin ve işyeri dışında çalışan şirket personelimizin sağlık ve güvenliklerini temin etmek için, yürürlükte bulunan İSG mevzuatlarına ve İSG ile ilgili diğer gerekliliklere uygun olarak her türlü tedbiri almayı, araç gereç ve Kişisel Koruyucu Ekipmanları bulundurmayı, gereğinde kullanılmasını sağlamayı,
  • İşyerinde iş kazası ve meslek hastalığına sebep olabilecek riskleri tespit edip, her seviyedeki çalışanların, ziyaretçilerin, alt yüklenicilerin sağlık, güvenlik ve sosyal refahlarını temin etmeyi, kendilerine ve ailelerine ait ileride doğabilecek her türlü maddi ve manevi kayıpları azaltmayı
  • İşyeri ve eklentilerinde iş kazası ve meslek hastalığı doğurabilecek emniyetsiz durum ve hareketleri, olası kaza risklerini, etkin bir risk değerlendirmesi yaparak önceden tespit etmeyi ve ortadan kaldırmayı,
  • Çalışanlarımızı iş sağlığı ve güvenliği alanında eğitmeyi ve iyi bir iş sağlığı ve güvenliği bilincine erişmelerini sağlamayı,
  • İşyerinde hizmet veren alt yüklenici ve ziyaretçilerin EYS Sisteminin ’nin koymuş olduğu iş sağlığı ve güvenliği ile ilgili kurallara uymalarını sağlamayı,
  • Endüstriyel dünyanın gelişimini göz önüne alarak, gelecekte karşılaşılabilecek olası durumları bugünden tahmin etmeyi, sürekli gelişmeyi ve durumumuzu gözden geçirmeyi,
  • İyileştirmeleri sürekli kılmayı 
  • Hedefler belirlemek ve bu hedefleri denetlemek için bir sistem oluşturmayı 
  • Çalışanların İSG konusunda bilgi alabilecekleri bir iletişim kanalı oluşturmayı,
  • Periyodik aralıklarla süreçleri kontrol etmeyi ve İSG performansını sürekli geliştirmeyi 
  • İş sürekliliğini sağlamak için İş Sürekliliği Yönetim Sistemi’ni (ISYS) geliştirmeyi, gerekli operasyonel süreçleri tasarlamayı ve güncel tutmayı,
  • Bir olayda veya önemli bir iş kesintisinde önceden belirlenmiş kabul edilebilir seviyelerdeki faaliyetlerin sürekliliğini sağlamayı,
  • Kriz ve acil durum yönetimi faaliyetlerini merkezi olarak koordine etmeyi
  • İş sürekliliği planlarını düzenli eğitim, farkındalık çalışmaları ve test/tatbikatlar ile iyileştirmeyi

Bu doğrultuda kurulmuş ve yürütülmekte olan İSG Yönetim Sistemimizin sürekliliğini sağlamayı İSG politikamız olarak taahhüt ederiz.

Genel Müdür

Veri Saklama ve İmha Politikası

1.     AMAÇ

Bu doküman, 7 Nisan 2016 tarihinde 29677 sayılı Resmî Gazete’de yayımlanarak yürürlüğe giren 6698 sayılı Kişisel Verilerin Korunması Kanunu’nda yer alan (bundan böyle “KVKK” ve/veya “Kanun” olarak anılacaktır.) Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hâle Getirilmesi kenar başlıklı 7. maddesi ve Suçlar kenar başlıklı 17. maddesi ile Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik Hükümlerine göre; mevcut durumunu tespit ederek bu tespitler çerçevesinde hukuken yapılması gerekenleri (bundan böyle “Saklama ve İmha Süreçleri” olarak anılacaktır.) belirlemek amacıyla hazırlanmıştır.

2.     KAPSAM 

İşbu (“Politika“); Şirket olarak,  madde 1.3.’de tanımlanan Çalışanların, Eski Çalışanların, Çalışan Adaylarının, Stajyerlerin, Topluluk Çalışanlarının, Çalışan Yakınlarının, Şirket Hissedarlarının/Ortaklarının, Şirket Yetkililerinin, Ürün veya Hizmet Alan Kişilerin (Müşterilerin), Potansiyel Ürün veya Hizmet Alıcılarının, Ziyaretçilerin, , Tedarikçi Yetkililerinin, Tedarikçi Çalışanlarının, otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlediğimiz tüm kişisel verilere ilişkindir.

3.     SORUMLULUK

Tüm Şirket çalışanları ve çalışanların bağlı bulundukları departmanlar, kişisel verileri işleme faaliyetlerine ilişkin olarak işbu Politika kapsamında olup Politika doğrultusunda alınması öngörülen teknik, hukuki ve idari tedbirlerin gereği gibi uygulanması, veri koruma süreçlerine ilişkin eğitim ve farkındalık düzeylerinin arttırılması,  periyodik olarak veya rastgele şekilde denetlenmesi ile kişisel verilerin hukuka aykırı işlenmesinin ve kişisel verilere hukuka aykırı erişilmesinin önlenmesinden ve kişisel verilerin hukuka uygun saklanmasının sağlanmasından sorumludur. 

4.     TANIMLAR

END.İK.POL.008 Kişisel Verilerin İşlenmesi ve Korunması Politikası’nda yer alan tanımlar aynen burada da geçerli olacaktır, bu dokümanda ayrıca belirtilmeyen tanımlar olması halinde Kişisel Verilerin İşlenmesi ve Korunması Politikasında yer aldığı şekilde anlam ifade edecektir.  

Alıcı Grubu

:

Veri sorumlusu tarafından kişisel verilerin aktarıldığı gerçek veya tüzel kişi kategorisini ifade eder.

Açık Rıza

:

Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza anlamına gelir.

Anonim Hale Getirme

:

Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir.

Çalışan

:

Şirket çalışanlarıdır. (Kişisel Verilerin İşlenmesi ve Korunması Politikası’nda yer alan “Topluluk Çalışanları” da bu tanım kapsamında yer alacaktır)

Elektronik Ortam

:

Kişisel verilerin elektronik aygıtlar ile oluşturulabildiği, okunabildiği, değiştirilebildiği ve yazılabildiği ortamlardır.

Elektronik Olmayan 

Ortam

:

Elektronik ortamların dışında kalan tüm yazılı, basılı, görsel ve benzeri ortamlardır.

Hizmet Sağlayıcı

:

Şirket ile belirli bir sözleşme ilişkisi çerçevesinde bulunarak Şirkete hizmet sağlayan gerçek veya tüzel kişiyi ifade eder.

İlgili Kişi / Kişisel Veri Sahibi

:

Kişisel verisi işlenen gerçek kişilerdir. 

 

Kişisel veri tanımından anlaşılabileceği üzere Kanun’un koruması ancak gerçek kişiye ilişkindir ve bu kişi “ilgili kişi” olarak tanımlanmaktadır.

İlgili Kullanıcı

:

Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri Şirket adına işleyen kişileri ifade eder.

İmha

:

Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesini ifade eder.

Kanun

:

6698 sayılı Kişisel Verilerin Korunması Kanunu

Kayıt Ortamı

:

Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortam anlamına gelir.

Kişisel Veri

:

Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgidir. Kişisel veri, bireyin şahsi, mesleki ve ailevi özelliklerini gösteren, o bireyi diğer bireylerden ayırmaya ve niteliklerini ortaya koymaya elverişli her türlü bilgidir. Bu bilgiler, belli bir kimsenin kimliği, etnik kökeni, fiziksel özellikleri, sağlık, eğitim, istihdam durumu, cinsel yaşamı, aile hayatı, başkaları ile yaptığı haberleşmeler, ikamet adresi, kredi kartı, kişisel düşünce ve inançları, dernek ve sendika üyelikleri, alışveriş alışkanlıkları gibi hususları da kapsamaktadır.

Kişisel Veri İşleme 

Envanteri

:

Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel verileri işleme faaliyetlerini; kişisel verileri işleme amaçlarını, veri işlemenin hukuki sebebini, veri kategorisini, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami süreyi, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanter anlamına gelir.

Kişisel Verilerin 

İşlenmesi

:

Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemdir.

Kişisel Verilerin Silinmesi

 

Kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemidir.

Kişisel Verilerin Yok Edilmesi

 

Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemidir.

Kurul

:

Kişisel Verileri Koruma Kurulu.

Kurum

:

Kişisel Verileri Koruma Kurumu.

Özel Nitelikli Kişisel 

Veri

:

Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri ifade eder.

Periyodik İmha

:

Kanunda yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda kişisel verileri saklama ve imha politikasında belirtilen ve tekrar eden aralıklarla re’sen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemidir.

Veri İşleyen

:

Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişilerdir.

Veri Kayıt Sistemi

:

Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemini ifade eder.

Veri Sorumlusu

:

Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişilerdir.

Veri Sorumluları Sicil

Bilgi Sistemi / VERBİS

:

Kişisel Verileri Koruma Kurumu Başkanlığı tarafından tutulan veri sorumluları sicilini ifade eder.

Yönetmelik

:

28.10.2017 tarihli Resmî Gazete’de yayımlanan Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmeliktir.

 

5.     UYGULAMA

Kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesiyle ilgili yapılan bütün işlemler kayıt altına alınır ve söz konusu kayıtlar, diğer hukuki yükümlülükler hariç olmak üzere en az 3 (üç) yıl süreyle saklanır. Bu kapsamda kişisel verilerin saklanması ve imha edilmesi süreçlerinde görev alanların unvanları, departmanları ve görev tanımları aşağıdaki gibidir: 

 

Unvan

Departman

Görev Tanımı

İnsan Kaynakları Müdürüyle birlikte Kişisel Verilerin Korunması Komite Üyeleri (Merkez Ofis Yöneticileri)

Tüm Departmanlar

Politikanın yürütülmesi, ilgili ortamlarda yayınlanması, güncellenmesi, idari tedbirlerin sağlanması ve uygulanmasından sorumludur.

Bilgi işlem Yöneticisi

Bilgi işlem

Politikanın uygulanmasında ihtiyaç duyulan teknik çözümlerin ve tedbirlerin sağlanmasından ve uygulanmasından sorumludur.

İnsan Kaynakları Müdürü

İşletme müdürleri

Ayrıca diğer Kişisel Verilerin Korunması Komite Üyeleri (Merkez Ofis Yöneticileri)

Tüm Departmanlar

Çalışanların Politikaya uygun hareket etmesinden, denetiminden ve genel koordinasyonundan sorumludur.

 

5.1.  KAYIT ORTAMLARI

Şirketin tabi olduğu ticari ve hukuki düzenlemeler ve ikincil mevzuatı kapsamında gerçekleştirdiği faaliyetlerin yürütülmesi sırasında elde ettiği kişisel verileri aşağıda listelenen elektronik ve/veya elektronik olmayan ortamlarda tutmaktadır:  

5.2.  KİŞİSEL VERİLERİ SAKLAMA VE İMHAYA İLİŞKİN AÇIKLAMALAR 

Şirket tarafından çalışanları, topluluk çalışanları, çalışan adayları, stajyerleri, müşterileri, potansiyel müşteri, şirket yetkilileri, şirket hissedarı tedarikçileri, tedarikçi yetkilisi, çalışanları, ziyaretçileri ve diğer üçüncü kişilere ait kişisel veriler, Kanun ile Yönetmelik hükümlerine uygun olarak saklanmakta ve imha edilmektedir. Saklama ve imha süreçlerinin tamamında Şirket tarafından tabi olunan hukuki düzenlemeler, ikincil mevzuat ve Kurum’un bağlayıcı görüş ve bildirimleri dikkate alınır. 

Şirket, işlediği dönem için en güncel kişisel verileri mümkün olan en kısa süre için saklamayı, saklanan veriler bakımından olabildiğince minimalizasyonu amaçlamakta ise de veri sorumlusu olarak Şirket veri işleme amaçları ve hukuki sebepleri çerçevesinde yasal yükümlülüklerini de göz önünde bulundurarak işlemiş olduğu kişisel verileri belirli sürelerde saklar. 

Bu kapsamda saklama ve imhaya ilişkin detaylı açıklamalar aşağıda belirtilmiştir.

5.3.  Saklamayı Gerektiren Hukuki Sebepler ve İşleme Amaçları

5.3.1.    Saklamayı Gerektiren Hukuki Sebepler

Şirket faaliyetleri çerçevesinde işlenen kişisel veriler, ilgili mevzuatta öngörülen süre kadar muhafaza edilmektedir ve bu kapsamda kişisel veriler aşağıdaki hukuki sebeplere dayalı olarak saklanmaktadır: 

  • 6698 sayılı Kişisel Verilerin Korunması Kanunu,
  • 6098 sayılı Türk Borçlar Kanunu,
  • 6102 Sayılı Türk Ticaret Kanunu,
  • 6446 Sayılı Elektrik Piyasası Kanunu,
  • 5510 sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu,
  • 6331 sayılı İşçi Sağlığı ve İş Güvenliği Kanunu,
  • 4857 sayılı İş Kanunu,
  • İşyeri Bina ve Eklentilerinde Alınacak Sağlık ve Güvenlik Önlemlerine İlişkin Yönetmelik,
  • 5651 sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun, 
  • Yukarıda sayılı yasal düzenlemeler uyarınca yürürlükte olan diğer ikincil düzenlemeler ve bunlarla sınırlı olmamak üzere diğer mevzuat hükümlerinde açıkça öngörülmesi,
  • Şirketin taraf olduğu sözleşmelerin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, 
  • Şirket için hukuki yükümlülüğünü yerine getirebilmesi bakımından zorunlu olması,
  • İlgili kişinin kendisi tarafından alenileştirilmiş olması, 
  • Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,
  • İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, Şirket meşru menfaatleri için veri işlenmesinin zorunlu olması.

 

5.3.2.    Saklamayı Gerektiren İşleme Amaçları

Yukarıda detayı açıklanan Şirket faaliyetleri çerçevesinde işlenen kişisel veriler aşağıda belirtilen amaçlarla sınırlı olarak işlenmektedir: 

  • İnsan kaynakları süreçlerini yürütme,
  • Kurumsal iletişimi sağlama,
  • İşyeri güvenliğini sağlama,
  • İmzalanan sözleşmeler ve protokoller neticesinde iş ve işlemleri ifa edebilme,
  • Yasal düzenlemelerin gerektirdiği veya zorunlu kıldığı şekilde, hukuki yükümlülüklerin yerine getirilmesini sağlama,
  • Şirket ile iş ilişkisinde bulunan gerçek/tüzel kişilerle irtibat sağlama,
  • Kanunen yükümlü olduğu iş ve işlemleri/uygulamaları yapma,
  • Olası hukuki uyuşmazlıklar için ispat yükümlülüğünü yerine getirme

Amaçları ile kişisel veriler işlenmekte ve işleme sırasında Kanun ile ikincil mevzuatı dikkate alınmaktadır.

 

5.4.  İmhayı Gerektiren Sebepler

Kişisel veriler:

  • İşlenmesine esas teşkil eden ilgili mevzuat hükümlerinin değiştirilmesi veya ilgası,
  • İşlenmesini veya saklanmasını gerektiren amacın ortadan kalkması, 
  • İşlenen verinin güncelliğini kaybetmesi, doğruluğunu yitirmesi,
  • Kişisel verileri işlemenin sadece açık rıza şartına istinaden gerçekleştiği hallerde, ilgili kişinin açık rızasını geri alması,
  • Kanun’un 11.maddesi gereği, ilgili kişinin hakları çerçevesinde kişisel verilerinin silinmesi ve yok edilmesine ilişkin yaptığı başvurunun Şirket tarafından kabul edilmesi,
  • Şirket tarafından ilgili kişinin kişisel verilerinin silinmesi, yok edilmesi veya anonim hale getirilmesi talebi ile kendisine yapılan başvurunun reddedilmesi, ilgili kişinin verilen cevabı yetersiz bulması veya Kanun’da öngörülen süre içinde cevap verilmemesi hallerinde; Kurula şikâyette bulunması ve bu talebin Kurul tarafından uygun bulunması,
  • Kişisel verilerin saklanmasını gerektiren azami sürenin geçmiş olması ve kişisel verileri daha uzun süre saklamayı haklı kılacak herhangi bir şartın mevcut olmaması, durumlarında Şirket tarafından ilgili kişinin talebi üzerine ya da re’sen silinir, yok edilir veya anonim hale getirilir.

İlgili mevzuatta öngörülen süre ya da işlendikleri amaç için gerekli olan saklama süresinin sonunda kişisel veriler, Şirket tarafından resen ve/veya ilgili kişinin Şirket bünyesine yaptığı başvuru üzerine aşağıda belirtilen tekniklerle imha edilir.

5.5.       Kişisel Verilerin İmha Yöntemleri

5.5.1.    Kişisel Verilerin Silinmesi

Şirket tarafından işlenen kişisel veriler aşağıda belirtilen şekilde silinmektedir:

Veri Kayıt Ortamı

Açıklama

a.         Elektronik Kayıt Ortamları

 

-           Çevresel ve Yerel Sistemler

b.         Elektronik Olmayan Kayıt Ortamları

Fiziksel ortamda tutulan ve saklama süresi sona eren kişisel veriler çalışanlar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir. Ayrıca, kâğıt kırpma makinesi ile geri döndürülemeyecek şekilde yok edilir.

Şirket yukarıda belirtilen silme yöntemlerinden bir ya da birkaçını kullanabilir, farklı saklama ortamlarının kullanılması halinde, yeni silme yöntemleri geliştirebilir, var olan yöntemlere ek olarak veya bu yöntemler ile birlikte yeni geliştirdiği silme yöntemlerini kullanabilir.

 

5.5.2.    Kişisel Verilerin Yok Edilmesi 

Şirket tarafından işlenen kişisel veriler aşağıda belirtilen şekilde yok edilmektedir:

Veri Kayıt Ortamı

Açıklama

a.         Elektronik Kayıt Ortamları

-            Fiziksel Yok Etme Yöntemi

Kişisel veri barındıran optik ve manyetik medyanın eritilmesi, yakılması veya toz haline getirilmesi gibi fiziksel olarak yok edilmesi işlemidir. Optik veya manyetik medyayı eritmek, yakmak, toz haline getirmek ya da bir metal öğütücüden geçirmek gibi işlemlerle verilerin erişilmez kılınması sağlanır.

 

-            De – Manyetize Etme (Degauss)

Manyetik medyanın yüksek manyetik alana maruz bırakılması ile üzerindeki verilerin okunamaz ve yeniden okunabilir hale gelmesi engellenecek biçimde bozulması sağlanır.  

 

-            Üzerine Yazma

Manyetik medya ve yeniden yazılabilir optik medya üzerine en az yedi kez 0 ve 1’lerden oluşan rastgele veriler yazılarak eski verinin okunmasının ve kurtarılmasının önüne geçilir.

-           Çevresel ve Yerel Sistemler

 

b.         Elektronik Olmayan Kâğıt Ortamları

Kâğıt ortamında yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler, kâğıt kırpma makinesi ile geri döndürülemeyecek şekilde yok edilir.

 

Şirket yukarıda belirtilen imha yöntemlerinden bir ya da birkaçını kullanabilir, farklı saklama ortamlarının kullanılması halinde, yeni imha yöntemleri geliştirebilir, var olan yöntemlere ek olarak veya bu yöntemler ile birlikte yeni geliştirdiği imha yöntemlerini kullanabilir.

5.5.3.    Kişisel Verilerin Anonim Hale Getirilmesi

Kişisel verilerin anonim hale getirilmesi kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir. Kişisel verilerin anonim hale getirilmiş olması için; kişisel verilerin, veri sorumlusu veya üçüncü kişiler tarafından geri döndürülmesi ve/veya verilerin başka verilerle eşleştirilmesi gibi kâğıt ortamı ve ilgili faaliyet alanı açısından uygun tekniklerin kullanılması yoluyla dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemez hale getirilmesi gerekir. Şirket aşağıda belirtilen anonimleştirme yöntemlerinden bir ya da birkaçını kullanabilir.

Anonim Hale Getirme Örneklendirme- açıklamalar ile birlikte belirtilmeli

Alt ve Üst Sınır Kodlama/ Global Kodlama

Bölgesel Gizleme

Değişkenleri Çıkarma

Genelleştirme

Mikro Birleştirme

Veri Karma ve Bozma

5.6.  SAKLAMA ve İMHA SÜRELERİ ve YÖNTEMİ

Kanun ve/veya ilgili mevzuat ile ikincil düzenlemelerinde daha uzun bir süre düzenlenmiş olması ya da Saklamayı Gerektiren Hukuki Sebepler uyarınca zamanaşımı, hak düşürücü süre, saklama süreleri ve benzeri için daha uzun bir süre öngörülmüş olması hali saklı kalmak kaydıyla Şirket tarafından işlenen kişisel veriler bu Politikanın ekinde yer alan Saklama ve İmha Tablosunda belirtilen yöntemlerle ve sürelerle saklanmakta ve saklama sürelerinin sonunda belirtilen yöntemlerle (Sayılan imha yöntemleri ile sınırlı kalmamak kaydıyla Şirket farklı imha yöntemleri kullanma hakkı saklıdır.) imha edilmektedir. (Bkz. EK- Saklama ve İmha Tablosu ( Veri Envanter Tablosu)) 

5.7.  PERİYODİK İMHA SÜRESİ 

Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik hükümleri kapsamında Şirket, Kanun’da yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda işleme şartları ortadan kalkmış olan kişisel verileri işbu Kişisel Veri Saklama ve İmha Politikasında belirtilen ve tekrar eden aralıklarla re’sen gerçekleştirilecek bir işlemle siler, yok eder veya anonim hale getirir. Periyodik imha süreçleri her 6 (altı) ayda 1 (bir) tekrar eder.

5.8.  TEKNİK ve İDARİ TEDBİRLER

Kanun uyarınca kişisel verilerin güvenli bir şekilde saklanması ile hukuka aykırı işlenmesinin ve/veya bu kişisel verilere hukuka aykırı erişilmesinin önlenmesi ayrıca Saklama ve İmha Süreçlerinin gerekliliği ilan edilen teknik ve idari tedbirlerin yapılandırılmış, güncellenmiş, efektif ve hesap verebilir bir şekilde Şirket tarafından alınması esastır.

5.8.1.    Teknik Tedbirler

Şirket tarafından işlenen kişisel verilerle ilgili olarak alınan teknik tedbirler aşağıda sayılmıştır:

  • Şirket bilişim sistemleri teçhizatı, yazılım ve verilerin fiziksel güvenliği için gerekli önlemler alınmaktadır.
  • Kişisel verilerin hukuka aykırı işlenmesini önlemeye yönelik riskler belirlenmekte, bu risklere uygun teknik tedbirlerin alınması sağlanmakta ve alınan tedbirlere yönelik teknik kontroller yapılmaktadır.
  • Şirket içerisinde erişim prosedürleri oluşturularak kişisel verilere erişim ile ilgili raporlama ve analiz çalışmaları yapılmaktadır.
  • Ortak klasörde tutulan dokumanlar şifrelenerek sadece şirket çalışanı bilgisayarların erişimi sağlanmaktadır.
  • Şirket silinen kişisel verilerin ilgili kullanıcılar için erişilemez ve tekrar kullanılamaz olması için gerekli teknik tedbirleri almaktadır.
  • Kişisel verilerin hukuka aykırı olarak başkaları tarafından elde edilmesi halinde bu durumu ilgili kişiye ve Kurul’a bildirmek için Şirket tarafından buna uygun bir sistem ve altyapı oluşturulmuş, bu bildirimlere ilişkin Şirket bünyesindeki sorumlu kişiler belirlenmiştir.
  • Kişisel verilerin işlendiği elektronik ortamlarda güçlü parolalar kullanılmaktadır.
  • Elektronik olan veya olmayan ortamlarda saklanan kişisel verilere erişim, erişim prensiplerine göre sınırlandırılmaktadır.
  • Özel nitelikli kişisel verilerin güvenliğine yönelik Kurul kararına uygun olarak ayrı politika belirlenmiştir. 
  • Özel nitelikli kişisel veri işleme süreçlerinde yer alan çalışanlara yönelik özel nitelikli kişisel veri güvenliği konusunda eğitimler verilmiş, gizlilik sözleşmeleri yapılmış, verilere erişim yetkisine sahip kullanıcıların yetkileri tanımlanmıştır.
  • Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve / veya erişildiği fiziksel ortamların yeterli güvenlik önlemleri alınmakta, fiziksel güvenliği sağlanarak yetkisiz giriş çıkışlar engellenmektedir.
  • Özel nitelikli kişisel veriler e-posta yoluyla aktarılması gerekiyorsa şifreli olarak kurumsal e-posta adresiyle aktarılmaktadır. 
  • Farklı fiziksel ortamlardaki sunucular, bilgisayarlar ve ağlar arasında aktarma gerçekleştiriliyorsa, sunucular arasında VPN yöntemiyle veri aktarımı gerçekleştirilmektedir.
  • Kâğıt ortamı yoluyla aktarımı gerekiyorsa evrakın çalınması, kaybolması ya da yetkisiz kişiler tarafından görülmesi gibi risklere karşı gerekli önlemler alınmakta ve evrak “gizli” formatta gönderilmektedir.
  • Bilgi teknolojileri sistemleri tedarik, gelistirme ve bakımı kapsamındaki güvenlik önlemleri alınmaktadır.
  • Erişim, bilgi güvenliği, kullanım, saklama ve imha konularında kurumsal politikalar hazırlanmış ve uygulamaya başlanmıştır.
  • Ağ güvenliği ve uygulama güvenliği sağlanmaktadır.
  • Anahtar yönetimi uygulanmaktadır.
  • Çalışanlar için yetki matrisi oluşturulmuştur.
  • Erişim logları düzenli olarak tutulmaktadır.
  • Güncel anti-virüs sistemleri kullanılmaktadır.
  • Güvenlik duvarları kullanılmaktadır.
  • Kişisel veri güvenliği politika ve prosedürleri belirlenmiştir.
  • Kişisel veri güvenliği sorunları hızlı bir şekilde raporlanmaktadır.
  • Kişisel veri güvenliğinin takibi yapılmaktadır.
  • Kişisel veri içeren ortamların güvenliği sağlanmaktadır.
  • Kişisel veriler yedeklenmekte ve yedeklenen kişisel verilerin güvenliği de sağlanmaktadır.
  • Kullanıcı hesap yönetimi ve yetki kontrol sistemi uygulanmakta olup bunların takibi de yapılmaktadır.
  • Log kayıtları kullanıcı müdahalesi olmayacak şekilde tutulmaktadır.
  • Saldırı tespit ve önleme sistemleri kullanılmaktadır.
  • Siber güvenlik önlemleri alınmış olup uygulanması sürekli takip edilmektedir.
  • Bilgisayarlar şifrelenmektedir.
  • Ortak klasörde yer alan dosyalar şifrelenerek sadece şirket güvenlik sistemine üye olan bilgisayarların erişimi sağlanmaktadır
  • Yılda bir defa penetrasyon testi yapılmaktadır.
  • Internet güvenliği, güvenlik duvarı ve modülleri ile güvenli hale getirilmiştir.
  • Kişi bazında ortak klasör kullanıcı denetimi yapılmaktadır.
  • Bilgisayarlar merkezi domain yapısına dahil edilip güvenlik politikası uygulanmaktadır. 
  • Fiziksel çevre güvenliği kapsamında arşiv yapılanmasına gidilmiştir.
  • Merkez ile santraller arasında kurulan VPN bağlantısı port bazında ve IP bazında çalışmaktadır.
  • 5651 yasa gereği tüm loglar merkez sunucuda saklanmaktadır.
  • Bilgisayar  açılışı, web üzerinden e-mail kullanımı  şifre değişimi ( 90 GÜN ) , muhasebesel yazılımlara giriş şifre değişimi ( SAP 180 GÜN ) yapılmaktadır. Ve uzak VPN bağlantısı girişi şifre değişimi yoktur. 
  • Hassas veri tespiti yapan yazılımlar kullanılmakta ve raporlanmaktadır.
  • Farklı bir şehirde, merkezde? Felaket kurtarma yedeklemesi yapılmaktadır.
  • Bulutta depolama ya da veri paylaşımı kullanılmaz.

5.8.2.    İdari Tedbirler 

Şirket tarafında işlenen kişisel verilerle ilgili olarak alınan idari tedbirler aşağıda sayılmıştır:

  • Çalışanların konuya ilişkin farkındalığını artırmaya ve mesleki gelişimine katkıda bulunmaya, teknik bilgi becerilerini artırmaya yönelik, kişisel verilerin hukuka aykırı olarak işlenmenin önlenmesi, kişisel verilerin hukuka aykırı olarak erişilmesinin önlenmesi, kişisel verilerin hukuka uygun şekilde muhafazasının sağlanması hakkında eğitimler verilmektedir.
  • Şirket tarafından yürütülen faaliyetlere ilişkin çalışanlara, iş tanımı, tecrübesi, konuya ilişkin yetkinliği ve yönetim ve yönetişimdeki etkinliği dikkate alınarak hazırlanmış caydırıcı cezai yaptırımlar içeren gizlilik sözleşmeleri imzalatılmaktadır.  
  • Güvenlik politika ve prosedürlerine uymayan çalışanlara yönelik uygulanacak disiplin prosedürü hazırlanmıştır.
  • Kişisel veri işlemeye başlamadan önce Şirket tarafından, ilgili kişileri aydınlatma yükümlülüğü Kanun’un aradığı şartlara uygun şekilde yerine getirilmektedir. 
  • Kişisel veri işleme envanteri hazırlanmıştır.
  • Şirket içi periyodik ve rastgele denetimler yapılmaktadır. 
  • Çalışanlara yönelik bilgi güvenliği eğitimleri verilmektedir.
  • Anahtar yönetimi uygulanmaktadır.
  • Bilgi teknolojileri sistemleri tedarik, gelistirme ve bakımı kapsamındaki güvenlik önlemleri alınmaktadır.
  • Çalışanlar için veri güvenliği hükümleri içeren disiplin düzenlemeleri mevcuttur.
  • Çalışanlar için yetki matrisi oluşturulmuştur.
  • Erişim, bilgi güvenliği, kullanım, saklama ve imha konularında kurumsal politikalar hazırlanmış ve uygulamaya başlanmıştır.
  • Gizlilik taahhütnameleri yapılmaktadır.
  • Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkileri kaldırılmaktadır.
  • İmzalanan sözleşmeler veri güvenliği hükümleri içermektedir.
  • Kâğıt yoluyla aktarılan kişisel veriler için ekstra güvenlik tedbirleri alınmakta ve ilgili evrak gizlilik dereceli belge formatında gönderilmektedir.
  • Kişisel veri güvenliği politika ve prosedürleri belirlenmiştir.
  • Kişisel veri güvenliği sorunları hızlı bir şekilde raporlanmaktadır.
  • Kişisel veri güvenliğinin takibi yapılmaktadır.
  • Kişisel veri içeren fiziksel ortamlara giriş çıkışlarla ilgili gerekli güvenlik önlemleri alınmaktadır.
  • Kişisel veri içeren fiziksel ortamların dış risklere (yangın, sel vb.) karşı güvenliği sağlanmaktadır.
  • Kişisel veri içeren ortamların güvenliği sağlanmaktadır.
  • Kişisel veriler mümkün olduğunca azaltılmaktadır.
  • Kişisel veriler yedeklenmekte ve yedeklenen kişisel verilerin güvenliği de sağlanmaktadır.
  • Kurum içi periyodik ve/veya rastgele denetimler yapılmakta ve yaptırılmaktadır.
  • Özel nitelikli kişisel veri güvenliğine yönelik protokol ve prosedürler belirlenmiş ve uygulanmaktadır.
  • Veri işleyen hizmet sağlayıcılarının, veri güvenliği konusunda gizlilik sözleşmesi yapılmakta ve farkındalık sağlanmaktadır.

5.9.  YAYIN ve SAKLAMA 

Politika, ıslak imzalı (basılı kâğıt) ve elektronik ortamda olmak üzere iki farklı ortamda yayımlanır. Basılı kâğıt nüshası da Bilgi İşlem ve İnsan Kaynakları Departmanı dosyasında saklanır.

5.10.  GÜNCELLEME PERİYODU

Politika ihtiyaç duyuldukça ve yılda 1 (bir) olmak üzere her yıl gözden geçirilerek gerekli olan bölümler güncellenir. 

5.11.  YÜRÜRLÜK

Politika, 01.12.2019 tarihinde yürürlüğe girmiş kabul edilir ve yürürlükten kaldırılmasına veya değiştirilmesine karar verilmesi halinde Yönetim Kurulu Kararı ile iptal edilerek (kırmızı renkli iptal kaşesi vurularak veya iptal yazılarak) yeni hali imzalanır ve Şirket inisiyatifine bağlı olarak bağlı olarak internet sitesinde yayınlanabilir.  Yeni hali Yönetim Kurulu kararı üzerine yürürlüğe girer. 

 

Genel Müdür

Temiz Masa Temiz Ekran Politikası

1.   AMAÇ

Bu politika, bilgisayar, cep telefonu, yazıcı ve diğer cihazların kullanımında, toplantı, yazı tahtası ve masa düzenlerinde bilgi güvenliği sistemine uyum sağlamak amacıyla oluşturulmuştur. 

2.   KAPSAM

Tüm birimleri, ofisleri, toplantı odalarını, masaları ve buralarda bulunan tüm elektronik ve fiziksel bilgi varlıklarını kapsar.

3.   SORUMLULUK

Politikanın uygulanmasından tüm çalışanlar sorumludur.

Politikanın güncellenmesinden Bilgi Güvenliği Yönetim Takımı sorumludur.

Politikanın uygulama denetiminden İç Denetim  ve Operasyonel Risk Yönetimi Müdürü sorumludur.

4.   POLİTİKA

4.1. Mesai saatleri dışında bilgisayarlar kapalı durumda bulundurulmalıdır.

4.2. Mesai saatleri içerisinde masa başından ayrılma durumunda mutlaka bilgisayar ekranı kilitlenmelidir. (CTRL+ALT+DEL/ENTER) 

4.3. Bilgisayar veya cep telefonlarının ekranları 10 dakika sonra kilitlenecek şekilde ayarlanmalıdır.

4.4. Bilgisayar ve cep telefonlarının ekranlarında şifre koruması bulunmalıdır.

4.5. Şifreler herhangi bir yere yazılmamalıdır.

4.6. Bilgisayarların masaüstünde gizli veya hassas bilgi içeren dokümanlar bulundurulmamalı, bir linkle girilen ortak klasörlere konmalıdır.

4.7. Mesai sonunda veya masa başından uzun süre ayrılma durumunda gizli veya hassas bilgi içeren dokümanlar, değerli evraklar veya elektronik cihazlar kaldırılmalıdır.

4.8. Gizli veya hassas bilgiler içeren dokümanlar, değerli evraklar veya elektronik cihazlar kilitli dolap, çekmece veya kasa gibi ortamlarda tutulmalıdır. 

4.9.  Gizli veya hassas bilgi içeren dokümanlar ve değerli evraklar işlevini tamamladıktan sonra kâğıt öğütücü ile imha edilmelidir. 

4.10. Odadan en son çıkan kişi kapıyı kilitlemeli veya kilitlenmesini sağlamalıdır.

4.11. Sahipsiz bulunan veya kullanılmayan her türlü elektronik cihaz bilgi işleme teslim edilmelidir.

4.12. Gelen ve giden evrak noktaları, yazıcılar ve faks cihazları kontrolsüz bırakılmamalıdır. 

4.13. Gizli ve hassas bilgi basılması durumunda yazıcıdan doküman hemen alınmalı, yazıcı özelliğinde var ise hafızasından temizlenmelidir. 

4.14. Gizli bilgiler faks yolu ile gönderilmemelidir.

4.15. Toplantılar sonrasında yazı tahtasında ve toplantı masası üzerinde bilgi içeren not, belge ve cihaz bırakılmamalıdır.

5.   UYGUNSUZLUKLAR

Politikaya uymama durumunda END.İK.YÖN.001 Etik Davranış Kuralları Yönetmeliği gerekleri uygulanır.

6.   REFERANSLAR

Referanslar ve Ekler 1: END.İK.YÖN.001 Etik Davranış Kuralları Yönetmeliği

Genel Müdür

 

Destekleyici Politikalar

1.   AMAÇ

Bu politikalar, Bilgi Güvenliği Sisteminin temel standartlarını ve uyulması gereken kuralları belirlemek, tüm çalışanlara ve ilgili taraflara bildirmek amacıyla oluşturulmuştur. 

2.   KAPSAM 

ISO 27001 Standardının Ek. A bölümünde belirtilen ve ISO 27002 standardında detayları çizilmiş olan politikaları kapsamaktadır.

3.   SORUMLULUK

Tüm çalışanlar ve ilgili dış taraflar bu politikaların uygulanmasından sorumludur.

Bilgi Güvenliği Yönetim Takımı politikaların geliştirilmesi ve güncellenmesinden sorumludur.  

Yönetim Kurulu, politikaların desteklenmesi, geliştirilmesi ve uygulanmasının talebinden sorumludur. 

İç Denetim  ve Teknik Opresayon Müdürü politikalardaki uygulamaların denetlenmesinden ve uygunsuzlukların raporlamasından sorumludur.

Entegre Yönetim Sistemi Bölümü uygunsuzlukların takibinden sorumludur.

Yönetim Kurulu ve İnsan Kaynakları Departmanı uygunsuzlukların tekrarlanmaması için ve gerektiğinde disiplin süreçlerinin işletilmesinden sorumludur.   

4.   TANIMLAR

Cihaz                                : Tüm masaüstü ve dizüstü bilgisayarlar, sunucular, ağ cihazları, yazıcılar, el terminalleri, tarayıcılar.

Yazılım                              : İşletim sistemleri, uygulamalar (SAP, Netsis, Word, Excel, Outlook vb), veritabanları.

Ortak Paylaşım               : Tüm departman ve kullanıcıların bilgilere eriştiği File Server sunucusu.

Kullanıcı                          : Cihaz ve Yazılımları kullanan Şirket ve tedarikçi çalışanları.

Bilgi varlığı sahibi           : İlgili bilgi varlığının sorumlusu.

Şirket                                : Enda Enerji Holding A.Ş.

 

5.   UYGULAMA

5.1. Kabul Edilebilir Kullanım Politikası

  • Şirketin bilgi yönetime bakış açısı, kişilere makul seviyede mahremiyet sağlasa da oluşturulan tüm veriler şirketin mülkiyetindedir.
  • Şirket, kullanıcının gerçekleştirdiği aktivitelerle ilgili bilgiyi yasalara aykırı olmamak koşulu ile analiz edebilir veya ettirebilir. Kullanıcıların izni olmadan; yasal talepler doğrultusunda emniyet kuvvetleriyle veya yargı ile paylaşabilir. 
  • Çalışanlar, şirketin sahibi olduğu bilgi sistemlerini, bilgi kayıt ortamlarını, internet ve ağ hizmetlerini kendi kişisel kullanımı için kullanmamalıdır. 
  • Bilgi güvenliğinin sağlanmasından tüm çalışanlar ve Şİrketin bilgi varlıklarına erişebilen tüm dış taraflar sorumludur. Çalışanlar, ilgili dış taraflara bilgi güvenliği sağlamak için gereklilikleri bildirmelidir.
  • Gizli ve önemli cihaz, yazılım ve bilgi, izinsiz veya korumasız olarak kurum dışına çıkarılmamalıdır. 
  • Cihazlar fiziksel olarak koruma altına alınmalıdır.
  • Gizli bilgi içeren dosya mutlaka şifrelenmelidir. (Örnek: Excel dosyası, Word dosyası, Pdf gibi)
  • Gizlilik değeri yüksek olan bilgiler, kontrolsüz bir biçimde ve yetkisiz kişiler ile kurum içi veya dışı paylaşılmamalıdır. 
  • Mümkün olan oldugunca paylaşılan dosyalar pdf formatında olmalıdır.
  • Tüm ağda domain yapısı kullanılmalıdır. Bu durumda bütün bilgisayarlar domaine login olmalıdır. Domaine bağlı olmayan bilgisayarlar yerel ağdan çıkarılmalı veya ağ izolasyonu sağlanmalı, yerel ağdaki cihazlar ile bu tür cihazlar arasında bilgi alışverişi yapılmamalıdır.
  • Cihazlarda oyun ve eğlence amaçlı programlar çalıştırılmamalı, kopyalanmamalıdır.
  • Cihazlarda, sorumlu bilgi işlem personeli ve ilgili destek alınan teknik personel dışında; ağ ayarları, kullanıcı tanımları, profiller ve bunun gibi sistemsel işlemler, değişiklikler veya düzenlemeler yapılmamalıdır. 
  • Cihazlar üzerinde izin ve telif hakları gerektiren resim, doküman, film veya müzik açılamaz ve bulundurulamaz. Herhangi bir kişi veya firmanın ticari sır, patent veya gizli olabilecek bilgileri yetkisiz bir şekilde kullanılmamalıdır. Tespit edilmesi durumunda yasal yaptırım uygulanacağı bilinmelidir.
  • Bilgisayar kaynakları paylaşıma açılmamalıdır.
  • Bilgi sistemlerinde bulunan gizli ve önemli bilgilere yetkisiz kişilerin erişimini engellemek için gerekli erişim hakları tanımlanmalıdır.
  • Herhangi bir cihaz veya ortamın çalınması/kaybolması durumunda, hemen Bilgi Güvenliği Sorumlularına haber verilmelidir.
  • Bilgisayarlara Flash Disk, USB Memory, USB Travel Disk gibi bilgi alınmasını sağlayan cihaz takılacak ise, virüs taraması yapıldıktan sonra kullanılmalıdır. (Cihazlar sadece okuma amaçlı kullanılmalıdır) Bir data USB ile taşınacak ise firmanın sistemde tanımlı olan cihazları kullanılmalıdır. 
  • Kaynağından veya güvenliğinden emin olunmayan veya firmaya ait olmayan cihazlar sebebi ile oluşabilecek zararlı yazılım kaynaklı sorunlar kullanıcı sorumluluğundadır.
  • Bilgisayarlar üzerinde bulunan yerel diskler (Örnek: C, D Diski), belgelerim, masaüstü gibi yerlerde bilgi tutulmamalıdır. Tüm kurumsal bilgiler ortak paylaşım alanlarında tutulmalıdır.
  • Bilinmeyen kişilerden gelen dosyalar ve yazılımlar açılmamalıdır.  Bu dosyalar virüs ve Truva atı gibi zararlı kodları içebilirler.
  • Ağ kaynaklarının verimli kullanımı konusunda dikkatli olunmalıdır. Büyük kapasiteli dosya transferi gibi ağı yavaşlatabilecek işlemler yapılırken bilgi işlem departmanından destek alınmalıdır.
  • Bütün kullanıcılar firmanın tahsis etmiş olduğu bilgisayar sistemlerindeki bilgilerin güvenliğinden sorumludur. Kullanıcı hatalarından kaynaklanabilecek firmaya veya farklı kişilere yönelik saldırılardan kullanıcı da sorumlu tutulabilir. 
  • Firmanın bilgisayarlarını kullanarak taciz veya yasadışı olaylara karışma suçtur. İş kanunu veya Şirket Disiplin Yönetmeliği uygulanır.
  • Ağ güvenliğini etkileyebilecek veya haberleşmesini bozacak, şifre kullanımını veya kimlik tanımayı devre dışı bırakacak herhangi bir işlem, komut, yazılım denenmemeli ve kullanılmamalıdır. Tespit edilmesi durumunda İş kanunu veya Şirket Disiplin Yönetmeliği uygulanır.
  • Onay alınmaksızın herhangi bir çevre birimi bağlantısı yapılmamalıdır.
  • Halka açık yerlerde (Havaalanı, AVM, kafeterya, restoran, vb.) ve herkese açık kablosuz ağ bağlantısı kullanıldığında kurumsal VPN aktif hale getirilerek internet erişimi sağlanmalıdır.
  • Önemli ve gizli bilgiler kurumsal kaynaklar kullanılarak paylaşılmalı, Whatsapp, kişisel Skype gibi yazılımlar kullanılarak aktarılmamalıdır. 
  • Bilgisayarlarda bulunan anti virüs koruma yazılımı devre dışı bırakılmamalıdır. Anti virüs yazılımının çalışmadığı fark edilir ise; mutlaka Bilgi İşlem Bölümüne bilgi verilmelidir.
     

5.2. Şifre Politikası

  • Şifre gizli bilgidir. Kimse ile paylaşılamaz.
  • Şifre ile girilen uygulamalar sadece sahibi/sorumlusu tarafından kullanılabilir.
  • Şifreler en fazla (90) günde bir değiştirilmek zorundadır.
  • Değiştirilen bir şifre en az (10) gün geçerli olmalıdır.
  • En son (5) şifre birbirinden farklı olmalıdır.
  • Şifrenin (5) defa yanlış girilmesi durumunda kullanıcı 10 dk kilitlenir. 
  • Bütün şifreler en az 8 karakter olmalıdır.
  • Şifre karmaşık olmalıdır. 

o   Küçük harf, büyük harf, rakam, noktalama ve özel karakterler kullanılır.
Ör: A-Z , a-z, 0-9, !, @, &, =, (,- ,_, }, ?,\, /, %, +, ,)

5.3. SAP ve Cep Telefonu Şifre politikası

SAP

  • Bütün şifreler en az 8 karakter olmalıdır.
  • En son (12) şifre birbirinden farklı olmalıdır.
  • Şifrenin (6) defa yanlış girilmesi durumunda kullanıcı 24 dk. kilitlenir. 
  • Şifreler en fazla (6 Ay) günde bir değiştirilmek zorundadır.

Cep Telefonu

  • Ekran koruma şifresi en az 6 karakter olmalıdır.
  • Şifreler sözlükte yer alan ve sık kullanılan kelimeler içermemelidir.
  • Aile ad/soyadları, sanatçı, şehir, araç plakası, bilinen markalar, hayvan isimleri, doğum tarihler gibi tahmin edilebilecek bilgiler içermemelidir.
  • Sıralı harf ve rakamlar kullanılmamalıdır.
  • Şirketin uygulama ve sistemlerinde kullanılan şifreler şirket dışındaki internet sitesi, sosyal medya ve diğer uygulama ve sistemlerde kullanılmamalıdır. 
  • Değişik uygulama ve sistemler için farklı şifreler kullanılmalıdır. 

o   Örnek: internet sitesi, bankacılık, sosyal medya, e-devlet, SAP, KEP vb.

  • Şifreler e-posta iletilerine, word-excel gibi dosyalara veya herhangi bir elektronik forma yazılmamalıdır.
  • Şifreler hatırlatma amaçlı post-it, ajanda, herhangi bir not kağıdı, cep telefonu not uygulaması gibi ortamlara yazılmamalıdır. 
  • Başka kişi veya şirketlere ait şifreler kabul edilmemelidir.
  • Kullanım amacı ile alınmış şifreler bu şifre politikasına uygun olarak değiştirilmelidir.
  • Şifrelerin değiştirilip değiştirilmediği kontrol edilmelidir.

5.4. Mobil ve taşınabilir cihaz politikası

  • Sadece şirkete ait cihazlar şirketin ağ, sistem ve uygulamalarını kullanabilir.
  • Şirkete ait olmayan cihazlar üzerinden e-postalara ulaşmak izin verilen uygulama ile ve izin verilen kişiler tarafından gerçekleştirilebilir.
  • Tüm cihazlar ilgili kişiye zimmet edilerek teslim edilir.
  • Her çalışan kendisine zimmetlenen cihazın güvenliğinden ve amacına uygun kullanımından sorumludur.
  • Notebooklara admin yetkisi kaldırılarak ilgili kişiye teslim edilir.
  • Notebooklara lisanssız veya izinsiz bir yazılım kurulmaz.
  • Cihazların üzerindeki kurumsal eposta bilgileri uzaktan yönetici tarafından silinebilir.
  • Cihazlar üzerinde yasa dışı, yetkisiz, itibar zedeleyici veya ahlak dışı, siyasi propaganda, ırkçılık, şiddet, pornografi içeren resim, doküman, film veya müzik ve açılamaz ve bulundurulamaz.
  • Notebookların üzerindeki işletim sistemi, her türlü kurumsal uygulama, antivirüs programı ve diğer destek yazılımları devre dışı bırakılamaz.
  • Gizli bilgi içeren cihazların kayıt ortamları gerektiğinde Kriptografi Politikasına uygun kriptografik yöntemler ile koruma altına alınmalıdır.
  • Donanım olarak imkan veriyorsa, cihazlarda parmak izi ile giriş yöntemi kullanılmalıdır.
  • Şifre Politikasına uygun olarak şifreler belirlenir.
  • Cihazların ekran koruma şifreleri aktif halde olmalıdır. 
  • Kullanılmadığı durumlarda cihazların kablosuz erişim paylaşımı özellikleri aktif halde olmamalıdır.
  • Cihazlar üzerinde yapılan çalışmalar ve oluşturulan dosyalar mutlaka ağ üzerinde kaydedilmelidir.
  • Cihazların kurumsal sistemlere uzaktan erişimi Uzaktan Erişim Politikasına göre gerçekleştirilir.
  • Cihazlar başıboş bırakılmamalıdır. 
  • Cihazlar araç içerisinde açıkta bırakılmamalı, bagajda taşınmalıdır.
  • Cihazların çalınması veya zarar görmesi durumunda hemen Bilgi İşlem Sorumlusuna bilgi verilmelidir. Karakol veya ilgili kurumdan tutanak tutturulmalıdır.
  • Cihazlar kullanılırken kişisel kullanım hatalarına karşı dikkatli olunmalı, cihazın yerleşimi, kablo bağlantıları, ekranın koruması gibi konulara dikkat edilmelidir.

5.5. Genel erişim politikası

  • Erişim hakları en az ayrıcalık ilkesi ile yönetilir. Sadece gerektiği kadar izin verilir.
  • Sadece Şirkete ait cihazlar Şirketin ağ, sistem ve uygulamalarını kullanabilir.
  • Sadece Şirket çalışanları Cihazları kullanabilir.
  • Çalışanlar sadece kendilerine zimmet edilmiş olan cihazları kullanabilir.
  • Şirkete ait olmayan cihazlar üzerinden e-postalara ulaşmak izin verilen uygulama ile ve izin verilen kişiler tarafından gerçekleştirilebilir.
  • Kullanıcılar cihazlarda yönetici yetkisine sahip olamaz.
  • Cihazlarda, bilgi işlem ve ilgili destek alınan tedarikçinin teknik çalışanı dışında kimse; ağ ayarları, kullanıcı tanımları, profiller ve bunun gibi sistemsel işlemler, değişiklikler ve düzenlemeler yapamaz.
  • Her Kullanıcı kendine ait bir şifre ile erişim sağlayabilir.
  • Kullanıcı, sahip olduğu erişim yetkilerini başka Kullanıcıya kullandıramaz.
  • Bir Kullanıcıya yetki verilmesi Kullanıcı erişim politikası şartlarına tabidir. 
  • Erişim hakkı verilen bu kişilerin, güvenli olarak erişmesi sağlanmalıdır.
  • Tedarikçi, Ziyaretçi, Taşeron ve 3. şahıslara erişim izni Tedarikçi güvenlik politikası şartlarına tabidir.
  • Tedarikçiler Şirket bilgilerine yetkili onayı? ile erişebilir.
  • Kullanıcılara erişim bilgileri verilmeden önce gerektiğinde kimlik doğrulaması sağlanmalıdır.
  • Erişim talepleri, onayları, işlem geri bildirimleri ve değişiklikler elektronik posta yolu ile gerçekleştirilir. 
  • Erişim talebi yapan, kullanım amacı, gerekçeleri ve talep ettiği yetki ile birlikte bilgilendirme maili atar. Bu mailde yöneticisi mutlaka bilgi kısmında bulunur ve yöneticinin onay mailine istinaden gerekli işlemler yapılır. İstenen yetki kritik düzeyde ise Genel Müdüre bilgilendirme yapılır. İşlem yapıldıktan sonra bilgilendirme maili ile geri dönüş sağlanır.
  • Bilgi İşlem erişim taleplerinde uygulamayı gerçekleştirir.
  • Gerektiğinde BGYS Takımı talep edilen erişim haklarını değerlendirip bir risk görülmesi durumunda reddedebilir.
  • Varlık sahiplerinin yılda bir kez erişim denetimlerini gözden geçirmesi gerekmektedir.

o   İnsan Kaynakları ve Endüstriyel ilişkiler Yöneticisi  öncelikle SAP başta olmak üzere geçerli erişimleri bir excel dosyasına alır.

o   Bu bilgi ilgili kişinin yöneticisine iletir. 

o   Uygunluk onayı alınır. 

o   Gerektiğinde geri bildirime istinaden yetki revizyonu yapılır.

5.6. Kullanıcı erişim politikası

  • Şirket iç ve dış bilgisayar kullanıcılarının gerekli olan her erişim türü için benzersiz bir kullanıcı adı ve şifresi olmalıdır. 
  • Şirket çalışanı için, bir kullanıcı erişimi verilecek ise; erişim türüne bağlı olarak Yöneticisinden, İnsan Kaynakları ve Endüstriyel ilişkiler Yöneticisi  ve gerektiğinde Genel Müdürden bilgi veya onay alınmalıdır.
  • Birden çok kullanıcı tarafından kullanılmak üzere belirlenmiş genel kullanıcı kimliklerine izin verilmez.
  • Sadece Şirket Bilgi İşlemi bir kullanıcının herhangi bir erişim türü için yetkilendirilmesi, yetkinin düzenlenmesi, yetkinin geri alınması, güvenlik açıklarının etkisini en aza indirgenmesi için gerekli araştırma, düzenleme çalışmalarının yapılması işlemlerini gerçekleştirebilir. 
  • Ayrıcalıklı hak sahibi Bilgi İşlem, dış hizmet sağlayıcıları ve Şirket çalışanları gibi kişiler de iş ihtiyacına göre bu politika kapsamında değerlendirilerek yetki verilmelidir. (Örnek: SAP desteği alınan firmaya, kamera desteği alınan firmaya ihtiyacı kadar yetki vermek; Santral desteği alınan firmaya sadece santrale erişim izni vermek gibi)
  • Ayrıcalıklı erişim hakkı olan kullanıcılar sadece ayrıcalıklı görevlerini yerine getirmesi için farklı kullanıcı adı kullanılmalıdır. Ayrıcalıklı olmayan görevleri için standart kullanıcı kimlikleri kullanmalıdır.
  • Kullanıcı kimlikleri, şifreleri gizli bilgiler olarak kabul edilir ve kullanıcı hesabının ilk yapılandırması sırasında ve sonrasında hatalı kullanımını önlemek için kullanıcı bilgilendirilir. 
  • Şirket personelinin iş pozisyonlarının, Şirket içindeki rollerinin değiştirmesi veya işten ayrılması durumunda İnsan Kaynakları Departmanı durumu derhal BGYS Takım Sorumlusunu bilgilendirmeli, erişim ayrıcalıkları iptal edilmeli veya İlgili yönetici onayı ile gerekli değişiklikler yapılmalıdır.
  • Şirket bilgi varlıklarına erişebilen tüm iç ve dış kullanıcılar, yetkilerini kullanımı ve bilgi güvenliğinin sağlanması için gerekli dikkati ve özeni göstermelidir. 
  • Şirket çalışanları bilgisayar ekipmanlarını gözetimsiz bırakmamalı, oturumların kilitlenmesi veya ekipmanın kullanılmadığı zamanlarda kapatılmasını sağlamalıdır.
  • Ortak kullanılan çok fonksiyonlu cihazlar şifre koruması ile yetkisiz erişime karşı korunmalıdır.
  • Güvenli oturum açma active directory ile yönetilmelidir. Mümkün olan tüm uygulamalar active directory ile entegre çalışmalıdır.
  • Belirli sayıda başarısız deneme durumunda hesap askıya alınmalı veya kilitlenmelidir.
  • Kullanıcı Adı ve şifre onayı alınana dek sistem veya uygulamanın hiçbir bilgisine ulaşılmamalıdır.
  • Hizmet hesap gereksinimleri Şirket BGYS Takım Sorumlusu tarafından değerlendirilecektir. Uygulama gereksinimlerine dayalı olarak hizmet hesapları oluşturulabilir. Tek bir uygulama veya servise bir hizmet hesabı atanmalıdır
  • Standart kullanıcılar, bilgisayarlarında veya ulaşabildikleri sistem kaynaklarında ve kullandıkları uygulamalardaki yazılım geliştirme kaynaklarına, kodlarına ve parametrelere ulaşmaları engellenmelidir.

5.7. Uzaktan erişim politikası

  • Uzaktan erişim sırasında Ağ güvenliği ve erişimi politikası uygulanır.
  • Uzaktan erişim sırasında kullanılan şifrelerde Şifre politikası uygulanır.
  • SOPHOS , SSL VPN client kullanılarak çalışanlar uzaktan erişim gerçekleştirebilir.
  • Sadece İnsan Kaynakları Ve Endüstriyel İlişkiler Yöneticisi tarafından erişim izni verilen Kullanıcılar için uzaktan erişim izni verilir.
  • Kullanıcılara uzaktan erişim gerektiği zaman güvenlik duvarı üzerinden hesaplar açılır.
  • Halka açık yerlerde (Havaalanı, AVM, kafeterya, restoran, vb.) ve herkese açık kablosuz ağ bağlantısı kullanıldığında kurumsal VPN aktif hale getirilerek internet erişimi sağlanmalıdır.
  • Şirketin sağlamış olduğu VPN hizmeti dışında farklı bir VPN, ağ geçidi, tünel ya da bir bağlantı türü kullanılamaz.
  • Güvenlik tedbirlerinde herhangi bir aksaklık görüldüğünde uzaktan erişim bağlantısı eksiklik düzeltilinceye kadar kesilmelidir.
  • Tedarikçiler için Tedarikçi güvenliği politikası kuralları geçerlidir.
  • Tedarikçilerin uzaktan erişim yetkileri Bilgi Sistemleri Yöneticisi tarafından verilir.
  • SAP, Netsis uygulamaları için destek veren şirket çalışanı SSL VPN client kullanarak uzaktan erişim sağlayabilir.
  • Teamviewer, Alpemix, Anydesk, Ammy gibi yazılımlar tedarikçi iletişimi için kullanılır.
  • Ancak Cihaz ve Yazılımlara doğrudan erişim sağlanmaz. Bir bilgisayar uzaktan masaüstü erişimi iletişim yöntemi olarak kullanılır.
  • Uzaktan bağlanan tedarikçilerin, bulundukları ağ ve bilgisayarlarda güvenlik tedbirlerini almaları istenmelidir.
  • Tedarikçiler, bilgileri izinsiz ve kontrolsüz olarak görüntülememeli, ekran çıktısı almamalı, transfer etmemeli ve şirket dışına çıkarmamalıdır.
  • Tedarikçiler, uzaktan erişim sırasında yapılan işlemleri, değişiklikleri; işlemlerin   kayıtlarını içeren bir değişiklik raporu hazırlayıp bu raporu e-posta yoluyla göndermelidir.

5.8. Ağ güvenliği ve erişimi politikası

  • Tüm ağda A/D domain yapısı kullanılır. Bütün bilgisayarlar A/D domaine kayıt edilir.
  • Teknik olarak mümkün olmaması sebebi ile A/D domaine dahil edilmeyen bilgisayarlar ağdan çıkarılmalı veya ağ izolasyonu sağlanmalı, ağdaki cihazlar ile bu tür cihazlar arasında bilgi alışverişi yapılmamalıdır.
  • Cihazlar ve Yazılımlar İç-dış ağ erişimini Checkpoint güvenlik duvarında belirlenmiş ve izin verilen kurallar sağlayabilir.
  • Şirket ağına sürekli olarak bağlı olacak başka bir yerin dış ağı olacak ise MPLS, Site to Site VPN, IPSEC gibi güvenli bağlantı kullanılarak erişim sağlanmalıdır.
  • Ağ güvenliğini etkileyebilecek veya haberleşmesini bozacak, şifre kullanımını veya kimlik tanımayı devre dışı bırakacak herhangi bir işlem, komut, yazılım denenmemeli ve kullanılmamalıdır.
  • Güvenlik duvarı ve ağ cihazları yönetimi için yalnızca iş ihtiyaçları için gerekli Portlar açık tutulur. 
  • Gereksinimler için port açılması gerekiyor ise BGYS Takımı onayı alınmalıdır. 
  • Güvenlik duvarında veya ağ cihazlarında yapılacak kural değişiklikleri gerektiren talepler yazılı olarak Bilgi İşlem Sorumlusuna yapılır. Gerekirse talep BGYS Takımı tarafından değerlendirilir. Uygun bulunması durumunda kural eklenmesi/değişikliği/çıkarılması yapılır.
  • Şirket ağı, uygunsuz işlemlerin ve kullanıcı erişim ayrıcalıklarının hem dahili hem de harici olarak kontrolünü sağlamak için mantıksal olarak ayrılmış olmalıdır. (VLAN)

o   SERVER VLAN

o   NETWORK VLAN

o   USER(n) VLAN (Gereken birimler için n adete kadar çoğaltılabilir)

o   TESIS/URETIM VLAN

o   WAN

  • Ağ hizmeti erişim yetkisi Kullanıcılara, Cihazlara, Yazılıma göre değerlendirilerek göre tanımlanır ve erişim buna göre yönetilir. Bu hizmetler, bunlarla sınırlı olmamak kaydıyla, aşağıdakileri içerir

o   E-posta gibi ağ uygulamaları

o   Kurumsal Yazılımlar (SAP, Netsis, vb.)

o   Güvenlik Yazılımları

o   Portallar

o   Dosya erişim ve aktarım araçları

o   İnteraktif erişim

  • Ağ yönlendirme kontrolleri omurga anahtarı veya güvenlik duvarı tarafından yapılmalıdır.

5.9. İnternet erişim politikası

  • Uygulama, içerik denetimi, zararlı yazılım kontrolü ve filtreleme yapan bir güvenlik duvarı üzerinden internete erişilir.
  • Güvenlik duvarı ağ hizmetleri ile birlikte çalışarak ağ güvenliğini sağlar.
  • Erişimine izin verilmesi istenmeyen site grupları (kumar, porno, şiddet, ateşli silah, alışveriş, kurumsal olmayan e-posta sistemleri, dosya indirme, torrent vb gibi) belirlenerek filtrelenir.
  • Saldırı tespit ve önleme sistemleri kullanılmalıdır. (Ör: Güvenlik duvarı, saldırı önleme sistemi vb.) 
  • Ancak İnsan Kaynakları Ve Endüstriyel İlişkiler Müdürü internete erişirken bütün servisleri kullanma hakkına sahip olabilir.
  • Peer-to-peer (iki cihaz arası direk bağlantı) bağlantı yoluyla; internet, Şirket dışı bilgisayar veya sistemler ile veri alışverişi yapılmamalıdır.
  • Mesai saatleri içerisinde iş ile ilgili olmayan internet erişimi yapılmamalıdır.
  • İnternet üzerinde bulunan destek, forum, blog gibi sitelerde kurumsal bilgi paylaşımı yapılmamalıdır.
  • Kullanıcılar mevzuat gereği kendi kullanıcı hesaplarıyla internet üzerinde gerçekleştirilen tüm işlemlerden sorumludur. 
  • Kullanıcılar Şirket ile ilgisi olmayan veya kişisel işleri ilgili internet sitelerinde kurumsal kimlik, e-posta adresi ve şifrelerini kullanmamalıdır.
  • İnternet kaynakları hiçbir şekilde yasa dışı kullanılmamalı, kurumun gizli bilgilerini ifşa etmemeli, kurum çıkarlarını zedelememeli ve Şirketin iş süreç ve aktivitelerini engellememelidir.
  • Misafirler ve şahsi mobil cihazlarını kullanan Kullanıcılar, mevzuata uygun ve izole bir ağ ile internete erişmelidir. 
  • Ziyaretçilere Hotspot portal de kimlik ve iletişim bilgileri doldurularak internet erişim izni verilir.
  • Bankacılık işlemleri, alışveriş siteleri gibi geçici kullanılan kritik erişimler söz konusu olduğunda; SSL sertifikalarına ve bu sertifikaların ilgili firmaya ait olduğuna dikkat edilmelidir.
  • Şirkete ait Mobil cihazlara Mobil ve taşınabilir cihaz politikasına uygun olarak sadece internet erişim izni verilir.

5.10. Fiziksel güvenlik politikası

  • Genel
    • Çalışanları, çalışma alanlarını, malzemeleri, bilgi ve iletişim sistemlerini ve genel olarak tüm ofisi çoklu güvenlik kontrolleri ile koruyan bir yapı kurulmalıdır.
  • Güvenlik ekibi
    • Ofisin bulunduğu bina özel güvenlik şirketi tarafından korunur. Ziyaretçilere girişte geliş amacı sorulur, gerektiğinde Ofis aranarak bilgi verilir. 
    • BGYS Takımı güvenlik önlemlerinde gerekli uygulama kararlarını verir.
    • Girişte bir ofis planı bulunmaktadır.
  • Kamera sistemi
    • Kamera sistemi ofiste kişisel verileri ihlal etmeyecek şekilde yerleştirilir.
    • Kameralar yeterli çözünürlükte görüntü almalıdır.
    • Giriş-çıkış, birim, toplantı odası benzeri alanların girişleri kayıt altına alınır.
    • Kamera görüntüleri sunucu odasında bulunan NVR larda saklanır.
  • Ofisin ve odaların güvenliği
    • Ofis tek bir alandan oluşur. 
    • Tüm ofiste aşağıdaki fiziksel güvenlik kurallarına uyulur.
    • 30x30 cm den büyük olan herhangi bir açıklık, girişe karşı emniyet altına alınır.
    • Ofis girişinde kartlı sistem bulunur.
    • Çalışanlar kartlı sistemi kullanarak içeri girerler ve çıkarlar.
    • Ziyaretçiler girişte ve çıkışta sekreterya tarafından açılan ve kapatılan girişten girer.
    • Zİyaretçiye geliş amacı sorulur. İlgili yöneticiden onay alındıktan sonra Ziyaretçi kartı verilerek alınır. 
    • Yangın ve duman sensörleri ve yangın söndürme tüpleri bulunur.
    • Elektrik kesintilerinde gerekli alanlara enerji sağlanması için UPS bulunur.
    • Binanın jeneratörü bulunur.
    • Acil durum aydınlatması bulunmalı ve elektrik kesintileri sırasında otomatik olarak devreye girmelidir.
    • Güvenlik tehditleri ile başa çıkmak için bir (İSG) acil durum planı hazırlanmalı ve bu plan düzenli olarak gözden geçirilmelidir.
    • Bilgi güvenliğini ilgilendiren olayların İnsan Kaynakları Ve Endüstriyel İlişkiler Yöneticisibildirilmesi zorunludur.
  • Güvenli alanlar
    • Sunucu odası güvenli alan olarak belirlenmiştir.
    • Sunucu odasına İnsan Kaynakları Ve Endüstriyel İlişkiler Yöneticisi ve izin verdiği kişiler girebilir.
  • Sunucu odası
    • Yangın alarmı ve yangın söndürme tüpleri bulunur.
    • Yanmaz kapı bulunur.
    • Ortam izleme sistemi bulunur.
    • Çift Klima bulunur.
    • Sunucu odasına giriş kartlı geçiş ile mümkündür.
    • Bilgi işlem teçhizatı
      • Veriyi taşıyan, güç veya ağ kabloları, müdahale veya hasardan ve bilgi korunacak şekilde yerleştirilir.
      • Teçhizata elektrik sağlayan ve ağ iletişimini sağlayan kablolar ofislerde duvar içerisinden veya zeminde bulunan kablo kanallarından taşınır. 
  • Bakım
    • İlgili teçhizata göre İnsan Kaynakları Ve Endüstriyel İlişkiler Yöneticisi veya ilgili anlaşmalı tedarikçi tarafından bakımlar yapılır. 
    • Bakımlar en az yılda bir yapılır.
    • Bakımlar aşağıdaki teçhizatı içerir.
      • Elektrik ve topraklama
      • Klima
      • UPS
      • Kamera sistemi
  • Kargolar
    • Şirket adına gönderilecek-gelecek olan kargolar sekreterya personeli tarafından kayıt alınarak işlema alınır.
    • Özel kargolar geldiğinde sekreterya tarafından teslim alınır.

5.11. Bilgi paylaşımı ve aktarımı politikası

  • Bilgi ve veri alışverişi öncesinde, bilginin gönderileceği alıcının veya bilginin alındığı kaynağın kimliğinin veya adresinin doğruluğu kontrol edilmelidir. 
  • Gizli bilgi içeren dosyalar mutlaka şifrelenmelidir. (Örnek: Excel dosyası, Word dosyası, PDF gibi)
  • Kişisel bilgi içeren ortam mevzuat gereği, paylaşım ve aktarım sırasında mutlaka Kriptografi politikasına göre koruma altına alır.
  • Gizlilik değeri yüksek olan bilgiler, kontrolsüz bir biçimde ve yetkisiz kişiler ile şirket içi veya dışı paylaşılmamalıdır. 
  • Gizli veri transferlerinin veya paylaşımının alıcıya / göndericiye ulaştığının onayı alınmalı/verilmelidir. 
  • Mümkün oldukça paylaşılan dosyalar PDF formatında olmalıdır.
  • Bilgi paylaşımı e-posta ile yapılacaksa, Şirket tarafından verilmiş olan kurumsal e–posta hesapları kullanılır. 
  • Şirket ait bilgiler kişisel e-posta adresleri ile paylaşılamaz.
  • Önemli ve gizli bilgiler Şirket kaynakları kullanılarak paylaşılmalı, Whatsapp, kişisel Skype gibi yazılımlar kullanılarak aktarılmamalıdır.
  • Gerektiğinde finansal bilgiler dış taraflara tam olarak yollanmamalıdır. Bilgi yollanırken hesap numarası, kart numarası v.b. bilgilerin belirli bir kısmı gizlenerek yollanmalıdır.
  • Başkasına ait kişisel bilgiler izinsiz olarak kesinlikle paylaşılmamalıdır.
  • Web/B2B sitelerinin korunması ve elektronik ticaret standartlarına uyum göstermesini sağlanmalıdır.
  • Müşterilerin ve tedarikçilerin bilgilerinde herhangi bir değişiklik talebi olması durumunda yetkili talebi/onayı aranmalıdır.
  • Yanlışlıkla erişilen veya ulaşan gizli bilgi tespit edilmesi durumunda bu bilginin sahibi veya göndericisi hemen uyarılmalıdır. Ulaşan bilgi gerekirse iade edilmeli, iade gerçekleşmiyorsa imha edilmelidir.
  • Şirketin yazılımlarını ve/veya verilerini kullanmakta olan veya farklı bir yazılım entegrasyonu ile erişen üçüncü taraflar ile, gerekli koruma koşullarının sağlanmasını, bilginin izinsiz kullanılmasını, değiştirilmemesi veya çoğaltılmasını engellemek için sözleşme yapılmalıdır.

3. Taraflar, uzak tesisler, sistem/networkler arası bilgi transferleri sırasında gizli bilgilerin Kriptografi politikasına göre korunması sağlanmalıdır.

  • Üçüncü taraflarla bilgi alışverişi için geliştirilmiş olan yazılımların, güvenli kod, güvenli bağlantı, güvenli sertifika yöntemlerini kullanarak işlemesi sağlanmalıdır.
  • Üçüncü taraflarla bilgi alışverişi sırasında işlemler loglanmalıdır.
  • Gizlilik içeren bilgiler, halka açık sitelerde, sosyal medyada, blog siteleri ve portallarda  paylaşılmamalıdır.
  • Gizlilik içeren bilgiler, telesekreterlere veya sesli mesajlaşma sistemlerine kayıt etmemelidir.
  • Şirket ve çalışanlar  ile ilgili tüm görüşmeler toplantı odalarında yapılmalıdır.
  • Gizli bilgilerin bir toplantıda konuşulması durumunda, bu bilginin gizli olduğu ve katılımcıların bu bilginin gizliliğini korumaları gerektiği belirtilmelidir.
  • İşle ilgili tüm görüşmeler veya tüm bilgi paylaşımları Şirkete ait telefon hatları kullanımı ile yapılmalıdır. 
  • Kağıt üzerindeki gizli bilgilerin gönderilmesi durumunda, bilgilerin mutlaka anlaşmalı kargo veya taahhütlü posta yolu ile yollanması sağlanmalıdır. Gizli bilgi içeren doküman ayrı bir zarfın içerisine konmalıdır. 
  • Gizli bilgiler fax aracılığı ile gönderilmemelidir.

5.12. Kriptografi politikası

  • Yasal mevzuata uyum sağlanması için onaylı e-mühür ve e-imza kullanılır.
  • Yasal faturalamaya ve e-defter ilişkin e-imza uygulamalarında yönetmeliğe uygunluk, arşiv koşullarına uygunluk ve anahtar güvenliği sağlanması için onaylı özel entegratör ile çalışılır. 
  • E-deftere ilişkin e-imza uygulamalarında kullanım izni sadece imza yetkilisi tarafından gerçekleştirilir.
  • KEP hizmeti için gerekli olan anahtar sadece yetkilisi tarafından gerçekleştirilir.
  • Halka açık uygulamalarda tüm uygulama SSL Sertifikası ile çalıştırılır.
  • SSL VPN de ilgili cihazın imkanları ile kriptografik imza/anahtar kullanılır.
  • Kişisel veri içeren bilgiler yedeklendiğinde, Şirket dışına çıkarıldığında ve aktarıldığında ortam Kriptografik anahtar ile koruma altına alınır.

5.13. Tedarikçi bilgi güvenliği politikası

  • Tüm tedarikçilerin ön araştırması yapılır ve onaylı tedarikçiler ile çalışılır.
  • Tedarikçiler ile gizli bilgi paylaşımı yapılacak ise veya tedarikçiler kurumun bilgi sistemleri, kaynakları veya varlıklarına erişebilir durumda olacaklar ise sözleşmelerde gizlilik maddeleri konur..
  • Tedarikçilerin kurum içerisinde fiilen bulunacak veya uzaktan bağlantı yolu ile erişecek olan çalışanları var ise ve bu kişiler gizli bilgilere herhangi bir şekilde ulaşacak ise, yapılacak olan sözleşmelerde gizlilik maddeleri bulunur. 
  • İlgili personele güvenlik gereksinim ve koşulları anlatılır. 
  • Tedarikçi, sözleşme kapsamında bulunmayan ve erişimlerinin onaylanmadığı gizli bilgilere, bilgi sistemlerine, kaynaklarına veya varlıklarına iş gereği erişim sağlayacak ise; bu varlıklar, sahipleri tarafından erişim öncesi mutlaka güvence altına alınmalı, daha sonra tedarikçilerin erişimine izin verilmelidir.
  • Tedarikçiler ile gizli bilgi paylaşımı yapılıyor ise bu bilginin tanımı sözleşmeye eklenmelidir. (Ör: Teknik Çizim, Bilgi Sistemleri Ağ şifresi vb)
  • Tedarikçiler ile yapılan sözleşmelerde iş tanımları ve işin değerlendirilebilmesi için kriterler yer almalıdır.
  • Gerektiğinde, tedarikçiler ile yapılan sözleşmelerde fesih durumlarında teknik devir koşulları yer almalıdır.
  • Gizli Bilgi paylaşımı yapılan ve/veya paylaşılan bilgileri kullanan tedarikçiler düzenli olarak gözden geçirilmelidir.
  • İlgili birimlerce herhangi bir risk görülmesi durumunda tedarikçilerin kurumsal bilgi sistemleri, kaynakları veya varlıklarına erişiminin önlenmesi için hemen bilgilendirme yapılmalı ve gerekli görülen önlemler alınmalıdır.
  • Eğer iş sözleşmesi sonlanmış ise veya alınan hizmetlerde değişiklik var ise gizlilik kuralı geçerli olmalı ve tedarikçi edinmiş olduğu bilgiyi teslim etmeli ve kendi sistemlerinden veya kayıtlarından silmelidir.
  • Tedarikçiler, içeriği veya gizlilik seviye nasıl olursa olsun, üçüncü bir tarafla iş veya süreç gereği Şirkete ait bilgi paylaşımında bulunacak ise Şirketin yazılı iznini almalı ve ilgili tarafla da aralarında bir gizlilik sözleşmesi yapmalıdır.
  • Tedarikçi sözleşmelerinde maddi veya manevi tazminat içerecek ve yasalara uygun cezai şartlar bulunmalıdır.
  • Tedarikçi değerlendirmeleri en az yılda bir yapılır.

5.14. Yedekleme politikası

  • Bilgi sistemlerinde oluşabilecek hatalar karşısında; sistemlerin kesinti sürelerini ve olası bilgi kayıplarını en az düzeye indirmek için, sistemler üzerindeki ayar, sistem bilgilerinin ve kurumsal verilerin düzenli olarak yedeklenmesi gerekir.
  • Veriler, bu iş için ayrılmış ve tek işlevi bu olan bir yedekleme cihazına yedeklenir.
  • Merkez Ofis sistem odasında bulunan kritik yedekler, aynı zaman da farklı bir şehirde bulunan sistem merkezinde yedeklenir.
  • Kritik ERP uygulamaları iş sürekliliğinin sağlanması için hizmet alımı ile bir sistem merkezinde bulunmaktadır.
  • Bir yedekleme prosedürü hazırlanarak yedeklenecek olan bilgi, yedekleme türü, yedekleme periyodu, yedek saklama süresi, yedek saklama güvenlik gereksinimi tanımlanır.
  • Kişisel veri bulunduran yedekler Kriptografi politikasına uygun yedeklenir. 
  • Yasal saklama zorunluluğu olan bilgiler tespit edilir.
  • Yedekleme kapasitesi artış gereksinimi periyodik olarak gözden geçirilir.
  • Yılda en az bir kere yedekleme ortamı test edilerek bütünlük ve erişilebilirlik kontrolü yapılmalıdır.

5.15. Antivirüs politikası

  • Bütün bilgisayarlarda ve sunucularda mutlaka antivirüs uygulaması kurulu olmalıdır.
  • Merkezi bir yönetim uygulaması ile tüm cihazlardaki durum ve uygunsuzluklar takip edilebilmelidir.
  • Cihazlarda bulunan antivirüs uygulaması otomatik olarak güncellenmelidir. 
  • Cihazlarda bulunan antivirüs uygulaması kullanıcı tarafından devre dışı bırakılamayacak ve özellikleri değiştirilemeyecek şekilde ayarlanmalıdır. 
  • Anti virüs yazılımının çalışmadığı fark edilir ise; mutlaka Bilgi İşlem Bölümüne bilgi verilmelidir.
  • Antivirüs yazılımının tespit ettiği halde temizleyemediği virüs bulaşan Cihazlar sorun çözülene kadar ağdan çıkarılmalıdır.
  • Antivirüs sunucusu düzenli aralıklar ile yedeklenmeli ve güvenli bir yerde saklanmalıdır.
  • Bilerek zararlı uygulamaları (solucan, truva atı gibi) dağıtmak kabul edilemez.

5.16. E-posta politikası

  • E-postalar kurumsal iletişimin en önemli parçasıdır. Dolayısıyla gönderilen bilginin içeriği çok önemlidir ve kurumsal bilgi niteliği taşıması sebebi ile dikkatli kullanılmalıdır.
  • E-posta sistemi kurumsal iletişimin gerçekleştirilmesi için kullanılmalıdır. 
  • Kurumsal e-posta sistemi kişisel iletişim için kullanılmamalıdır. 
  • Çalışanlar Şirket ile ilgili yazışmalarında şahsi e-posta hesaplarını (Örn: hotmail, yahoo, mynet, gmail vb) kullanamazlar.
  • İnternetteki herkese açık (destek, blog, sosyal medya, alışveriş sitesi gibi) sitelere ve listelere üye olunması durumunda Şirketin vermiş olduğu e-posta adresleri kullanılmamalıdır.
  • Mesajların yanlış kişiye ulaşmaması için gönderilen adrese ve içerdiği bilgilere dikkat etmelidir.
  • Gelen e-posta mesajlarının gönderici adresleri kontrol edilmelidir. (Sahte mail adresleri ile Kurumlardan gönderilmiş gibi görünen mesajlar olabilir. Örnek: Turkcell, TTNet, Türk Hava Yolları gibi)
  • Çalışanlar, mesajlarının yetkisiz kişiler tarafından okunmasını engellemelidir. 
  • Bir e-mailin içeriğinde, iletim, bilgilendirme veya cevaplama esnasında herhangi bir değişiklik yapılamaz.
  • E-postaların içerisine önemli veya gizli bilgi içeren dosyalar eklenecek ise, yetkisiz kişiler tarafından okunmasını engellemek için dosya ekleri şifrelenir ve bu şifre e-posta içinde paylaşımı yapılmaz.
  • E-postaların içerisine Kişisel veri içeren bilgi ve dosyalar eklenecek ise, yetkisiz kişiler tarafından okunmasını engellemek için Kriptografik kontrol politikasına uygun bir koruma sağlanmalıdır.
  • Kurumsal e-posta sistemi, yasalara aykırı veya taciz, suistimal, herhangi bir şekilde alıcının haklarına zarar vermeye yönelik içerik içeren mesajların gönderilmesi için kullanılmamalıdır. 
  • Çalışanlar, e-posta hesaplarıyla gerçekleştirdikleri tüm e-posta iletişiminden sorumludur. 
  • Spam, zincir mesajlar gönderilmemeli ve bu tür mesajlar gelmesi durumunda silinmeli ve başkalarına iletilmemelidir.
  • Göndericisi bilinmeyen, tanınmayan e-postalar alındığında; ekinde içeriği belirsiz dosyalar var ise hemen silinmelidir veya Bilgi Sistemleri sorumlusuna bilgi verilmelidir.
  • Kullanıcı kodu/şifresi talep eden veya bir form veya link vasıtası ile bu bilginin girmesini isteyen e-postalar hemen silinmelidir.
  • Çalışanlar tarafından gönderilen maillerde kurumsal logo, kurumsal adres, telefon gibi bilgiler ve aşağıdaki gibi bir açıklama içeren mail imzası bulunmalıdır.

5.17. Güvenli geliştirme politikası

  • Sadece amacı süreçlere uygun, ihtiyacı karşılayabilen, uygulanabilir nitelikte olan, zaman, maliyet ve kaliteli veri sağlayabilecek yazılım projelerinin gerçekleştirilmesine onay verilir.
  • Yazılım geliştirme faaliyetleri dış hizmet alımı ile gerçekleştirilir.
  • Geliştirme öncesinde ihtiyaç analizi, fizibilite çalışması yapılır.
  • Yazılım projesi Genel Müdür kararı ve onayı ile gerçekleştirilir.
  • Geliştirme aşamasında tasarım, teknik, geliştirme, test, kabul, canlıya alma ve destek aşamalarını içeren proje zaman ve iş planı kullanılmalıdır.
  • Satın alınan veya geliştirilen yazılımlar uygunluğunun ve doğruluğunun kontrolü açısından test edilmeli, yapılan testler ve test sonuçları sorumlular tarafından onaylanmalıdır.
  • Eğer gerekiyor ise, daha önce kullanılan yazılımlardaki verilerin tamamı, doğru olarak ve bütünlüğü bozulmadan yeni yazılıma aktarılmalıdır.
  • Canlı uygulamaya veya devreye alma kararı Genel Müdür tarafından verilir.
  • Yazılımlar bilgi envanterine eklenir, risk analizi yapılır.
  • Yazılımların teknik altyapısı, kullanılan dil, kullanıcı erişim, yetkilendirme ve diğer fonksiyonları, veri tabanı ve kayıt yöntemi, isimlendirme, yardım sistemi gibi tüm özellikleri dokümante edilmelidir.
  • Mevcut yazılımları etkileyecek, yanlış veri kayıtlarına sebebiyet verecek veya çalışmaz hale getirecek yazılımların kurulumu, eklenmesi, entegrasyonu kontrolsüz olarak yapılmamalıdır.
  • Yazılımlarda yapılacak değişikler, tedarikçi tarafından takip edilir ve elektronik ortamda kayıt altına alınır.

6.   DENETİM VE İZLEME

Bu politika ilgili süreç sahibi tarafından gözden geçirilir. Süreç sahibi uygulama ile prosedür arasındaki uyumun sağlanmasından sorumludur. Bu sorumluluk, ilgili diğer süreçlerle koordinasyonun sağlanması, gerekli dokümantasyon işlemlerinin prosedürlere uygun olarak gerçekleştirilmesi ve ilgili dokümanların Entegre Yönetim Sistem Sorumlusuna bildirilmesini kapsar.

Bu politika kapsamındaki faaliyetlerin Holding genelinde uygunluğu ve etkinliği, İç Denetim Departmanı tarafından denetlenir ve raporlanır.

7.   REFERANSLAR VE EKLER