Veri Koruma Politikası (DPP)
Bu Veri Koruma Politikası («DPP») organizasyonun şu konularda güvence sağladığını belirtir:
İnovabil Teknoloji A.Ş. (Netkasam App), Amazon Hizmetleri API'si (Marketplace Web Service API ve Selling Partner API dahil) aracılığıyla satılan ve alınan verilerin alımını, depolanmasını, kullanımını, transferini ve imhasını yönetir. Bu politika, Amazon Hizmetleri API'sinden alınan ve satılan verileri depolayan, işleyen veya başka bir şekilde ele alan tüm sistemler için geçerlidir ve İnovabil Teknoloji A.Ş. (Netkasam App)'nin aşağıdaki Amazon Politikalarına uygun olmasını sağlar:
Veri Koruma Politikası (DPP)Kabul Edilebilir Kullanım Politikası (AUP)Amazon Hizmetleri API Geliştirici Sözleşmesi
1. GENEL GÜVENLİK GEREKSİNİMLERİ
İnovabil Teknoloji A.Ş. (Netkasam App), sektördeki lider güvenlik standartlarına uygun olarak, erişilen, toplanan, kullanılan, depolanan veya iletilen bilgilerin güvenliğini ve gizliliğini sağlamak için fiziksel, idari ve teknik önlemler ile diğer güvenlik tedbirlerini sürdürecektir. Bu önlemler, bilgilerin güvenlik ve bütünlüğüne yönelik bilinen veya makul şekilde tahmin edilebilecek tehditler veya tehlikelere, kazara kayıplara, değişikliklere, ifşa edilmesine ve diğer tüm yasa dışı işleme biçimlerine karşı koruma sağlar. İnovabil Teknoloji A.Ş. (Netkasam App), aşağıdaki gereksinimlere uymayı taahhüt eder:
1.1 Ağ Koruması
İnovabil Teknoloji A.Ş. (Netkasam App) sunucuları, yetkisiz IP adreslerine erişimi reddetmek için ağ güvenlik duvarları ve ağ erişim kontrol listeleri gibi ağ koruma kontrollerini uygular. Genel erişim, yetkili ve onaylanmış kullanıcılarla sınırlıdır.
1.2 Erişim Yönetimi
Amazon bilgilerine erişim, belirli görevleri yerine getirmek için erişim gerektiren kullanıcılara kesinlikle sınırlıdır ve erişim mümkün olduğunca yalnızca gerekli verilere sınırlıdır. Tüm kullanıcılar benzersizdir ve paylaşılan giriş yoktur. Erişim kayıt altına alınır ve izlenir. Çalışanlar, Amazon verilerine erişim sağladıklarında bir gerekçe belirtmelidir. Erişim gerekli olduğunda geri alınabilir ve düzenli olarak gözden geçirilir. Şirketten ayrıldıklarında erişim izinleri derhal iptal edilir. Amazon verileri çıkarılabilir cihazlarda saklanmasına izin verilmez, yalnızca toplam satış rakamları gibi anonimleştirilmiş veriler hariç tutulur. Hiçbir PII cihazlara indirilmez. Şirket, anormal kullanım kalıplarını ve giriş denemelerini tespit ederek hesap kilitlemeyi sürdürür ve gerekirse bilgiye erişim sağlayan hesapları devre dışı bırakır.
1.3 En Az Ayrıcalık İlkesi
Erişim, görevlerin yerine getirilmesi için gerekli temel bilgilere dayalı olarak geliştiricilere ve diğer çalışanlara belirli roller atamak için ince ayrıntılı erişim kontrolleri kullanılarak sağlanır.
1.4 Şifreler ve Kimlik Bilgileri Yönetimi
Şirket, sistemlere erişim için şifreler ve kimlik bilgileri konusunda minimum gereksinimler belirler. Bu gereksinimler şunlardır:
12 veya daha fazla karakter uzunluğunda şifre
1 gün minimum şifre yaşı
180 gün şifre son kullanma süresi
Geçersiz bir şifre ile 3 başarısız denemeden sonra geçici kilitlenme
Şifreler en az bir büyük harf, bir küçük harf, bir sayı ve bir özel karakter içermelidir
1.5 Transit Halindeki Verilerin Şifrelenmesi
İnovabil Teknoloji A.Ş. (Netkasam App) sistemlerinde ağ üzerinde taşınan veriler HTTPS ve SSH kullanılarak şifrelenir. Kullanılmayan verilerin bile transit halinde şifrelenmemesi durumları yoktur.
1.6 Risk Yönetimi ve Olay Müdahale Planı
Sunuculara yetkisiz erişim, veri tabanı korsanlığı veya veri sızıntısı durumunda, Amazon, olayın bildirilmesi için olaydan sonraki 24 saat içinde 3p-security@amazon.com ve security@amazon.com e-posta adreslerine bildirilir. Ardından, geliştirilen çalışma planını takip eder ve bir yanıt mekanizması oluştururuz; bu mekanizma güvenlik dışı ekipleri ve hukuk departmanını içerir. Ayrıca, «NIST SP 800-61: Bilgisayar Güvenliği Olay Yönetim Kılavuzu» veya «NIST SP 800-88: Medya Temizleme Kılavuzu» gibi önerilen kılavuzları kullanırız. Yerel yasa tarafından gerektirildiği takdirde, ilgili denetim otoritesine ve doğrudan etkilenen kişilere olayın tespitinden sonraki 72 saat içinde bildiririz. Olayın gelecekte tekrarlanmaması için, olayın açıklaması, olayı düzeltmek için izlenen süreç, sisteme uygulanan kontroller ve sorunu çözmek için uygulanan yeni süreçler belgelenir. Amazon, toplanan logların belgelerine erişim talep ederse, bunlar hemen kullanılabilir hale getirilecektir. Hiçbir durumda geliştiriciler, Amazon tarafından yazılı olarak istenmedikçe herhangi bir otoriteye veya müşteriye Amazon adına konuşmayacaktır.
1.7 Silme veya İade Talebi
Amazon’un talebinden itibaren 72 saat içinde, İnovabil Teknoloji A.Ş. (Netkasam App), Amazon’un bilgi silme ve iade talebine uygun olarak Amazon Bilgilerini kalıcı ve güvenli bir şekilde (NIST SP 800-88: Medya Temizleme Kılavuzuna uygun olarak) silecektir veya iade edecektir. İnovabil Teknoloji A.Ş. (Netkasam App), Amazon’un bildiriminden sonra 90 gün içinde tüm canlı Amazon Bilgilerini kalıcı ve güvenli bir şekilde silecektir. Amazon talep ederse, İnovabil Teknoloji A.Ş. (Netkasam App), tüm Amazon Bilgilerinin güvenli bir şekilde yok edildiğini yazılı olarak teyit edecektir.
2. KİŞİSEL OLARAK TANIMLANABİLİR BİLGİLERE ÖZGÜ EK GÜVENLİK GEREKSİNİMLERİ
2.1 Veri Saklama
Amazon PII, İnovabil Teknoloji A.Ş. (Netkasam App) tarafından yalnızca müşteri siparişlerinin yönetimi, gönderimleri ve vergi faturalarının düzenlenmesi amacıyla özel olarak barındırılan Veritabanı Sunucularında saklanır. Amazon PII, bir siparişin yerine getirilmesinden sonraki 30 gün içinde İnovabil Teknoloji A.Ş. (Netkasam App)’nin veritabanlarından kaldırılır. Günlüklerde veya diğer dosyalarda Amazon PII saklanmaz. Amazon PII, yalnızca yasaların gerektirdiği durumlarda ve yalnızca bu yasaya uyum sağlamak amacıyla 30 günden fazla kalabilir.
2.2 Veri Yönetimi
İnovabil Teknoloji A.Ş. (Netkasam App), yazılım ve fiziksel varlıkların nasıl envanterde tutulduğunu ve bu varlıkların yeniden atanması, eklenmesi veya iade edilmesiyle nasıl güncellendiğini tanımlayan bir varlık yönetim politikası bulunmaktadır. Ayrıca, varlıkların yeniden atanması veya envanterden çıkarılması durumunda veri temizleme prosedürlerini belirtir. Bu her 6 ayda bir gözden geçirilir ve tam bir varlık envanteri yapılır. İnovabil Teknoloji A.Ş. (Netkasam App), ayrıca tüm geçerli veri gizliliği düzenlemelerine uyum sağladığımızı belirten herkese açık bir gizlilik politikasına sahiptir.
2.3 Varlık Yönetimi
Şirket, PII erişimi olan yazılım ve fiziksel varlıkların envanterini tutar ve her 3 ayda bir günceller. PII'yi saklayan, işleyen veya başka bir şekilde ele alan fiziksel varlıklar bu politikada belirtilen tüm gereksinimlere uyacaktır. Şirket, PII'yi taşınabilir medyada, kişisel cihazlarda veya güvensiz genel bulut uygulamalarında saklamayacaktır. PII içeren basılı belgeler güvenli bir şekilde imha edilecektir.
2.4 Hareketsiz Haldeki Verilerin Şifrelenmesi
Tüm Amazon PII, sektör standardı AES-128 şifreleme kullanılarak hareketsiz halde şifrelenir. Amazon PII'nin harici medyada veya güvensiz Bulut uygulamalarında saklanmasına izin verilmez. Hareketsiz haldeki PII'yi şifrelemek için kullanılan tüm kriptografik materyaller ve kriptografik yetenekler yalnızca İnovabil Teknoloji A.Ş. (Netkasam App) sistemi ve geliştirici süreçleri ve hizmetleri tarafından erişilebilir durumdadır.
2.5 Güvenli Kodlama Uygulamaları
Geliştiriciler, uygulama kodunda veya kamuya açık depolarda anahtarlar, kimlik bilgileri veya şifreleri asla kaydetmeyecek veya saklamayacak ve geliştirme ve üretim ortamlarını her zaman ayrı tutacaktır.
2.6 Günlük Kaydı ve İzleme
Her gün bir iç işlem günlük dosyası oluşturulur ve anomali çözülene kadar, günlük kaydedildikten sonra 90 günden önce olmamak üzere yönetici kullanıcı tarafından manuel olarak temizlenir. İnovabil Teknoloji A.Ş. (Netkasam App) Sistemlerinde hiçbir yerde PII kaydedilmez. Kod değişiklikleri belirli kullanıcılara kaydedilir. API günlükleri, özel olarak barındırılan bulut sunucularımızdaki veritabanlarında saklanır. Yetkisiz erişim veya beklenmedik istek oranları işaretlenir ve şüpheli etkinlikler, olay müdahale planında ayrıntıları verilen bir soruşturmayı başlatacak olan sistem yöneticileri tarafından izlenir.
2.7 Zafiyet Yönetimi
Organizasyonumuz, sistemdeki zayıf noktaları tespit etmek, düzeltmek ve gidermek için tasarlanmış bir çalışma planına sahiptir. Dahili bir görev yöneticisi (Monday) aracılığıyla, geliştiriciler sistemde bulunan herhangi bir zayıf noktayı belirtir ve bunları öncelik ve ciddiyetlerine göre sınıflandırarak geliştirme ekibinin üyelerinin farkında olmasını sağlar. Zayıflığın ciddiyetine bağlı olarak, düzeltme önceliklendirilir ve en kritik durumlarda derhal harekete geçilir. Her olay bildirimi, bildirimi yapan kullanıcı tarafından kimliklendirilir, tarih ve saat ile diğer son derece ilgili parametreler kaydedilir. Her türlü yazılım veya donanım değişikliği, ekip içindeki geliştiriciler tarafından test edilir, doğrulanır ve onaylanır. Bulgunun düzeltilmesinden sonra, organizasyonun geliştiricileri, sorunun tamamen çözüldüğünü doğrulamak için birkaç hafta boyunca kapsamlı bir şekilde takip eder. En fazla 180 gün ara ile kapsamlı bir zafiyet analizi gerçekleştirilir. Diğer yandan, her 365 gün içinde en fazla birkaç sistem penetrasyon testi yapılır. Olaylar tespit edilirse, ekip hemen düzeltme ve çözüm üzerinde çalışır.
3. DENETİM VE DEĞERLENDİRME
İnovabil Teknoloji A.Ş. (Netkasam App), Amazon’a talep edilmesi halinde AUP, DDP ve Amazon Marketplace Geliştirici Sözleşmesi’ne uyumu göstermek için gerekli kayıtları sağlayacaktır. Bu, Amazon ile anlaşmamız süresince ve sonrasında 12 ay boyunca geçerlidir. İnovabil Teknoloji A.Ş. (Netkasam App), Amazon tarafından atanan herhangi bir denetçiyle tam işbirliği yapacak ve bunların İnovabil Teknoloji A.Ş. (Netkasam App)’nin başvurusu ile ilgili bilgilerin alınması, depolanması veya işlenmesi sırasında kullanılan tüm sistemlerin kitaplarını, kayıtlarını, tesislerini, operasyonlarını ve güvenliğini denetlemesine izin verecektir. Herhangi bir denetim sırasında belirlenen ihlaller, başarısızlıklar veya eksiklikler, İnovabil Teknoloji A.Ş. (Netkasam App) tarafından belirlenen süre içinde ve kendi masraflarıyla düzeltilecektir.