Bilgi Güvenliği Politikası

Amacımız; bbqsepeti.com bünyesinde oluşturulan, işlenen, saklanan veya aktarılan tüm bilgi varlıklarını yetkisiz erişim, değişiklik, kayıp, ifşa ve hizmet kesintilerine karşı korumaktır.

Bu politika; risk temelli güvenlik yaklaşımının benimsenmesini, güvenlik kontrollerinin uygulanmasını ve güvenlik farkındalığının kurum kültürünün bir parçası olmasını hedefler.

• Web sitesi, uygulamalar, altyapı servisleri, bulut/hizmet sağlayıcı bileşenleri
• Kurumsal ağ, uç noktalar, kullanıcı hesapları, yetkilendirme mekanizmaları
• Müşteri/iş ortağı verileri, operasyonel kayıtlar, sözleşmeler ve raporlar
• Ödeme, sipariş, lojistik ve müşteri destek süreçlerindeki bilgi akışları
• Fiziksel ortamda tutulan belgeler, cihazlar ve erişim alanları

Politikamız, Cems Turkey Ev ve Bahçe Malz Tic Ltd Şti çalışanlarını, yüklenicileri ve kurumsal bilgiye erişen tüm üçüncü tarafları kapsar.

• Gizlilik: Bilgiye yalnız yetkili kişilerin erişmesi
• Bütünlük: Bilginin doğruluğu ve değişmezliğinin korunması
• Erişilebilirlik: Yetkili kullanıcıların bilgiye gerektiğinde erişebilmesi
• Asgari Yetki: Kullanıcılara yalnız ihtiyaç duydukları yetkilerin verilmesi
• Risk Odaklı Yönetim: Risklerin belirlenmesi, önceliklendirilmesi ve kontrol edilmesi
• Süreklilik: Olaylara karşı hazırlık ve operasyonun sürdürülebilirliği

Bilgi güvenliği; yönetim, süreç sahipleri ve tüm çalışanların ortak sorumluluğudur. Yetkilendirmeler rol bazlı yapılır; görev değişikliklerinde ve ayrılışlarda erişimler gözden geçirilir.

• Yönetim: Politika onayı, kaynak tahsisi, risk yönetişimi
• Süreç Sahipleri: İş süreçlerinde güvenlik kontrollerinin uygulanması
• BT / Operasyon: Teknik kontrollerin işletimi, izleme ve iyileştirme
• Çalışanlar/Üçüncü Taraflar: Politika ve prosedürlere uyum

• Rol bazlı yetkilendirme ve asgari yetki prensibi uygulanır.
• Hesaplar, görev değişiklikleri ve ayrılışlarda düzenli olarak gözden geçirilir.
• Parola politikaları, kritik sistemlerde ek doğrulama yöntemleri ve oturum güvenliği kontrolleri uygulanır.
• Yetkisiz erişim denemeleri izlenir ve gerektiğinde kısıtlamalar devreye alınır.

Bilgi varlıkları; iş etkisi ve hassasiyetine göre sınıflandırılır (örn. genel, iç kullanım, gizli). Saklama süreleri; iş ihtiyacı, sözleşmesel yükümlülükler ve mevzuat gereklilikleri dikkate alınarak belirlenir.

• Gereksiz veri tutulmaz; amaçla sınırlı işlenir.
• Yetkisiz erişimi azaltmak için erişimler ve paylaşım kanalları kontrol edilir.
• İmha/anonimleştirme süreçleri tanımlı kurallarla yürütülür.

Sistemlerdeki değişiklikler kontrollü biçimde planlanır; kritik güncellemeler ve güvenlik yamaları önceliklendirilir. Zafiyetler risk seviyesine göre ele alınır ve düzeltici/önleyici faaliyetler takip edilir.

• Değişiklikler mümkün olduğunda test ve doğrulama süreçlerinden geçirilir.
• Kritik riskler için hızlandırılmış aksiyon planları uygulanır.
• Üçüncü taraf bileşenler/hizmetler güvenlik açısından değerlendirilir.

Güvenlik olayları; tespit, sınıflandırma, müdahale, iyileştirme ve raporlama adımlarından oluşan süreçlerle ele alınır. İş sürekliliği için kritik veriler ve sistemler, iş ihtiyaçlarına göre yedeklenir ve geri dönüş planları hazırlanır.

• Olayların tekrarını önlemek için kök neden analizi yapılır.
• Kesinti ve kayıp riskini azaltmak için operasyonel kontroller uygulanır.
• Gerekli durumlarda ilgili paydaşlara bilgilendirme yapılır.

Hizmet sağlayıcılar ve tedarikçiler; erişim kapsamı, veri işleme niteliği ve operasyonel kritikliği dikkate alınarak değerlendirilir. Uygun durumlarda sözleşmelerle güvenlik gereksinimleri tanımlanır ve izlenir.

• Gereksiz veri paylaşımı yapılmaz; paylaşım amaçla sınırlıdır.
• Erişimler kontrollü verilir; gerektiğinde kısıtlanır ve kayıt altına alınır.
• Hizmet sürekliliği ve güvenlik taahhütleri sözleşmesel çerçevede ele alınır.

Bilgi güvenliği uygulamalarımız; ilgili mevzuat, sözleşmesel yükümlülükler ve iş gereksinimleri doğrultusunda ele alınır. Süreçler ve kontroller, gerektiğinde iç değerlendirmelerle gözden geçirilir ve iyileştirilir.

Çalışanlar ve ilgili paydaşlar; güvenli kullanım, kimlik avı farkındalığı, veri koruma ve olay bildirim süreçleri gibi konularda bilgilendirilir. Farkındalık çalışmaları, işin ihtiyaçlarına göre düzenli olarak güncellenir.

Güvenlik ile ilgili bildirim, soru ve taleplerinizi aşağıdaki kanal üzerinden iletebilirsiniz:

E-posta: [email protected]

Lütfen bildiriminizde mümkünse ilgili sayfa/işlem, tarih-saat aralığı ve gözlemlerinizi paylaşın. Bildirimler değerlendirildikten sonra uygun aksiyonlar planlanır.

Politika; iş süreçlerindeki değişiklikler, risk değerlendirmeleri ve mevzuat/standart güncellemeleri doğrultusunda gözden geçirilir. Yayınlanan güncel metin, bbqsepeti.com üzerinde duyurulur.