Bilgi Güvenliği Politikası

AMAÇ

Bu politika, Şirket bünyesindeki bilgi sistemlerinin ve verilerin gizlilik, bütünlük ve erişilebilirliğini sağlayacak önlemlere ilişkin kontrol altyapısının geliştirilmesi ve düzenli olarak güncellenmesi çalışmalarını gözetim altında tutmayı amaçlar.

KAPSAM

Bilgi işlem ilgili diğer önemli varlıklar gibi bir kuruluşun faaliyetleri açısından gerekli olan ve bunun neticesinde de uygun bir şekilde korunması gereken bir varlıktır. Bilgi varlıklarının güvenliği Şirket tarafından tanımlanmış politikalar doğrultusunda sağlanır. Bilgi güvenliğinin amacı; bilgiye yetkisiz erişimin engellenmesi (Gizlilik),  bilginin ve bilgi varlıklarının tam ve eksiksiz olması, doğru olması ve uygunsuz biçimde değiştirilmemesi (Bütünlük) ve yetkili kullanıcıların ihtiyaç duydukları veriye ihtiyaç duydukları zaman erişebilmesinin (Erişilebilirlik) sağlanmasıdır.

Bilgi Güvenliği Politikası Şirket’in tüm birimlerine ve hizmet sağlayıcılarına uygulanır.

Şirket’in Bilgi Güvenliği Yönetim Süreci’nin hedefi Şirket tarafından üretilen, işlenen, saklanan bilginin gizliliğini, bütünlüğünü ve erişilebilirliğini sağlamak amacıyla bilgi varlıkları envanterini çıkarmak, risk değerlendirmesi yapmak, kontrolleri hayata geçirmek ve uygulanan kontrollerin etkinliklerini gözden geçirmektir.

BİLGİ SİSTEMLERİ YÖNETİMİNE İLİŞKİN TEMEL İLKELER

  • Bilgi sistemlerinin yapısının, Şirket’in ölçeği, faaliyetlerin ve sunulan ürünlerin niteliği, çeşitliliği ve stratejik hedefleri ile uyumlu olması; bilgi sistemleri ile içerdiği verinin güvenilir, doğru, eksiksiz, izlenebilir, tutarlı, erişilebilir ve ihtiyaçları karşılayacak nitelikte oluşturulması esastır. Bilgi sistemleri asgari olarak;
    • Şirket’le ilgili tüm bilgilerin yurt içinde elektronik ortamda güvenli ve istenildiği an erişime imkân sağlayacak şekilde saklanılmasına veya yedeklenmesine ve kullanılmasına,
    • Sızma ve stres testlerinin yapılabilmesine,
    • İşlenen kayıtların Faktöring şirketleri Bilgi Sistemleri Yönetimi ve denetimine, Kamu Gözetimi, Bankacılık Düzenleme Denetleme Kurumu, Muhasebe ve Denetim Standartları Kurulu tarafından belirlenen usul ve esaslara uygun şekilde işlenmesine imkân verecek yapıda tesis edilir.
  • Bilgi sistemlerinin sürekli biçimde işlerliğini sağlamak üzere İş Süreklilik/Acil Durum Planları oluşturulur. Söz konusu planların işlerliği ve yeterliliği düzenli olarak test edilir; ihtiyaç duyulması halinde gerekli tedbirler alınır. İş sürekliliği/acil durumun planlanmasında, kritik bilgi teknolojileri varlıkları ile süreçleri belirlenir; bunlara ilişkin iş etki analizi ile risk değerlendirmesi yapılır.
  • Bilgi sistemleri ile içerdiği verinin güvenli biçimde saklanması esastır. Bu çerçevede, veriler, güvenlik hassasiyet derecelerine göre sınıflandırılır, her bir sınıf için uygun düzeyde güvenlik kontrolleri tesis edilir ve buna göre yedeklenir. Bilgi sistemlerinin güvenliği ve yedekleme sistemlerinin işleyişi düzenli olarak test edilir ve test sonuçlarına göre ihtiyaç duyulması halinde gerekli değişiklikler yapılır.
  • Bilgi güvenliğinin temininde ve Şirket’in bilgi sistemlerine erişimde, kimlik doğrulama ve yetkilendirme mekanizmaları ile inkâr edilemezlik ve sorumluluk atama imkânlarını içeren teknikler kullanılır.
  • Bilgi sistemlerinin geliştirilmesi, test edilmesi ve işletilmesi süreçlerinde görevler ayrılığı ilkesi uygulanır. Bilgi sistemleri yönetim sürecinde görev alan bölüm ve çalışanların görev, yetki ve sorumlulukları görevler ayrılığı ilkesine uygun belirlenir.
  • Faaliyetlerin yürütülmesi sırasında bilgi sistemleri aracılığıyla edinilen ve saklanan müşteri ve Şirket bilgilerinin gizliliğini sağlamak esastır. Müşteri bilgilerinin, yasalarla yetkili kılınmış merciler dışındaki taraflarla paylaşımına ilişkin personele taahhütnameler imzalatılarak belirlenir.
  • Bilgi sistemleri kullanılarak gerçekleştirilen ve şirket faaliyetlerine ait kayıtlarda değişikliğe neden olan işlemlere ilişkin olarak yeterli detayda ve açıklıkta denetim izleri oluşturulur. Denetim izlerinin bütünlüğünün bozulmasının önlenmesi ve herhangi bir bozulma durumunda bunun tespit edilebilmesi için gerekli tedbirler alınır.
  • Uygulamaya konulan bilgi sistemlerinin işleyişi, stratejik hedeflere uygunluğu, kontrollerin etkinliği ve yeterliliği, bilgi teknolojilerindeki gelişmeler de göz önüne alınarak düzenli olarak izlenir. Yeni bilgi sistemlerinin Şirket’te uygulanmasının, Şirket’in risk profili üzerinde yaratacağı etki değerlendirilir. Bu çerçevede, gerek duyulması halinde, bilgi sistemleri işleyişi revize edilir.

Şirket Bilgi Güvenliği Politikası ile

  • Kişisel bilginin mahremiyetinin korunmasını sağlamak amacıyla müşteri ve personel bilgilerinin gizliliğini korur.
  • Bilginin bütünlüğünü koruyacak ve sürekli erişilebilirliğini garanti altına alacak altyapıyı ve kontrolleri hayata geçirir.
  • Tasarım, geliştirme, test ve uygulama süreçlerinde görevler ayrılığı prensibine uygun yetkilendirmeyi sağlar ve kritik işlemlerde onay mekanizması tesis eder.
  • Geliştirme, Test ve Üretim ortamlarının fiziksel ve mantıksal olarak ayrılmasını sağlar.
  • Kullanıcıların yetkilendirilmesinde gerekli olan minimum yetkilendirme prensibinin sağlanması ve yetkilerin düzenli olarak kontrol edilmesini sağlar.
  • Dış ağlardan gelebilecek tehditlere karşı ağ güvenliğini tesis eder.
  • Katmanlı güvenlik mimarisini tesis eder ve sürekli gözetimini sağlar.
  • Verilerinin ve kişisel bilgilerin iletilmesinde ve saklanmasında şifreleme, maskeleme gibi güvenliği sağlayacak tedbirlerin alınmasını sağlar.
  • Kullanılan şifreleme anahtarlarının güvenilirliğini sağlar.
  • Bilgi güvenliği faaliyetlerinin yönetilmesini ve koordinasyonunu sağlamak amacıyla bir bilgi güvenliği organizasyonu oluşturur.
  • Bilgi varlıkları envanterini çıkarır, sahiplikleri belirler ve bilgi varlıkları üzerindeki riskleri yönetir.
  • Bilgi güvenliği olaylarının tespit edilmesi, raporlanması ve tekrarının önlenmesi adımlarını içeren bilgi güvenliği olay yönetimi faaliyetleri gerçekleştirir.
  • Tüm personele yeterli seviyede farkındalık programı uygular ve bilgi güvenliği gerekliliklerinin karşılanması için tüm çalışanların katılımını sağlar.
  • Bilginin işlendiği alanlarda bilginin güvenliğinin sağlanabilmesi amacıyla gerekli fiziksel ve çevresel güvenlik önlemlerini alır.
  • Bilgi sistemleri edinim, geliştirme ve bakımında güvenlik gerekliliklerinin neler olduğunu belirler ve hayata geçirir.
  • Belirlenen bilgi güvenliği politikalarına, süreçlerine, yasal ve düzenleyici zorunluluklara çalışanların uymalarını yazılı taahhütlerini alarak zorunlu tutar.
  • Bilgiye erişimi kontrol etmek ve yetkisiz erişimleri önlemek için ilgili tüm alanlarda gerekli güvenlik kontrollerini hayata geçirir.
  • Bilgi sistemleri faaliyetlerinin işletilmesinde gerekli güvenlik kontrolleri uygular, buna yönelik rol ve sorumlulukları tanımlar.

BİLGİ GÜVENLİĞİ İHLAL OLAYLARI VE OLAYLARIN İZLENMESİ

Bilgi sistemleri altyapısını etkileyen ve bir kısmının veya tamamının çalışamamasında etken olan yazılım, donanım ve insan kaynağı bileşenleri ile ilgili her türlü durum güvenlik olayı olarak tanımlanmaktadır. Bilgi güvenliği olaylarının tespit edilmesi amacı ile güvenlik duvarı aygıtları kullanılmakta ve uygulamadan alınan raporlar günlük olarak gözden geçirilmektedir.  Güvenlik olayları ile ilgili alınacak olan aksiyonlar, olayların sıklığına, sistemler üzerindeki etkisine ve oluşturduğu riske göre belirlenir.

Bilgi güvenliği ihlallerinin tespit edilmesi halinde bildirilmesi bütün şirket çalışanlarının sorumluluğundadır. Olayların kayıt altına alınması, incelenmesi, yönetilmesi ve aksiyon alınması süreçlerindeki sorumluluklar, Bilgi Güvenliği Rol ve Sorumluluklar Prosedüründe belirtildiği üzere Bilgi Güvenliği Yöneticisindedir.

Bilgi güvenliği olayları tüm bilgi sistemleri bileşenlerini kapsamakta olup, aşağıda verilen örneklerle sınırlı değildir.

  1. Yazılımda meydana gelen güvenlik açıkları: Kullanılmakta olan iç veya dış kaynaklı yazılımların yetkisiz erişime veya işleme neden olması durumunda, tespit eden kullanıcı bu durumu derhal ilgililere bildirir.
  2. Virüs veya trojan bulaşması: Anti virüs programının devre dışı kalması veya temizleyemediği bir virüsün veya trojanın (Truva atı) sisteme girmesi durumunda anti virüs programı bu durumu e-posta ile Bilgi İşlem Departmanı’na bildirir. Temizlenemeyen bir virüs bulaşması durumunda bilgisayarın ağ bağlantısı kesilerek başka bilgisayarlara bulaşmasına engel olunur. Virüs bir servis vasıtasıyla ağda yayılıyorsa bu servis firewall’ da (güvenlik duvarı) kapatılır.
  3. Şifrenin yetkisiz kişilerin eline geçmesi: Kullanıcı şifresinin başkası tarafından öğrenilmesi durumunda kullanıcı durumu derhal ilgililere (Bilgi Güvenliği Yöneticisi ve/veya Bilgi İşlem Departmanı) bildirmektedir. Kullanıcı hesabı en kısa sürede bloke edilir ve oturum süresinde yapılan aktiviteler kontrol edilir.
  4. Siber Saldırılar: Şirket servislerine erişme, devre dışı bırakma ve şirket varlıklarını deşifre etme, yok etme, değiştirme ve erişilemez kılma amacı ile gerçekleştirilen yetkisiz kullanım girişimleridir. Siber saldırı ile karşılaşılması halinde alınacak aksiyon saldırının kaynağını tespit etmek ve tespit edilen kaynağı devre dışı bırakmaktır. Siber saldırıların önlenmesi için sızma testi yaptırılmakta ve önemli güvenlik açıkları tespit edilerek güvenlik açıklarına iyileştirme çalışmaları yapılmaktadır.
  5. Hassas bilgilerin veya yedeklerin çalınması: Gizli olarak sınıflandırılan bilgilerin ya da sistem yedeklerinin çalınması durumudur. Bu durumu tespit eden kullanıcı, durumu derhal ilgililere (Bilgi Güvenliği Yöneticisi ve/veya Bilgi İşlem Departmanı) bildirir. Veri Sahibi ile iletişime geçilerek kaybın kök nedeni analiz edilir, etkileri değerlendirilir ve aksiyon planı oluşturulur.
  6. Hizmet alınan firmanın veya elemanının şirket sırlarını ifşa etmesi: Dış hizmet alımı sözleşmesi kapsamında sistemlere erişim yetkilerine sahip olan hizmet firmasının bu bilgileri sözleşme hükümlerinin aksine bir şekilde kamuya açıklaması veya üçüncü kişilerle paylaşması durumudur. Disiplin süreci veya hukuki süreç başlatılır.

Şirket bünyesinde bilgi güvenliği olaylarının tespit edilmesi, değerlendirilmesi ve olaylara ilişkin aksiyon planı oluşturulması ve kontroller temel alınarak, yılık olarak Yönetim Kuruluna sunulmak üzere Bilgi Güvenliği İhlal Olayı Kaydı oluşturulmaktadır. Rapor, Bilgi Teknolojileri ve İç Kontrol/İç Denetim bölümleri tarafından hazırlanmakta olup yıl içerisinde gerçekleşen bilgi güvenliği sürecine uyum durumunun, bilgi güvenliği ihlaline ilişkin olayların tespit edilmesi, raporlanması ve ilgili aksiyonun alınması amacı ile oluşturulan kontroller kapsamında belirlenen ihlallerin kayıtları, değerlendirmesi ve ihlallere karşı alınan aksiyon planından oluşmaktadır. Rapor kapsamı, bilgi güvenliği uyumu, fiziksel güvenlik, veri güvenliği,  yetkisiz erişim teşebbüsleri, denetim izleri, siber olaylar ve ihlal olaylarından oluşmaktadır. Rapor içeriğinde her bir alt başlık için yapılan kontrollerin sonucunda tespit edilen ihlal kayıtları, güvenlik ihlallerinin istatistiksel değerlendirmeleri ve ihlaller için alınacak olan aksiyon planı bulunmaktadır.

Kişisel Verilerin Korunması Kanunu Kapsamında Bilgilendirme

Değerli Müşterilerimiz; Kişisel Verilerin Korunması Kanunu ile ilgili olarak sizleri özel nitelikli kişisel verileriniz de dahil olmak üzere kişisel verilerinizin işlenmesi konusunda bilgilendirmek ve aydınlatmak isteriz.

6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) hükümleri gereği kimliğinizi belirli veya belirlenebilir kılan her türlü bilginiz, özel nitelikli kişisel verileriniz de dahil olmak üzere, Kişisel Veri olarak aşağıdaki kapsamda, Veri Sorumlusu sıfatıyla ARENA FİNANS FAKTORİNG A.Ş. tarafından işlenecektir. “Kişisel verilerinizin işlenmesi” ise bu verilerin elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi ifade etmektedir.

ARENA FİNANS FAKTORİNG A.Ş. olarak kişisel verilerinizin güvenliğine en üst düzeyde önem vererek, sizlere sunduğumuz tüm ürün ve hizmetlerimizde kişisel verilerinizin güvenliğinin ön planda olduğu bilinciyle faaliyetlerimize devam ettiğimizi belirtmek isteriz.

Kişisel verilerinizin faktoring işlemleriniz için kullanılması, özel hayatınızın gizliliği ve temel hak ve özgürlüklerinizin korunması temel prensibimizdir.

Kişisel verilerinizin işlenme amaçları ve hukuki sebepleri:

6361 sayılı Finansal Kiralama, Faktoring ve Finansman Şirketleri Kanunu, 5411 sayılı Bankacılık Kanunu ve ilgili mevzuat kapsamında sizlere sunulacak her türlü ürün ve hizmetlerde kullanılmak, faktoring faaliyetlerimizi gerçekleştirebilmek, bu kapsamda her türlü iş ve işlemin sahibini ve muhatabını belirlemek üzere bilgilerin tespiti için KVKK kapsamında kişisel veri olarak nitelendirilen kimlik bilgileriniz, adres, telefon numaranız, Şirketimiz nezdindeki hesaplarınıza ilişkin tüm bilgileriniz ve biyometrik verilerinizi, vergi numaranız ve diğer bilgilerinizi kaydetmek, kağıt üzerinde veya elektronik ortamda gerçekleştirilecek iş ve işlemlere dayanak olacak bilgi ve belgeleri düzenlemek, ilgili mevzuat uyarınca adli ve idari tüm yetkili mercilerce (mahkemeler, BDDK, SPK, TCMB, MASAK, GİB, KKB, FKB, TBB gibi) öngörülen bilgi saklama, raporlama ve bilgilendirme yükümlülüklerine uymak, 6361 sayılı Finansal Kiralama, Faktoring ve Finansman Şirketleri Kanunu ve 5411 sayılı Bankacılık Kanunu kapsamındaki faktoring faaliyetlerimizi yerine getirebilmek, Şirketimizce sunulan veya talep edilen başkaca ürün ve hizmetlerimizi sunabilmek, tarafınızla imza edilen sözleşmenin gereğini yerine getirmek, güvenlik ile suçun önlenmesi gibi meşru menfaatlerimizi yerine getirmek olarak sıralanabilecektir.

Kişisel verilerinizin aktarılması:

Yukarıda özetle sıralanan amaçlarla Şirketimiz nezdinde bulunan kişisel verileriniz; 6361 sayılı Finansal Kiralama, Faktoring ve Finansman Şirketleri Kanunu ve 5411 sayılı Bankacılık Kanunu ile diğer kanun ve sair mevzuat hükümlerinin zorunlu kıldığı/izin verdiği kişi, kurum ve/veya kuruluşlara, bunlarla sınırlı olmamak üzere 5411 sayılı Bankacılık Kanunu 73. maddesinin 4. fıkrasında sayılan finansal kuruluşlar ile diğer 3. kişilere, BDDK, SPK, TCMB, GİB, SGK, MASAK, KKB, FİNDEKS gibi kişisel verileri alma yetkisi bulunan kamu tüzel kişilerine, otoritelere, ana hissedarımız ile onun iştiraklerine ve ana hissedarına, yurtiçi/yurtdışı iştiraklerimize; aracılık/acentelik sıfatıyla faaliyet yürütülen şirketlere, faktoring faaliyetlerimizi yürütmek üzere hizmet alınan üçüncü taraflara, işbirliği yaptığımız, program ortağı kurum, kuruluş, yurtiçi/yurtdışı bankalar/faktoring şirketleri, fonlar, işbirliği yapılan kuruluşlara, hizmet/destek/danışmanlık alınan ya da proje/program/finansman ortağı olunan yurtiçi/yurtdışı/uluslararası kuruluşlar ile bağımsız denetim ve destek hizmeti alınan kuruluşlara hukuki zorunluluklar nedeniyle ve yasal sınırlamalar çerçevesinde aktarılabilecektir.

Kişisel verilerinizin toplanma yöntemi:

Kişisel verileriniz 6361 sayılı Finansal Kiralama, Faktoring ve Finansman Şirketleri Kanunu ve 5411 sayılı Bankacılık Kanunu ile diğer ilgili mevzuatlar uyarınca onay ve/veya imzanızla tanzim edilen faktoring işlemlerine ilişkin tüm sözleşmeler/bilgilendirme formları ve sair belgelerle, elektronik onay ve/veya imzanız ile yapacağınız bildirimlerle, Genel Müdürlük, bölgeler, şubeler ve internet sitemiz gibi kanallar aracılığıyla sözlü, yazılı veya elektronik ortamda olmak kaydıyla tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olarak otomatik olmayan, yurtiçi/yurtdışı iştiraklerimiz, işbirliği yaptığımız program ortağı kurum ve kuruluşlar, resmi kurumlar, yurtiçi/yurtdışı bankalar/faktoring şirketleri ve diğer 3. kişiler de dahil olmak üzere Şirketimiz dışından da elde edilebilecek şekilde çeşitli yöntemlerle toplanmaktadır.

Kanun’un 11. maddesi uyarınca haklarınız:

Şirketimize başvurmak suretiyle kişisel verilerinizin; I) işlenip işlenmediğini öğrenme, II) işlenmişse bilgi talep etme, III) işlenme amacını ve amacına uygun kullanılıp kullanılmadığını öğrenme, IV) yurt içinde / yurt dışında aktarıldığı 3. kişileri bilme, V) eksik / yanlış işlenmişse düzeltilmesini isteme, VI) KVKK’nın 7. maddesinde öngörülen şartlar çerçevesinde silinmesini / yok edilmesini isteme, VII) aktarıldığı 3. kişilere yukarıda sayılan (V) ve (VI) bentleri uyarınca yapılan işlemlerin bildirilmesini isteme, VIII) münhasıran otomatik sistemler ile analiz edilmesi nedeniyle aleyhinize bir sonucun ortaya çıkmasına itiraz etme, IX) kanuna aykırı olarak işlenmesi sebebiyle zarara uğramanız hâlinde zararın giderilmesini talep etme hakkına sahipsiniz.

Kanun’un 13. Maddesi uyarınca veri sorumlusuna başvuru haklarınız:

KVK Kanunu’nun 13’üncü maddesinin birinci fıkrası uyarınca; veri sorumlusu olan Şirketimize KVKK’nın uygulanmasına ilişkin her türlü talebin yazılı olarak veya Kişisel Verilerin Korunması Kurulu (“Kurul”) tarafından belirlenen diğer yöntemlerle iletilmesi gerekmektedir.

Tarafımıza iletilmiş olan başvurularınız KVKK’nın 13’üncü maddesinin 2’inci fıkrası gereğince, talebin niteliğine göre talebinizin bizlere ulaştığı tarihten itibaren otuz gün içinde yanıtlandırılacaktır. Yanıtlarımız ilgili KVKK’nın 13’üncü maddesi hükmü gereğince yazılı veya elektronik ortamdan tarafınıza ulaştırılacaktır.

 

Kanun kapsamında başvuru yapabileceğiniz veri sorumlusu:

Arena Finans Faktoring A.Ş.

Adres:Eski Büyükdere Caddesi İz Plaza Giz No: 9 Kat: 11 Maslak Sarıyer/İstanbul 
Mersis No: 0074048693600018

T:(212) 960 0505  F: (212) 960 0525

www.arenafinansfaktoring.com.tr

×

Bizimle İletişime Geçin

İstek, öneri ve şikayetlerinizi bize bildirebilirsiniz.

    Holler Box