Bilgi Güvenliği Politikası

Son Güncelleme: Mart 2026

Bu Bilgi Güvenliği Politikası, zimmettakip.com hizmetinin bilgi varlıklarını korumak ve KVKK kapsamında kişisel veri güvenliğini sağlamak amacıyla uygulanan temel güvenlik prensiplerini açıklamaktadır.

1. Amaç

Bu Politika; zimmettakip.com bulut tabanlı SaaS hizmetinin ve iş süreçlerinin bilgi varlıklarını korumak, kişisel verilerin gizlilik-bütünlük-erişilebilirliğini sağlamak ve KVKK m.12 kapsamındaki güvenlik yükümlülükleri doğrultusunda gerekli teknik ve idari tedbirleri tesis etmek amacıyla hazırlanmıştır.

2. Kapsam

Bu politika; Sağlayıcı’nın yönettiği tüm sistemleri, uygulamaları, ağ bileşenlerini, veri tabanlarını, yedekleri, log kayıtlarını, müşteri destek kanallarını ve Hizmet kapsamında işlenen tüm müşteri verilerini kapsar.

3. Roller ve sorumluluklar

3.1. Politika sahibi: Ragıp Aziz Şentürk (Sağlayıcı).

3.2. Erişim yetkilendirme: En az yetki prensibi ile yürütülür. KVKK rehberi; “izin verilmedikçe her şey yasaktır” yaklaşımına dikkat çeker.

3.3. Alt işleyen/tedarikçi yönetimi: Alt işleyenlerin güvenlik yeterliliği değerlendirilir; sözleşmesel güvenlik yükümlülükleri tesis edilir.

4. Risk yönetimi ve sınıflandırma

4.1. Düzenli aralıklarla risk analizi yapılır; veri kategorileri (kişisel veri türleri) ve olası ihlal etkileri dikkate alınır. Riskler düzenli olarak değerlendirilir ve gerekli önleyici kontroller uygulanır.

4.2. Özel nitelikli veri işlenmesi hedeflenmez; işlenmesi gerekiyorsa ilave tedbirler uygulanır.

5. Teknik kontroller

5.1. Ağ ve uygulama güvenliği: güncel yazılım/patch yönetimi, güvenli yapılandırma.

5.2. Şifreleme: TLS ile iletişim güvenliği; kritik verilerin şifreli saklanması.

5.3. Yedekleme: düzenli yedekleme, yedeklerin yetkisiz erişime karşı korunması, geri yükleme testleri.

5.4. Loglama ve izleme:

(a) Platform güvenlik/uygulama logları ilke olarak en fazla 90 gün saklanır.
(b) Silme/yok etme/anonimleştirme işlemlerine ilişkin kayıtlar en az 3 yıl saklanır.
(c) 5651 kapsamı doğarsa, yer sağlayıcı trafik bilgisi saklama süresi 1–2 yıl arası olacak şekilde ayrıca uyarlanır.

5.5. Erişim Güvenliği: sistem erişimleri rol ve yetki bazlı olarak sınırlandırılır.

6. İdari kontroller

6.1. Eğitim ve farkındalık: KVKK rehberi, çalışanların eğitimini ve farkındalık çalışmalarını kritik görür.

6.2. Gizlilik taahhütleri: Hizmet’e erişimi olan herkes için gizlilik yükümlülüğü tesis edilir.

6.3. Tedarikçi/alt işleyen ilişkileri: Sözleşme, erişim ve güvenlik denetimi uygulanır.

7. Olay yönetimi ve veri ihlali müdahalesi

7.1. Veri ihlali şüphesi halinde; izolasyon, delil koruma, etki analizi, kök neden analizi yürütülür.

7.2. Kurul’un 2019/10 sayılı kararı uyarınca; veri sorumlusu açısından Kurul’a bildirim için 72 saat yaklaşımı; ilgili kişilere ise makul en kısa sürede bildirim esası benimsenir. Veri işleyen, veri sorumlusuna gecikmeksizin bildirir.

7.3. Olay kayıtları, Kurul incelemesine hazır tutulacak şekilde dokümante edilir.

8. Politika gözden geçirme

Bu politika yılda en az 1 kez veya önemli bir değişiklik/olay sonrası gözden geçirilir.