| 1. AMAÇ |
| Bu politika, SAFYÜN DOKUMA .A.Ş. ve diğer organizasyonlar arasında gerçekleşebilecek herhangi bir bilgi kaybı, değişikliği veya yanlış kullanımı önlenmek amacıyla yazılmıştır. |
| |
| 2. KAPSAM |
| Bu politika çok önemlidir ve tüm organizasyon çalışanları için geçerlidir. Bu politika SAFYÜN DOKUMA .A.Ş.’nin ortağı olan organizasyonların yazılım, medya, elektronik alışveriş sistemleri ve herhangi diğer ofis ve iletişim sistemlerini kapsar. |
| |
| 3. UYGULAMA |
| 1. Organizasyon, elektronik transferlere yönelik muhasebe kayıtlarının tutulmakta olduğundan emin olmalıdır. Böylece kuruluşun kayıtları güncel olacaktır. |
| 2. Üçüncü taraflar için geliştirilmiş olan yazılımların, sadece bilgisayar kodu halinde dağıtılması gerekir. |
| 3. Organizasyonun yazılımlarını veya verilerini kullanmakta olan üçüncü taraflar, gerekli koruma ölçütlerini içeren bir yazılı sözleşme imzalamalıdır. Böylece üçüncü tarafların söz konusu bilgiyi izinsiz kullanması, değiştirmesi veya çoğaltması engellenmiş olacaktır. |
| 4. Elektronik ortamda sözleşmenin yapıldığı üçüncü taraflarla, kağıt üzerinde de anlaşma yapılmalıdır. Yazılı sözleşmeler en güvenli sözleşme biçimidir. |
| 5. Bilgi ve veri alışverişinden önce dış tarafların kimliklerinin tespit edilmesi gerekir. |
| 6. Üçüncü tarafa açılan tüm gizli bilgilerin kesinlikle şifrelenmesi gerekir. |
| 7. Gizli bilgilerin ülke dışına çıkartılması veya toplu taşıma ile transfer edilebilmesi için yetki gerekir. |
| 8. Bilginin uluslararası seyahati sırasında sadece yetkili çalışanların gizlilik içeren bilgiye erişimi vardır. |
| 9. Üçüncü taraflara yollanan bilgisayar ortamı yeni olmalı veya herhangi bir bilgi içermemelidir. |
| 10. Güncellenmelerin veya yeni ürünlerin yollanması için müşteri otorizasyonu (onayı) gerekir. |
| 11. Organizasyonun sahasında kullanılan şifreleme yöntemleri ve güvenlik sertifikaları standarda uyum sağlamalı ve finansal kurumların gerekliliklerini karşılamalıdır. |
| 12. Elektronik alışveriş yapmak üzere kuruluşlar arası bir ağ kurulmadan önce bir ticari ortaklık sözleşmesi imzalanmalıdır. |
| 13. Yetkisi olmayan çalışanlar tarafından gönderilen e–mailler, organizasyonu bağlamaz. |
| 14. İş iletişiminin sağlanması için sadece organizasyon tarafından yetkilendirilen çalışanların e–mail adresleri kullanılmalıdır. |
| 15. Organizasyon, yeni ürünler ile ilgilenmeyen müşterilerinin bir listesini tutmalıdır. Buradaki amaç organizasyonun müşterileri ile iyi ilişkiler kurmasının sağlanmasıdır. |
| 16. Tüm ödeme bilgileri, bilgisayar sistemine kayıt edilmeden önce şifrelenmelidir. |
| 17. Müşteriden gelen ödeme hakkındaki bilgiler müşterilere tam olarak yollanmamalıdır. Bilgi yollanırken hesap numarası v.b. bilgilerin belirli bir kısmını yollamak daha doğru olacaktır. |
| 18. Organizasyon, web sitesinin korunmasını ve elektronik ticaret standartlarına uyum göstermesini sağlayacaktır. |
| 19. Organizasyonun müşterileri, organizasyonun mailleşme listesinden isimlerini çıkartabilmek için ne yapmaları gerektiğini bilmelidir. |
| 20. Organizasyon, müşterilerini mail listesine eklemeden önce onlardan izin almalıdır. |
| 21. Organizasyon, müşterilerine, yapılan hesaplardaki doğruluğu gösterebilmek için yeterli bilgiyi vermelidir. |
| 22. Müşterilerin hesaplarında herhangi bir değişiklik olması durumunda bir müşterilerden onay talebi istenmelidir. |
| 23. Alışveriş sırasında kaydedilen bilgiler, transfer sırasında şifrelenmelidir. Böylece gizlilik içeren bilgiler, veri transferi sırasında istenmeyen taraflara geçmeyecektir. |
| 24. E – mail ile gönderilen her türlü hassas bilgi şifrelenmelidir. |
| 25. Gizli bilgiler sadece uygun data server’larda kayıt altına alınmalıdır. |
| 26. Yazılım yükleme veya yazılım güncellemelerini yapma ve sistem bakımını gerçekleştirme yetkisi sadece IT Ekibinindir. |
| 27. Kritik bir dosyada çeşitli değişikliklerin yapılması durumunda, dosyanın en az iki yedeği alınmalıdır. |
| 28. Organizasyon bir e – mail’in içeriğinde herhangi bir değişiklik yapılmasını yasaklamalıdır. |
| 29. Organizasyonda bilgi sistemleri aracılığı ile gönderilen mesajlar, saldırgan veya ayrımcılık içeren bildiriler içermemelidir. Organizasyonun bilgi sistemi sadece iş gereklilikleri için kullanılmalıdır. |
| 30. Tüm junk mailler, uygun faaliyetleri yürütecek olan e – mail yöneticisine gönderilmelidir. |
| 31. Bir e – mail’e gizlilik içermekte olduğuna dair bir not eklendiğinde, bu mesajı sadece e – mailin gönderildiği kişinin maili aldığından emin olunmalıdır. |
| 32. E – mail’lerde taranmış imzalar bulunmamalıdır. |
| 33. Organizasyonun çalışanları çeşitli tartışma gruplarına katılmamalıdır. |
| 34. E – mail yoluyla gönderilen bilgiler, bu bilginin kimden gelmekte olduğunu içermelidir. |
| 35. E – mail yoluyla gönderilen bilgiler, spesifik bir geri dönüş adresi içermelidir. |
| 36. Organizasyon, e – maillerin gönderilmesi ve imha edilmesi ile ilgili prosedürler içermelidir. |
| 37. Faks yoluyla gönderilen gizlilik içeren herhangi bir bilginin şifrelenmiş ve bir kapak sayfası ile kapatılmış olması gerekir. Bunlara ek olarak, alıcıların kendilerine bir faks gönderilmiş olduğu hakkında bilgilendirilmiş olması gerekir. |
| 38. Gizlilik içeren bilgiler, handsfree telefonlarda görüşülmemelidir. |
| 39. Organizasyon, bilgi sistemi vasıtasıyla gönderilmiş herhangi bir bilgiyi algılayabilmeli veya zararlı olabileceğini düşündüğü herhangi bir veriyi silme hakkında sahiptir. Böylece kuruluşun itibarını zedeleyebilecek illegal malzemenin transfer edilmesi veya depolanması engellenmiş olur. |
| 40. Bilgi sistemleri verilerini içeren tüm girdi/çıktı araçlarının, gizli bilgilerin akışını engelleyebilmek için IT Ekibi tarafından korunması gerekir. |
| 41. Silinebilir ortamlara kaydedilmiş olan gizli bilgilerin kullanımdan sonra etkin yöntemler kullanılarak silinmesi gerekir. |
| 42. Gizlilik içeren bilgiler telefon aracılığı ile paylaşılmamalıdır. |
| 43. Çalışanlar gizlilik içeren bilgileri telesekreterlere veya sesli mesajlaşma sistemlerine kayıt etmemelidir. |
| 44. Faturalama bilgilerini transfer edebilmek için umumi telefonların kullanılması durumunda, çalışanlar telefon kartlarını veya kredi kartlarını mümkün olduğu kadar telefonun numaralarından veya ahizesinden uzak tutmalıdır. |
| 45. Toplantılarda yapılan video konferanslar, yönetim veya katılımcılar tarafından izin verilmedikçe kayıt edilmemelidir. |
| 46. İşle ilgili tüm aramalar kuruluş telefonları kullanımı ile yapılmalıdır. |
| 47. Gizlilik içeren bilgilerin umumi yerlerde konuşulmaması gerekir. |
| 48. Organizasyona ait kredi kartı numaraları varsa, bu numaralar sadece kuruluş telefonu kullanıldığında, telefon aracılığı ile iletilebilir. |
| 49. Posta aracılığı ile gönderilen gizli bilgiler iki zarf içinde yollanmalıdır. Dış zarfta, içerideki bilginin hassaslığı ile ilgili hiç bir bilgi yazmamalı, ancak iç zarfta bilginin gizli olduğu belirtilmelidir. |
| 50. Kağıt üzerindeki gizli bilgilerin gönderilmesi durumunda, bilgilerin taahhütlü yollanması gerekir. |
| 51. İç dokümanlardaki herhangi bir değişiklik talebi, değişikliği talep eden kişinin kim olduğunu göstermelidir. |
| 52. Bilgi sistemleri sadece iş için kullanılmalıdır. |
| 53. Gizli bilgilerin cep telefonlarında veya telsizler aracılığı ile paylaşılması kesinlikle yasaktır. |
| 54. Kablosuz bağlantı ile gönderilen bilgilerin yollanmadan önce şifrelenmesi gerekir. |
| 55. Üçüncü taraflar, kuruluşta bir toplantıya katılmak durumunda olduklarında, bu kişilerin gizli bilgiler barındıran bölgelerde dolaşması engellenmelidir. |
| 56. Gizli bilgilerin bir toplantıda tartışılması durumunda, toplantı süresince, bu bilginin gizli olduğu ve dinleyenlerin bu bilginin gizliliğini korumaları gerektiği belirtilmelidir. |
| 57. Kuruluşun intranetine yerleştirilen her bilgi veya uygulama daha önceden yetkili kişiler tarafından onaylanmalı ve kuruluşun malı olarak kalmaya devam etmelidir. Bu bilgiler kuruluşun bilgileri olarak saklı tutulacaktır. |
| 58. Kuruluş içindeki donanım malzemelerin yerini değiştirmek için ilgili kişilerden IT Ekibinden izin alınmalıdır. |
| |
| 4. YAPTIRIM |
| Bu politikaya uygun olarak çalışmayan tüm personel hakkında Disiplin Prosedürü hükümleri uygulanır. |
