Bilgi ve Veri Güvenliği Politikası

1. Amaç ve Kapsam

Creasiv olarak, sunduğumuz teknoloji, yazılım, otomasyon ve tasarım hizmetlerinde bilgi güvenliğinin en üst düzeyde sağlanması kurumsal stratejilerimizin ayrılmaz bir parçasıdır. İşbu Bilgi Güvenliği Politikası; şirketimiz tarafından yönetilen tüm fiziksel ve dijital bilgilerin gizlilik, bütünlük ve erişilebilirlik (CIA Triad: Confidentiality, Integrity, Availability) prensipleri çerçevesinde korunmasını sağlamayı amaçlar.

Bu politika, tüm yöneticileri, tam zamanlı/yarı zamanlı çalışanları, yüklenicileri, tedarikçileri ve hizmet sunulan müşterilere ait verileri barındıran bilişim altyapılarını kapsar.

2. Bilgi Güvenliği Hedeflerimiz

• Bilgi varlıklarımıza yönelik iç ve dış kaynaklı, kasıtlı veya kazara oluşabilecek her türlü tehdidi zamanında tespit ederek bertaraf etmek.
• Veri sızıntılarını, yetkisiz değişiklikleri veya sistemlerin erişilemez duruma gelmesini engellemek üzere gerekli tüm teknik/idari altyapıyı güncel normlara göre tesis etmek (ISO 27001 gereksinimleri dahilinde).
• Hizmet sürekliliğini sağlamak (Business Continuity Plan - BCP) amacıyla veri yedekleme, felaket kurtarma senaryolarını canlı ve test edilmiş şekilde hazır tutmak.
• Düzenli olarak gerçekleştirilen güvenlik denetimleri sonucunda tespit edilen risk düzeylerini proaktif yöntemlerle minimum seviyeye çekmek.

3. Verilerin Korunması ve Teknik Önlemler

Veri güvenliğini temin etmek amacıyla sistemlerimizde aşağıdaki güvenlik teknikleri harfiyen uygulanır:

• Gelişmiş Şifreleme (Encryption): Sunucularda barındırılan müşteri verileri ve parolalar modern şifreleme algoritmaları (örn: AES-256) ile saklanır ("Data at Rest"). İstemci ile sunucu arasındaki tüm veri alışverişleri güvenli kanallar (SSL/TLS protokolleri) ile sağlanmaktadır ("Data in Transit").
• Yetkilendirme ve Kimlik Doğrulama: Kurum içi ve kurumsal müşteri panellerine yetkilendirme modelleri üzerinden Role Based Access Control (RBAC) ile erişilir. Kritik yönetimsel işlemler çoklu doğrulamalardan geçirilir.
• Sıfır Güven Mimarisi (Zero Trust): Kurum ağı üzerinde hiçbir cihaza peşinen güvenilmez, daimi kimlik ve yetki doğrulaması sağlanır.
• Ağ Güvenliği ve Trafik Analizi: Gelişmiş donanımsal ve yazılımsal güvenlik duvarları (Firewall) ile ağ trafiği anlık olarak denetlenerek izinsiz girişler engellenir.

4. Risk Yönetimi ve Değerlendirme

Creasiv, bilgi güvenliği risklerini altyapı değişikliklerinde ve periyodik aralıklarla yeniden değerlendirir. Belirlenen açıklar kritiklik seviyelerine göre puanlanır. Yüksek seviyeli risklere yönelik acil müdahale eylem planları anında devreye sokulur. Yazılım yaşam döngüsü süresince güvenli kodlama (Secure Coding Lifecycle) prensipleri benimsenmiş olup ürünler yayınlanmadan önce sıkı bir kontrol sürecinden geçer.

5. Olay Müdahalesi ve İhlal Bildirimi (Incident Response)

Şirket altyapısında veya dışarıdan sunulan bir serviste siber güvenlik ihlali şüphesi tespit edildiğinde, Olay Müdahale Ekibimiz derhal duruma el koyar. İlgili veri tabanları gerekirse izole edilir. Bir kişisel veri sızıntısı durumu halinde, yürürlükteki yasal mevzuat gereğince (örneğin KVKK Madde 12) ilgili resmi kurumlara ve veri sahiplerine yasal süresi (en geç 72 saat vb.) içinde şeffaf bildirimde bulunulur.

6. Personel Farkındalık Eğitimleri

En güçlü yazılımın dahi insan faktörüyle aşılabileceğinin bilinciyle, tüm takım arkadaşlarımız için "Bilgi Güvenliği Farkındalığı" ve "Güvenli İş İstasyonu Yönetimi" prosedürleri uygulanmaktadır. Personel gizlilik taahhütnameleri ile siber risk bilincinin en üst düzeyde tutulmasına özen gösterilir.

7. Uyumluluk ve İletişim

Tüm çalışanlar ve iş birliği yapılan üçüncü partiler, işbu Bilgi Güvenliği Politikası'nın hükümlerine uymayı taahhüt eder. Güvenliğe aykırı tüm bildirimlerinizi, zafiyet raporlamalarını ve bilgi taleplerini aşağıdaki kanaldan bizlere iletebilirsiniz: