- AMAÇ:
Bu politika GÜRİŞ’de geliştirilmiş veya geliştirilmekte olan tüm uygulamaların güvenliğinin sağlanması amacıyla tüm yazılım geliştiriciler, veri tabanı ve sistem yöneticileri tarafından uyulması gereken kuralları ve kontrol edilmesi gereken adımları tanımlamak üzere hazırlanmıştır.
- KAPSAM:
Bu politika, GÜRİŞ tarafından sağlanan uygulamaların geliştirilmesi, bakım ve desteğinin sağlanması gibi faaliyetleri yürüten personellerin uyması gereken kuralları kapsamaktadır.
- POLİTİKA
3.1. Veri Koruması
- Uygulamaların kayıt altına aldığı veya kullandığı her türlü bilgi, yetkisiz erişime kapalıdır.
- Uygulama ve veritabanı sunucularının sistem bileşenleri hakkındaki kritik bilgileri gizlenir.
- Uygulama ve veritabanı sunucularının güvenlik yamaları en üst seviyededir.
- Uygulama üzerinden yapılan kritik işlemler hem uygulama seviyesinde hem de sunucu seviyesinde kayıt altına alınır.
3.2. Erişim Kontrolü
- Uygulamaların yayın yaptığı içerikler, dizinler, sunucuların arayüzleri vb. hiçbir kaynak, kontrol dışı erişilebilir olamaz.
- Veritabanı kullanıcısının sadece uygulamanın kullandığı veritabanı kaynaklarına erişim hakkı vardır ve sadece sunucu IP adresinden bağlanır.
3.3. Kimlik Sınama
- Erişime açılan her kaynak, kimlik denetimine tabi tutulma yöntemini kullanmak zorundadır.
- Tüm login işlemleri kayıt altına alınır.
3.4. Oturum Yönetimi
- Oturum bilgisi zaman aşımına uğrayacak şekilde yapılandırılır.
- Uygulamalarda başarılı kimlik doğrulama ve tekrarlayan kimlik doğrulama (re-authentication) neticesinde her zaman yeni bir oturum bilgisi oluşturulur. Çıkış işleminden sonra da var olan oturum bilgisi geçersizleştirilir.
4. YAPTIRIM VE CEZA
GÜRİŞ bünyesinde tesis edilen Bilgi Güvenliği Yönetim Sistemi politika, prosedür ve süreçlerine uyulmaması halinde tanımlanmış disiplin süreçleri kapsamında yaptırım uygulanır.
Tüm kullanıcılar Güvenli Sistem Geliştime Politikası ile birlikte; tüm ilgili politika ve prosedürlerdeki kuralları bilmek ve bu kurallara uymaktan, bilgi varlıklarına erişim hakkı istemek için şirket tarafından onaylanmış süreç ve prosedürleri kullanmaktan, şirket tarafından verilmiş olan kimlik doğrulama bilgilerini korumaktan, bilgi kendi kullanımındayken bilginin gizliliğini, bütünlüğünü ve erişilebilirliğini varlık sahibi tarafından belirlenen önlemlere uygun olarak korumaktan sorumludur.
Güvenli Sistem Geliştime Politikası tarafından düzenlenen kurallara uymayanlara uygulanacak yaptırım ve cezalar, BGYS Disiplin Yönetimi Prosedürü kapsamında değerlendirilir.
5. POLİTİKANIN GÖZDEN GEÇİRİLMESİ VE ONAY
BGYS’nin başarılı bir şekilde uygulanmasından öncelikle tüm GÜRİŞ personeli sorumludur. Bilgi sistemlerini kullanan ve kurumsal bilgiye erişebilen tüm personel, misafir kullanıcılar ve hizmet alınan firmaların (tedarikçiler) personeli BGYS kapsamında tanımlanmış tüm sorumlulukları peşinen kabul eder.
Üst Yönetim, Güvenli Sistem Geliştime Politikası’nın gözden geçirilmesi ile bilgi güvenliği tehdit unsurlarını önleyici ve düzeltici tedbirleri almakla yükümlüdür.
Bu politika yılda en az bir (1) kez BGYS Gözden Geçirme Toplantılarında toplantıya katılan ekip tarafından gözden geçirilip onaylanır.
Gözden geçirme; politikalar yeni gereksinimler ve şirket bilgi teknolojisini etkileyebilecek altyapı değişiklikleri ile iş süreçlerindeki önemli değişiklikler ortaya çıktığında sürekli uygunluk ve etkinliği sağlamak amacıyla gözden geçirilir.
Gözden geçirme süreci; kurumsal çevre değişikliklerinde, iş koşullarında, yasal şartlarda veya teknik ortamdaki değişimler nedeniyle şirketimizin politikalarını ve bilgi güvenliği yönetimi yaklaşımını iyileştirmesi için fırsatlar içermektedir.