Bilgi Güvenliği Politikası
Yürürlük tarihi: 2026
1. Amaç
Bu Bilgi Güvenliği Politikası, Most Idea Yazılım Sanayi ve Ticaret Limited Şirketi (Most Idea veya Şirket) tarafından yürütülen yazılım geliştirme, mobil uygulama, web tasarım, ERP, CRM, AI, dijital dönüşüm ve teknik destek süreçlerinde bilgi varlıklarının korunmasına ilişkin temel prensipleri açıklamak amacıyla hazırlanmıştır.
2. Kapsam
Bu politika aşağıdaki bilgi varlıklarını kapsar:
- Müşteri verileri
- Proje dokümanları
- Yazılım kaynak kodları
- Sözleşmeler ve teklifler
- Sistem erişim bilgileri
- Sunucu ve hosting altyapıları
- CRM ve ERP kayıtları
- E-posta sistemleri
- Yedekleme sistemleri
- Log kayıtları
- Teknik destek kayıtları
- Kurumsal bilgi varlıkları
3. Bilgi Güvenliği İlkeleri
Most Idea bilgi güvenliği yönetiminde aşağıdaki temel ilkeleri benimser:
- Gizlilik
- Bütünlük
- Erişilebilirlik
- Yetkilendirme
- İzlenebilirlik
- Veri minimizasyonu
- Amaçla sınırlılık
- İş sürekliliği
- Risk odaklı yaklaşım
4. Erişim Kontrolü
Bilgi sistemlerine erişim yetki bazlı olarak düzenlenir. Kullanıcıların yalnızca görevleri için gerekli sistem ve verilere erişmesi sağlanır.
Erişim yetkileri gerektiğinde gözden geçirilir, görev değişikliği veya iş ilişkisinin sona ermesi halinde erişimler kaldırılır.
5. Kimlik Doğrulama ve Şifre Güvenliği
Şirket sistemlerinde güçlü parola politikaları, çok faktörlü kimlik doğrulama, oturum güvenliği ve yetkisiz erişim önleme tedbirleri uygulanabilir.
Şifrelerin üçüncü kişilerle paylaşılması yasaktır.
6. Sunucu ve Altyapı Güvenliği
Most Idea; sunucu, hosting, bulut, CDN, e-posta, veritabanı ve uygulama altyapılarında güvenlik önlemleri uygular.
Bu önlemler arasında güvenlik duvarları, erişim sınırlamaları, loglama, güncellemeler, yedekleme, şifreleme ve güvenlik izleme süreçleri yer alabilir.
7. Yazılım Güvenliği
Yazılım geliştirme süreçlerinde güvenli kodlama prensipleri gözetilir. Gerekli durumlarda kaynak kod incelemesi, test süreçleri, yetkilendirme kontrolleri, input validation, CSRF/XSS/SQL injection önlemleri ve OWASP prensipleri dikkate alınır.
8. Veri Güvenliği
Kişisel veriler ve müşteri verileri yetkisiz erişime, kayba, değişikliğe, ifşaya ve kötüye kullanıma karşı korunur.
Bu kapsamda erişim kontrolü, şifreleme, veri yedekleme, maskeleme, loglama ve güvenli aktarım yöntemleri uygulanabilir.
9. Yedekleme ve İş Sürekliliği
Kritik sistem ve veriler için yedekleme süreçleri uygulanır. İş sürekliliği açısından gerekli görülen sistemlerde geri yükleme ve kurtarma süreçleri planlanır.
10. Loglama ve İzleme
Sistem erişimleri, kritik işlemler, güvenlik olayları ve hata kayıtları gerekli ölçüde loglanabilir. Log kayıtları güvenlik, denetim, hata analizi ve hukuki yükümlülüklerin yerine getirilmesi amacıyla tutulabilir.
11. Tedarikçi ve Üçüncü Taraf Güvenliği
Most Idea hizmet aldığı tedarikçilerin ve üçüncü taraf altyapı sağlayıcılarının güvenlik yaklaşımlarını dikkate alır. Tedarikçilerle yürütülen süreçlerde gizlilik, veri güvenliği ve yetki sınırlaması prensipleri uygulanır.
12. Yapay Zeka ve Otomasyon Sistemleri
Yapay zeka destekli araçlar kullanılırken müşteri verilerinin ve kişisel verilerin korunması esastır. Gereksiz kişisel veri paylaşımından kaçınılır, özel nitelikli kişisel verilerin yapay zeka sistemleriyle paylaşılmaması için gerekli özen gösterilir.
13. Çalışan ve Yetkili Kişi Sorumlulukları
Şirket çalışanları, danışmanları ve yetkilileri bilgi güvenliği kurallarına uygun hareket etmekle yükümlüdür.
Bu kapsamda gizli bilgilerin korunması, yetkisiz paylaşım yapılmaması, güvenli şifre kullanımı, cihaz güvenliği ve veri gizliliği kurallarına uyulması gerekir.
14. Olay Yönetimi
Güvenlik ihlali, veri sızıntısı, yetkisiz erişim veya benzeri olaylarda gerekli teknik ve idari aksiyonlar alınır. Mevzuatın gerektirdiği hallerde ilgili kişi ve kurumlara bildirim yapılır.
15. Politikanın Güncellenmesi
Bu politika, teknolojik gelişmeler, iş süreçleri ve mevzuat değişiklikleri doğrultusunda güncellenebilir.