Bilgi Güvenliği

Bu politika, Fess Teknoloji Limited Şirketi bünyesinde işlenen tüm bilgi varlıklarının gizliliğini, bütünlüğünü ve erişilebilirliğini korumak amacıyla hazırlanmıştır. Politika; şirket çalışanlarını, tedarikçilerini, iş ortaklarını ve şirket bilgi sistemleriyle etkileşimde bulunan tüm tarafları kapsar. Bilgi güvenliği yönetim sistemi (BGYS), ISO/IEC 27001:2022 standardı esas alınarak tasarlanmış ve uygulanmaktadır.

Şirket bünyesindeki tüm bilgi varlıkları aşağıdaki sınıflandırma seviyelerine göre etiketlenir ve korunur: • GİZLİ: Yalnızca yetkili personelin erişebildiği, kamuya açıklanması halinde ciddi zarar verebilecek bilgiler (örn. müşteri sözleşmeleri, ticari sırlar, kişisel veriler) • DAHİLİ KULLANIM: Şirket içinde serbestçe paylaşılabilen ancak dışarıya çıkmaması gereken bilgiler • KAMUSAL: Kamuoyuyla paylaşılması onaylanmış bilgiler (web sitesi içeriği, basın bültenleri vb.)

Bilgi varlıklarına erişim; "en az yetki" (least privilege) ilkesi çerçevesinde yönetilir. • Tüm kullanıcı hesapları bireysel kimlik doğrulama mekanizmalarıyla korunur. • Kritik sistemlere erişimde çok faktörlü kimlik doğrulama (MFA) zorunludur. • Görev değişikliği veya iş ayrılığı durumlarında erişim yetkileri derhal güncellenir. • Ayrıcalıklı hesaplar (admin/root) düzenli denetimlerle izlenir.

Şirket bilgi sistemi kaynakları (bilgisayar, yazılım, ağ, e-posta vb.) yalnızca iş amaçlı kullanılır. Yasaklanan kullanım biçimleri: • Yetkisiz yazılım indirme veya kurma • Kişisel ticari faaliyetler için şirket altyapısını kullanma • Telif hakkı ihlali içeren içeriklerin dağıtımı • Zararlı yazılım yükleme veya yayma • Sistem güvenliğini tehdit edecek her türlü faaliyet

Bilgi güvenliği ihlali şüphesi oluştuğunda personel derhal Bilgi Güvenliği Koordinatörü'ne bildirmekle yükümlüdür. Olay yönetim süreci: 1. Tespit ve Raporlama — Olayın belirlenmesi ve kayıt altına alınması 2. Değerlendirme — Tehdidin kapsamının ve etkisinin analizi 3. Müdahale — İzolasyon, kurtarma ve zararın minimize edilmesi 4. Kök Neden Analizi — Olayın tekrar yaşanmaması için sistematik inceleme 5. Raporlama — Yasal yükümlülükler kapsamında ilgili mercilere bildirim

Kritik iş verileri düzenli aralıklarla yedeklenir ve yedekler güvenli ortamlarda saklanır. • Günlük artımlı yedek, haftalık tam yedek politikası uygulanır. • Yedekler şifreli biçimde hem yerel hem de coğrafi olarak dağılmış ortamlarda tutulur. • Felaket kurtarma planı (DRP) yılda en az bir kez test edilir. • Yedek bütünlüğü periyodik olarak doğrulanır.

Bilgi Güvenliği Politikası, ilgili tüm yasal düzenlemeler ve sektör standartları ile uyumlu biçimde yürütülür: • 6698 Sayılı Kişisel Verilerin Korunması Kanunu (KVKK) • ISO/IEC 27001:2022 Bilgi Güvenliği Yönetim Sistemi Standardı • 5651 Sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi Kanunu İç denetimler yılda iki kez, bağımsız dış denetimler ise yılda bir kez gerçekleştirilir.