Güvenlik Politikası

Bu Güvenlik Politikası, BizimApart’ın sunduğu hizmetler ve www.bizimapart.com.tr (“Site”) üzerinde işlenen/veri barındırılan bilgi varlıklarının gizlilik, bütünlük ve erişilebilirliğini korumak amacıyla uygulanacak idari ve teknik tedbirleri tanımlar. Politika; başta KVKK (6698), 5651, 6563, 5070 ve ilgili ikincil mevzuat olmak üzere Türkiye Cumhuriyeti kanunlarına uyum gözetilerek hazırlanmıştır.

1) Kapsam ve İlkeler

• Kapsam: Site, yönetim panelleri, API’ler, veritabanları, yedekler, loglar, üçüncü taraf entegrasyonları ve çalışan/tedarikçi erişimleri.
• İlkeler: Asgari ayrıcalık (least privilege), ihtiyaç kadar bilme (need-to-know), veri minimizasyonu, kanıtlanabilirlik (loglama), savunma derinliği.

2) Roller ve Sorumluluklar

• Veri Sorumlusu: BizimApart – KVKK kapsamındaki yükümlülüklerin yerine getirilmesi.
• Bilgi Güvenliği Sorumlusu: Risklerin takibi, politika ve prosedürlerin güncellenmesi, olay müdahale koordinasyonu.
• Sistem/Yazılım Ekibi: Yama yönetimi, güvenli geliştirme, yedekleme ve kurtarma testleri.
• Üçüncü Taraflar: Sözleşmeler ve gizlilik hükümleri uyarınca yalnızca talimatlarımız doğrultusunda işlem yapar.

3) Erişim Yönetimi

• Kimlik Doğrulama: Yönetim paneli ve kritik sistemlerde MFA zorunludur (mümkün olduğunda).
• Şifre Politikası: En az 12 karakter, sözlük kelimesiz; bcrypt/argon2 ile hashlenir, salt kullanılır, düz metin parola tutulmaz.
• Yetkilendirme: Rol tabanlı (RBAC); asgari ayrıcalık; her erişim loglanır.
• Oturum Güvenliği: Güvenli çerez (HttpOnly/Secure/SameSite), oturum zaman aşımı, başarısız denemelerde hız limiti/lockout.

4) Ağ ve Altyapı Güvenliği

• Şifreleme: Ulaşım katmanında TLS 1.2+, ileri gizlilik (PFS) destekli; veritabanı ve yedeklerde dinamik/durağan şifreleme (mümkünse).
• Güvenlik Duvarı/WAF: IP tabanlı kurallar, oran sınırlama (rate limit), bot/DoS azaltma; CDN/WAF (örn. Cloud tabanlı) tercih edilir.
• Yama Yönetimi: Kritik güvenlik yamaları mümkün olan en kısa sürede uygulanır; otomasyon ve izleme kullanılır.
• Ayırma: Üretim, test ve geliştirme ortamları mantıksal olarak ayrılır; canlı verinin teste aktarımı maskelenmeden yapılmaz.

5) Uygulama Güvenliği

• Geliştirme: OWASP ASVS/Top 10 referans alınır; kod incelemesi (peer review) ve birim/entegrasyon testleri uygulanır.
• Girdi Doğrulama: Parametreli sorgular (SQLi önleme), XSS/CSRF korumaları, dosya yükleme kontrolleri, güvenli hata mesajları.
• Gizli Anahtarlar: Ortam değişkenlerinde/secrets kasasında; repo içine gömülmez; düzenli anahtar döngüsü (rotation).

6) Loglama ve İz Kayıtları

• Uygulama/erişim logları merkezi ve değişmezlik prensibi gözetilerek saklanır; yetkisiz erişime karşı korunur.
• 5651 ve ilgili mevzuat kapsamında tutulması gereken trafik ve erişim kayıtları yasal usul ve sürelerle saklanır.
• Loglarda asgari kişisel veri yer alır; gerektiğinde anonimleştirme/pseudonimleştirme yapılır.

7) Yedekleme ve İş Sürekliliği

• Yedekler: Düzenli olarak alınır, şifrelenir ve erişimi kısıtlanır; kurtarma testleri periyodik yapılır.
• Felaket Kurtarma (DR): Kritik bileşenler için Recovery Point Objective (RPO) ve Recovery Time Objective (RTO) hedefleri belirlenir.

8) Olay (İhlal) Yönetimi

• Güvenlik olayları için tespit–sınıflandırma–izolasyon–kanıt toplama–iyileştirme–kök neden analizi adımları izlenir.
• Kişisel veri ihlali olması hâlinde, KVKK ve Kurul rehberlerine uygun biçimde en kısa sürede Kurum’a ve ilgili kişilere bildirim esası gözetilir.
• İhlaller ve alınan aksiyonlar raporlanır ve kayıt altına alınır.

9) Veri Yaşam Döngüsü ve Saklama

• Veri minimizasyonu: Amaçla sınırlı veri toplanır; gereksiz/verimsiz veriler işlenmez.
• Saklama: KVKK ve diğer mevzuatın öngördüğü süreler kadar; süre dolunca silme, yok etme veya anonimleştirme yapılır.
• Haklar: İlgili kişiler KVKK m.11 kapsamındaki haklarını bilgi@bizimapart.com.tr üzerinden kullanabilir.

10) Tedarikçi ve Üçüncü Taraf Yönetimi

• Hizmet sağlayıcılar ile gizlilik ve veri işleme sözleşmeleri imzalanır; teknik/organizasyonel tedbirler teyit edilir.
• Yurt dışına veri aktarımı gerekiyorsa KVKK m.9 çerçevesinde usule uygun hareket edilir (açık rıza veya Kurul güvenceleri).

11) Fiziksel Güvenlik (Varsa Ofis/Veri Merkezi)

• Erişim kontrolü, ziyaretçi kaydı, CCTV, kasa/raf kilitleme; cihaz imhasında kalıcı silme/şifreli imha uygulanır.

12) Eğitim ve Farkındalık

• Tüm personele güvenlik ve KVKK farkındalık eğitimleri düzenli aralıklarla sağlanır; sosyal mühendislik tatbikatları yapılabilir.

13) Güvenlik Açığı Bildirimi

Potansiyel bir güvenlik açığı tespit ettiğinizi düşünüyorsanız lütfen bilgi@bizimapart.com.tr adresine konu satırında “Security Disclosure” ifadesiyle detayları iletin. Sorumlu açıklama (“responsible disclosure”) prensiplerini izleriz.

14) Politikanın Gözden Geçirilmesi

• Politika en az yılda bir veya önemli bir değişiklik sonrası gözden geçirilir ve güncellenir.