1. Giriş
Anlık Transfer ("Şirket"), www.anliktransfer.com web sitesi ve mobil uygulamaları ("Platform") üzerinden sunduğu hizmetlerde, kullanıcılarının bilgilerinin güvenliğini en üst düzeyde tutmayı taahhüt eder. Bu Güvenlik Politikası ("Politika"), bilgi güvenliği önlemlerimizi, risk yönetimi süreçlerimizi ve güvenlik taahhütlerimizi açıklamaktadır.
Bu Politika, 6698 sayılı KVKK, GDPR ve ISO/IEC 27001 bilgi güvenliği standartları çerçevesinde hazırlanmıştır.
2. Güvenlik Yönetimi
Bilgi güvenliği, Şirket yönetimi tarafından stratejik öncelik olarak ele alınmaktadır. Bu kapsamda:
- Atanmış Bilgi Güvenliği Sorumlusu (CISO)
- Yıllık güvenlik bütçesi ve kaynak tahsisi
- Düzenli güvenlik yönetimi toplantıları
- Çalışan güvenlik farkındalık eğitimleri
3. Teknik Güvenlik Önlemleri
3.1. Şifreleme
Tüm veri iletişimi TLS 1.3 protokolü ile şifrelenmektedir. Hassas veriler AES-256 algoritması ile veritabanında şifreli olarak saklanmaktadır. Şifreler tek yönlü hash (bcrypt) algoritması ile korunmaktadır.
3.2. Ağ Güvenliği
Platform, çok katmanlı güvenlik mimarisi ile korunmaktadır:
- Web Uygulama Güvenlik Duvarı (WAF)
- DDoS koruma sistemleri
- IDS/IPS saldırı tespit ve önleme sistemleri
- Coğrafi IP filtreleme
3.3. Erişim Kontrolü
Sistemlere erişim, rol tabanlı erişim kontrolü (RBAC) ile yönetilmektedir. Tüm erişimler loglanmakta ve düzenli olarak denetlenmektedir. Yönetici erişimleri için çok faktörlü kimlik doğrulama (MFA) zorunludur.
4. Veri Koruma
Kullanıcı verilerinin korunması için aşağıdaki önlemler uygulanmaktadır:
- Veri minimizasyonu ilkesi - sadece gerekli veriler toplanır
- Veri sınıflandırma ve etiketleme
- Düzenli veri yedekleme (günlük incremental, haftalık full)
- Veri saklama sürelerine uyum
- Güvenli veri imha prosedürleri
Ödeme bilgileri (kredi kartı vb.) asla sunucularımızda saklanmamaktadır. Tüm ödeme işlemleri PCI-DSS sertifikalı ödeme işlemcileri aracılığıyla gerçekleştirilmektedir.
5. Uygulama Güvenliği
Platform yazılımları, güvenli geliştirme yaşam döngüsü (SDLC) çerçevesinde geliştirilmektedir:
- Güvenli kodlama standartları (OWASP)
- Düzenli kod incelemeleri
- Otomatik güvenlik taramaları (SAST/DAST)
- Penetrasyon testleri (yılda en az 2 kez)
- Bağımlılık güvenlik taraması
6. Olay Yönetimi
Güvenlik olayları için tanımlanmış müdahale süreçleri bulunmaktadır:
- 7/24 güvenlik izleme merkezi (SOC)
- Olay tespitinden itibaren 1 saat içinde izolasyon
- Etkilenen kullanıcılara 72 saat içinde bildirim
- Kök neden analizi ve düzeltici faaliyetler
- KVKK Kurulu'na zorunlu bildirim süreçleri
7. İş Sürekliliği
Felaket kurtarma ve iş sürekliliği planları bulunmaktadır:
- Coğrafi olarak dağıtılmış yedek sistemler
- RTO (Kurtarma Süresi): 4 saat
- RPO (Kurtarma Noktası): 1 saat
- Yıllık felaket kurtarma tatbikatları
8. Üçüncü Taraf Güvenliği
Hizmet aldığımız üçüncü taraflar için güvenlik gereklilikleri:
- Güvenlik sözleşmesi zorunluluğu
- Yıllık güvenlik denetimi talebi
- Veri işleme anlaşmaları (DPA)
- PCI-DSS uyumluluğu (ödeme sistemleri)
9. Kullanıcı Sorumlulukları
Güvenlik, ortak bir sorumluluktur. Kullanıcılarımızın aşağıdaki önlemleri almasını bekliyoruz:
- Güçlü ve benzersiz şifreler kullanmak
- Şifreleri kimseyle paylaşmamak
- Şüpheli e-posta ve bağlantılardan kaçınmak
- Cihazlarını güncel tutmak
- Hesaplarında şüpheli aktivite gördüklerinde bildirmek
10. Denetim ve İyileştirme
Güvenlik politikamız sürekli iyileştirme prensibiyle yönetilmektedir:
- İç denetimler (çeyrek dönemlik)
- Dış bağımsız denetimler (yıllık)
- Güvenlik metrikleri takibi
- Risk değerlendirme güncellemeleri
11. Politika Güncellemeleri
Bu Politika, teknolojik gelişmeler ve yasal gereklilikler doğrultusunda güncellenebilir. Önemli değişiklikler durumunda kullanıcılar bilgilendirilecektir.
12. İletişim
Güvenlik ile ilgili sorularınızı veya güvenlik açığı bildirimlerinizi aşağıdaki kanallardan iletebilirsiniz:
- Güvenlik E-posta: security@anliktransfer.com
- Genel İletişim: info@anliktransfer.com
- Adres: Türkiye, Antalya