Legal / Security Measures

Security Measures

Effective starting: September 24, 2024

TABLE OF CONTENTS

Giriş

Güvenlik, Climateware’in sunduğu hizmetlerin temel bir unsurudur. Bu belge, Climateware’in güvenlik programı sertifikasyonları, politikaları, fiziksel, teknik, organizasyonel ve idari kontrolleri ile Müşteri Verilerini yetkisiz erişim, imha, kullanım, değiştirme veya ifşa edilmesine karşı korumak için uyguladığı tedbirleri ("Güvenlik Önlemleri") açıklamaktadır. Bu Güvenlik Önlemleri, benzer konumda bulunan yazılım hizmeti sağlayıcılarının ("endüstri standardı") yaygın olarak kabul edilen standartlarıyla uyumlu olacak şekilde tasarlanmıştır ve NIST 800-53 kontrollerini içermektedir. Tanımlanmamış büyük harfli terimler, Anlaşma veya Veri İşleme Ekinde belirtilen anlamlara sahiptir. Climateware’in güvenlik duruşuna ilişkin daha fazla bilgi, Güven Merkezi ve Uyum Kaynak Merkezimizde bulunabilir.

1. Erişim Kontrolü 

Climateware, Müşteri Verilerine uygun erişim kontrolü ve koruma sağlamak amacıyla kapsamlı bir dizi resmi politika, kontrol ve uygulama seti yürürlüğe koymuş ve sürdürecektir. Bu kapsamda: 

  • Kullanıcı tanımlama ve erişim kontrolü standartlarını belirleyen bir erişim yönetim politikası oluşturulmuştur.
  • Climateware sistemlerine, uygulamalarına ve altyapısına erişim, ilgili iş rolüne dayalı olarak ve asgari yetki ilkesi çerçevesinde sağlanır; bu süreç kimlik doğrulama işlemleriyle güçlendirilir.
  • Climateware personeli için sıkı rol tabanlı erişim kontrolleri uygulanır ve Müşteri Verilerine yalnızca bilmesi gereken kişilerin erişmesine izin verilir.
  • Görevlerin ayrıştırılması, erişim kontrolleri incelemeleri, insan kaynakları yönetimi uygulamaları tarafından yönetilen güvenlik grupları ve iş akışı kontrollerini içerir.
  • Tüm kullanıcı hesaplarının, verilerin sınıflandırma seviyesine göre, yönetim tarafından önceden onaylanması gerekmekte olup, düzenli olarak erişim hakları incelenir.
  • Merkezi yönetilen mobil cihaz yönetim (MDM) çözümleri, uç noktalar ve mobil cihazlar için tanımlı kilitlenme sürelerini ve duruş kontrolünü içerir.
2. Farkındalık ve Eğitim 

Climateware, uygun güvenlik farkındalığı ve eğitim faaliyetlerini yürütmek amacıyla kapsamlı bir dizi resmi politika, kontrol ve uygulama seti yürürlüğe koymuş ve sürdürecektir. Bu kapsamda:

  • Tüm çalışanlar için işe alımda ve her yıl güvenlik, gizlilik ve uyum konularında kapsamlı farkındalık eğitimleri (çevrimiçi, yüz yüze ve önceden kaydedilmiş oturumlar, oltalama simülasyonları dahil) düzenlenir.
  • Yüksek yetkiye sahip çalışanlar için riskleri ele alacak şekilde özel rol tabanlı eğitimler verilir.
  • Tüm eğitim kayıtları, belirlenmiş bir öğrenim yönetim sisteminde tutulur.
  • Eğitim son tarihleri için otomatik hatırlatıcılar ve yöneticilere yönelik yerleşik bir yükseltme süreci vardır.
  • Tüm çalışanlar, yükleniciler ve iş ortaklarını kapsayan sürekli güvenlik farkındalığı eğitimleri, güncel tehditler ve en iyi güvenlik uygulamaları üzerine odaklanır.
  • Mühendislik ekiplerinde güvenlik şampiyonları tarafından verilen güvenli kodlama eğitimleri düzenlenir.
  • Farkındalığı artırmak amacıyla yıllık zorunlu güvenlik eğitimleri ve etkinlikler düzenlenir, bu faaliyetler güvenliğin kolektif sorumluluğunu vurgular.
3. Denetim ve Hesap Verebilirlik 

Climateware, uygun denetim ve hesap verebilirlik sağlamak amacıyla kapsamlı bir dizi resmi politika, kontrol ve uygulama seti yürürlüğe koymuş ve sürdürecektir. Bu kapsamda:

  • Climateware'in politika yönetim çerçevesinin bir parçası olarak kapsamlı günlük tutma standartları oluşturulmuştur ve yıllık incelemeler ve üst yönetim onayıyla yürütülür.
  • İlgili sistem günlüklerinin merkezi bir günlük platformuna güvenli bir şekilde yönlendirilmesi ve saklanması sağlanmıştır; bu platforma yalnızca salt okunur erişim sağlanır.
  • Güvenlik denetim günlüklerinin izlenmesi ve olağandışı faaliyetlerin tespiti için süreçler oluşturulmuştur.
  • Bulut Ürünleri ve ilgili altyapıya yönelik yeni özellikler ve değişiklikleri ele almak amacıyla bilgi ve sistem olaylarının kapsamı düzenli olarak güncellenir.
  • Güvenilir zaman tutma sağlamak amacıyla ilgili bulut hizmet sağlayıcılarından (AWS veya Microsoft Azure gibi) zaman senkronizasyon hizmetleri kullanılır.
4. Değerlendirme, Yetkilendirme ve İzleme 

Climateware, sistem izleme ve güvenlik değerlendirmeleri için tutarlı politikalar ve süreçler yürürlüğe koymuş ve sürdürecektir. Bu kapsamda: 

  • Yıllık incelemeler ve güncellemeler ile kapsamlı denetim ve güvence politikaları oluşturulmuştur.
  • Küresel politikaları farklı alanlarda kategorize eden merkezi bir iç politika programı vardır ve yıllık inceleme ve üst yönetim onayı süreçleri ile yönetilir.
  • Denetim yönetimi, planlama, risk analizi, güvenlik kontrol değerlendirmesi, sonuçlar, iyileştirme programları ve önceki denetim raporlarının gözden geçirilmesini kapsar.
  • Yıllık bağımsız dış ve iç denetimler, yasal ve sözleşmesel gereklilikler ile kontrollerin ve süreçlerin etkinliğini değerlendirir ve uyumu doğrular.
  • Denetim bulguları aracılığıyla tespit edilen uyumsuzlukları sistematik olarak ele almak için kök neden analizi, şiddet derecelendirmesi ve düzeltici eylemler gibi adımlar izlenir ve tüm süreç titizlikle belgelenir ve izlenir.
  • Ürünlerde yıllık sızma testleri ve güvenlik açıklarının tespiti ve giderilmesi amacıyla proaktif hata ödül programları düzenlenir.
  • Sürekli güvenlik açığı taramaları yapılır ve tespit edilen güvenlik açıkları Climateware'in politikasına uygun olarak giderilir.
5. Yapılandırma Yönetimi 

Climateware, yapılandırma yönetimi için kapsamlı bir dizi resmi politika, kontrol ve uygulama seti yürürlüğe koymuş ve sürdürecektir. Bu kapsamda: 

  • Tüm iç ve dış varlık değişiklikleri için risk yönetimini kapsayan değişiklik yönetimi politikaları yıllık olarak gözden geçirilir.
  • Güvenlik sınıflandırmasına uygun veri işleme (örn. şifreleme anahtarları) için şifreleme ve kriptografiyle ilgili değişiklik yönetimi standart prosedürleri uygulanır.
  • Küresel politikaları farklı alanlarda kategorize eden merkezi bir iç politika programı, yıllık gözden geçirme ve üst yönetim onay süreçlerini içerir.
  • Endüstri standartlarıyla uyumlu (i) şifreleme, (ii) kriptografi, (iii) uç nokta yönetimi ve (iv) varlık takibini kapsayan katı politikalar uygulanır.
  • Test ve belgelendirme gerektiren değişiklik kontrolüne ilişkin belirlenmiş temel seviyeler ve standartlar, uygulama öncesinde yetkili onayı gerektirir.
  • Üretim kodu ve altyapı değişiklikleri için çoklu inceleme ve başarılı testler gerektiren bir akran incelemesi ve yeşil yapı süreci yürütülür.
  • Acil durum değişiklikleri için katı bir uygulama sonrası test ve onay süreci uygulanır.
  • Yetkisiz değişikliklere karşı korunmak için bir Saldırı Tespit Sistemi (IDS) ile desteklenen kapsamlı otomatik sistemler kullanılır.
  • Tüm fiziksel ve mantıksal varlıkların titizlikle kataloglanması ve izlenmesi sağlanır ve yıllık incelemeler yapılır.
6. Olasılık Planlaması 

Climateware, iş sürekliliği ve felaket kurtarma amaçları doğrultusunda kapsamlı bir dizi resmi politika, kontrol ve uygulama seti yürürlüğe koymuş ve sürdürecektir. Bu kapsamda:

  • Ürün teslimatı için gerekli telekomünikasyon ve teknoloji de dahil olmak üzere yetenekli bir iş gücü ve güçlü bir BT altyapısı bulunmaktadır.
  • İş sürekliliği ve felaket kurtarma planları ("BCDR Planları") belirlenmiş kurtarma süresi hedeflerini (RTO) ve kurtarma noktası hedeflerini (RPO) içerir.
  • İş sürekliliği planları, erişim ve kullanımın kesintisizliğini sağlamak amacıyla veri depolamayı ve kullanım sürekliliğini kapsar.
  • Küresel iş gücü ve bulut altyapısı sayesinde coğrafi çeşitlilik sağlanır.
  • Günlük yedeklemeler, yıllık geri yükleme testleri ve alternatif bulut altyapı depolama alanları gibi dayanıklılık kontrolleriyle iş operasyonları güçlendirilir.
  • Siber olaylara yanıt verme ve iyileştirme prosedürleriyle iş sürekliliğini sağlamak için bir dayanıklılık çerçevesi uygulanır.
  • BCDR Planları doğrultusunda yanıt stratejilerini güçlendirmek için üç aylık felaket kurtarma testleri ve tatbikatlar yapılır ve test sonrası analizler sürekli iyileştirme amacıyla gerçekleştirilir.
  • Ürünler üzerinde sürekli kapasite yönetimi yapılır ve hizmetin sürekliliğini ve işleme kapasitesini sağlamak için iç izlemeler ve ayarlamalar yapılır. Örneğin, Bulut Ürünleri ve ilgili altyapı için (dağıtılmış) hizmet reddi saldırısı (DDoS) azaltma süreçleri uygulanır.
  • İş sürekliliğine ilişkin tüm küresel politikaların yıllık incelemesi ve güncellenmesi için merkezi bir iç politika programı yürütülmektedir.
  • Güçlü yedekleme protokolleri uygulanır: (i) veri şifreleme, (ii) veri merkezlerinde yedeklilik ve (iii) olasılık planlamasını güçlendirmek için düzenli testler yapılır.
7. Tanımlama ve Kimlik Doğrulama 

Climateware, tanımlama ve kimlik doğrulama amacıyla kapsamlı bir dizi resmi politika, kontrol ve uygulama seti yürürlüğe koymuş ve sürdürecektir. Bu kapsamda: 

  • Çalışanlar, uygulamalara erişim sağlamak için tek oturum açma (SSO) kullanarak aktif dizin aracılığıyla benzersiz şekilde tanımlanır.
  • Parola politikaları, parola oluşturma ve yönetimi güvenlik yönlerine odaklanarak NIST 800-63B yönergelerini takip eder.
  • Depolanan kimlik bilgilerinin güvenliği, parola ve gizli yönetim sistemleri gibi gelişmiş şifreleme yöntemleri kullanılarak sağlanır.
  • Belirlenmiş onay süreçleri, kullanıcıların ve hesapların düzenli incelemeleri, ve ilgili kimlik sistemleri ile insan kaynakları sistemleri arasında otomatik senkronizasyonlar, kimlik verilerinin bütünlüğünü ve doğruluğunu korumak için uygulanır.
8. Güvenlik Olayı Müdahalesi 

Climateware, güvenlik olaylarına müdahale amacıyla kapsamlı bir dizi resmi politika, kontrol ve uygulama seti yürürlüğe koymuş ve sürdürecektir. Bu kapsamda:

  • Güvenlik Olayı Müdahale Planları, hazırlık, sınırlama, yok etme ve kurtarma aşamalarına odaklanırken veri koruma ve diğer düzenleyici gereklilikler üzerinde durur.
  • Güvenlik olaylarını ele almak için ayrılmış çapraz fonksiyonel ekipler, etkili iletişim ve iş birliği sağlar. Güvenlik olaylarının önceliklendirilmesi için iyi tanımlanmış süreçler bulunur.
  • Yanıt planları düzenli olarak test edilir ve Güvenlik Olayı yönetiminin etkinliğini izlemek ve iyileştirmek için belirlenmiş ölçütler kullanılır.
  • Şirket genelinde olay müdahale planları ve politikaları, her yıl gözden geçirilerek en iyi uygulamaların paylaşılmasını sağlar.
  • Kök neden analizi ile olay sonrası incelemeler (PIR) gerçekleştirilir ve yüksek önem derecesine sahip güvenlik olayları için sistematik iyileştirmeler yapılır.
  • İş sürekliliğini ve güvenlik risklerini en aza indirmek amacıyla kritik iş süreçlerine yerleştirilen olay müdahale prosedürleri uygulanır.
  • Müşterilerin, sistem hatalarına, kullanılabilirliğe, güvenliğe ve gizliliğe ilişkin endişeleriyle ilgili olayları, güvenlik açıklarını ve sorunları bildirmesi mümkündür.
  • Climateware, Veri İşleme Eki uyarınca güvenlik olayını gereksiz bir gecikme olmadan Müşteriye bildirme ve geçerli Veri Koruma Yasaları ile uyumlu olacak şekilde gerekli bilgileri sağlama yükümlülüğünü yerine getirir.
9. Bakım 

Climateware, Bulut Ürünlerinin sürekli etkinliğini sağlamak amacıyla kapsamlı bir dizi resmi politika, kontrol ve uygulama seti yürürlüğe koymuş ve sürdürecektir. Bu kapsamda: 

  • BCDR Planlarının düzenli testleri ve üç aylık değerlendirmeleri, dış denetçiler tarafından doğrulanır.
  • Birden fazla bölgenin gerçek zamanlı izlenmesi ile altyapının kullanılabilirliği ve güvenilirliği için düzenli testler yapılır.
  • Bölüm 4 (Değerlendirme, Yetkilendirme ve İzleme), Bölüm 6 (Olasılık Planlaması) ve Bölüm 18 (Sistem ve İletişim Koruması) maddelerinde özetlenen tedbirler.
10. Medya Koruması 

Climateware, iç ve dış medyanın korunmasını sağlamak amacıyla kapsamlı bir dizi resmi politika, kontrol ve uygulama seti yürürlüğe koymuş ve sürdürecektir. Bu kapsamda: 

  • Müşteri Verilerini işlemek için fiziksel altyapıyı işleten üçüncü taraf hizmet sağlayıcılar (örneğin, Microsoft Azure veya AWS) kullanılır.
  • Kullanılmış ekipmanların sanitizasyonu ve manyetik alanla veri silinmesi, müşteri verilerini içeren sabit diskler de dahil olmak üzere üçüncü taraf bulut hizmet sağlayıcıları tarafından endüstri standartlarına uygun olarak gerçekleştirilir.
  • Sunucularda ve Müşteri Verilerini saklayan veri tabanlarında bulunan veri sürücülerine ve uç nokta cihazlarına tam disk şifrelemesi uygulanır (örneğin AES-256 kullanılarak).
  • Güvenli çalışma alanı rehberi ile uyumlu olarak, sahipsiz iş istasyonlarında görünür hiçbir gizli verinin bulunmaması zorunludur.
11. Fiziksel ve Çevresel Koruma 

Climateware, Müşteri Verilerinin fiziksel ve çevresel olarak korunmasını sağlamak amacıyla kapsamlı bir dizi resmi politika, kontrol ve uygulama seti yürürlüğe koymuş ve sürdürecektir. Bu kapsamda: 

  • Climateware’in ofislerinde küresel olarak uygulanan güvenli bir çalışma ortamı oluşturulmuştur.
  • Güvenliği artırmak için kimlik kartı okuyucular, kamera gözetimi ve zaman spesifik erişim kısıtlamaları kullanılır.
  • Ofis binalarında inceleme amaçlı erişim kayıtları tutulur.
  • Üçüncü taraf veri merkezi sağlayıcıları tarafından uygulanan biyometrik kimlik doğrulama ve yerinde güvenlik de dahil olmak üzere, çoklu uyum sertifikasyonları ve güçlü fiziksel güvenlik önlemleri.
  • Üçüncü taraf veri merkezi sağlayıcıları tarafından uygulanan kontrollü erişim noktaları, gelişmiş gözetim sistemleri ve güç ile telekomünikasyon kabloları için koruyucu önlemler ile çevresel kontrol sistemleri.
  • Climateware ve üçüncü taraf veri merkezi sağlayıcıları tarafından kritik ekipmanların düşük riskli çevresel alanlara yerleştirilmesi ile güvenlik artırılmıştır.
12. Planlama 

Climateware, iş operasyonlarının uygun şekilde planlanmasını sağlamak amacıyla kapsamlı bir dizi resmi politika, kontrol ve uygulama seti yürürlüğe koymuş ve sürdürecektir. Bu kapsamda:

  • Düzenleyici yükümlülükler üzerinde yasal ve uyum ekiplerinin aktif izleme ve dokümantasyonu.
  • Sistem sınırlarını ve ürün tanımlarını kapsayan kapsamlı dokümantasyona sahip detaylı bir sistem güvenlik planı.
  • Ana ürünler ve hizmetlerdeki önemli değişiklikler hakkında iç kullanıcılara ve müşterilere iletişim sağlanması.
  • Güvenlik yönetim programının periyodik incelemeleri ve güncellemeleri.
13. Program Yönetimi 

Climateware, program yönetimini uygun şekilde sağlamak amacıyla kapsamlı bir dizi resmi politika, kontrol ve uygulama seti yürürlüğe koymuş ve sürdürecektir. Bu kapsamda: 

  • Tüm güvenlik politikalarını ve uygulamalarını kapsayan güvenlik yönetim programını yürütme düzeyinde destekleme.
  • (i) Tanımlanmış roller, (ii) risk azaltma ve (iii) hizmet sağlayıcı güvenlik yönetimi programını içeren belgelenmiş bilgi güvenliği politikaları.
  • Müşteri Verilerini işleyen sistemlerin periyodik risk değerlendirmeleri ve düzeltici eylem incelemeleriyle hızlı tepki verilmesi.
  • NIST 800-53 gibi standartlarla uyumlu bir güvenlik kontrol çerçevesi.
  • Güvenlik risklerini belirleme ve derecelendirme süreçleri; risk hafifletme planları Baş Güven Sorumlusu tarafından onaylanır ve uygulamanın düzenli olarak izlenmesi sağlanır.
  • Potansiyel saldırı vektörlerinin geniş bir yelpazesini kapsayacak şekilde çeşitli güvenlik testlerine dayalı kapsamlı bir güvenlik test yaklaşımı.
  • Güvenlik yönetim programının düzenli gözden geçirilmesi, test edilmesi ve güncellenmesi (yılda en az bir kez).
  • Güvenlik personeli için düzenli eğitimlerle gelişim programı; roller ve sorumlulukları tanımlayan organizasyon şeması.
  • Stratejik operasyonel hedeflerin belirlenmesi ve yönetim tarafından gözden geçirilmesi.
  • Risk yönetimi politikasının, risk değerlendirmelerinin ve dolandırıcılık risk değerlendirmelerinin yıllık olarak Risk ve Uyum Başkanı tarafından gözden geçirildiği bir Kurumsal Risk Yönetimi (ERM) çerçevesi.
14. Personel Güvenliği 

Climateware, Müşteri Verilerine erişimi olan tüm Climateware çalışanlarının güvenliğini sağlamak amacıyla kapsamlı bir dizi resmi politika, kontrol ve uygulama seti yürürlüğe koymuş ve sürdürecektir. Bu kapsamda: 

  • Uygulanabilir yerel yasalara uygun olarak, kıdemli yönetici ve muhasebe pozisyonları için özellikle ayrıntılı olan sabıka kaydı sorgulamaları dahil işe alım öncesi geçmiş kontrolleri.
  • Gizlilik sözleşmeleri, iş sözleşmeleri ve çeşitli politika ve davranış kurallarının kabulü dahil olmak üzere kapsamlı bir işe alım süreci.
  • Küresel ve yerel iş politikaları her yıl gözden geçirilir ve sürdürülür.
  • Rol değişiklikleri ve işten ayrılmalar için otomatik erişim kaldırma süreçleri ve yeniden erişim için yönetim onayı gerektiren kontrol listeleri.
  • Çalışanlar için sürekli güvenlik ve uyum eğitimi; belirli roller için hedeflenen eğitimler ve ekiplerde güvenlik şampiyonlarının bulunması.
  • Güvenlik bilincini artırmak amacıyla yıllık olarak düzenlenen güvenlik farkındalığı ayı; organizasyonel güvenliği koruma alanındaki başarılar kutlanır.
  • Climateware politikalarının ihlallerini yönetmek için belirlenmiş disiplin süreçleri.
15. Kişisel Veri İşleme ve Şeffaflık 

Climateware, Geçerli Veri Koruma Yasaları ile uyumlu olarak kişisel veri işleme süreçlerini yürütmek amacıyla kapsamlı bir dizi resmi politika, kontrol ve uygulama seti yürürlüğe koymuş ve sürdürecektir. Bu kapsamda:

  • Veri koruma yasalarına uyum sağlamak için gerekli önlemler ve süreçler dahil olmak üzere, küresel bir gizlilik uyum programı sürdürülmektedir.
  • Kişisel veri kategorileri, işleme amaçları ve işleme ilkelerine ilişkin açık tanımlamalar içeren bir iç kişisel veri işleme politikası sürdürülmektedir.
  • Farklı kişisel veri kategorilerinin işlenmesine yönelik ayrıntılı standartlar; işleme ilkeleri, geçerli yasal dayanak, saklama, imha gibi konuları kapsamaktadır.
  • Endüstri standartlarına uygun yöntemler ve sistemler kullanılarak oluşturulan sahte anonim veri setlerine yönelik yerleşik teknik ve organizasyonel önlemler uygulanır.
  • Kullanıcılarına ve müşterilerine yönelik şeffaf gizlilik politikaları ve çalışanlar için iç yönergeler oluşturulmuştur.
  • İşleme faaliyetleri, gizlilik etki değerlendirmeleri, transfer etki değerlendirmeleri, rızalar ve müşteri ile tedarikçilerle yapılan veri işleme anlaşmaları gibi kapsamlı uyum dokümantasyonu mevcuttur.
  • Geliştirme yaşam döngüsünün tüm aşamalarında güvenli geliştirme uygulamaları, güvenlik ve veri koruma odaklı tasarım aşamasından itibaren uygulanır.
  • İlgili veri koruma yasalarına uygun olarak kişisel verilerin erişilmesi, düzeltilmesi ve silinmesi haklarına saygı gösterilir.
16. Risk Değerlendirmesi 

Climateware, bilgi güvenliği yönetim sistemi için kapsamlı bir risk yönetim programı uygulamış ve sürdürecektir. Bu kapsamda: 

  • Risk yönetimi kararlarını desteklemek için çeşitli riskleri tanımlayan, değerlendiren ve ele alan kapsamlı bir risk yönetimi programı yürütülmektedir.
  • Sürekli güvenlik testleri, örneğin (i) sızma testleri, (ii) hata ödülleri ve (iii) proaktif tehdit azaltma.
  • Güvenlik açığı yönetim faaliyetlerinin raporlanması için süreçler ve metrikler kullanılmaktadır.
  • Bağımsız dış ve iç denetimleri içeren titiz güvenlik değerlendirmeleri yapılmaktadır.
17. Sistem ve Hizmet Alımı 

Climateware, sistem geliştirme, bakım ve değişiklik yönetimi için güvenlik odaklı yapılandırılmış bir metodoloji uygulamış ve sürdürecektir. Bu kapsamda: 

  • Adaptasyon ve verimlilik için esnek, güvenli yazılım geliştirme yaşam döngüsü, ayrıca sistem ve altyapı değişikliklerinin kapsamlı gözden geçirme ve dokümantasyonu.
  • Sistem yapılandırma değişiklikleri ve dağıtımı için otomatikleştirilmiş süreçlerle güvenli, standart uygulama dağıtımı.
  • Birleşmeden önce akran tarafından gözden geçirilen talepler ve zorunlu otomatik testleri içeren tanımlanmış geliştirme süreçleri.
  • Değişiklik yönetimi sorumlulukları atanmış çalışanlar arasında bölünmüştür.
  • Kritik olaylar sırasında hızlı müdahaleye hazır olmak için acil durum değişiklik süreçleri ("acil erişim" prosedürleri).
  • Climateware’in kaynak kodu ve dağıtım sistemlerinde yetkisiz değişikliklerin önlenmesini sağlayan güçlü uyum ayarları (örneğin Bitbucket Cloud).
  • Tüm yapılandırma değişikliklerinin açık bir şekilde belgelenmesi ve izlenmesi; uygunluk veya akran inceleme zorunluluklarındaki değişiklikler için otomatik uyarılar.
  • Satıcı yazılımına yönelik değişiklikler üzerinde sıkı kontroller sağlanmıştır.
  • Üçüncü taraf veya açık kaynaklı kütüphanelerin düzenli olarak taranması ve güncellenmesi, ayrıca kod tabanının sürekli taranması yapılmaktadır.
18. Sistem ve İletişim Koruması 

Climateware, sistem ve iletişim güvenliğini sağlamak amacıyla kapsamlı bir dizi resmi politika, kontrol ve uygulama seti yürürlüğe koymuş ve sürdürecektir. Bu kapsamda:

  • Ağlar üzerinden iletilen ve depolanan hassas bilgileri korumak için güvenilir ve güvenli şifreleme teknolojileri kullanan kriptografik mekanizmalar.
  • Müşteri Verilerinin dinlenirken ve iletim sırasında şifrelenmesi (TLS 1.2+ kullanılarak) ve genel ağlar üzerinden Perfect Forward Secrecy (PFS) kullanılması.
  • Üretim ve üretim dışı ortamlar arasında bağlantıları sınırlayan bölge kısıtlamaları ve ortam ayrımları.
  • (i) Güvenlik yamalarının dağıtımı, (ii) parola koruma, (iii) ekran kilitleme ve (iv) sürücü şifrelemesi gibi, iş istasyonu varlıklarının sürekli yönetimi.
  • Platform ve platform dışı cihazlar için kurumsal ağ uçlarında güvenlik duvarlarının bulunmasıyla ek güvenlik katmanları sağlanır.
  • Sistem güvenliği ve güvenilirliği artırmak amacıyla işletim sistemi güçlendirme, ağ segmentasyonu ve veri kaybı önleme teknolojilerini içeren ağ ve konak savunması.
  • Müşteri Verilerinin diğer müşterilerin verilerinden mantıksal olarak ayrılmasını sağlamak için belirlenmiş önlemler.
19. Sistem ve Bilgi Bütünlüğü 

Climateware, sistem ve bilgi bütünlüğü ile ilgili olarak geçerli olan kontrolleri ve güvenceleri içeren resmi olarak belirlenmiş politika ve uygulamaları yürürlüğe koymuş ve sürdürecektir. Bu kapsamda:

  • Güvenlik açıklarının hızlı bir şekilde tespiti ve giderilmesi için devam eden güvenlik açığı taramaları.
  • Saklama ortamlarındaki verilerin geri alınamaz şekilde silinmesini sağlamak için geçerli yasalarla uyumlu titiz veri imha protokolleri.
  • Verilerin bütünlüğünü ve ayrımını sağlamak amacıyla üretim verilerinin üretim dışı ortamlarda kullanımını önleyen sıkı politikalar.
  • Merkezi olarak yönetilen salt okunur sistem günlükleri; Güvenlik Olayları için izleme; güvenlik en iyi uygulamaları ile uyumlu günlük saklama politikaları.
  • Sistem ve uygulamalarla uyumluluğun yönetilmesi, ağ güvenliğini ve güvenilirliğini artırır.
  • Kötü amaçlı yazılımlara karşı koruma için Climateware cihazları ve ilgili altyapıya kötü amaçlı yazılım stratejilerinin uygulanması ve kötü amaçlı yazılımdan korunma politikalarının ve tespit araçlarının düzenli güncellenmesi.
  • Benzersiz tanımlayıcılar ve belirteç tabanlı erişim kontrolü, Müşteri Verilerine mantıksal izolasyon ve güvenli sınırlı erişim sağlar.