Yasal / Teknik ve Organizasyon Güvenlik Önlemleri

Teknik ve Organizasyon Güvenlik Önlemleri

Geçerlilik başlangıç tarihi: Eylül 24, 2024

İÇİNDEKİLER

 

Giriş

Güvenlik, Climateware’ın sunduğu hizmetlerin temel bir parçasıdır. Bu sayfa, Climateware'ın güvenlik programı, sertifikaları, politikaları, fiziksel, teknik, organizasyonel ve idari kontrolleri ile Müşteri Verilerini yetkisiz erişim, tahrip, kullanım, değiştirme veya ifşa edilmesinden koruma amaçlı önlemleri (“Güvenlik Önlemleri”) tanımlar. Güvenlik Önlemleri, benzer yazılım hizmeti sağlayıcılarının (“sektör standardı”) genel olarak kabul edilen standartlarına uygun olarak NIST 800-53 kontrollerini içerecek şekilde tasarlanmıştır.

Tanımlanmayan büyük harfli terimler, Anlaşmada veya Veri İşleme Ekinde belirtilen anlamlara sahiptir. Climateware'ın güvenlik duruşuyla ilgili daha fazla bilgiye Güven Merkezi ve Uyumluluk Kaynak Merkezi'nde ulaşabilirsiniz.

1. Erişim Kontrolü

Climateware, Müşteri Verilerinin uygun erişim kontrolü ve korunması için kapsamlı bir resmi politika, kontrol ve uygulama seti yürürlüğe koymuş ve sürdürecektir. Bunlar şunları içerir:

  • Kullanıcı yetkilendirme ilkelerini ve çerçevesini içeren erişim yönetim politikası.
  • Sıfır Güven Modeli mimarisi temelinde belirlenen çok faktörlü kimlik doğrulama gereksinimleriyle birlikte kritik öneme sahip hizmetler için kullanıcıların yetkilendirilmesi.
  • Climateware sistemleri, uygulamaları ve altyapısına erişim, ilgili iş rolü ve en az yetki ilkesi ile sağlanır ve bu süreç kimlik doğrulama işlemleriyle uygulanır.
  • Climateware personelinin yalnızca bilmesi gereken durumlarda Müşteri Verilerine erişim sağlayan katı rol tabanlı erişim kontrolleri.
  • Görev ayrımı, erişim kontrolleri incelemeleri, İK-uygulama yönetimi güvenlik grupları ve iş akışı kontrollerini içerir.
  • Climateware yönetiminin, veri sınıflandırma düzeyine dayalı olarak veri, uygulama, altyapı veya ağ bileşenlerine erişim verilmeden önce tüm kullanıcı hesaplarını önceden onaylaması; ilgili role bağlı olarak düzenli erişim hakları gözden geçirilir.
  • Sıfır Güven Modeli mimarisi temelinde bilgi sınıflandırmasına ve Climateware’a uygun olarak sanal özel ağ (VPN) ve çok faktörlü kimlik doğrulama (MFA) gibi teknik kontrollerin kullanımı.
  • Merkezi olarak yönetilen mobil cihaz yönetimi (MDM) çözümü, uç noktalar ve mobil cihazlar için tanımlanmış kilitleme süreleri ve duruş kontrollerini içerir.
2. Farkındalık ve Eğitim 

Climateware, güvenlik farkındalığı faaliyetleri ve uygun eğitimlerin yürütülmesi için kapsamlı bir resmi politika, kontrol ve uygulama seti yürürlüğe koymuş ve sürdürecektir. Bunlar şunları içerir:

  • Tüm çalışanlar için işe alım sürecinde ve yıllık olarak çeşitli formatlarda (çevrimiçi, yüz yüze ve önceden kaydedilmiş oturumlar, kimlik avı simülasyonları) güvenlik, gizlilik ve uyumluluk konularında kapsamlı farkındalık eğitimi.
  • Yükseltilmiş yetkilere sahip çalışanlar için, ilgili riskleri ele almak ve bilgi tabanlarını geliştirmek amacıyla hedeflenen rol bazlı eğitimler.
  • Tüm eğitim kayıtlarının belirlenmiş bir öğrenim yönetim sisteminde tutulması.
  • Eğitim son tarihlerine ilişkin otomatik hatırlatmalar ve ilgili yöneticilere yönelik bir kademeli takip süreci.
  • Güncel tehditleri ve en iyi güvenlik uygulamalarını kapsayan sürekli güvenlik farkındalık eğitimleri (taşeronlar ve ortaklar da dahil olmak üzere).
  • Mühendislik ekiplerine dahil edilen güvenlik sorumluları tarafından verilen güvenli kodlama eğitimleri.
  • Güvenlik ilkelerini pekiştiren yıllık zorunlu güvenlik eğitimleri ve etkinlikleri, güvenlik sorumluluğunun kolektif bir sorumluluk olduğunu vurgulayan çeşitli aktivitelerle desteklenir.
3. Denetim ve Hesap Verebilirlik

Climateware, uygun denetim ve hesap verebilirlik amaçları doğrultusunda kapsamlı bir resmi politika, kontrol ve uygulama seti yürürlüğe koymuş ve sürdürecektir. Bunlar şunları içerir:

  • Climateware'ın politika yönetimi çerçevesinin bir parçası olan kapsamlı günlük tutma standartları; yıllık incelemeler ve üst yönetim onayları.
  • İlgili sistem günlüklerinin merkezi bir bulut altyapısı günlük platformuna güvenli bir şekilde iletilmesi ve saklanması; bu verilere yalnızca salt okunur erişim sağlanır.
  • Güvenlik denetimi günlüklerinin izlenmesi, olağandışı faaliyetlerin tespit edilmesi ve anormalliklerin gözden geçirilmesi ve ele alınmasına yönelik yerleşik süreçler.
  • Bulut Ürünleri ve ilgili altyapıya ait bilgi ve sistem olaylarının günlüğe kaydedilme kapsamının yeni özellikler ve değişikliklere göre düzenli olarak güncellenmesi.
  • Tüm dağıtılmış örneklerde güvenilir zaman yönetimi için ilgili bulut hizmet sağlayıcılarından (örneğin AWS veya Microsoft Azure) zaman senkronizasyon hizmetleri kullanımı.
4. Değerlendirme, Yetkilendirme ve İzleme

Climateware, sistemlerin tutarlı bir şekilde izlenmesi ve güvenlik değerlendirmeleri için kapsamlı bir resmi politika, kontrol ve uygulama seti yürürlüğe koymuş ve sürdürecektir. Bunlar şunları içerir: 

  • Yıllık incelemeler ve güncellemelerle desteklenen kapsamlı denetim ve güvence politikaları.
  • Küresel politikaları farklı alanlara ayıran merkezi bir iç politika programı; bu programın yıllık incelemesi ve üst yönetim tarafından onaylanması.
  • Denetim yönetimi, planlama, risk analizi, güvenlik kontrolü değerlendirmesi, sonuçlar, iyileştirme programları ve geçmiş denetim raporlarının gözden geçirilmesini içerir.
  • Hukuki ve sözleşmesel gereksinimlerin yanı sıra kontrollerin ve süreçlerin etkinliğinin yıllık olarak değerlendirilmesi amacıyla yapılan iç ve bağımsız dış denetimler.
  • ISO 27001 veya SOC 2 gibi ilgili standartlara ve düzenlemelere karşı uyumun sürekli olarak doğrulanması.
  • Denetim bulgularına dayalı olarak bulunan uygunsuzlukların kök neden analizi, ciddiyet derecelendirmesi ve düzeltici eylemlerle sistematik olarak ele alınması ve titizlikle belgelenip izlenmesi.
  • Ürünler üzerinde yıllık sızma testleri ve zafiyetlerin tespiti ve hafifletilmesi için proaktif hata ödül programları.
  • Climateware’ın politikası doğrultusunda belirlenen zafiyetlerin tespiti ve giderilmesi amacıyla sürekli zafiyet taraması.
5. Yapılandırma Yönetimi
  • Climateware, uygun yapılandırma yönetimi için kapsamlı bir resmi politika, kontrol ve uygulama seti yürürlüğe koymuş ve sürdürecektir. Bunlar şunları içerir:
  • Tüm iç ve dış varlık değişikliklerine yönelik risk yönetimini kapsayan değişiklik yönetim politikaları; yıllık olarak gözden geçirilir.
  • Güvenlik sınıflandırmasına göre verilerin güvenli bir şekilde işlenmesi için şifreleme ve kriptografiyi kapsayan değişiklik yönetimine yönelik standart prosedürler.
  • Küresel politikaları farklı alanlara ayıran merkezi bir iç politika programı; bu programın yıllık incelemesi ve üst yönetim tarafından onaylanması.
  • (i) Şifreleme (ii) Kriptografi (iii) Uç nokta yönetimi ve (iv) Varlık takibini içeren sıkı politikalar; sektör standartlarına uygun olarak hazırlanmıştır.
  • Uygulama ve belgelemeyi gerektiren değişiklik kontrolü için oluşturulmuş temel yapılandırmalar ve standartlar; uygulamadan önce yetkilendirme gerektirir.
  • Üretim kodu ve altyapı değişiklikleri için birden fazla inceleme ve başarılı test gerektiren bir yeşil oluşturma süreci ve meslektaş incelemesi.
  • Koda yapılan acil değişiklikler için sıkı bir uygulama sonrası test ve onay süreci.
  • Yetkisiz değişikliklere karşı koruma sağlayan ve bir Saldırı Tespit Sistemi (IDS) ile desteklenen kapsamlı otomatik bir sistem.
  • Tüm fiziksel ve mantıksal varlıkların titizlikle kataloglanması ve izlenmesi; varlık yönetiminin güncelliğini sağlamak için yıllık incelemeler yapılır.
6. Acil Durum Planlaması

Climateware, iş sürekliliği ve felaket kurtarma amaçları doğrultusunda uygun acil durum planlaması için kapsamlı bir resmi politika, kontrol ve uygulama seti yürürlüğe koymuş ve sürdürecektir. Bunlar şunları içerir: 

  • Ürün teslimatı için gerekli olan telekomünikasyon ve teknoloji dahil olmak üzere yetkin bir iş gücü ve sağlam BT altyapısı.
  • Kurtarma süresi hedefleri (RTO'lar) ve kurtarma noktası hedefleri (RPO'lar) dahil olmak üzere iş sürekliliği ve felaket kurtarma planları (“BCDR Planları”).
  • Erişim ve kullanımın kesintiye uğramasını önlemek için makul şekilde tasarlanmış veri depolama ve süreklilik içeren iş sürekliliği planları.
  • Küresel iş gücümüz ve bulut altyapımız sayesinde coğrafi çeşitlilik.
  • Günlük yedekleme, yıllık geri yükleme testleri ve alternatif bulut altyapısı depolama siteleri gibi dayanıklılık kontrolleri aracılığıyla iş operasyonlarını güçlendirme.
  • Siber olaylara müdahale ve iyileştirme prosedürleriyle iş sürekliliğini sağlamak için oluşturulmuş bir dayanıklılık çerçevesi.
  • Uygun BCDR Planlarına göre müdahale stratejilerini iyileştirmek amacıyla üç aylık felaket kurtarma testleri ve tatbikatları; test sonrası analizlerle sürekli iyileştirme sağlanır.
  • Ürünler genelinde sürekli kapasite yönetimi; hizmet kullanılabilirliği ve işlem kapasitesini sürdürmek için iç izleme ve ayarlamalar; bulut ürünleri ve ilgili altyapı için dağıtılmış hizmet reddi saldırısı (DDoS) azaltma önlemleri.
  • İş sürekliliği ile ilgili tüm küresel politikaların yıllık incelemesi ve güncellemeleri için merkezi bir iç politika programı.
  • Yedekleme protokolleri, şunları içerir: (i) Veri şifreleme, (ii) Veri merkezleri arasında yedeklilik, (iii) Sürekli planlamayı güçlendirmek için düzenli testler.
7. Tanımlama ve Kimlik Doğrulama

Climateware, uygun kimlik tanımlama ve kimlik doğrulama amacıyla kapsamlı bir resmi politika, kontrol ve uygulama seti yürürlüğe koymuş ve sürdürecektir. Bunlar şunları içerir: 

  • Çalışanların, uygulama erişimi için aktif dizin aracılığıyla tek oturum açma (SSO) kullanılarak benzersiz bir şekilde tanımlanması.
  • Climateware’ın Sıfır Güven Modeli mimarisine dayalı olarak SSO aracılığıyla uygulama başlatma ve VPN için güvenli erişim sağlamak amacıyla MFA kullanımı.
  • NIST 800-63B yönergelerini izleyen, parola oluşturma ve yönetiminin güvenlik yönlerine odaklanan parola politikaları.
  • Gelişmiş şifreleme yöntemleri kullanılarak saklanan kimlik bilgileri güvence altına alınır; örneğin parola ve gizli yönetim sistemleri kullanılır.
  • Kimlik verilerinin bütünlüğünü ve doğruluğunu sağlamak için kullanıcıların ve hesapların belgelenmiş onayları, düzenli incelemeler ve ilgili kimlik sistemi ile İK sistemleri arasında otomatik eşleşmeler.
8. Güvenlik Olaylarına Müdahale

Climateware, Güvenlik Olaylarına uygun müdahale amacıyla kapsamlı bir resmi politika, kontrol ve uygulama seti yürürlüğe koymuş ve sürdürecektir. Bunlar şunları içerir:

  • Güvenlik Olaylarına müdahale planları, hazırlıklı olma, kontrol altına alma, yok etme ve kurtarma ile veri koruma ve diğer düzenleyici gerekliliklere odaklanır.
  • Güvenlik Olaylarıyla ilgili etkili iletişim ve iş birliği sağlamak amacıyla Güvenlik Olaylarını ele alan çapraz fonksiyonel ekipler ve güvenlik olaylarını sınıflandırmak için iyi tanımlanmış süreçler.
  • Yanıt planlarının düzenli test edilmesi ve Güvenlik Olayı yönetiminin etkinliğini izlemek ve iyileştirmek için belirlenmiş ölçümler.
  • Şirket genelinde olay müdahale planlarının ve politikalarının yıllık incelemeleri; mevcut en iyi uygulamaların şirket genelinde paylaşılması ve güncellenmesi.
  • Yüksek derecede ciddi Güvenlik Olayları için yapılan kök neden analizlerine odaklanarak, olay sonrası incelemeler (PIR) ile sistematik iyileştirmeler ve öğrenme süreçlerinin gerçekleştirilmesi.
  • Kesinti süresini ve güvenlik risklerini en aza indirmek için kritik iş süreçlerine entegre edilmiş olay müdahale prosedürleri ve planları.
  • Müşterinin güvenlik açıklarını, hataları ve sorunları rapor edebilme yeteneği; sistem kusurları, kullanılabilirlik, güvenlik ve gizlilikle ilgili endişelere hızlı bir şekilde yanıt verilmesini sağlar.
  • Climateware’ın Veri İşleme Ekinde belirtilen yükümlülükler uyarınca, Güvenlik Olayının gecikmeksizin Müşteriye bildirilmesi ve Müşteriye, Geçerli Veri Koruma Kanunlarıyla uyumluluk için gerekli bilgilerin sağlanması taahhüdü.
9. Bakım

Climateware, Bulut Ürünlerinin sürekli etkinliğini sağlamak için kapsamlı bir resmi politika, kontrol ve uygulama seti yürürlüğe koymuş ve sürdürecektir. Bunlar şunları içerir: 

  • Dış denetçiler tarafından doğrulanan üç aylık değerlendirmelerle desteklenen BCDR Planlarının düzenli olarak test edilmesi.
  • Birden fazla bölgenin kullanılabilirliğinin gerçek zamanlı olarak izlenmesi ve altyapı kullanılabilirliği ve güvenilirliği için düzenli testlerin yapılması.
  • Bölüm 4'te (Değerlendirme, Yetkilendirme ve İzleme), Bölüm 6'da (Acil Durum Planlaması) ve Bölüm 18'de (Sistem ve İletişim Koruması) özetlenen önlemler.
10. Medya Koruması

Climateware, iç ve dış medya korumasını sağlamak için kapsamlı bir resmi politika, kontrol ve uygulama seti yürürlüğe koymuş ve sürdürecektir. Bunlar şunları içerir: 

  • Müşteri Verilerini işlemek için fiziksel altyapıyı işleten üçüncü taraf hizmet sağlayıcıları (örneğin, Microsoft Azure veya AWS) kullanımı.
  • Kullanılmış ekipmanların, endüstri standartlarına (örneğin ISO 27001) uygun olarak üçüncü taraf bulut hizmet sağlayıcıları tarafından silinmesi ve manyetik alanla temizlenmesi, bu işlemler sırasında müşteri verilerini içeren sabit disklerin kullanımı.
  • Müşteri Verilerini depolayan sunucular ve veritabanlarındaki veri sürücülerinde ve uç nokta cihazlarında tam disk şifrelemesi, endüstri standartlarına uygun olarak (örneğin, AES-256).
  • Climateware’ın Sıfır Güven Modeli mimarisine uygun olarak yalnızca güvenli ve uyumlu cihazlar üzerinden Müşteri Verilerine erişim sağlayan bir dahili kişisel cihaz kullanımı (BYOD) politikası; tüm cihazlar için teknik kontroller (örneğin, VPN) kullanılarak erişim kısıtlaması.
  • Güvenli bir çalışma ortamı yönergesine uygun olarak, gözetimsiz iş istasyonlarında gizli verilerin görünmez olmasının zorunlu hale getirilmesi.
11. Fiziksel ve Çevresel Koruma

Climateware, Müşteri Verilerinin fiziksel ve çevresel koruması için kapsamlı bir resmi politika, kontrol ve uygulama seti yürürlüğe koymuş ve sürdürecektir. Bunlar şunları içerir: 

  • Climateware'ın ofislerinde dünya genelinde uygulanan kontrollerle güvenli bir çalışma ortamı sağlanması.
  • Gelişmiş güvenlik için zaman sınırlı erişim kısıtlamaları, kamera gözetimi ve kimlik kartı okuyucuların kullanılması.
  • Ofis binalarında araştırma amaçlı erişim loglarının tutulması.
  • Üçüncü taraf veri merkezi sağlayıcıları tarafından uygulanan biyometrik kimlik doğrulama ve yerinde güvenlik dahil olmak üzere çoklu uyumluluk sertifikaları ve sağlam fiziksel güvenlik önlemleri.
  • Güç ve telekomünikasyon kabloları için koruyucu tedbirlerin yanı sıra gelişmiş güvenlik sistemleri ve çevresel kontrol sistemlerinin üçüncü taraf veri merkezi sağlayıcıları tarafından uygulanması.
  • Climateware ve üçüncü taraf veri merkezi sağlayıcıları tarafından kritik ekipmanın düşük riskli çevresel alanlara yerleştirilmesiyle ek güvenlik sağlanması.
12. Planlama

Climateware, iş operasyonlarının uygun planlaması için kapsamlı bir resmi politika, kontrol ve uygulama seti yürürlüğe koymuş ve sürdürecektir. Bunlar şunları içerir: 

  • Düzenleyici yükümlülükler üzerinde yasal ve uyumluluk ekipleri tarafından aktif izleme ve belgeleme.
  • Sistem sınırları ve ürün tanımları ile ilgili kapsamlı belgeleri içeren ayrıntılı bir sistem güvenlik planı.
  • Temel ürünler ve hizmetlerdeki önemli değişiklikler hakkında iç kullanıcılar ve müşterilerle iletişim.
  • Güvenlik yönetim programının periyodik gözden geçirme ve güncellemeleri.
13. Program Yönetimi

Climateware, uygun program yönetimi için kapsamlı bir resmi politika, kontrol ve uygulama seti yürürlüğe koymuş ve sürdürecektir. Bunlar şunları içerir: 

  • Yürütme düzeyinde desteklenen ve tüm güvenlikle ilgili politika ve uygulamaları kapsayan güvenlik yönetim programı.
  • Tanımlanmış roller, risk azaltma ve hizmet sağlayıcı güvenlik yönetim programını içeren belgelenmiş bilgi güvenliği politikaları.
  • Müşteri Verilerini işleyen sistemlerin düzenli risk değerlendirmeleri ve Güvenlik Olaylarının gözden geçirilmesi yoluyla hızlı düzeltici eylemlerin alınması.
  • SOC 2, ISO27001 ve NIST 800-53 gibi standartlarla uyumlu resmi güvenlik kontrolleri çerçevesi.
  • Güvenlik risklerinin tanımlanması ve nicelleştirilmesi için süreçler; Güven Başkanı tarafından onaylanan risk azaltma planları ve uygulamaların düzenli olarak izlenmesi.
  • Geniş bir potansiyel saldırı vektörünü kapsamak için güvenlik testlerine yönelik kapsamlı ve çeşitli yaklaşımlar.
  • Güvenlik yönetim programının düzenli gözden geçirilmesi, test edilmesi ve güncellenmesi (yılda en az bir kez).
  • Güvenlik personeli için eğitim programları; roller ve sorumlulukları ayrıntılı olarak belirleyen bir organizasyon şeması.
  • Yürütme yönetimi tarafından stratejik operasyonel hedeflerin belirlenmesi ve gözden geçirilmesi.
  • Risk yönetim politikası, risk değerlendirmeleri ve dolandırıcılık risk değerlendirmeleri dahil olmak üzere Kurumsal Risk Yönetimi (ERM) çerçevesinin yıllık olarak gözden geçirilmesi; bu işlemler Risk ve Uyumluluk Başkanı tarafından gerçekleştirilir.
14. Personel Güvenliği

Climateware, Müşteri Verilerine erişimi olan tüm Climateware çalışanlarının güvenliğini sağlamak amacıyla kapsamlı bir resmi politika, kontrol ve uygulama seti yürürlüğe koymuş ve sürdürecektir. Bunlar şunları içerir: 

  • Özellikle üst düzey yöneticilik ve muhasebe rolleri için adli sicil kayıtları da dahil olmak üzere işe alım öncesi geçmiş kontrolleri, ilgili yerel yasalar dahilinde yapılır.
  • Gizlilik anlaşmaları, iş sözleşmeleri ve çeşitli politika ve davranış kurallarının kabul edilmesini içeren kapsamlı bir işe alım süreci.
  • Küresel ve yerel istihdam politikalarının sürdürüldüğü ve yıllık olarak gözden geçirildiği bir yapı.
  • Rol değişiklikleri ve işten çıkış süreçleri için otomatik yetki iptali ve çalışan çıkışına yönelik kontrol listeleri; erişimin yeniden sağlanması için yönetici onayı gereklidir.
  • Belirli roller için hedeflenmiş eğitimlerle birlikte çalışanlara yönelik sürekli güvenlik ve uyumluluk eğitimi; ekiplerde güvenlik sorumluları bulundurulur.
  • Organizasyonel güvenliği koruma başarısını kutlamak ve güvenlik eğitimi farkındalığını artırmak amacıyla her yıl güvenlik farkındalığı ayının düzenlenmesi.
  • Climateware'ın politikalarının ihlal edilmesi durumunda uygulanacak disiplin süreçleri.
15. Kişisel Veri İşleme ve Şeffaflık

Climateware, Kişisel Verilerin geçerli Veri Koruma Yasalarına uygun olarak işlenmesi için kapsamlı bir resmi politika, kontrol ve uygulama seti yürürlüğe koymuş ve sürdürecektir. Bunlar şunları içerir: 

  • Veri koruma yasalarına uyum sağlamak ve gerekli güvenlik önlemleri ile süreçleri uygulamak amacıyla küresel bir gizlilik uyum programı.
  • Kişisel veri kategorileri, işleme amaçları ve işleme ilkelerinin net bir şekilde tanımlandığı içsel kişisel veri işleme politikası.
  • Çeşitli kişisel veri kategorilerinin işlenmesine yönelik ayrıntılı standartlar; işleme ilkeleri, geçerli hukuki dayanak, saklama, imha vb. gibi konuları kapsar.
  • Endüstri standartlarına uygun uygulamalar kullanarak sahte isimlendirilmiş veri setleri oluşturma yöntemleri ve sahte isimlendirilmiş tanımlayıcıların yeniden eşlemesini sağlayan uygun teknik ve organizasyonel önlemler.
  • Kullanıcılar ve müşteriler için şeffaf gizlilik politikaları ile çalışanlar için içsel kılavuzlar.
  • (i) İşleme faaliyetleri, (ii) gizlilik etki değerlendirmeleri, (iii) transfer etki değerlendirmeleri, (iv) onaylar ve (v) müşterilerle ve tedarikçilerle yapılan veri işleme anlaşmaları dahil olmak üzere kapsamlı uyum belgeleri.
  • Geliştirme yaşam döngüsünün tüm aşamalarında güvenli geliştirme uygulamaları, tasarım aşamasından itibaren güvenlik ve veri korumaya odaklanılır.
  • Geçerli veri koruma yasalarına uygun olarak bireylerin kişisel verilerine erişme, düzeltme ve silme haklarına saygı duyulması
16. Risk Değerlendirmesi

Climateware, Bilgi Güvenliği Yönetim Sistemi için kapsamlı bir resmi politika, kontrol ve uygulama seti yürürlüğe koymuş ve sürdürecektir. Bunlar şunları içerir: 

  • Bilgi risklerini belirlemek, değerlendirmek ve ele almak için kapsamlı bir risk yönetim programı; bu program bilinçli risk yönetim kararlarını destekler.
  • Şirket çapındaki politikaların ISO 27001 ve diğer ilgili standartlarla uyumlu hale getirilmesi amacıyla bir politika programı.
  • Sürekli güvenlik testleri; bunlar şunları içerir: (i) sızma testleri, (ii) hata ödül programları ve (iii) proaktif tehdit azaltma.
  • Güvenlik zafiyet yönetim faaliyetlerinin raporlanmasına yönelik süreçler ve metrikler.
  • Bağımsız dış ve iç denetimler de dahil olmak üzere kapsamlı güvenlik değerlendirmeleri.
17. Sistem ve Hizmet Satın Alımı

Climateware, sistem geliştirme, bakım ve değişiklik yönetimi için güvenlik merkezli yapılandırılmış bir metodoloji uygulayacak ve sürdürecektir. Bunlar şunları içerir: 

  • Güvenli yazılım geliştirme yaşam döngüsü (SDLC), çevik yapısı ile değişikliklere uyum sağlar; sistem ve altyapı değişikliklerinin titiz bir şekilde gözden geçirilmesi ve belgelenmesi.
  • Sistem yapılandırma değişiklikleri ve dağıtımı için otomatik süreçlerle standartlaştırılmış güvenli uygulama dağıtımı.
  • Peer review (meslektaş incelemesi) ile çekme taleplerinin gözden geçirilmesini ve birleştirilmeden önce zorunlu otomatik testlerin yapılmasını içeren belirlenmiş geliştirme süreci.
  • Yetki ayrımı ilkesi doğrultusunda değişiklik yönetimi görevleri belirlenmiş çalışanlar tarafından yürütülür.
  • Kritik olaylar sırasında hızlı yanıt vermeye hazır olunmasını sağlamak için acil değişiklik süreçleri (örneğin, “break glass” prosedürleri).
  • Climateware’ın kaynak kodu ve dağıtım sistemlerinde (örneğin Bitbucket Cloud) izinsiz değişikliklerin önlenmesini sağlayan katı uyumluluk ayarları.
  • Tüm yapılandırma değişikliklerinin net bir şekilde belgelenmesi ve izlenmesi; uyumsuzluklar veya meslektaş inceleme zorunluluğunda değişiklikler için otomatik uyarılar.
  • Satıcı yazılımlarında yapılan değişiklikler üzerinde katı kontroller.
  • Üçüncü taraf veya açık kaynak kütüphanelerinin düzenli taranması ve güncellenmesi; aynı zamanda kod tabanının sürekli taranması.
18. Sistem ve İletişim Koruması

Climateware, sistem ve iletişim koruması için kapsamlı bir resmi politika, kontrol ve uygulama seti yürürlüğe koymuş ve sürdürecektir. Bunlar şunları içerir: 

  • Ağlar üzerinde depolanan ve iletilen hassas bilgileri korumak için güvenilir ve güvenli şifreleme teknolojileri kullanarak kriptografik mekanizmalar.
  • Müşteri Verilerinin TLS 1.2+ kullanılarak atıl durumda ve aktarım sırasında şifrelenmesi; genel ağlar üzerinden Perfect Forward Secrecy (PFS) ile şifreleme sağlanır.
  • Üretim ve üretim dışı ortamlar arasında bağlantıyı sınırlayan bölge kısıtlamaları ve çevre ayrımı.
  • Uç nokta cihazlarının güvenlik yaması dağıtımı, parola koruması, ekran kilitleri ve sürücü şifrelemesi gibi süreçlerle sürekli yönetimi.
  • Yalnızca MDM platformuna kayıtlı bilinen ve uyumlu cihazlara erişim izni verilmesi, Climateware’ın Sıfır Güven Modeli mimarisine uygun olarak cihazların yönetilmesi.
  • Platform ve platform dışı barındırılan cihazlar için ek güvenlik katmanları sağlamak amacıyla kurumsal kenarlarında güvenlik duvarlarının uygulanması.
  • Ağ ve ana bilgisayar savunma tedbirleri, işletim sistemi sertleştirmesi, ağ segmentasyonu ve veri kaybı önleme teknolojilerini içerir.
  • Müşteri Verilerinin diğer müşterilerin verilerinden mantıksal olarak ayrılmasını sağlayan yerleşik önlemler.
19. Sistem ve Bilgi Bütünlüğü

Climateware, sistem ve bilgi bütünlüğüne yönelik kontrolleri ve korumaları içeren kapsamlı bir resmi politika ve uygulama setini yürürlüğe koymuş ve sürdürecektir. Bunlar şunları içerir: 

  • Zafiyetlerin hızla tespit edilmesi ve giderilmesi için sürekli zafiyet taramaları.
  • Veri taşıma medyasından verilerin geri alınamayacak şekilde temizlenmesini makul ölçüde sağlayan katı veri imha protokollerine uyum; geçerli yasalara uygun olarak.
  • Üretim verilerinin üretim dışı ortamlarda kullanılmasını önleyen katı politikalar; bu, veri bütünlüğünü ve ayrılığını sağlar.
  • Merkezi olarak yönetilen salt okunur sistem günlükleri; Güvenlik Olayları izleme; güvenlik en iyi uygulamalarıyla uyumlu günlük tutma politikaları.
  • Sistemler ve uygulamalar ile ağ uyumluluğunu artırarak ağ güvenliğini ve güvenilirliğini güçlendirme.
  • Climateware altyapısı ve cihazları üzerinde anti-malware stratejilerinin konuşlandırılması; kötü amaçlı yazılım tehditlerine karşı güçlü koruma sağlanması ve kötü amaçlı yazılım koruma politikalarının ve tespit araçlarının düzenli olarak güncellenmesi.
  • Mantıksal izolasyon ve Müşteri Verilerine sınırlı güvenli erişim sağlamak amacıyla benzersiz tanımlayıcılar ve token tabanlı erişim kontrolü.
20. Tedarik Zinciri Risk Yönetimi

Climateware, tedarik zinciri risk yönetimi için resmî olarak belirlenmiş politikalar ve uygulamaları hayata geçirmiştir ve sürdürecektir. Bu kapsamda şunlar yer almaktadır:

  • Tedarikçilerin yaşam döngüsü boyunca güvenlik, erişilebilirlik ve gizlilik standartlarını uyumlu hale getiren, satıcı ilişkilerini yönetmeye yönelik resmî bir çerçeve.
  • Risk değerlendirmeleri, durum tespiti, sözleşme yönetimi ve tüm üçüncü tarafların sürekli izlenmesini içeren sağlam bir üçüncü taraf risk yönetimi (TPRM) değerlendirme süreci.
  • Sözleşmelerin, SLA'ların ve güvenlik önlemlerinin gözden geçirilmesi için hukuk, satın alma, güvenlik ve risk birimlerinden oluşan özel ekipler, güvenlik ve veri gizliliği ile ilgili risklerin yönetilmesi amacıyla.
  • Tedarikçilerin işe alınmasından önce ve periyodik olarak, risk seviyelerine dayalı işlevsel risk değerlendirmeleri; politika yenilemeleri veya önemli ilişki değişiklikleri sırasında gözden geçirme yapılması.
  • Climateware’e sağlanan hizmetlerle ilişkili sahiplik ve risk seviyelerini detaylandıran tüm tedarikçilerin envanteri.
  • Denetim raporlarının (örneğin SOC 2) yıllık incelemesi ve tedarik zincirinin bilgi teknolojisi yönetim politikalarının ve güvenlik değerlendirmelerinin düzenli olarak gözden geçirilmesi, kontrollerin hem uygun hem de etkin bir şekilde uyumlu olduğunun sağlanması amacıyla.
  • Mobil ve kendi cihazını getir politikası kapsamında, uyumluluk izleme ve seçici kısıtlamalara odaklanarak üçüncü taraf uç noktaları güvence altına almak için alınan önlemler.