Telefon

Erişim Kontrolü Politikası

Erişim Kontrolü Politikası

1. Amaç
Bu Erişim Kontrolü Politikası, Cronexis Teknoloji A.Ş.’nin, bilgi sistemleri ve verilerine yetkisiz erişimleri önlemek, sistem kaynaklarının güvenliğini sağlamak, gizliliği korumak ve güvenlik risklerini en aza indirmek amacıyla erişim yönetimi sağlamak için belirlediği kuralları tanımlar. Bu politika, tüm çalışanlar, tedarikçiler, hizmet sağlayıcılar ve diğer ilgili taraflar için geçerli olup, kişisel verilerin korunmasını ve sistem güvenliğini sağlamak için uygulanır.

2. Kapsam
Bu politika, Cronexis Teknoloji A.Ş.’nin tüm bilgi sistemleri, ağlar, veri tabanları, uygulamalar, cihazlar, donanımlar ve tüm diğer teknolojik altyapıları üzerinde geçerlidir. Ayrıca, şirketin veri ve bilgi kaynaklarına erişim sağlayan tüm çalışanlar, dış hizmet sağlayıcılar, tedarikçiler ve üçüncü taraflar da bu politikaya tabidir.

3. Erişim Kontrolü İlkeleri
Erişim kontrolü, aşağıdaki temel ilkeler doğrultusunda gerçekleştirilecektir:

  • İhtiyaç Temelli Erişim (Need-to-Know Principle): Çalışanlar ve kullanıcılar yalnızca görevlerini yerine getirebilmek için ihtiyaç duydukları verilere ve sistemlere erişim hakkına sahip olmalıdır.
  • Yetkilendirme: Erişim hakları, kullanıcıların iş ihtiyaçlarına ve rolleriyle uyumlu olarak belirlenmeli ve yetkilendirilmelidir.
  • En Az Ayrıcalık (Principle of Least Privilege): Kullanıcılara yalnızca görevlerini yerine getirebilmeleri için gerekli olan minimum erişim hakları verilmelidir.
  • İzlenebilirlik: Erişim işlemleri kaydedilmeli ve denetlenebilir olmalıdır. Kullanıcıların sisteme erişim faaliyetleri, düzenli olarak izlenmeli ve incelenmelidir.
  • Zaman Sınırlı Erişim: Erişim hakları belirli bir süreyle sınırlı olmalı, gerektiğinde bu süre sonunda erişim kaldırılmalıdır.

4. Erişim Kontrolü Yöntemleri
Erişim kontrolü, aşağıdaki yöntemlerle uygulanacaktır:

  • Kimlik Doğrulama: Kullanıcıların sistemlere giriş yapabilmesi için güçlü kimlik doğrulama yöntemleri kullanılacaktır. Bu, parolalar, biyometrik veriler veya çok faktörlü kimlik doğrulama (MFA) gibi yöntemleri içerebilir.
  • Yetkilendirme: Kullanıcıların erişim hakları, iş gereksinimlerine ve rol bazlı erişim denetimlerine (RBAC) dayalı olarak belirlenir.
  • Erişim Seviyeleri: Kullanıcılar, yalnızca gerekli olan düzeyde erişim sağlamak için farklı seviyelerde yetkilendirilir. Yönetici, kullanıcı, misafir gibi erişim seviyeleri tanımlanır.
  • Parola Güvenliği: Kullanıcılar güçlü parolalar kullanmalı ve periyodik olarak değiştirilmelidir. Parolalar en az 8 karakter uzunluğunda, büyük harf, küçük harf, rakam ve semboller içermelidir.
  • Çok Faktörlü Kimlik Doğrulama (MFA): Erişim için iki veya daha fazla doğrulama faktörü kullanılmalıdır.

5. Erişim Yönetimi ve Denetimleri

  • Kullanıcı Hesapları: Kullanıcı hesapları, iş ilişkisi sona erdiğinde veya rol değişikliği gerçekleştiğinde derhal devre dışı bırakılmalıdır. Hesaplar için uygun erişim hakları belirlenmeli ve gereksiz hesaplar temizlenmelidir.
  • Erişim İncelemesi: Erişim hakları düzenli olarak gözden geçirilmeli ve gerektiğinde güncellenmelidir. Bu incelemeler, kullanıcı rollerinin değişip değişmediğini, hesapların hala aktif olup olmadığını kontrol etmek amacıyla yapılmalıdır.
  • Erişim Kısıtlamaları: Belirli veri ve sistemlere erişim, yalnızca yetkilendirilmiş kişilere sağlanmalıdır. Verilerin ve sistemlerin hassasiyetine göre erişim seviyeleri belirlenmelidir.
  • Loglama ve İzleme: Erişim işlemleri, kullanıcı girişleri ve çıkışları, başarılı veya başarısız kimlik doğrulama girişimleri kaydedilmelidir. Bu günlükler düzenli olarak incelenmeli ve denetlenmelidir.

6. Erişim İhlalleri ve Yanıtlar
Erişim kontrol politikalarına aykırı hareket eden veya güvenlik ihlali oluşturan herhangi bir durum anında rapor edilmeli ve gerekli düzeltici önlemler alınmalıdır. Erişim ihlalleri için aşağıdaki adımlar uygulanmalıdır:

  • İhlalin tespiti ve raporlanması
  • İhlalin kapsamı ve etkilerinin değerlendirilmesi
  • İhlalin etkilerini sınırlamak için derhal önlemler alınması
  • İhlalin sonuçlarının kaydedilmesi ve ilgili kişilere bildirimi
  • Erişim kontrol sisteminin iyileştirilmesi için düzeltici aksiyonların alınması

7. Eğitim ve Farkındalık
Tüm çalışanlar, güvenli erişim yönetimi ve erişim kontrol politikaları hakkında düzenli olarak bilgilendirilmeli ve eğitilmelidir. Çalışanların, güvenli şifre yönetimi, çok faktörlü kimlik doğrulama kullanımı ve erişim denetimlerine uyum sağlama konularında farkındalıkları artırılmalıdır.

8. Yasal Uyumluluk
Cronexis Teknoloji A.Ş., yerel ve uluslararası mevzuatlar (KVKK, GDPR gibi) ile uyumlu olarak erişim kontrol politikalarını uygulamaktadır. Bu politika, tüm ilgili yasalar ve düzenlemelere uygun olacak şekilde düzenlenmiştir.

9. Politika Gözden Geçirmesi ve Güncellenmesi
Bu politika, yıllık olarak gözden geçirilecek ve gerektiğinde güncellenecektir. Teknolojik değişiklikler, güvenlik tehditleri veya yasal gereksinimler doğrultusunda da politika revize edilebilir.

Sonuç
Cronexis Teknoloji A.Ş., tüm bilgi sistemlerine ve verilerine erişimin yalnızca yetkilendirilmiş kişilerle sınırlı olmasını sağlayarak, güvenlik tehditlerine karşı korunmayı taahhüt eder. Erişim kontrolü, sistemlerin güvenliğini sağlamak, kişisel verilerin korunmasını temin etmek ve yasal uyumluluğu desteklemek amacıyla uygulanır.

Lütfen Site Dili Seçiniz

Türkçe English

Lütfen Para Birimi Seçiniz

EUR$ USD TL