POTANSİYEL VERİ GÜVENLİĞİ İHLALİ PROTOKOLÜ

POTANSİYEL VERİ GÜVENLİĞİ İHLALİ PROTOKOLÜ

1.) AMAÇ

Etsun Dış Ticaret A.Ş. (“Şirket” veya “ETSUN”) nezdinde fiziksel veya dijital ortamda işlenen kişisel verilerin herhangi bir şekilde ihlali halinde teknik, idari ve fiziki tedbirleri belirlemek, doğabilecek zararların ve sonuçların en aza indirilmesi amacı ile işbu “Potansiyel Veri Güvenliği İhlali Protokolü” hazırlanmıştır.

2.) VERİ İHLALİNE KARŞI ALINAN ÖNLEMLER

• a) Veri ihlali doğurabilecek senaryolar listelenmeli ve veri ihlali durumunda belirlenen her senaryo için yapılacaklar planlanmalıdır.
• b) Veri ihlali durumunda, konuyu sonlandırabilecek yetkili kişi veya kişiler belirlenmeli, bu kişilerin görev ve yetki tanımları yapılmalıdır.
• c) Veri ihlalinin önüne geçilebilmesi için Acil Durum Eylem Planı Kontrol Listesi’nde yer alan adımlar izlenmelidir.
• d) Veri ihlalinin çıkış noktası belirlenmeli, deliller toplanmalı ve korunmalıdır.
• e) Somut olaya uyarlanarak kullanılabilecek taslak ihlal bildirimleri hazırlanmalıdır. Kişisel Verileri Koruma Kurulu tarafından öngörülen bir metin yayımlanması halinde ise yayımlanan metin esas alınmalıdır.
• f) Veri ihlali sonucu Kişisel Verileri Koruma Kurulu gibi kurumlara hukuken bildirim yükümlülüğü ortaya çıkmış ise gerekli bildirimler yapılarak bu yükümlülük yerine getirilmelidir.
• g) Veri ihlali ile Etsun Dış Ticaret A.Ş.’nin bünyesinde bulunan kişisel veriler üzerinde herhangi bir işlem (ele geçirme, silme, güncelleme gibi) yapıldığına kanaat getiriliyorsa, 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun ilgili hükümleri uyarınca veri sahipleri konu ile ilgili derhal bilgilendirilmelidir.
• h) İhlal hakkında iç birimlerin yetersiz olduğu düşünülüyorsa ilgili gizlilik sözleşmeleri yapılarak gerekli olan teknik ve hukuki destek alınmalıdır.

3.) VERİ GÜVENLİĞİ İHLALİ DURUMUNDA YAPILACAKLAR

3.1. İlk aşamada yapılacaklar;

• a) Veri ihlalinin değerlendirilip, gerekli ise müdahalenin yapılması için KVKK Çalışma Kurulu oluşturulmuştur. KVKK Çalışma Kurulu’nda aşağıda belirlenen kişiler vardır:
  • Etsun Dış Ticaret A.Ş.’nin Yönetim Kurulu üyelerinden biri,
  • Bilgi Teknolojileri departmanı çalışanı veya bu hizmeti veren firma yetkilisi/görevlisi,
  • İnsan Kaynakları departmanı çalışanı,
  • Şirket avukatı.
• b) Veri ihlali ile karşılaşan veya veri ihlalini tespit eden çalışanın vakit kaybetmeden departman müdürünü ve KVKK Çalışma Kurulu’nu bilgilendirmesi gerekmektedir. Sonrasında departman yetkilisi ve Etsun Dış Ticaret A.Ş. KVKK Çalışma Kurulu, ihlalin yaratabileceği sonuçları değerlendirerek ilgili görebilecekleri kişi veya departmanlara konuyu taşımalıdır.
• c) İhlal kapsamında Etsun Dış Ticaret A.Ş.’nin e-posta sisteminin de ihlalden etkilendiği düşünülüyorsa, daha fazla veri ihlalinin ortaya çıkmaması ve ihlalin sonlandırılabilmesi adına yapılacak bildirimler telefon yolu ile veya yüz yüze yapılmalıdır.

3.2. İhlalin Değerlendirilmesi

İhlal değerlendirilirken yapılacak özellikle aşağıda belirtilen işlemler dahil olmak üzere her türlü işlem kayıt altına alınmalıdır:

• İhlalin hangi verileri ve sistemleri etkilediği,
• Yapılan işlemlerin saati ve tarih bilgileri,
• İhlal ile ilgili olabilecek kişiler (olayı fark eden, önlemleri gerçekleştirmeye çalışan, kaydı oluşturan kişiler),
• İhlalin değerlendirilmesi ve sonlanması için atılan adımlar.

3.3. Veri İhlalinin İncelenmesi ve Hasarı En Aza İndirme Süreçleri

İhlalin tekrar yaşanmaması ve zararın büyümemesi için aşağıda listelenen önlemler alınmalıdır:

• Fiziki veya elektronik olarak kaybolmuş bir veri söz konusu ise, bu verilerin güvenliği Etsun Dış Ticaret A.Ş. tarafından tekrar sağlanmalıdır.
• Kolluk kuvvetlerine vakit kaybetmeden bildirim yapılmalıdır.
• Verilerin bulunduğu ortamlara giriş çıkışlar sınırlandırılmalıdır.
• Fiziksel ortamda veya bilgisayar ortamında tutulan veriler fiziki olarak ihlale uğramış ise fiziki ortama ait giriş – çıkış ve kamera kayıtları korunmalıdır.
• Bilgisayar ortamında tutulan veriler ihlale uğramış ise mevcut denetim izi kayıtları oluşabilecek herhangi bir müdahaleye karşı korunmalıdır.
• Etsun Dış Ticaret A.Ş., yapılan inceleme ve analizler sırasında aşağıda listelenen maddelerin üzerinden ilerleyerek veri ihlali ile ilgili aksiyon almalıdır:
  • Veri ihlali sebeplerinin değerlendirilmesi,
  • Veri ihlalinden etkilenen veri sahiplerinin belirlenmesi,
  • İhlale uğrayan verilerin ne gibi amaçlar için kullanılacağının tespit edilmesi,
  • Risk altındaki diğer sistemlerin belirlenmesi.
• Veri ihlali incelenirken tutulacak olan tüm belgeler gizli olmalıdır ve belgeler üzerinde “Gizli ve İmtiyazlıdır” ifadesi bulunmalıdır.

3.4. Veri İhlali Sonrası Yapılacak Bildirimler

Veri ihlali sonrasında ETSUN, kişi ve kurumları aşağıdaki başlıkları içeren bir bildirim metni ile bilgilendirmekle yükümlüdür. Bilgilendirme, verilerin sahibi kişi ise direkt olarak gerçek kişilere, başka bir şirketin verileri ise ilgili şirkete yapılmalıdır:

• Veri ihlalinin açıklanması,
• Veri ihlalinden kimlerin etkilendiği,
• Alınan önlemler,
• ETSUN’un veri ihlalinden etkilenen kişilere nasıl yardımcı olacağı,
• İhlalden etkilenen kişilerin ETSUN’a ulaşabilecekleri iletişim bilgileri,
• Analizler sırasında ihlale konu olan verilerin başka bir şirkete ait olduğu tespit edilirse, ilgili şirket irtibat kişisi veya kişilerine ihlal bildirimi yapılmalıdır.

4.) BİLGİ TEKNOLOJİLERİ ACİL DURUM EYLEM PLANI KONTROL LİSTESİ

Bu protokole ek olarak hazırlanan Bilgi Teknolojileri Acil Durum Eylem Planı Kontrol Listesi (“Kontrol Listesi”), Etsun Dış Ticaret A.Ş.’nin çalışanlarının bilgi teknolojileri sistemlerinde bir zafiyet yaşanması durumunda izleyecekleri adımlara rehberlik etmek amacıyla hazırlanmıştır.

Herhangi bir veri ihlali yaşandığında veya bundan şüphe edildiğinde ekteki kontrol listesindeki aşamalar kontrol edilerek, yapılan işlemler ayrıntılı olarak kaydedilmelidir:

• Vaka yaşandı mı veya vaka yaşandığından şüpheleniliyor mu?
• Vaka devam ediyor mu?
• Vakanın kişisel verilere bir etkisi oldu mu?
• Vakayla ilgili aksiyonları alacak bir kriz masası kuruldu mu?
• Etkilenen sistemler kurum ağından izole edildi mi?
• Etkilenen sistemlerin tutulduğu sunucu/pclerin kapanması engellendi mi?
• Aşağıdaki bilgiler kayıt altına alındı mı?
  • Vakayı tespit eden kişi veya alarmın kaynağı,
  • Vakaya ait ilk tespitin tarih ve saati,
  • Vaka hakkında temel bilgiler,
  • Hangi kişilerin veya sistemlerin etkilendiği,
  • Dâhil olan kişilerin veya sistemlerin konumu,
  • Vakanın nasıl tespit edildiği.
• Etkilenen sistemin önem derecesi kritik mi?
• Hedef olan sistem(ler)in:
  • Adı,
  • İşletim sistemi,
  • IP adresi,
  • Ağ üzerindeki konumu,
  • Fiziksel konumu,
  • Kullanım amacı.
• Hangi sistemler veya veriler tehlike altında?
• Tehlike altındaki sistemlerin veya verilerin kategorisi nedir?
• Saldırının kaynağı kurum içi mi, kurum dışı mı?
• Vakanın soruşturulması sırasında aşağıdaki çalışmalar yapıldı mı?
  • Sistem loglarının incelenmesi,
  • Uygulama loglarının incelenmesi,
  • Loglardaki boşlukların denetlenmesi,
  • Varsa firewall loglarının incelenmesi,
  • Varsa VPN erişim loglarının incelenmesi,
  • Varsa router loglarının incelenmesi,
  • Uygulama loglarının kontrol edilmesi,
  • Etkilenen sistemlerin memory dump dosyalarının alınması ve incelenmesi,
  • Vakayı tespit eden ve vakadan etkilenen çalışanlarla mülakatların yapılması ve vakayla ilgili mümkün olduğunca detaylı bilgi alınması,
  • Elde edilen deliller için delil zinciri (“Chain of Custody”) dokümanı hazırlanması,
  • Elde edilen verilerin sadece erişim yetkisi olan kişilerin ulaşabildiği, giriş-çıkışları kontrol altında olan bir alanda tutulması.
• Vakanın kuruma finansal etkisi tespit edildi mi?
• Kişisel veriler etkilendiyse verileri etkilenen kişiler ve etkilenen veriler tespit edildi mi? Tespitler doğrultusunda veri öznelerine bilgilendirme yapıldı mı?
• Vakanın tekrarlanmaması için alınacak önlemler belirlendi mi?
• Etkilenen sistemler vaka öncesindeki sağlıklı yapıya döndürüldü mü?
• Bilgi sistemleri politikaları/prosedürleri yaşanan zafiyete bağlı olarak vakanın tekrar yaşanmasını engelleyecek şekilde güncellendi mi?
• Vaka ek bir politika/prosedürle engellenebilir miydi?
• Vakaya bir politika veya prosedürün izlenmemesi mi sebep oldu?
• Vakanın en az zararla atlatılması için ortaya konan eylemler yeterli miydi? Sistemlerde herhangi bir iyileştirme yapılabilir mi?
• Bütün sorumlular sürece zamanında dahil oldu mu?
• Başka bir vakanın yaşanmasını engellemek için aşağıdaki güncellemeler yapıldı mı?
  • Sistem güncellemeleri,
  • Yazılımların güncellemeleri,
  • Şifrelerin değiştirilmesi,
  • Anti-virüs yazılımının güncellenmesi,
  • Vakanın türüne göre alınması gereken diğer önlemler.
• Bu vakadan neler öğrenildi?
• Kişisel veri, kanuni olmayan yollarla başkaları tarafından elde edildi mi?
  • Cevap “Evet” ise; Kurula en geç 72 saat içerisinde kişisel veri ihlaline yönelik bildirim yapıldı mı?
  • Cevap “Evet” ise; kişisel veri sahibine derhal bildirim yapıldı mı?

5.) YÜRÜRLÜK ve GÜNCELLEMELER

İşbu Protokol, ETSUN Yönetim Kurulu tarafından onaylandığı tarihte yürürlüğe girecektir. Politika’da yapılacak değişiklikler Yönetim Kurulu’nun onayından sonra yürürlüğe girecektir.

Politika, olağan olarak yılda bir defa gözden geçirilerek güncellenir. Ancak mevzuat değişiklikleri, atıf yapılan bir teknik standarttaki değişme, Kişisel Verileri Koruma Kurulu’nun işlemleri ve/veya vereceği kararlar ile mahkeme kararları doğrultusunda ETSUN, bu Protokolü gözden geçirme ve gerekli durumlarda güncelleme, değiştirme veya yeni bir Protokol oluşturma hakkını saklı tutar.

EK: Bilgi Teknolojileri Acil Durum Eylem Planı Kontrol Listesi