Bilgi Güvenliği Olay Raporlama

PHİACADEMY GÜZELLİK HİZMETLERİ TİCARET VE PAZARLAMA LİMİTED ŞİRKETİ 

BİLGİ GÜVENLİĞİ OLAY RAPORLAMA 

ZAYIF NOKTALAR, OLAYLAR VE KİŞİSEL VERİ İHLALLERİ

1           Amaçlar ve hedefler

1.1        Bu Politikanın amacı, güvenlikle ilgili zayıf noktaların, güvenlik olaylarının ve kişisel veri ihlallerinin nasıl bildirileceğine dair bütün Şirket personeline rehberlik sağlamaktır. Bu nedenle, bu Politikada güvenlikle ilgili zayıf noktaların, güvenlik olaylarının ve kişisel veri ihlallerinin Phiacademy Güzellik Hizmetleri Ticaret Ve Pazarlama Limited Şirketi ("Şirket") tarafından raporlanması ve yönetilmesi süreci ele alınmıştır.

1.2        Öte yandan, bu Politika, Şirketin 6698 Sayılı Kişisel Verilerin Korunması Kanunu ("KVKK") ve ikincil mevzuatlar kapsamındaki yükümlülükleri ve veri sahiplerinin haklarına uygun hareket etmesini sağlamayı amaçlar. 

2           Kapsam

2.1        Bütün kullanıcılar (Çalışanlar/Personeller, veri işleyenler ve üçüncü taraf kullanıcıları) ve Şirket verilerinin ve kişisel veri içere cihazların veya sistemlerin sahipleri, herhangi bir şüpheli bilgi güvenliği olayını bu prosedürü takip ederek derhal bildirimde bulunmalıdırlar.

2.2        Veri sahipleriyle ilgili herhangi bir risk olması durumunda, kişisel veri ihlali gecikmeksizin ve en geç 72 saat içerisinde yetkili denetleyici birime iletilmelidir. Kişisel veri ihlalinin yüksek risk teşkil etme olasılığı varsa, ilgili kişisel veri ihlali konusunda veri sahip(ler)i ile irtibata geçilir.

2.3        Bu prosedür, KVKK'nın 12. maddesi uyarınca bir kişisel veri ihlalinin Kişisel Verileri Koruma Kurulu ("Kurul")'na bildirilmesi ve ilgili veri sahibi ile irtibata geçilmesi hallerinde uygulanacaktır.

3           Sorumluluklar

3.1        Kurumsal bilgiler ve kişisel veri kullanıcıları ve bunları içeren cihaz veya sistem sahiplerinin, bilgi güvenliği olayları, zayıf noktalar ve kişisel veri ihlallerini bildirmek için bu prosedürü takip etmeleri gerekir.

3.2        Bilgi güvenliği olayları, zayıf noktalar ve kişisel veri olayları, bu prosedür doğrultusunda Şirket İçi Olay Müdahale Ekibi ("Ekip")'ne bildirilir.

3.3        Ekip, bilgi güvenliği olaylarını, zayıf noktaları ve kişisel veri ihlali yanıtlarını yönetmekten sorumludur.

4           Tanımlar

4.1        Güvenlik İhlali: 

İlgili verilerin imhasına, kaybolmasına, değiştirilmesine, yetkisiz şekilde ifşasına veya erişim sağlanmasına neden olacak şekilde bilgi güvenliğinin, gizliliğinin, şirket verilerinin bütünlüğünün veya bunlara ilişkin makul bir inancın ihlali;

4.2        Kişisel Veri İhlali:

İletilen, saklanan veya başka bir şekilde işlenen kişisel verilerin kazara veya kanunsuz şekilde imha edilmesine, kaybolmasına, değiştirilmesine, yetkisiz şekilde ifşasına veya erişim sağlanmasına neden olan bir güvenlik ihlali;

4.3        Şirket Verilerine aşağıdakiler dahildir: 

4.3.1        Çalışanların kişisel verileri,

4.3.2        Müşteri verileri (e-posta adresleri ve kişisel verileri içeren diğer veriler),

4.3.3        Şirket dosyaları ve kurum içi bilgiler,

4.3.4        Şirket cihazları.

4.4        Güvenlik olayları, farkında olmayarak ve güvenlik saldırıları olarak farklı şekillerde meydana gelebilir. Örneğin;

4.4.1        Çalışanlardan yetkisiz üçüncü kişilere gizli bilgileri vermeleri talep edilebilir

4.4.2        Şirket Verilerinin İhlali

4.4.3        Hizmet Engelleme / Hizmet Engelleme Dağıtımı

4.4.4        Güvenlik Duvarı İhlali

4.4.5        Virüsün Ortaya Çıkması  

4.4.6        Ekipman kaybı veya çalınması

4.4.7        Sızıntı, hacklenme, phishing vb.

5           Bilgi Güvenliği Olay Bildirim Prosedürü

5.1        Bilgi güvenliği zayıf noktaları ve olayları, görüldükten veya tespit edildikten hemen sonra [*] e-posta adresine bildirilir.

5.2        Bu kapsamda, aşağıdaki bilgiler verilir:

5.2.1        Olaya ilişkin açıklama

5.2.2        Etkilenen kişisel veri kategorileri

5.2.3        Etkilenen yaklaşık veri sahibi sayısı

5.2.4        Etkilenen yaklaşık kişisel veri kaydı sayısı

5.2.5        Olayın sonuçları

5.2.6        Olaya dair alınan önlemler

5.2.7        Veri olayıyla ilgili bilgiler

5.3        Kullanıcılar, olası bir bilgi güvenliği zayıf noktası, olayı veya kişisel veri ihlalini tespit ettikten sonra ilgili olayı bildirene kadar çalışmaya devam etmemelidir.

5.4        Daha sonra, Ekip, ilgili olay ya da ihlale nasıl müdahale edildiği ve sonuçlandırıldığına dair bir kopyası kullanıcı Yöneticisine iletilmek üzere e-posta ile bildirimde bulunur.

5.5        Bu e-postanın bir kopyası, olay/zayıf nokta/olay raporu ve olay ve gerçekleştirilen müdahale ile ilgili bütün belgelerle birlikte dosyalanır.

6           Şirket İçi Olay Müdahale Ekibi

Şirket İçi Olay Müdahale Ekibi Aşağıdaki iş pozisyonunda istihdam edilen kişilerden oluşmaktadır:

6.1.1        Şirket Yönetim Kurulu Üyesi