Güvenlik Politikası
Bankamız; bilgi güvenliğini yöneterek, iş süreçlerinin bilgi güvenliği riskleri karşısında en az etkiyle işlemesini güvence altına almayı hedefler. Yönetim Kurulu, bilgi sistemlerine ilişkin güvenlik önlemlerinin yeterli düzeye getirilmesi noktasında gerekli kararlılığı göstererek, banka genelini kapsayan bir bilgi güvenliği yönetim sistemi tesis eder.
Banka bünyesindeki tüm bilgilerin yurt içinde elektronik ortamda güvenli ve istenildiği an erişime imkân sağlayacak şekilde saklanılmasını veya yedeklenmesini ve kullanılmasını sağlar. Uygulamaya konulan bilgi sistemlerinin işleyişi, stratejik hedeflere uygunluğu, kontrollerin etkinliği ve yeterliliği, bilgi teknolojilerindeki gelişmeler de göz önüne alınarak düzenli olarak izlenir.
Banka, dışarıdan gelecek siber saldırılara karşı gerekli önlemleri alır ve her yıl sızma testi yaptırır. Sistem, servis ve veriye sadece gerekli yetkiye sahip kullanıcı, taraf ve sistemlerin erişimi sağlanır.
Bilgi güvenliğinin temininde ve Bankamızın bilgi sistemlerine erişimde, kimlik doğrulama ve yetkilendirme mekanizmaları ile inkâr edilemezlik ve sorumluluk atama imkânlarını içeren teknikler kullanılır. Bankamız, kişisel veri güvenliğine, fikri mülkiyet haklarına ve lisans anlaşmalarına yönelik yasalar, yönetmelikler ve sözleşmelerden doğan güvenlik gereksinimlerine uyumu temin eder.
Bankamız, bilgi varlıklarının ve bu veriyle ilgili tüm varlıkların gizliliğini, bütünlüğünü, erişilebilirliğini sağlayarak kazara veya kasti biçimde hasar görmesini, değişmesini, ifşa olmasını veya kaybolmasını önler. Bunun için bilgi sistemleri varlık envanterini oluşturur, varlık değerlendirmesi yapar ve sınıflandırır. Bankamız; bilgilerin bu sınıflandırmaya uygun olarak kullanılmasını sağlar. Bilgi varlıkları ile ilgili oluşabilecek risklerin tanımlanması, seviyelerinin belirlenmesi, işlenmesi ve gözden geçirilmesi çalışmaları Bilgi Sistemleri Risk Yönetimi Prosedürüne uygun olarak gerçekleştirilir.
Veri tabanlarına, uygulamalara ve sistemlere erişim için uygun bir yetkilendirme ve erişim kontrolü tesis edilir. Görev ve sorumluluklar göz önünde bulundurularak, gerekli olan en kısıtlı yetki ve erişim hakkının verilmesi esas alınır.
Bilgi güvenliği risk değerlendirme yaklaşımı ile Bankamızın bilgi güvenliği risklerinin hangi yöntemler ile belirleneceği, risk seviyelerinin nasıl hesaplanacağı ve risklerin nasıl değerlendirileceği belirlenir. Bilgi varlıkları ile ilgili oluşabilecek risklerin tanımlanması, seviyelerinin belirlenmesi, işlenmesi ve gözden geçirilmesi çalışmaları belirlenen risk değerlendirme yaklaşımına uygun olarak gerçekleştirilir.
Bankamız faaliyetlerini yürütmek için kullandığı sistem, veri tabanı ve uygulamaların yedeklerinin alınmasını ve periyodik yedekten geri dönüş testlerinin yapılmasını sağlar. Yetkilendirilmiş tüm çalışanlar, iş süreçleri kapsamında fark ettikleri veya şüphelendikleri tüm güvenlik zafiyetlerini, risklerini ve vakalarını bildirir, buna ilişkin vaka kaydı oluşturularak, inceleme sağlanır.
Bankamız, faaliyetlerini destekleyen bilgi sistemleri servislerinin sürekliliğini sağlamak üzere bir bilgi sistemleri süreklilik planı hazırlayarak doğal afetler ve teknik problemler kaynaklı kesinti ve risklere karşın iş süreçlerinin korunmasını sağlar. Bilgi sistemleri süreklilik planı güncel tutulur; bilgi sistemleri, sürekliliğini etkileyecek olay ya da değişikliklerden sonra veya her yıl gözden geçirilerek, güncellenir.