Bilgi Güvenliği Politikası

Bilgi Varlıklarımızın Gizliliği, Bütünlüğü ve Erişilebilirliği

Bilgi Güvenliği Politikası (ISO 27001 Uyumlu)

WİN Bilişim olarak sunduğumuz IT danışmanlığı, yazılım geliştirme, bulut altyapı yönetimi ve siber güvenlik çözümleri kapsamında; iş sürekliliğimizi, bilgi varlıklarımızın güvenliğini ve paydaşlarımızın gizliliğini korumak en temel önceliklerimizden biridir. Şirketimiz, ISO/IEC 27001 Bilgi Güvenliği Yönetim Sistemi (BGYS) standartlarını benimsemiş olup operasyonlarını bu standartlara uygun şekilde yürütmektedir.

1. Bilgi Güvenliği Temel İlkelerimiz

Bilgi varlıklarımızı korumada aşağıdaki üç temel ilkeyi esas almaktayız:

  • Gizlilik (Confidentiality): Bilginin sadece yetkilendirilmiş kişiler tarafından erişilebilir olması sağlanır, yetkisiz kişilerin erişimi engellenir.
  • Bütünlük (Integrity): Bilginin doğruluğu, eksiksizliği ve yetkisiz şekilde değiştirilmemesi (değiştirilemezlik) güvence altına alınır.
  • Erişilebilirlik (Availability): Yetkilendirilmiş kullanıcıların ihtiyaç duydukları her an bilgiye ve ilişkili kaynaklara kesintisiz şekilde erişebilmesi sağlanır.

2. Risk Yönetimi ve Tehdit Değerlendirmesi

WİN Bilişim, bilgi varlıklarına yönelik riskleri sistematik olarak analiz eder:

  • Fiziksel, yazılımsal ve insani risk faktörlerini tespit etmek üzere düzenli risk değerlendirmeleri yapılır,
  • Yeni ortaya çıkan siber tehditler, sıfır gün (zero-day) açıkları ve sistem zafiyetleri proaktif olarak taranır,
  • Analiz edilen riskler doğrultusunda gerekli teknik kontrol mekanizmaları (firewall, EDR, IPS/IDS) devreye alınarak risk seviyesi asgariye indirilir.

3. Erişim Kontrolleri ve Şifreleme Standartları

Bilgi kaynaklarımıza erişim katı kurallarla denetlenmektedir:

  • En Az Yetki İlkesi (Least Privilege): Personelimiz sadece görev tanımlarına uygun yetkilerle çalışır; gereksiz yetki devrinden kaçınılır.
  • İki Aşamalı Doğrulama (MFA): Sunucu erişimleri, veritabanları ve kurumsal hesaplarda MFA kullanımı zorunludur.
  • Şifreleme (Encryption): Durağan (data-at-rest) ve hareket halindeki (data-in-transit) tüm kritik veriler, endüstri standardı şifreleme algoritmaları (AES-256, TLS 1.3 vb.) ile şifrelenir.

4. Güvenlik İhlal Olayları ve Bildirim Süreçleri

Herhangi bir siber güvenlik veya bilgi ihlali şüphesi durumunda, şirketimizin Olay Müdahale Ekibi derhal devreye girer. Olayın analizi ve kök neden tespiti yapıldıktan sonra, etkilenen müşteriler ve yasal merciler (KVKK/USOM vb.) kanuni süreler dahilinde bilgilendirilir.

5. Tedarikçi ve Üçüncü Taraf Güvenliği

Hizmet aldığımız bulut altyapı sağlayıcıları, lisans partnerleri ve diğer üçüncü taraf tedarikçilerin WİN Bilişim bilgi güvenliği politikalarına ve gizlilik sözleşmelerine tam uyumlu olması şart koşulur. Tedarikçilerin siber güvenlik olgunluk düzeyleri periyodik olarak değerlendirilir.

6. Eğitim ve Farkındalık Çalışmaları

Bilgi güvenliğinin en zayıf halkası insandır anlayışından yola çıkarak, tüm çalışanlarımıza işe başlangıçlarında ve periyodik aralıklarla bilgi güvenliği farkındalık eğitimleri verilmektedir. Sosyal mühendislik ve oltalama (phishing) simülasyonları ile personel farkındalığı sürekli olarak test edilir.

Information Security Policy (ISO 27001 Compliant)

At WİN Bilişim, protecting our business continuity, the security of our information assets, and the privacy of our stakeholders within the scope of our IT consultancy, software development, cloud infrastructure management, and cybersecurity solutions is our highest priority. Our company has adopted and operates in compliance with the ISO/IEC 27001 Information Security Management System (ISMS) standards.

1. Core Principles of Information Security

We base our information security measures on three fundamental concepts:

  • Confidentiality: Ensuring that information is accessible only to those authorized to have access, preventing unauthorized disclosures.
  • Integrity: Guarding the accuracy, completeness, and non-repudiation of information, protecting it from unauthorized modifications.
  • Availability: Ensuring that authorized users have reliable and timely access to information and associated assets when required.

2. Risk Management and Threat Assessment

WİN Bilişim systematically evaluates risks to our information assets:

  • Regular risk assessments are performed to identify physical, software, and human risk factors,
  • Emerging cyber threats, zero-day vulnerabilities, and system flaws are scanned proactively,
  • Necessary security controls (firewalls, EDR, IPS/IDS) are deployed to mitigate risks to acceptable levels based on evaluation results.

3. Access Control and Encryption Standards

Access to our information assets is strictly monitored and governed:

  • Least Privilege Principle: Employees are only granted access rights necessary to perform their roles; excessive permissions are avoided.
  • Multi-Factor Authentication (MFA): MFA is mandatory for accessing production systems, databases, and enterprise email accounts.
  • Strong Encryption: Critical data in transit and at rest is protected using industry-standard protocols (e.g., AES-256, TLS 1.3).

4. Security Incident Management

In the event of an identified or suspected information security breach, our Incident Response Team immediately initiates defense protocols. Once containment and root-cause analyses are completed, affected clients and relevant regulatory agencies are informed within statutory timelines.

5. Third-Party and Vendor Management

All SaaS platforms, cloud infrastructure providers, and external vendors working with WİN Bilişim must comply with our ISMS rules and confidentiality covenants. Vendor cybersecurity posture is reviewed periodically.

6. Security Awareness Training

Recognizing the human element in information security, all employees receive mandatory security training upon onboarding and at regular annual intervals. Phishing simulations are conducted to gauge and improve staff resilience against social engineering.