Uzaktan Çalışma Politikası

Güvenli, Esnek ve Verimli Uzaktan Çalışma Altyapısı

Uzaktan Çalışma Politikası

WİN Bilişim, hem kendi personeli hem de uzaktan destek sağladığı müşterileri için esnek, verimli ve en önemlisi güvenli bir uzaktan çalışma ortamı tesis etmeyi hedefler. İşbu politika, şirket kaynaklarına uzaktan erişim sağlayan tüm çalışanlar, yükleniciler ve üçüncü taraf danışmanlar için uyulması zorunlu olan bilgi güvenliği ve operasyonel kuralları belirler.

1. Güvenli Uzaktan Bağlantı ve Kimlik Doğrulama

Kurumsal ağlara ve sunuculara uzaktan erişim ancak onaylı şifreleme yöntemleriyle mümkündür:

  • SSL VPN ve IP Kısıtlaması: Şirket sunucularına, müşteri veritabanlarına veya yönetim panellerine erişim yalnızca uçtan uca şifreli SSL VPN tünelleri üzerinden gerçekleştirilebilir,
  • Çift Faktörlü Kimlik Doğrulama (MFA): VPN bağlantıları ve tüm kurumsal bulut hesaplarında (M365, AWS, Azure vb.) MFA doğrulaması aktif olmak zorundadır,
  • Halka Açık Kablosuz Ağlar (Public Wi-Fi): Şifresiz veya güvenliği doğrulanmamış ortak kablosuz ağlar (kafe, havaalanı otel ağları vb.) üzerinden VPN bağlantısı kurulmadan doğrudan kurumsal işlem yapılması kesinlikle yasaktır. Gerekli durumlarda kişisel mobil erişim noktaları (hotspot) tercih edilmelidir.

2. Yönetilen Kurumsal Cihaz ve EDR Standartları

Şirket verilerine erişim sağlayan uç cihazların güvenliği en üst seviyede tutulur:

  • Yalnızca Onaylı Cihazlar: Çalışanlar, şirket verilerine yalnızca WİN Bilişim tarafından tahsis edilen veya BT departmanı tarafından güvenlik denetimi yapılmış uç birimler üzerinden erişebilir. Kişisel veya kontrolsüz ev bilgisayarlarından erişim yasaktır,
  • EDR ve Antivirüs: Tüm uzaktan çalışma cihazlarında güncel EDR (Endpoint Detection and Response) ve antivirüs ajanları sürekli aktif kalmalıdır. Güvenlik politikalarını devre dışı bırakmak veya ajanı kapatmak disiplin suçudur,
  • Yazılım Güncellemeleri: İşletim sistemi yamaları, tarayıcı güncellemeleri ve güvenlik yamaları BT direktifleri doğrultusunda bekletilmeden yüklenmelidir.

3. Fiziksel Çevre Güvenliği ve Ekran Gizliliği

Fiziksel ortamdan kaynaklanabilecek veri sızıntılarını önlemek amacıyla çalışanlar aşağıdaki tedbirleri alır:

  • Ekran Kilitleme: Çalışan, cihazın başından kısa süreliğine dahi ayrılsa ekranını şifreli ekran koruyucu ile kilitlemek zorundadır,
  • Meraklı Gözler (Visual Hacking): Halka açık alanlarda çalışırken ekranın başkaları tarafından görünmesini engelleyici polarize ekran koruyucu filtreler kullanılmalıdır,
  • Gizli Konuşmalar: Müşteri projeleri veya siber güvenlik zafiyetleri gibi hassas konular içeren telefon veya görüntülü görüşmeler, halka açık alanlarda yapılmamalı, yetkisiz kulaklar tarafından duyulması önlenmelidir.

4. Veri Saklama ve Transfer Kısıtlamaları

Uzaktan çalışma sırasında kurumsal ve müşteri verileri yerel cihazların sabit disklerinde depolanmamalıdır. Tüm veriler şirket tarafından yetkilendirilmiş güvenli bulut depolama alanlarında (OneDrive, SharePoint vb.) tutulmalıdır. Harici USB bellek, harici disk veya kişisel bulut depolama hesaplarına veri aktarımı engellenmiştir.

5. İhlal Bildirimi ve Acil İletişim

Uzaktan çalışan personelin cihazının kaybolması, çalınması veya cihazda olağan dışı bir hareket (fidye yazılımı uyarısı, şüpheli oturum açma girişimleri vb.) fark edilmesi durumunda, durum en geç 1 saat içerisinde security@winbilisim.com adresine veya BT Destek Hattına bildirilmelidir. Cihaza uzaktan silme (remote wipe) komutu gönderilerek veriler güvenceye alınır.

Remote Work Policy

WİN Bilişim aims to establish a flexible, productive, and, above all, secure remote working environment for both its employees and the clients to whom it provides remote support. This policy defines the mandatory information security rules and operational guidelines for all employees, contractors, and third-party consultants accessing corporate resources remotely.

1. Secure Remote Access and Authentication

Remote access to corporate networks and servers is only permitted through approved encryption methods:

  • SSL VPN & IP Restrictions: Accessing corporate servers, client databases, or management dashboards is strictly restricted to encrypted SSL VPN tunnels,
  • Multi-Factor Authentication (MFA): MFA must be active and enforced on all VPN tunnels and cloud applications (M365, AWS, Azure, etc.),
  • Public Wi-Fi Restrictions: Accessing corporate applications directly over unencrypted public Wi-Fi networks (cafes, airports, hotels, etc.) without a VPN is prohibited. Secure personal hotspots should be used instead.

2. Managed Device Security & EDR Standards

Endpoint security for devices accessing corporate resources must meet strict standards:

  • Authorized Hardware Only: Accessing company resources is only permitted from devices assigned by WİN Bilişim or audited by our IT department. Access from unmanaged home computers is blocked,
  • EDR Protection: Managed endpoints must run active, updated EDR (Endpoint Detection and Response) and antivirus engines. Disabling security agents or filters is strictly prohibited,
  • Patch Management: Critical OS updates, browser hotfixes, and security patches must be installed immediately upon release.

3. Physical Environmental Security & Screen Privacy

To avoid physical-layer data leakages, employees must enforce these safeguards:

  • Locking Screens: Endpoints must be locked with passcode protection immediately when left unattended, even for short breaks,
  • Visual Hacking Prevention: Privacy screen filters are recommended when working in public spaces to obstruct side-angle viewing,
  • Secure Conversations: Phone calls or video conferences concerning customer environments or security weaknesses must not take place in open spaces where unauthorized parties can overhear.

4. Data Classification and Storage Limitations

Corporate and customer data must not be stored on local hard drives of personal or corporate laptops. All documentation and source code must reside on authorized cloud stores (e.g., SharePoint, OneDrive). Transferring corporate data to USB drives, external disks, or personal cloud storage is strictly prohibited.

5. Incident Management and Immediate Actions

In the event of device theft, loss, or suspected malware infection (such as unexpected lockouts, suspicious logs, or ransomware messages), the employee must report the incident to security@winbilisim.com or the IT Helpdesk within 1 hour. IT will immediately execute a remote wipe sequence to secure company data.