Geleceğimiz, Geleceğiniz...

KVK Formunu İndir

Kvk formunu indirmek için tıklayınız.

KVKK Başvuru ve Bilgi Talep Formu

Bilgi Güvenliği Politikası
I. Tanım Bilgi güvenliği, Şirketteki işlerin sürekliliğinin sağlanması, işlerde meydana gelebilecek aksaklıkların azaltılması ve bilginin geniş çaplı tehditlerden korunmasını sağlar.
 
Bilgi güvenliği temelde aşağıdaki üç unsuru hedefler:
 
a. Gizlilik
 
b. Bütünlük
 
c. Kullanılabilirlik
 
a) Gizlilik Bilginin yetkisiz kişilerin erişimine kapalı olması şeklinde tanımlanabilir. Bir diğer tarif ile gizlilik bilginin yetkisiz kişilerce açığa çıkarılmasının engellenmesidir.
 
a. Bütünlük Bütünlük, bilginin, kasten veya ihmal ile yetkisiz kişilerce değiştirilmesi, silinmesi ya da herhangi bir şekilde tahrip edilmesi tehditlerine karşı, içeriğinin korunarak bozulmamış olma halidir.
 
b. Kullanılabilirlik Bilginin her ihtiyaç duyulduğunda kullanıma hazır durumda olması demektir. Herhangi bir sorun durumunda bile bilginin erişilebilir olması kullanılabilirlik özelliğinin bir gereğidir.
Bu erişim, kullanıcının hakları çerçevesinde olmalıdır. Kullanılabilirlik ilkesine göre, her kullanıcı erişim hakkının bulunduğu bilgi kaynağına, yetkili olduğu zaman diliminde mutlaka erişebilmelidir.
 
1. Kapsam Bu politika, Şirket bilgi işlem altyapısını kullanmakta olan tüm birimleri kapsamaktadır.
 
2. Amaç Şirket yönetimi, şirketin iş faaliyetlerinin en az kesinti ile devam etmesini sağlamak için bilgi işlem hizmetlerinin gerçekleştirilmesinde kullanılan tüm fiziki ve dijital bilgi varlıklarının bilgi güvenliğini sağlamayı hedefler.
 
a) E-Posta Kullanma Kuralları
 
a. Şirketin çalışanlara verdiği kurumsal e-posta, kullanıcının şahsi sosyal medya (facebook, twitter, instagram vb.) hesapları, şahsi hesaplar, kişisel kullanım amacıyla üyelikler için kesinlikle kullanılamaz.
 
b. Kötü amaçlı, spam, sahte vs. nitelikteki zararlı e-postalara yanıt yazılmamalı, bu maillere iliştirilmiş her türlü çalıştırılabilir dosya içeren e-postalar alındığında hemen silinmeli ve kesinlikle başkalarına iletilmemelidir.
 
d. Kullanıcıların kullanıcı kodu/şifresini girmesini isteyen e-postaların sahte e-posta olabileceği dikkate alınarak, bu şekilde gelen e-postalar herhangi bir işlem yapılmaksızın derhal silinmelidir.
 
e. Çalışanlar, e-posta ile uygun olmayan içerikler (pornografi, ırkçılık, siyasi propaganda, fikri mülkiyet içeren malzeme vb.) gönderemezler.
 
f. Çalışanlar, mesajlarının yetkisiz kişiler tarafından okunmasını engellemelidirler. Bu durumu engellemek için önem arz eden e-postaları şifreleme yoluyla göndermelidirler.
 
g. Şirket çalışanları kurumsal e-postaların firma dışındaki şahıslar ve yetkisiz şahıslar tarafından görünmesi ve okunmasını engellemekten sorumludurlar.
 
h. Kaynağı bilinmeyen e-posta ekinde gelen dosyalar kesinlikle açılmamalı ve derhal silinmelidir. Bu durum bilgi işlem departmanına derhal bildirilmelidir.
 
i. Kullanıcılar kendilerine ait e-posta adresinin şifresinin güvenliğinden sorumludurlar. Şifrelerin kırıldığını fark ettikleri andan itibaren bilgi işlem departmanı ile temasa geçip onlara durumu haber vermekle yükümlüdürler.
 
j. Şirketten ayrılan personel, kurumsal e-posta sistemini kullanmaya devam edemez. E-posta adresine sahip kullanıcının birim değiştirme, işten ayrılma gibi herhangi bir sebeple şirketten ayırılması durumunda e-posta sisteminde gerekli değişiklikler insan kaynakları departmanı tarafından Bilgi İşlem Birimine en kısa zamanda bildirilir.
 
c. İnternet Kullanım Politikası
 
a. Hiçbir kullanıcı Şirketin tavsiye ettiği veri paylaşım yöntemi dışındaki bir veri paylaşım kanalını kullanamaz. (Örneğin; Bittorent, iMesh, eDonkey, Aimster vb. peer-to-peer bağlantı yollarını içeren programlar kullanılamaz.)
 
b. Bilgisayarlar arası ağ üzerinden resmi ve iş görüşmeleri haricinde mesajlaşma ve sohbet programları gibi sohbet programları kullanılarak kişisel veri toplanamaz.
 
c. Hiçbir kullanıcı özel amaçlı olarak internet üzerinden Multimedia Streaming (Video, müzik ve iletişim vb. için) yapamayacaktır.
 
d. İş ile ilgili olmayan (Müzik, video dosyaları) yüksek hacimli dosyalar göndermek (upload) ve indirmek (download) ve bilgisayarlarda saklamak yasaktır.
 
e. İnternet üzerinden Bilgi İşlem Birimi tarafından onaylanmamış yazılımlar indirilemez ve firma sistemleri üzerine bu yazılımlar kurulamaz, kullanılamaz.
 
f. Şirket ağlarından ve bilgisayarlarından bilgisayar ve internet ağına zarar verebilecek internet sitelerine girilmemeli ve dosya indirimi yapılmamalıdır.
 
g. Bilgi İşlem Birimi, iş kaybının önlenmesi için çalışanların internet kullanımı hakkında gözlemleme ve istatistik yapabilir. Gerekli durumlarda internet üzerinde kısıtlamalar yapabilir.
 
h. Şirket ağları ve bilgisayarları üzerinden hiçbir şekil ve surette herhangi bir siyasi içerik ya da propaganda yapılamaz.
 
ı. Şirket dışında-sahada- internet kullanımı gerçekleştiren çalışanlar, şirket bilgisayarların güvenli olmayan ağlar üzerinden internet girişi gerçekleştirmemelidir.
 
i. Güvenli-güvensiz hiçbir ağdan, Şirket tarafından tahsis edilmiş bilgisayar, telefon gibi araçlar üzerinden şahsi banka hesapları için işlem gerçekleştirilmemelidir.
 
d. Genel Kullanım Politikası
 
a. Bilgisayar başından uzun süreli uzak kalınması durumunda bilgisayar kilitlenmeli ve 3. şahısların bilgilere erişimi engellenmelidir.
 
b. Şirket verilerini içeren bir bilgisayarın veya taşıyıcının çalınması, kaybolması vs. durumlar en kısa sürede Bilgi İşlem Birimi’ne bildirilmelidir.
 
c. Bütün kullanıcılar kendi bilgisayar sisteminin güvenliğinden sorumludur. Bu bilgisayarlardan kaynaklanabilecek Şirkete veya kişiye yönelik saldırılardan (Örneğin; elektronik bankacılık, hakaret veya siyasi içerikli mail, kullanıcı bilgileri vs.) kişi sorumludur.
 
d. Şirketin bilgisayarlarını kullanarak yasadışı olaylara karışılmamalıdır.
 
e. Ağ güvenliğini (Örneğin; bir kişinin yetkili olmadığı halde sunuculara erişmek istemesi) veya ağ trafiğini bozacak (packet sniffing, packet spoofing, denial of service vb.) eylemlere girişilmemelidir.
 
f. Ağ güvenliğini tehdit edici faaliyetlerde bulunulmamalıdır. DoS saldırısı, port-network taraması vb. yapılmamalıdır.
 
j. Şirket bilgileri üçüncü kişilere hiçbir şekilde iletilmemelidir.
 
g. Kullanıcıların kişisel bilgisayarları üzerine Bilgi İşlem Biriminin onayı alınmaksızın herhangi bir çevre birimi bağlantısı yapılmamalıdır.
 
h. Herhangi bir cihaz, yazılım ve veri iş dışında izinsiz olarak şirket dışına çıkarılmamalıdır.
 
i. Şirketin kullanmakta olduğu yazılımlar hariç kaynağı belirsiz olan programları (Dergi CD’leri veya internetten indirilen programlar vs.) kurmak ve kullanmak yasaktır.
 
j. Personel, kendilerine tahsis edilen ve şirket çalışmalarında kullanılan masaüstü ve dizüstü bilgisayarlarındaki kurumsal bilgilerin güvenliğinden sorumludur.
 
k. Bilgi İşlem Birimi kullanıcıya haber vermeksizin yerinde veya uzaktan, çalışanın bilgisayarına erişip güvenlik, bakım ve onarım işlemleri yapabilir, gereken teknik veya idari tedbirleri uygulayabilir.
 
l. Bilgisayarlarda oyun ve eğlence amaçlı programlar çalıştırılmamalı/ kopyalanmamalıdır. m. Bilgisayarlar üzerinde resmî belgeler, programlar ve eğitim belgeleri haricinde dosya alışverişinde bulunulmamalıdır.
 
n. Şirkette Bilgi İşlem Birimi bilgisi olmadan Ağ Sisteminde (Web Hosting, E-Posta Servisi vb.) sunucu niteliğinde olan bilgisayar ve cihaz bulundurulmamalıdır.
 
o. Bilgi İşlem Biriminin bilgisi dışında bilgisayarlar üzerindeki ağ ayarları, kullanıcı tanımları, kaynak profilleri vs. üzerinde mevcut yapılmış ayarlar hiçbir surette değiştirilmemelidir.
 
p. Bilgisayarlara herhangi bir şekilde lisanssız program yüklenmemelidir. Lisanssız yazılımı bilgisayarında barındıran personel bu durumdan kendisi sorumludur.
 
r. Gerekmedikçe bilgisayar kaynakları paylaşıma açılmamalıdır, kaynakların paylaşıma açılması halinde mutlaka şifre kullanım kurallarına göre hareket edilmelidir.
 
s. Bilgisayar üzerinde bir problem oluştuğunda, yetkisiz kişiler tarafından müdahale edilmemeli, ivedilikle Bilgi İşlem Birimine haber verilmelidir.
 
e. Acil Durum Politikası
 
a. Şirketimizde loglama yapılmaktadır. Acil durumlarda sistem logları incelenmek üzere saklanmalıdır.
 
b. Şirket faaliyetlerinin devamlılığını sağlamak esastır. Acil durumlarda için bu esasa yönelik teknik tedbirler planlanmıştır.
 
c. Acil durumlar için gerekli araç-gereç ihtiyaçları tespit edilerek, yedekleme ve bakım planlanmıştır.
 
f. Antivirüs Politikası
 
a. Antivirüs yazılımı yüklü olmayan bilgisayar ağa bağlanmamalı ve hemen Bilgi İşlem Birimine haber verilmelidir.
 
b. Zararlı programları (Örneğin, virüsler, solucanlar, truva atı, e-posta bombaları vb.) Şirket bünyesinde oluşturmak ve dağıtmak yasaktır.
 
c. Hiçbir kullanıcı herhangi bir sebepten dolayı antivirüs programını sistemden kaldıramaz ve başka bir antivirüs yazılımını kuramaz.
 
 
3. Şifreleme Şifreleme, bilgisayar güvenliği için önemli bir özelliktir. Kullanıcı hesapları için ilk güvenlik katmanıdır. Zayıf seçilmiş bir şifre, ağ güvenliğini tümüyle riske atabilir. Güçlü bir şifreleme oluşturulması, oluşturulan şifrenin korunması ve bu şifrenin değiştirilme sıklığı hakkındaki standartlar ve uyulması gereken kurallar aşağıda belirtilmiştir.
 
4. Genel Bilgiler
 
a) Şifre Kullanma Kuralları
 
a. Kullanılan şifrelerin tamamı kolayca kırılamayacak güce sahip olmalıdır.
 
b. Şifreler (E-posta, internet, PC vs.) en az altı ayda bir değiştirilmelidir.
 
c. Şifreler e-posta iletilerine veya herhangi bir elektronik forma yazılmamalı ve eklenmemeli, başkası ile paylaşılmamalı, fiziki ya da elektronik ortamlara yazılmamalıdır.
 
d. Herhangi bir kişiye telefonda şifre verilmemelidir.
 
e. Şifreler, işten uzakta olunan zamanlarda dahi iş arkadaşlarıyla paylaşılmamalıdır.
 
f. Kullanıcı, şifresini 3. kişilerle paylaşmamalı, kağıtlara ya da elektronik ortamlara yazmamalıdır.
 
g. Şifre 5 defa üst üste yanlış girildiğinde bilgisayar kilitlenmektedir.
 
j. Çoklu giriş yapılan bilgisayarlara giren personellere uyarılar yapılmaktadır.
 
k. Mutlaka ekran kilidi kullanılmalı ve ekran kilidi kısa aralıklara ayarlanmalıdır.
 
g. Genel Şifre Oluşturma Kuralları a. Şifreler değişik amaçlar için kullanılmaktadır. Bunlardan bazıları: Kullanıcı şifreleri, web erişim şifreleri, e-posta erişim şifreleri, ekran koruma şifreleri, yönlendirici erişim şifreleri vs.). Bütün kullanıcılar güçlü bir şifre seçimi hakkında özen göstermelidir.
 
b. Şifre, küçük ve büyük karakterlerle (a-z, A-Z), rakam ve sembollere (0-9, !’^+%&/()=?_;* gibi) sahip olmalıdır. c. En az sekiz karakter olmalıdır.
 
d. Şifre kırma ve tahmin etme operasyonları belli aralıklar ile yapılabilir. Güvenlik taraması sonucunda şifreler tahmin edilirse veya kırılırsa kullanıcıdan şifresini değiştirmesi talep edilecektir.
 
h. Şifre Koruma Standartları
 
a. Şirket bünyesinde kullanılan şifreler kurum dışında herhangi bir şekilde kullanılmamalıdır. (Örnek, internet erişim şifreleri, bankacılık işlemlerinde veya diğer yerlerde).
 
b. Değişik sistemler için farklı şifreleme kullanılmalıdır. Örneğin, Unix sistemler için farklı şifre, Windows sistemler için farklı şifre kullanılmalıdır. Aşağıda yapılmayacaklar listelenmiştir:
 
 Herhangi bir kişiye telefonda şifre vermek.
 E-posta mesajlarında şifre belirtmek.
 Üst yöneticinizle şifreleri paylaşmak. (Mecbur kalındığında değiştirilmelidir.)
 Başkaları önünde şifreler hakkında konuşmak.
 Aile isimlerini şifre olarak kullanmak.
 Herhangi bir form üzerinde şifre belirtmek.
 Şifreleri aile bireyleri ile paylaşmak.
 Şifreleri işten uzakta olduğunuz zamanlarda iş arkadaşlarınıza bildirmek.
(Mecbur kalındığında değiştirilmelidir.) Herhangi bir kimse şifre isteğinde bulunursa bu dokümanı referans göstererek Bilgi İşlem Birimi yetkilisini araması söylenmelidir. Uygulamalarda ve browserlardaki “şifre hatırlama” özellikleri seçilmemelidir. (Örnek: Chrome, Internet Explorer vs.)
 
i. Uygulama Geliştirme Standartları
 
1. Uygulama geliştiricileri programlarında aşağıda belirtilen güvenlik özelliklerinin sağlandığından emin olmalıdırlar.
2. Bireylerin (grupların değil) kimlik doğrulaması işlemini destekleyebilmelidir.
3. Şifreleri text olarak veya kolay anlaşılabilir formda saklamamalıdır.
4. Kural yönetim sistemi desteklenmelidir. (Örnek; bir kullanıcı diğer bir kimsenin şifresini bilmeden fonksiyonlarına devam edebilmelidir.)
 
j. Uzaktan Erişen Kullanıcılar için Şifre Kullanımı Şirketin bilgisayar ağına uzaktan erişimi tek yönlü şifreleme algoritması veya güçlü şifrelerle yapılmalıdır.
k. Sunucu Güvenliği Sunucuların güvenliğinin sağlanması için uyulması gereken kurallar ve standartlar şunlardır.
i. Sahip Olma ve Sorumluluklar Şirket bünyesindeki bütün dahili sunucuların yönetiminden sistem yöneticileri sorumludur. Sunucu konfigürasyonları sadece bu grup tarafından yapılacaktır.
a. Bütün sunucular ve mobil cihazlar ilgili şirketin cihaz envanterinde kayıtlı olmalıdır. Envanter en az aşağıdaki bilgileri içermelidir:
 Sunucuların yeri ve sorumlu kişi.
 Donanım ve İşletim Sistemi.
 Ana görevi ve üzerinde çalışan uygulamalar.
 İşletim Sistemi versiyonları.
 
b. Bütün bilgiler tek bir merkezde güncel olarak tutulmalıdır.
c. Şirkette izin verilen bilgi işlem sistemleri haricinde yabancı bir mobil cihaz ya da veri taşıyıcı takılamaz, kullanılamaz.
 
ii. Genel Konfigürasyon Kuralları
a. İşletim sistemi konfigürasyonları bilgi işlem biriminin talimatlarına göre yapılacaktır.
b. Kullanılmayan servisler ve uygulamalar kapatılacaktır.
d. Sunucu üzerinde çalışan işletim sistemlerinin, hizmet sunucu yazılımlarının ve anti-virüs vb. koruma amaçlı yazılımların sürekli güncellenmesi sağlanmalıdır. Mümkünse, yama ve anti virüs güncellemeleri otomatik olarak yazılımlar tarafından yapılmalı, ancak değişiklik yönetimi kuralları çerçevesinde bir onay ve test mekanizmasından geçirildikten sonra uygulanmalıdır.
e. Uygulama erişimleri için standart güvenlik prensiplerini çalıştırılmamalı, gereksiz servisler açılmamalıdır.
f. Sistem yöneticileri gerekli olmadığı durumlar dışında "Administrator" ve "root" gibi genel kullanıcı hesapları kullanmamalı, gerekli yetkilerin verildiği kendi kullanıcı hesaplarını kullanmalıdır. Genel yönetici hesapları yeniden adlandırılmalıdır. Gerekli olduğunda önce kendi hesapları ile log-on olup, daha sonra genel yönetici hesaplarına geçiş yapmalıdırlar.
g. Ayrıcalıklı bağlantılar teknik olarak mümkünse güvenli kanal (SSH veya IPSec VPN gibi şifrelenmiş ağ) üzerinden yapılmalıdır.
h. Sunucular fiziksel olarak erişim kontrollü sistem odalarında bulunmalıdırlar.
 
iii. Gözlemleme
 
 
a. Kritik sistemlerde oluşan bütün güvenlikle ilgili olaylar loglanmalıdır ve aşağıdaki şekilde saklanmalıdır:
 Bütün güvenlikle ilgili loglar minimum 1 hafta saklanmalıdır ve online olarak erişilmelidir.
 Günlük tape backupları en az 1 ay saklanmalıdır.
 Logların haftalık tape backupı en az 1 ay tutulmalıdır.
 Aylık full backuplar en az 6 ay tutulmalıdır.
 Logloma kayıtları bina dışında olmalıdır.
 
b. Güvenlikle ilgili loglar sorumlu kişi tarafından değerlendirilecek ve gerekli tedbirleri alacaktır. Güvenlikli ilgili olaylar aşağıdaki gibi olabilir fakat bunlarla sınırlı değildir.
 Port tarama atakları.
 Yetkisiz kişilerin ayrıcalıklı hesaplara erişmeye çalışması.
 Sunucuda meydana gelen mevcut uygulama ile alakalı olmayan anormal olaylar.
 
iv. Uygunluk a. Denetimler yetkili organizasyonlar tarafından şirket bünyesinde atanan Sorumlu tarafından altı ayda bir yapılacaktır.
 
b. Denetimler Bilgi İşlem Birimi tarafından yönetilecektir.
c. Denetimlerde organizasyonun işleyişine zarar vermemesi için maksimum gayret gösterilecektir.
v. İşletim a. Sunucular elektrik ve ağ altyapısı ile sıcaklık ve nem değerleri düzenlenmiş ortamlarda işletilmelidir.
b. Sunucuların yazılım ve donanım bakımları yılda bir yetkili uzmanlar tarafından yapılmalıdır.
c. Sistem odalarına yetkisiz girişler engellenmelidir. Sistem odalarına giriş ve çıkışlar erişim kontrollü olmalıdır.
 
5. Kimlik Doğrulama ve Yetkilendirme Bilgi sistemlerinde Kimlik Doğrulama ve Yetkilendirme, konusunda alınması gereken önlemler, uyulması gereken kurallar ve standartlar şunlardır:
 
a. Şirket sistemlerine erişecek tüm kullanıcıların kurumsal kimlikleri doğrultusunda hangi sistemlere, hangi kimlik doğrulama yöntemi ile erişeceği belirlenecektir.
b. Şirket sistemlerine erişmesi gereken kurum dışı kullanıcılara yönelik ilgili profiller ve kimlik doğrulama yöntemleri tanımlanacaktır.
c. Şirket bünyesinde kullanılan ve merkezi olarak erişilen tüm uygulama yazılımları, paket programlar, veri tabanları, işletim sistemleri ve log-on olarak erişilen tüm sistemler üzerindeki kullanıcı rolleri ve yetkileri belirlenmelidir.
d. Tüm kurumsal sistemler üzerindeki kullanım hakları (kullanıcıların kendi sistemlerine yönelik olarak birbirlerine verdikleri haklar dahil) periyodik olarak gözden geçirilmeli ve gereksinimler ve gerekli minimum yetkinin verilmesi prensibi doğrultusunda revize edilmelidir. e. Erişim ve yetki seviyelerinin sürekli güncelliği temin edilmelidir. f. Kullanıcılar şirket adına kullanımları için tahsis edilmiş sistemlerin güvenliğinden sorumludurlar. h. Kullanıcılar kendilerine verilen erişim şifrelerini gizlemeli ve kimseyle paylaşmamalıdır. ı. Sistemlere log-in olan kullanıcıların yetki aşımına yönelik hareketleri izlenmeli ve yetki ihlalleri kontrol edilmelidir. i. Kullanıcılara erişim hakları yazılı olarak beyan edilmeli ve erişim haklarını ihlal eden kullanıcılar için yaptırım uygulanmalıdır. j. Kullanıcı hareketlerini izleyebilmek üzere her kullanıcıya kendisine ait bir kullanıcı hesabı açılmalıdır. l. Dışarıdan şirket wi-fi ağına bağlanacak kimselerin mutlaka kimlik tespiti yapılmalıdır. Toplantı odaları için tahsis edilen wi-fi şifre kullanımları da toplantıya katılanların kimliği ile eşleştirilmelidir. l. Yetkilendirmeler Şirket içerisinde online olarak kullanılan elektronik sistemlerin tamamı üzerinde yetkilendirmeler bulunmaktadır. Her programdaki her veri, her çalışan tarafından görüntülenememektedir. a. Şirket içerisinde AG Tohum için hazırlanan ve kullanılan online sistem üzerindeki her veri her çalışan tarafından görüntülenmemektedir.  Bu sistem içerisindeki veriler için, her çalışan sadece kendi bölgesi içerisindeki verileri görebilmektedir.  Bölge çalışanları ürünlere ilişkin Türkiye’deki işlenen kişisel vereleri görebilmekte, ürün müdürleri sadece kendi ürünlerine ilişkin işlenen verileri görebilmektedir.  Ürün müdürleri üreticilere ilişkin kişisel verileri görememektedir.  XXX görmeye asistan yetkilidir.  Online sistem üzerindeki tüm verileri görmeye sadece genel müdür ve teknik müdür yetkilidir. b. Muhasebe programı üzerindeki bilgileri görmeye sadece Muhasebe Yetkilisi ve muhasebe birimi yetkilidir. İlgili veriler genel müdür ve muhasebe biriminin gerek görmesi halinde, Şirket dışında çalışılan muhasebe bürosu ve danışman Mali Müşavir ile paylaşılabilecektir. a) c. Çalışanlar ve ziyaretçilerden alınan HES Kodu ve kod verileri sadece asistan ve genel müdür tarafından görüntülenebilir. İKİNCİ BÖLÜM Kişisel Verilerin Güvenliği 1. Kişisel Veri Tanımı 6698 Sayılı Kişisel Verilerin Korunması Kanunu’na göre kişisel veri, belirli ya da belirlenebilir nitelikteki bir kişiye ilişkin her türlü bilgidir. Örneğin, kişinin adı, soyadı, doğum tarihi, doğum yeri, banka hesap bilgileri, kimlik bilgileri ve telefon numarası vb. Kişisel verilerin mahremiyeti hususunda uyulması gereken temel kurallar şunlardır. 6. Genel Kurallar Bütün kişisel ve kurumsal bilgilerin güvenliğinin sağlanması için aşağıda belirtilen hususlara dikkat edilmelidir. a. Şirkette kimin hangi yetkilerle hangi verilere ulaşacağı çok iyi tanımlanmalıdır. Rol bazlı yetkilendirme yapılmalıdır ve yetkisiz kişilerin nitelikli verilere erişmesi mümkün olmamalıdır. b. Kişisel veriler, kişiye aittir. Yetkilendirilmiş çalışanlar ancak görevleri ile ilgili kişisel verilere erişebilmelidirler. Ancak şirket bünyesinde atanmış bulunan ilgili sorumlunun yazılı onayı ile diğer yetki dışındaki kişiler verilere erişebilirler. c. Bayi, üretici, müşterinin rızası olmadan hiçbir çalışan sözle de olsa müşteri bilgilerini iş ilişkisi dışında üçüncü şahıslara, kişilere ve kurumlara iletemez. d. Bayi, üretici veya müşterinin talebi halinde bilgilerine ilişkin bir kopya ilgili kişiye teslim edilmelidir. İlgili mevzuat hükümleri saklı kalmak kaydıyla hiçbir ilgili kişi kaydı, elektronik veya kağıt ortamında üçüncü kişi ve kurumlara verilmemelidir. e. Bayi, üretici, çalışan ya da iş sebebiyle elde edilmiş kişisel verilerin izlenmemesi için gerekli tedbirler alınmalıdır. (Kişisel veri içeren hiçbir kayıt gelişi güzel ortada bırakılmamalı, bilgisayar ekranı başkalarınca okunabilecek şekilde bırakılmamalıdır). f. Sosyal medya üzerinden yapılan paylaşımlarda ilgili kişinin fotoğrafının paylaşılması sadece ilgili kişiden açık rıza alınması halinde mümkündür. g. Telefon ile konuşurken kişisel verilere üçüncü şahısların vakıf olmasına engel olunmalıdır. h. Bütün kişisel veriler fiziksel olarak korunmuş mekanlarda saklanmalıdır. ı. Şirketin elektronik kayıtlarına internet ortamından erişim mümkün olmamalıdır. i. Çalışanlara, kişisel verilere korunmasına yönelik ilişkin eğitim verilmekte, kişisel verilere ilişkin periyodik bilgilendirmeler gönderilmektedir. j. Bayi, üretici, müşteri, çalışan verilerin korunması için idari ve teknik önlemler alınmıştır. 7. Kişinin Verisinin Kaderine Hâkim Olma Hakkı Veri sahibi, kendi verisi ile ilgili olarak verisinin nasıl işlendiğini bilme, bilgi talep etme, gerektiğinde güncelleme ve nihayet silinmesini talep etme hakkına sahiptir. Şirket, kullanıcılardan ya da müşterilerden gelecek bu talepleri karşılamak zorundadır. 8. Verilerin Hukuka Uygunluğu İlkesi Şirkette bulunan veya şirkete intikal eden ya da şirketten çıkan bütün veriler ve verilerle ilgili her türlü işlem, hukuka ve kişilik haklarına uygun yapılmalıdır. Şirketin bütün çalışanları, şirket müşterilerinin verilerinin gizliliğine saygı göstermek zorundadır. 9. Bilgi Edinme Hakkı Şirket müşterileri, kendi verilerinin nerede ve nasıl kullanıldığını bilme hakkına sahiptir. Bu hakkı kolaylaştıran ve mümkün kılan önlemler şirket tarafından alınır. 10. Veri Güvenliği Veri Güvenliğine ilişkin tüm idari ve teknik önlemler AG Tohum tarafından alınmıştır. Bilgi Güvenliği Politikası içerisinde önlem ve yetkilendirmelere ilişkin tüm bilgiler mevcuttur.