Bilgi Güvenliği Şartları
SAĞLAYICI, Hizmetleri sağlayacak ve Sözleşme kapsamındaki yükümlülüklerini aşağıdakilere uygun olarak yerine getirecektir:
a. (I) bu Bilgi Güvenliği Şartları
b. (ii) İyi Güvenlik Uygulamaları
1. TANIMLAR
a. "Varlık" MÜŞTERİ verilerinin oluşturulması, bu verilere erişilmesi, işlenmesi, korunması, izlenmesi, saklanması, alınması, görüntülenmesi veya iletilmesi amacıyla kullanılan veya kullanılabilecek herhangi bir donanım ve yazılım öğesi veya öğesi anlamına gelir.
B. “MÜŞTERİ Verileri”, MÜŞTERİ'nin veya onun adına hareket eden bir kişinin, Sözleşme ile bağlantılı olarak SAĞLAYICI'ya sağladığı veya SAĞLAYICI'nın erişmesine ve işlemesine izin verdiği her türlü veri anlamına gelir.
C. “Şifreleme”, özellikle yetkisiz erişimi önlemek amacıyla bilgi veya verinin koda dönüştürülmesi işlemi anlamına gelir.
D. "Yama", bir program veya üründeki güvenlik açıklarını gideren her türlü yazılım ve işletim sistemi (OS) güncellemesi anlamına gelir.
e. “Sızma Testi”, sistemin güvenliğini değerlendirmek amacıyla bir bilgisayar sistemine yapılan yetkili simüle edilmiş siber saldırı anlamına gelir.
F. "TEDARİKÇİ Sistemi", SAĞLAYICI veya herhangi bir Bağlı Kuruluşu tarafından veya onun adına işletilmek üzere (tamamen veya kısmen) sahip olunan veya yönetilen herhangi bir Sistem veya Varlık anlamına gelir.
G. “Güvenlik Olayı” MÜŞTERİ verilerinin ve/veya Hizmetin gizliliğinin, bütünlüğünün ve/veya kullanılabilirliğinin fiili olarak tehlikeye atılmasıyla sonuçlanan bir olay, olay ve/veya sorun anlamına gelecektir.
H. “Üretim Ortamı” MÜŞTERİ verilerinin saklandığı ve işlendiği ortamı ifade eder.
Ben. "Test Ortamı", yeni geliştirilen programların veya yazılım ürünlerinin Üretim Ortamında yayınlanmadan önce test edilmesi için kullanıma sunulan ortam anlamına gelir.
J. “Güvenlik Açığı” sistem içerisinde bulunan bir zayıflığın/kusurun varlığı anlamına gelir.
k. "Yapay Olarak Şişirilmiş Trafik", botlar, tıklama grupları veya trafik hacimlerini yapay olarak şişirmeyi amaçlayan diğer araçlar dahil ancak bunlarla sınırlı olmamak üzere, otomatik veya hileli araçlarla oluşturulan her türlü trafik anlamına gelir.
2. BİLGİ GÜVENLİĞİNİN ORGANİZASYONU
SAĞLAYICI:
2.1. Endüstri standartlarıyla uyumlu güvenlik politikalarını tanımlayın, belgeleyin, uygulayın ve sürdürün; aynı zamanda: - Veri ve bilgi sistemlerinin gizliliğinin, bütünlüğünün ve kullanılabilirliğinin sağlanması. - MÜŞTERİ ve MÜŞTERİ Verilerinin tabi olabileceği yasal ve düzenleyici gerekliliklere uymak.
2.2. politikalarını ve prosedürlerini yıllık olarak ve/veya önemli değişikliklere yanıt olarak gözden geçirecektir.
2.3. Güvenlik politikalarının TEDARİKÇİ yönetimi tarafından belgelenmesini ve onaylanmasını, yayınlanmasını ve ilgili paydaşlara iletilmesini sağlamak.
2.4. Tüm bilgi güvenliği işlevlerini, politikalarını ve prosedürlerini koordine etmekten ve izlemekten sorumlu olacak gerekli sayıda güvenlik uzmanına sahip olduklarından emin olun.
2.5. Güvenlik kontrollerinin etkinliğinin periyodik iç ve dış doğrulaması için bir süreç sürdürecektir. SAĞLAYICI, Sözleşme ve bu Şartlar kapsamındaki yükümlülüklerine uymak için gerekli olduğu ölçüde tüm eksiklikleri derhal ele alacak ve çözecektir.
3. İNSAN KAYNAKLARI VE GÜVENLİK EĞİTİMİ
SAĞLAYICI:
3.1. Uygun geçmiş kontrol politikası ve prosedürünü tanımlayın, belgeleyin, uygulayın ve sürdürün. Kontroller, bireyin eğitimini ve önceki çalışma geçmişini, sabıka kaydını, referans kontrollerini ve ilgili ve geçerli yasa ve düzenlemelere uygun olarak endüstri standardı ek geçmiş kontrolü gerekliliklerini içerebilir.
3.2. Sözleşmeli çalışanlar da dahil olmak üzere tüm mevcut ve yeni çalışanların özgeçmiş doğrulama kontrollerini gerçekleştirin.
3.3. Tüm çalışanların uygun bir gizlilik sözleşmesine bağlı olmasını sağlayın.
3.4. Tüm çalışanlar için resmi bir güvenlik ve gizlilik farkındalığı eğitimi tanımlayın, belgeleyin, uygulayın ve sürdürün. SAĞLAYICI, bu tür eğitimlerin hassas bilgilere erişim veya kullanım izni verilmeden önce ve sonrasında sürekli olarak verilmesini sağlayacaktır.
4. VARLIK YÖNETİMİ
SAĞLAYICI:
4.1. Tüm donanım ve yazılımları, her birinin sahibi ve konumuyla birlikte kaydeden doğru ve güncel bir envanteri tanımlamak, belgelemek, uygulamak ve sürdürmek.
4.2. SAĞLAYICI'nın yetkili yazılım envanterine yalnızca şu anda desteklenen ve/veya satıcı güncellemelerini alan yazılım uygulamalarının ve/veya işletim sistemlerinin eklenmesini sağlayın.
4.3. EOL'yi (Kullanım Ömrü Sonu) destekleyen tüm yazılım ve donanımların kullanımdan kaldırılmasını ve envanterin zamanında güncellenmesini sağlayın.
4.4. Bilginin ve bilgi ve bilgi işlemeyle ilişkili varlıkların kabul edilebilir kullanımına ilişkin kuralları tanımlayın.
4.5. tüm bilgilerin yasal gereklilikler, değer, kritiklik ve hassasiyet açısından sınıflandırılmasını ve sınıflandırma etiketine uygun şekilde işlenmesini sağlar.
4.6. PROVIDER sistemlerinden MÜŞTERİ verilerinin uygun şekilde işlenmesini ve imha edilmesini sağlayın: - MÜŞTERİ veri kayıtlarının imhası, verilerin geri alınamaz hale getirilmesini sağlayacak şekilde güvenli bir şekilde gerçekleştirilmelidir. - MÜŞTERİ'nin geçici veri silme talepleri için silme sertifikası mevcut olmalıdır.
5. ERİŞİM KONTROLÜ
5.1. Genel hükümler
SAĞLAYICI:
5.1.1. Erişim kontrolü politika ve prosedürlerini iş ihtiyaçları ve “En Az Ayrıcalık” ilkesi temelinde tanımlayacak, belgeleyecek, uygulayacak ve sürdürecek ve PROVIDER sistemlerine yalnızca yetkili çalışanların erişmesini sağlayacaktır.
5.1.2. Yalnızca benzersiz kimliklerin kullanıldığından emin olun ve paylaşılan hesapların tüm istisnalarını ve kullanımını belgeleyin.
5.1.3. MÜŞTERİ Verilerini saklayan veya işleyen PROVIDER Sistemlerine her türlü erişimin Çok Faktörlü Kimlik Doğrulamaya (MFA) tabi olduğundan emin olun.
5.1.4. periyodik olarak, en azından yıllık bazda, atanmış kullanıcı ayrıcalıklarının uygunluğunu gözden geçirecektir.
5.1.5. Kullanıcı yönetimi etkinliklerinin (kullanıcı ayrıcalıklarının eklenmesi, değiştirilmesi veya kaldırılması) geçerli bir resmi talebe göre ve zamanında gerçekleştirilmesini sağlayın.
5.2. UZAKTAN ERİŞİM GÜVENLİĞİ
SAĞLAYICI:
5.2.1. PROVIDER Sistemlerine yetkisiz uzaktan erişimi önlemek için uygun güvenlik kontrollerinin uygulandığından emin olun. Bu tür kontroller en azından aşağıdakileri içerecektir: - PROVIDER Sistemlerine ve/veya Ağına uzaktan erişim yalnızca VPN ve Çok Faktörlü Kimlik Doğrulama (MFA) aracılığıyla gerçekleştirilecektir. - Uzaktan erişim mekanizması üzerinden seyahat eden tüm veriler uç noktadan (örneğin dizüstü bilgisayar) ağa kadar şifrelenecektir. - Yetkisiz bir uzaktan erişim mekanizması kullanarak PROVIDER Sistemlerine bağlanmaya yönelik tüm girişimler reddedilecek ve günlüğe kaydedilecektir. - Şüpheli faaliyetler ilgili güvenlik protokollerine uygun olarak ele alınacaktır.
5.3. ŞİFRE YÖNETİMİ
SAĞLAYICI:
5.3.1. Şifre politikasını sektördeki en iyi uygulamalar ve dahili iş ihtiyaçları doğrultusunda tanımlayın, belgeleyin, uygulayın ve sürdürün.
5.3.2. Şifrelerin yeterli uzunlukta, karmaşıklıkta olduğundan, kolay tahmin edilebilir kelimeler içermediğinden ve düzenli aralıklarla değiştirildiğinden emin olun.
5.3.3. belirli sayıda başarısız yanlış şifre girme denemesinden sonra kullanıcı hesaplarının kilitlendiğinden ve hesabın belirli bir süre kilitlendiğinden emin olun.
5.3.4. Parolaların, geçerli kaldıkları sürece anlaşılmaz hale gelecek şekilde güvenli bir şekilde saklanmasını sağlayın.
6. KRİPTOGRAFİ
SAĞLAYICI:
6.1. Uygun kriptografik kontrollerin kullanımını ve kriptografik anahtarların ve anahtarlama malzemesinin kullanım, koruma ve kullanım ömrüne ilişkin kuralları belirleyen anahtar yönetim süreçlerini düzenleyen ilgili politika ve prosedürleri tanımlamak, belgelemek, uygulamak ve sürdürmek.
6.2. Güvenli protokoller (örneğin, TLS 1.2, AES-256 veya diğer endüstri tarafından önerilen standartlar) kullanılarak MÜŞTERİ Verilerinin aktarım sırasında veya beklemedeyken korunduğundan emin olun.
6.3. Sağlayıcının sahip olduğu ve işlettiği bir anahtar yönetim sistemindeki tüm şifreleme anahtarlarını yönetin.
6.4. Şifreleme anahtarı yönetimi sürecinde görevlerin uygun şekilde ayrılmasını sağlayın.
7. FİZİKSEL VE ÇEVRESEL GÜVENLİK
SAĞLAYICI:
7.1. Kuruluşun MÜŞTERİ verilerini depolayan bilgi ve bilgi işleme tesislerine yetkisiz fiziksel erişimi, hasarı ve müdahaleyi önlemek için fiziksel güvenlik politikalarını ve prosedürlerini tanımlayın, belgeleyin, uygulayın ve sürdürün.
7.2. Tanımlanmış politika ve prosedürler doğrultusunda fiziksel ve çevresel güvenlik süreçlerini ve kontrollerini uygulamak. SAĞLAYICI, fiziksel güvenlik kontrollerinin bir kısmını veya tamamını 3. bir tarafa yaptırabilir ve aynı düzeyde kontrollerin yürürlükte olmasını sağlayacak ve 3. tarafı uyumluluk açısından düzenli olarak değerlendirecektir.
7.3. Güvenli alanların uygun giriş kontrolleriyle korunmasını ve yalnızca yetkili personelin erişimine izin verilmesini sağlayın.
7.4. Tüm ziyaretçilerin yetkili olduğundan, kimliklerinin doğru olduğundan ve yalnızca gerekli alanlara erişim verildiğinden emin olun.
7.5. Gizli bilgilerin güvenliğini sağlamak için kilitli dolapların kullanıldığından emin olun.
7.6. Depolama ortamını içeren ekipmanın imha edilmeden veya yeniden kullanılmadan önce üzerine güvenli bir şekilde yazıldığından emin olun.
7.7. Bilgi işlem tesisleri için net bir masa politikasının ve net bir ekran politikasının uygulanmasını sağlayın.
8. OPERASYON GÜVENLİĞİ
SAĞLAYICI:
8.1. Yedekleme, uç nokta koruması, güvenlik açığı yönetimi, antivirüs ve kötü amaçlı yazılımdan koruma, yama uygulama, sistem sağlamlaştırma ve günlüğe kaydetme için güvenlik işletim prosedürlerini tanımlayın, belgeleyin, uygulayın ve sürdürün.
8.2. Sektördeki en iyi uygulamalara ve şirket içi iş ihtiyaçlarına uygun olarak düzenli aralıklarla güvenlik açığı değerlendirmeleri ve sızma testleri gerçekleştirin. SAĞLAYICI ayrıca bir risk değerlendirmesi yapacak ve ardından belirlenen sorunların iyileştirilmesini gerçekleştirecektir.
8.3. Güvenlik açıklarının tanımlanan önceliklendirmeye uygun olarak ve gerekli çözüm zaman çizelgeleri dahilinde ele alınmasını sağlayın.
8.4. Tanımlanan önceliklendirmeye uygun olarak tüm altyapı düzeylerine yamalar ve yükseltmeler uygulayın.
8.5. Uç noktaların, sunucuların, depolama aygıtlarının, posta / web ağ geçitlerinin ve posta trafiğinin, kötü amaçlı yazılım bulaşmalarını tespit etmenin ve mümkün olan her yerde önlemenin teknik olarak mümkün olduğu durumlarda aktif kötü amaçlı yazılımdan koruma araçlarıyla korunmasını sağlayın.
8.6. bilgilerin, yazılımın ve sistem görüntülerinin yedek kopyalarını oluşturacak ve bunları sektördeki en iyi uygulamalara ve şirket içi iş ihtiyaçlarına uygun olarak düzenli olarak test edecektir.
8.7. Kurcalamaya ve yetkisiz erişime karşı korunurken, yeterli ayrıntılarla uygun günlük kaydının yapıldığından ve tanımlanan saklama sürelerine uygun olarak muhafaza edildiğinden emin olun.
8.8. Kullanıcılar tarafından yazılımın kurulumunu düzenleyen kuralları tanımlayın, belgeleyin, uygulayın ve sürdürün.
8.9. Beklemedeki ve aktarım halindeki MÜŞTERİ Verilerinin gizliliğinin, bütünlüğünün ve kullanılabilirliğinin kaybolmasına karşı koruma sağlamak amacıyla dizüstü bilgisayarlar, sunucular, sanal makineler, veritabanları ve ağ cihazları dahil ancak bunlarla sınırlı olmamak üzere uç noktaların güvenli yapılandırmasına yönelik standartları tanımlayın, belgeleyin, uygulayın ve sürdürün.
9. AĞ VE İLETİŞİM GÜVENLİĞİ
SAĞLAYICI:
9.1. Tüm ağ hizmetlerinin güvenlik mekanizmalarını ve yönetim gereksinimlerini tanımlamak, belgelemek, uygulamak ve sürdürmek.
9.2. Kamuya açık ve halka açık olmayan ağlar üzerinden iletişimi güvence altına almak için güçlü şifreleme ve güvenlik yapılandırma standartlarını tanımlayın, belgeleyin, uygulayın ve sürdürün.
9.3. İlgili tüm bilgi işlem sistemlerinin saatlerinin tek bir referans zaman kaynağına senkronize olmasını sağlayın.
9.4. Siber saldırıları tespit etmek ve kötü amaçlı hizmetleri, web sayfalarını ve trafiği engellemek için web trafiğini ve ağ çevresini izleyin.
9.5. Güvenlik duvarı kurallarındaki değişikliklerin resmi bir talep/onay süreci aracılığıyla kontrol edilmesini ve düzenli olarak gözden geçirilmesini sağlayın.
9.6. Sektördeki en iyi uygulamalar ve dahili iş ihtiyaçları doğrultusunda kuruluşlara erişimi kısıtlayın ve kontrol edin.
9.7. Bölgeleme modelinin uygulandığından ve ağın uygun şekilde bölümlere ayrıldığından ve her bölümde yalnızca onaylı erişime ve trafiğe izin verildiğinden emin olun.
10. YAZILIM GELİŞTİRME YAŞAM DÖNGÜSÜ (SDLC)
SAĞLAYICI:
10.1. Hizmetlerin güvenli bir şekilde geliştirilmesini ve sürdürülmesini sağlamak için güvenli bir geliştirme yaşam döngüsü oluşturacağız.
10.2. Geliştirme yaşam döngüsü içinde sistemlerde yapılan değişiklikleri resmi değişiklik kontrol prosedürleriyle kontrol edin.
10.3. Üretim ortamına yetkisiz erişim veya değişiklik riskini azaltmak için geliştirme, test ve üretim ortamlarının ayrıldığından emin olun.
10.4. Bilgi güvenliğiyle ilgili gereksinimlerin, yeni Hizmetlere veya mevcut Hizmetlerde yapılan iyileştirmelere ilişkin gereksinimlere dahil edilmesini sağlamak.
10.5. Test verilerinin dikkatli ve kontrollü bir şekilde oluşturulmasını ve üretim verilerinin test amacıyla kullanılmamasını sağlamak.
11. TEDARİKÇİ İLİŞKİLERİ
SAĞLAYICI:
11.1. Geçerli düzenlemeler, en iyi uygulamalar ve uluslararası standartların yanı sıra iş, güvenlik gereksinimlerine uygun tedarikçi ilişkilerini yönetmek için temel ilke ve kuralları tanımlayan tedarikçi ilişkileri yönetimi politikalarını ve prosedürlerini tanımlamak, belgelemek, uygulamak ve sürdürmek.
11.2. MÜŞTERİ verilerine erişebilen, bunları işleyebilen veya saklayabilen her tedarikçi için, SAĞLAYICI, tedarikçinin çözümünün uygunluğunu değerlendirecek ve belgeleyecektir. Alt işleyiciler de dahil olmak üzere kritik tedarikçiler için yıllık bazda yeniden değerlendirme yapılacaktır.
11.3. MÜŞTERİ verilerine erişebilecek, bunları işleyebilecek veya saklayabilecek her tedarikçi ile ilgili tüm bilgi güvenliği gereksinimlerinin oluşturulmasını ve üzerinde anlaşmaya varılmasını sağlayacaktır.
11.4. MÜŞTERİ verilerine erişebilen, bunları işleyebilen veya saklayabilen her tedarikçi ile iş kapsamını, gizliliği, güvenliği ve iş ilişkisinin teknik gerekliliklerini (varsa) tanımlayan geçerli bir anlaşmanın mevcut olduğundan emin olun.
12. BİLGİ GÜVENLİĞİ OLAY YÖNETİMİ
SAĞLAYICI:
12.1. Bilgi güvenliği olaylarını raporlamak, yanıt vermek ve yönetmek için resmi bir süreç tanımlamak, belgelemek, uygulamak ve sürdürmek. Bu, asgari olarak aşağıdakileri içerecektir: - Bu tür olayların/ihlallerin SAĞLAYICI organizasyonu içindeki uygun yönetime rapor edilmesine yönelik bir prosedür. - Bilgi güvenliği olaylarını tanımlama, değerlendirme ve ele alma süreci. - Bir olaya müdahaleyi yönetmek ve koordine etmek için açıkça belirlenmiş bir ekip. - Olayın meydana geldiği zamanı, olayı rapor eden kişiyi, olayın rapor edildiği kişiyi ve etkilerini içerecek şekilde uygun sorunları ve eylem günlüklerini tutma gerekliliğini de içeren, bir olaya müdahaleyi yönetmeye yönelik belgelenmiş ve test edilmiş bir süreç. - MÜŞTERİ'ye zamanında ve bilgi güvenliği olayının ve MÜŞTERİ'ye sağlanan hizmetlere olumsuz etkinin doğrulanmasının ardından en geç 72 saat içinde bildirimde bulunulması gerekliliği. Böyle bir gerekliliğin yürürlükteki mevzuat ve/veya yönetmeliğe dayanması halinde daha kısa bildirim süresi geçerli olacaktır. - SAĞLAYICI olay yönetimi ekibi, uygun olduğu durumlarda, bilgi güvenliği olayı tatmin edici bir şekilde çözülene kadar MÜŞTERİ'nin güvenlik temsilcileriyle birlikte çalışacaktır. - SAĞLAYICI, kolluk kuvvetlerine, düzenleyici makamlara veya diğer ulusal makamlara bilgi güvenliği olaylarının bildirilmesiyle ilgili tüm ulusal düzenleme ve mevzuatlara uyacaktır.
13. İŞ SÜREKLİLİĞİ YÖNETİMİ
SAĞLAYICI:
13.1. Bir İş Sürekliliği Programını tanımlamak, belgelemek, uygulamak ve sürdürmek.
13.2. İş Etki Analizi (BIA) sürecini kullanarak SMSBAT'ın kritik ürün ve hizmetlerini belirleyin ve önceliklendirin.
13.3. Kesinti tehdidini değerlendirmek için Risk Değerlendirme bilgilerini ve yöntemlerini kullanın.
13.4. İş Etki Analizi ve Risk Değerlendirmesinin sonuçlarına dayanarak, aksatıcı bir olay sırasında kritik hizmetler üzerindeki etkiyi azaltmak için müdahale ve kurtarma stratejileri geliştirin.
13.5. Amaca uygun, düzenli olarak gözden geçirilen, erişilebilir, takip edilmesi ve anlaşılması basit iş sürekliliği ve kurtarma planları geliştirin.
13.6. Krizin etkin yönetimi, iletişimde önceliklendirme ve olaylara karşı uyarı yolları için kriz yönetimi ve iletişim planları geliştirmek.
13.7. Gerekli yetkinliklere göre geliştirilen ve doğrudan iş sürekliliği sorumluluğu olan çalışanlara sunulan eğitim ve tatbikatları sağlamak.
13.8. SMSBAT'ın İş Sürekliliği Programını düzenli değerlendirme yoluyla ve yasal ve düzenleyici gerekliliklerdeki değişiklikleri dikkate alarak sürekli olarak iyileştireceğiz.
14. UYUM
SAĞLAYICI:
14.1. Yıllık bazda endüstri standartlarına göre düzenli denetimlerden geçin. MÜŞTERİ'nin yazılı talebi üzerine, TEDARİKÇİ, MÜŞTERİ'ye o sırada güncel olan raporların tam veya özet bir kopyasını sağlayacaktır. SAĞLAYICI ayrıca, TEDARİKÇİ'nin bu Koşullar kapsamındaki gerekliliklere uyduğunu kontrol etmek amacıyla, MÜŞTERİ tarafından yapılan tüm makul taleplere (anketler, formlar vb.) en geç on (10) iş günü içinde yazılı yanıtlar sağlayacaktır.
14.2. İlgili mevzuatın gerektirdiği ölçüde, yılda bir kez, en az 30 takvim günü önceden bildirimde bulunarak, SAĞLAYICI, MÜŞTERİ'nin, ilgili denetçilerinin veya diğer temsilcilerinin (her biri "Denetleyen Taraf") Tedarikçinin tesislerine, kayıtlarına ve belgelerine, SAĞLAYICI'nın bu Şartlar kapsamındaki gerekliliklere uyup uymadığını kontrol etmek için Denetleyen Tarafın makul olarak talep ettiği şekilde erişmesine izin verecektir. Bu paragrafa uygun olarak yapılan herhangi bir inceleme, herhangi bir üçüncü taraf verisinin incelenmesini gerektirmeyecektir ve Denetleyen Tarafın, inceleme sırasında haberdar olabileceği bilgilerin gizliliğine saygı göstermek için makul ölçüde gerekli olabileceğinden, Denetleyen Tarafın SAĞLAYICI ile bir gizlilik sözleşmesi yapması gerekli olabilir. Taraflardan her biri bu denetimle ilgili olarak kendi masraflarını karşılayacaktır. Denetimin TEDARİKÇİ'nin bu Şartlar kapsamındaki yükümlülüklerine uymadığını ortaya çıkarması durumunda, TEDARİKÇİ bu tür uyumsuzluğu karşılıklı olarak mutabakata varılan zaman çizelgesi içerisinde düzeltecek ve bu tür eylemlerin masraflarını karşılayacaktır.
14.3. SAĞLAYICI, dahili gizli bilgilerin gösterilmesi ve 14.1 ve 14.2 maddelerinde talep edilen kanıtların kopyalarının alınması konusunda sınırlamalar ve kısıtlamalar getirme hakkını saklı tutar.
15. MÜŞTERİ GÜVENLİK GEREKSİNİMLERİ
15.1. Genel güvenlik önlemleri
SAĞLAYICI:
15.1.1. PROVIDER, bulut iletişim hizmetlerini kullanan MÜŞTERİLER için güvenlik önerilerini tanımladı, belgeledi, uyguladı ve sürdürüyor. MÜŞTERİ, söz konusu önerileri gözden geçirecek ve iş ihtiyaçları, teknik kapasitesi ve risk iştahına uygun olarak uygulayacaktır.
15.1.2. MÜŞTERİ, güvenlik önlemlerinin uygun şekilde ayarlanmasından kendi tarafında tamamen sorumlu olacak ve güvenlik ve teknik önlemlerin yanlış ayarlanması veya TEDARİKÇİ tarafından önerilen önlemlerin uygulanmaması nedeniyle meydana gelen bir güvenlik olayı durumunda TEDARİKÇİ'ye herhangi bir sorumluluk yüklemeyecektir.
15.2. AIT güvenlik azaltıcı önlemler
SAĞLAYICI:
15.2.1. PROVIDER, dolandırıcılık vakalarının önlenmesine yönelik güvenlik yönergelerini tanımladı, belgeledi ve sürdürüyor.
15.2.2. OTP'ler ile SMS MT çalıştıran bir kayıt veya başka bir formun CAPTCHA gibi bir anti-bot mekanizması ile korunmaması durumunda, MÜŞTERİ'nin PROVIDER Sistemleri ile entegre web sitesi veya mobil uygulamasında potansiyel risk ortaya çıkabilir. Bu tür uygulamalardaki güvenlik açıkları yapay olarak şişirilmiş trafik (AIT) saldırılarına yol açabilir. CAPTCHA gibi bir anti-bot mekanizması, Kullanıcı Kayıt akışını, OTP'lerle SMS MT'yi çalıştıran otomatik sahte kayıtlardan korumak için gereklidir.
15.2.3. AIT saldırıları meydana geldiğinde, MÜŞTERİ'nin gönderim sırasında kullandığı kaynak IP adresiyle SAĞLAYICI'nın altyapısına trafik gönderilir. Trafiğin SMS MT içeriği, MÜŞTERİ'nin gerçek trafiğinden ayırt edilemez. MÜŞTERİ'den herhangi bir geri bildirim gelmemesi durumunda, SAĞLAYICI, MÜŞTERİ uygulamasındaki AIT ile aynı uygulamadan gelen gerçek trafik arasında ayrım yapamaz. Sonuç olarak, MÜŞTERİ'ye ait web veya mobil uygulama(lar)ın güvenliğinden TEDARİKÇİ sorumlu tutulamaz. MÜŞTERİ ayrıca, MÜŞTERİ'nin altyapısından alınan tüm trafiğin, Sözleşme hükümlerine uygun olarak Ağ Operatörlerine yönlendirileceğini ve MÜŞTERİ'den ücretlendirileceğini kabul eder.
15.2.4. Sorunun temel nedeni MÜŞTERİ'nin altyapısında yattığından, etkilenen ağların engellenmesi benzer bir sorunun etkinleştirilmiş ağlarda tekrar oluşmasını engellemeyecektir. Bu nedenle MÜŞTERİ'nin web sitesinde veya mobil uygulamasında SMS MT OTP kodlarını çalıştıran tüm formları adreslemesi zorunludur.
15.3. Kredi limitinin artırılması talebi
SAĞLAYICI:
15.3.1. MÜŞTERİ web sitesindeki güvenlik açıkları giderilmezse sınır hızla tükenebilir. Bu nedenle SAĞLAYICI, MÜŞTERİ'nin risklere ilişkin farkındalığının ve kredi limitinin artırılmasının olası sonuçlarının anlaşılmasının teyit edilmesini talep eder.
15.3.2. MÜŞTERİ, kredi limitinin artırılmasını talep ederek, AIT saldırılarından kaynaklanabilecek olası zararların sorumluluğunu kabul eder ve bunun sonucunda ortaya çıkabilecek her türlü masrafı ödemeyi taahhüt eder.