İşbu Politika kapsamında, DİNAMİK ELEKTRONİK PARA VE ÖDEME HİZMETLERİ A.Ş. (“DİNAMİKPAY”) bünyesinde işlenen tüm kişisel, finansal ve ticari verilerin gizliliğini korumak, veri bütünlüğünü sağlamak ve bilgi sistemlerine sürekli erişim sunmak üzere kurumsal bir taahhüt tesis etmektir. DİNAMİKPAY, bu bilgilerin yetkisiz kişilerce erişilmesinin, ifşa edilmesinin, değiştirilmesinin veya yok edilmesinin önlenmesi için bir dizi önleyici ve tespit edici önlemi uygulamayı taahhüt eder. Politika, 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK), 6493 sayılı Kanun ve ilgili TCMB düzenlemeleri başta olmak üzere, tüm ulusal ve uluslararası mevzuata uyumun sağlanması için oluşturulmuştur. DİNAMİKPAY, bu Politika ile tüm bilgi varlıklarının envanterini çıkarır, riskleri belirler ve yönetir. Etkili bir bilgi güvenliği yönetimi ve koordinasyonu için bir organizasyon yapısı oluşturur.

Politika, Bilgi Güvenliği Yönetim Sistemini sürekli olarak gözden geçirir ve iyileştirir. Ayrıca veri sahiplerinin haklarına saygı gösterileceğini taahhüt eder. Bu kapsamda, geliştirme, test ve üretim ortamlarını fiziksel ve mantıksal olarak ayırarak veri güvenliğini maksimize eder. Kullanıcı yetkilendirilmesi gerekli minimum seviyede tutularak düzenli olarak denetlenir.

 

1.    BİLGİ GÜVENLİĞİ YÖNETİMİ VE KURUMSAL YÖNETİŞİM

 

1.1.    Etkili bir bilgi güvenliği yönetimi ve koordinasyonu için üst yönetim desteğiyle kurumsal bir organizasyon yapısının tesis edilmesi esastır. Bu yapı içerisinde, Bilgi Güvenliği Yönetim Sistemi'nin (BGYS) hedeflerinin belirlenmesi, ölçülmesi ve Kurumun iş hedefleri ile uyumlu olacak şekilde yıllık bazda belirlenmesi ve üst yönetime düzenli olarak raporlanması zorunludur. Ayrıca, çalışanların belirlenen politika ve prosedürlere uygunluğunu yazılı taahhütler alarak sağlanır. Tüm faaliyetlerin, kurumsal risk iştahı ve yasal zorunluluklar çerçevesinde belgelendirilmiş politika ve prosedürlere uygunluğunun sağlanması ve bu kapsamda düzenli periyotlarla iç ve dış denetimlerin yürütülmesi temel bir yükümlülüktür.

 

1.2.    DİNAMİKPAY, 6493 sayılı Kanun, TCMB düzenlemeleri, 5549 sayılı Kanun ve 6698 sayılı KVKK dahil tüm ulusal ve uluslararası mevzuata uyumun sürekli olarak teyit edilmesini ve sürdürülmesini temel bir iş prensibi olarak benimser. Bilginin doğruluğunu ve tamamlığını korumak ve bilgi sistemlerine sürekli erişim sağlamak için gerekli altyapı ve kontroller geliştirir ve uygular. Bilgi güvenliği yönetim sistemini sürekli olarak gözden geçirir ve iyileştirir. Çalışanlar belirlenen politika ve prosedürlere uygunluklarını yazılı taahhütler alarak sağlamaktadırlar.

 

1.3.    Etkili bir bilgi güvenliği yönetimi ve koordinasyonu için organizasyon yapısı oluşturulur. Bu yapı, bilgi güvenliği olaylarının tespiti, raporlanması ve tekrarının önlenmesi için detaylı prosedürler geliştirir. Ayrıca, bilgi varlıklarının envanterini çıkarır, riskleri belirler ve bu riskleri yönetir. Bilgi sistemleri edinim, geliştirme ve bakım süreçlerinde güvenlik gerekliliklerini belirler ve uygular. İş faaliyetlerindeki kesintilere karşı önlemler alır ve bilgiye sürekli erişimi garantiler.

 

2.       VARLIK YÖNETİMİ VE KRİTİK RİSK ANALİZİ

 

2.1.    DİNAMİKPAY, bilgi varlıklarının güvenliğini sağlamak için öncelikle tüm bilgi varlıklarının (veri tabanları, uygulamalar, donanımlar, fiziksel dokümanlar, ağ bileşenleri) envanterini çıkarmakla ve sahiplerini atamakla yükümlüdür. Bu varlıklar, hassasiyet düzeyleri (gizli, özel, kurum içi, genel) ve hukuki gereklilikler (özellikle 6698 sayılı KVKK hükümleri) dikkate alınarak sistematik bir şekilde sınıflandırılır. Varlıkların doğru etiketlenmesi, işlenmesi ve muhafaza edilmesinde ilgili gizlilik ve bütünlük gerekliliklerinin tanımlanması ve uygulanması zorunludur. Bilginin doğruluğunu ve tamamlığını korumak için gerekli altyapı ve kontrolleri geliştirir ve uygular.

 

2.2.    Şirket, bilgi varlıklarına yönelik iç ve dış tehditleri, zafiyetleri ve olası etkileri belirlemek için periyodik ve sistematik risk analizleri uygular. Belirlenen risklerin kabul edilebilir seviyelere indirilmesi için gerekli kontroller (güvenlik kontrolleri) geliştirilir ve uygulanır. Riskleri belirler ve yönetir. Yetkisiz erişimleri önlemek için ilgili tüm alanlarda güvenlik kontrollerini uygular. Bilgi güvenliği olaylarının tespiti, raporlanması ve tekrarının önlenmesi için detaylı prosedürler geliştirilir.

 

2.3.    Geliştirme, test ve üretim (canlı) ortamlarının fiziksel ve mantıksal olarak ayrıştırılması prensibi benimsenerek, veri güvenliği maksimize edilir. Bu ayrım, özellikle kritik verilerin test ortamlarında kullanılmasını önlemeye ve sistem bütünlüğünü korumaya yöneliktir. Ödeme ve kişisel verilerin güvenli iletimi ve saklanması için şifreleme ve maskeleme gibi güvenlik önlemleri uygulanır. Bu kapsamda, kullanılan şifreleme anahtarlarının güvenliği ve gizliliği sağlanır. Katmanlı güvenlik yaklaşımını benimseyerek, sistemlerin sürekli olarak izlenmesini sağlar. Yetkisiz erişimleri önlemek için ilgili tüm alanlarda güvenlik kontrollerini uygular.

 

3.     PERSONEL VE İNSAN KAYNAKLARI GÜVENLİĞİ

 

3.1.      Tasarım, geliştirme, test ve uygulama süreçlerinde görevlerin ayrılması prensibine uygun olarak yetkilendirme yapılır. Kritik işlemler ve mali öneme sahip süreçler için yetkilendirmeye ek olarak onay mekanizmaları kurulur. Kullanıcı yetkilendirilmesi, görev tanımının icrası için gerekli olan minimum seviyede tutularak düzenli olarak denetlenir. Geliştirme, test ve üretim ortamlarının fiziksel ve mantıksal olarak ayrılması prensibine riayet edilerek, veri güvenliği maksimize edilir. Bilgi sistemleri edinim, geliştirme ve bakım süreçlerinde güvenlik gerekliliklerini belirler ve uygular.

 

3.2.      Tüm personelin belirlenen politika ve prosedürlere uygunluğunu, hukuki bağlayıcılığı olan yazılı taahhütler (gizlilik anlaşmaları dahil) alarak sağlar. Bilgi güvenliği konusunda farkındalığı artıracak eğitim programları uygulanır. Tüm personelin bilgi güvenliği konusunda farkındalığını artıracak eğitim programları uygulamaktadır. Çalışanların belirlenen politika ve prosedürlere uygunluğunu yazılı taahhütler alarak sağlamaktadırlar.

 

3.3.      Bilginin işlendiği alanlarda güvenliği sağlamak için gerekli fiziksel ve çevresel önlemler alınır. Yetkisiz erişimleri önlemek amacıyla, ilgili tüm alanlarda güvenlik kontrolleri uygulanır. Kritik işlemler için onay mekanizmaları kurulur. Bilgi varlıklarının envanterini çıkarır, riskleri belirler ve yönetir. İş faaliyetlerindeki kesintilere karşı önlemler alır ve bilgiye sürekli erişimi garantiler.

 

4.         ERİŞİM KONTROLÜ VE MANTIKISAL GÜVENLİK

 

4.1.     Erişim yetkilendirmesi, görev tanımının icrası için gerekli olan minimum seviyede tutularak düzenli olarak denetlenir. Kullanıcı yetkilendirilmesi, gerekli minimum seviyede tutularak düzenli olarak denetlenmektedir. Erişim haklarının tanımlanması, tahsisi, kullanımı ve sonlandırılması süreçlerinin resmi bir prosedür ile yönetilmesi ve tüm erişim kayıtlarının izlenebilirliğinin sağlanması zorunludur. Kritik işlemler için, yetkilendirmeye ek olarak onay mekanizmaları kurulur.

 

4.2.      Geliştirme, test ve üretim (canlı) ortamlarını fiziksel ve mantıksal olarak ayırarak, veri güvenliğini maksimize eder. Bilginin doğruluğunu ve tamamlığını korumak ve bilgi sistemlerine sürekli erişim sağlamak için gerekli altyapı ve kontroller geliştirilir ve uygulanır. Ödeme ve kişisel verilerin güvenli iletimi ve saklanması için şifreleme ve maskeleme gibi güvenlik önlemleri uygulanır. Kullanılan şifreleme anahtarlarının güvenliği ve gizliliği sağlanır.

 

4.3.        Dış tehditlere karşı ağ güvenliğini sağlamak için gerekli önlemler alınır ve sürekli olarak gözden geçirilir. Katmanlı güvenlik yaklaşımını benimseyerek, sistemlerin sürekli olarak izlenmesini sağlar. Bilgi güvenliği olaylarının tespiti, raporlanması ve tekrarının önlenmesi için prosedürler geliştirilir. Yetkisiz erişimleri önlemek için ilgili tüm alanlarda güvenlik kontrolleri uygulanır. Bilgi sistemleri edinim, geliştirme ve bakım süreçlerinde güvenlik gerekliliklerini belirler ve uygular.

 

5.           KRİPTOGRAFİ, AĞ GÜVENLİĞİ VE VERİ KORUMA

 

5.1.        Ödeme ve kişisel verilerin güvenli iletimi (data in transit) ve saklanması (data at rest) için şifreleme ve maskeleme gibi endüstri standardı güvenlik önlemleri uygulanır. Bu kapsamda, kullanılan şifreleme anahtarlarının güvenliği ve gizliliği sağlanır. Hassas Ödeme Verisi olarak tanımlanan ve dolandırıcılık riski taşıyan bilgilerin (PIN, CVV2/CVC2 kodu gibi) korunmasına yönelik en üst düzeyde kriptografik kontroller tesis edilir.

 

5.2.         Dış tehditlere karşı ağ güvenliğini sağlamak için gerekli önlemler alınır ve sürekli olarak gözden geçirilir. Katmanlı güvenlik yaklaşımı benimsenerek, sistemlerin sürekli olarak izlenmesi sağlanır. Bu yaklaşım, yetkisiz erişimleri önlemek için ilgili tüm alanlarda güvenlik kontrollerinin uygulanmasını içerir. Bilgi güvenliği olaylarının tespiti, raporlanması ve tekrarının önlenmesi için detaylı prosedürler geliştirilir.

 

5.3.         Bilginin işlendiği, depolandığı ve iletildiği alanlarda güvenliği sağlamak için gerekli fiziksel ve çevresel önlemler alınır. Bu önlemler, sunucu odaları ve kritik altyapı alanlarına yönelik yetkisiz erişim kontrolleri, iklimlendirme ve kesintisiz güç kaynağı (UPS/Jeneratör) sistemlerini kapsar. Bu kontroller, bilginin bütünlüğünü ve fiziksel güvenliğini sürekli kılmayı amaçlar.

 

6.            BİLGİ GÜVENLİĞİ OLAY YÖNETİMİ VE İŞ SÜREKLİLİĞİ

 

6.1.         Bilgi güvenliği olaylarının (yetkisiz erişim, veri sızıntısı, sistem kesintisi) tespiti, sınıflandırılması, analizi ve tekrarının önlenmesi için detaylı prosedürler geliştirilir. Bilgi güvenliği olaylarının tespiti, raporlanması ve tekrarının önlenmesi için prosedürler geliştirir. Olayların yasal gerekliliklere ve kurumsal politikalara uygun olarak zamanında raporlanması esastır. Olayların tekrarlanmaması için kök neden analizleri yapılır ve ilgili süreçler iyileştirilir.

 

6.2.         İş faaliyetlerindeki kesintilere karşı önlemler alınır ve bilgiye sürekli erişimi garantilemek için gerekli altyapı sağlanır. DİNAMİKPAY, kritik iş süreçlerinin sürdürülebilirliğini sağlamak amacıyla İş Sürekliliği Planı ve Felaket Kurtarma Planı oluşturur. Bu planlar, olası bir felaket veya kesinti durumunda kritik sistemlerin ve verilerin hızla kurtarılmasını ve hizmetlerin en kısa sürede devam etmesini temin etmeyi amaçlar. Bu planların periyodik olarak test edilmesi ve güncel tutulması zorunludur.

 

6.3.         Tüm bilgi sistemlerine sürekli erişim sağlamak için gerekli altyapı ve kontroller geliştirilir ve uygulanır. İş faaliyetlerindeki kesintilere karşı önlemler alınır ve bilgiye sürekli erişimi garantiler. Bilgi güvenliği yönetim sistemini sürekli olarak gözden geçirir ve iyileştirir.

 

7.             MEVZUATA UYUM VE KİŞİSEL VERİLERİN KORUNMASI

 

7.1.          DİNAMİKPAY, tüm kişisel verilerin işlenmesinde 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) ve ilgili ikincil mevzuat hükümlerine tam uyumun sağlanmasını en üst düzeyde taahhüt eder. Kişisel verilerin işlenmesi, kesinlikle Açık Rıza veya Kanun'da sayılan Meşru Menfaat gibi hukuki dayanaklardan birine bağlı olarak gerçekleştirilir. Veri işlemeye yönelik tüm süreçler, aydınlatma yükümlülüğünün tam ve şeffaf bir şekilde yerine getirilmesini zorunlu kılar. Veri sahiplerinin haklarına saygı gösterilecektir.

 

7.2.         Veri sahiplerinin Kanun'dan doğan yasal hakları (erişim, düzeltme, silme, yok etme, zararın giderilmesi talebi) titizlikle korunur. Bu haklara yönelik yapılan başvuruların, KVKK'da belirtilen yasal süreler içinde etkin ve doğru bir şekilde yanıtlanması için bir Başvuru Yönetim Süreci tesis edilmiştir. Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde mevzuatsal yükümlülükler hariç tutulmak üzere, kişisel verilerin silinmesini veya yok edilmesini isteme hakkı güvence altına alınır.

 

7.3.         Ödeme ve elektronik para kuruluşu olmanın getirdiği regülatif yükümlülükler (özellikle 6493 sayılı Kanun ve TCMB düzenlemeleri) eksiksiz yerine getirilir. Bu kapsamda, 5549 sayılı Suç Gelirlerinin Aklanmasının Önlenmesi Kanunu (AML) ve terörizmin finansmanıyla mücadele (CFT) mevzuatına uygun olarak gerekli denetim ve risk kontrolleri uygulanır. Bilgi sistemleri edinim, geliştirme ve bakım süreçlerinde güvenlik gereklilikleri belirlenir ve uygulanır.