Güvenlik Politikası

1. Güvenliğe Yaklaşımımız

Hansoft olarak, kullanıcılarımızın verilerinin güvenliği en yüksek önceliğimizdir. Hukuki belgeler, müvekkil bilgileri ve kişisel veriler gibi hassas nitelikteki bilgilerin korunması, platformumuzun temel tasarım ilkelerinden birini oluşturmaktadır.

Güvenlik yaklaşımımız; verinin toplanmasından saklanmasına, işlenmesinden iletilmesine kadar her aşamada kapsamlı koruma mekanizmaları uygulamak üzerine kuruludur. Endüstri standartları ve en iyi uygulamalar doğrultusunda güvenlik önlemlerimizi sürekli olarak gözden geçirir ve güncelliyoruz.

Platform mimarimiz, güvenliği bir eklenti olarak değil, tasarımın ayrılmaz bir parçası olarak ele alan "güvenlik odaklı tasarım" (security by design) prensibi ile geliştirilmiştir.

2. Veri Şifreleme

Kullanıcı verilerinin güvenliğini sağlamak amacıyla aktarım sırasında ve depolama aşamasında endüstri standardı şifreleme yöntemleri uygulanmaktadır.

2.1. Aktarım Güvenliği

Platform ile kullanıcı arasındaki tüm veri iletişimi, TLS (Transport Layer Security) protokolü ile şifrelenmektedir. Bu sayede verileriniz, cihazınızdan sunucularımıza ulaşana kadar üçüncü kişiler tarafından okunamamaktadır. Platformumuz, güncel TLS sürümlerini desteklemekte ve zayıf şifreleme algoritmalarını devre dışı bırakmaktadır.

2.2. Depolama Güvenliği

Sunucularımızda saklanan veriler, güçlü şifreleme algoritmaları ile korunmaktadır. Özellikle hassas nitelikteki bilgiler (kimlik doğrulama verileri, ödeme referansları vb.) ek şifreleme katmanlarıyla güvence altına alınmaktadır. Şifreleme anahtarları, verilerden ayrı ortamlarda güvenli şekilde yönetilmektedir.

3. Altyapı Güvenliği

Platformumuz, güvenilir ve yüksek standartlara sahip bulut altyapısı üzerinde çalışmaktadır. Altyapı güvenliği kapsamında uygulanan başlıca önlemler şunlardır:

3.1. Erişim Kontrolleri

Sunucu ve veri tabanı erişimi, "en az ayrıcalık" (least privilege) prensibi ile yönetilmektedir. Yalnızca yetkili personel, görev tanımlarının gerektirdiği minimum erişim seviyesine sahiptir. Tüm erişim işlemleri kayıt altına alınmakta ve düzenli olarak denetlenmektedir.

3.2. Güvenlik Güncellemeleri

İşletim sistemleri, yazılım bileşenleri ve bağımlılıklar düzenli olarak güncellenmektedir. Güvenlik yamaları, kritiklik derecesine göre önceliklendirilerek uygulanmaktadır. Bilinen güvenlik açıkları proaktif olarak taranmakta ve giderilmektedir.

3.3. Sistem İzleme

Platform altyapısı, olağan dışı faaliyetlerin ve potansiyel güvenlik tehditlerinin erken tespit edilmesi amacıyla sürekli olarak izlenmektedir. Şüpheli erişim denemeleri, anormal trafik kalıpları ve sistem anomalileri otomatik uyarı mekanizmaları ile tespit edilmektedir.

3.4. Yedekleme ve Felaket Kurtarma

Kullanıcı verileri düzenli aralıklarla yedeklenmektedir. Yedekler, ana veri merkezinden farklı konumlarda şifreli olarak saklanmaktadır. Olası bir felaket senaryosuna karşı kurtarma planları hazırlanmış olup bu planlar periyodik olarak test edilmektedir.

4. Ödeme Güvenliği

Abonelik ödemeleri, PCI-DSS (Payment Card Industry Data Security Standard) uyumlu ödeme altyapısı sağlayıcısı üzerinden gerçekleştirilmektedir. Bu standart, kredi kartı verilerinin güvenli şekilde işlenmesini sağlayan uluslararası güvenlik sertifikasıdır.

Kullanıcıların kredi kartı numaraları, son kullanma tarihleri ve güvenlik kodları platformumuzda saklanmamaktadır. Bu bilgiler, doğrudan PCI-DSS uyumlu ödeme hizmeti sağlayıcısı tarafından güvenli ortamda işlenmekte ve korunmaktadır. Platformumuz, ödeme işlemleri sırasında yalnızca işlem referans numaraları ile çalışır; tam kart bilgilerine hiçbir aşamada erişimi yoktur.

Ödeme sayfalarında güçlü şifreleme ve güvenlik protokolleri uygulanmakta olup kullanıcılar, ödeme işlemlerini güvenli bir ortamda gerçekleştirmektedir.

5. Masaüstü Uygulaması Güvenliği

UYAP entegrasyonu sağlayan Masaüstü Uygulaması, kullanıcının kendi bilgisayarında çalışan bağımsız bir yazılımdır. Güvenlik tasarımı, hassas verilerin kullanıcının cihazında kalmasını ve merkezi sunuculara aktarılmamasını esas almaktadır.

5.1. Kimlik Doğrulama ve Oturum Bilgileri

UYAP sistemi için kullanılan kimlik doğrulama bilgileri (kullanıcı adı, parola), elektronik imza verileri ve oturum bilgileri merkezi sunuculara aktarılmaz. Bu bilgiler yalnızca kullanıcının cihaz belleğinde geçici olarak işlenir ve oturum sonlandırıldığında temizlenir. Hansoft sunucuları, hiçbir aşamada UYAP erişim bilgilerine sahip değildir.

5.2. Veri Yalıtımı

Masaüstü Uygulaması aracılığıyla erişilen UYAP verileri (dosya arama sonuçları, evrak listeleri, detay bilgileri vb.) merkezi sistemlerde saklanmaz. Bu veriler, yalnızca kullanıcının cihazında görüntülenir ve işlenir. Kullanıcının açıkça seçip onayladığı belirli evrak ve belgeler hariç, UYAP'tan elde edilen veriler Platform sunucularına gönderilmez.

5.3. Güvenli İletişim

Masaüstü Uygulaması ile Platform sunucuları arasındaki iletişim şifreli kanallar üzerinden gerçekleştirilir. Yalnızca kullanıcının onayladığı ve ilgili hizmet kapsamında işlenmesi gereken veriler (örneğin, belge analizi için seçilen evrak) güvenli bağlantı üzerinden iletilir.

6. Veri İhlali Prosedürü

Hansoft, olası bir veri güvenliği ihlalini önlemek için proaktif güvenlik önlemleri uygulamakta ve sürekli izleme gerçekleştirmektedir. Buna rağmen bir veri ihlali tespit edilmesi durumunda, aşağıdaki prosedür uygulanır:

6.1. Tespit ve Müdahale

Güvenlik ihlali tespit edildiğinde, olay müdahale ekibi derhal harekete geçer. İhlalin kapsamı ve etkisi değerlendirilir, gerekli teknik önlemler alınarak ihlalin yayılması engellenir.

6.2. Bildirim

Veri ihlalinden etkilenen kullanıcılar, 6698 sayılı Kişisel Verilerin Korunması Kanunu ve ilgili mevzuatta öngörülen yasal süreler içinde bilgilendirilir. Bildirimde; ihlalin niteliği, etkilenen veri kategorileri, alınan ve alınacak önlemler ile kullanıcıların yapabileceği koruyucu eylemler açıkça belirtilir.

6.3. Yetkili Makamlara Bildirim

Kişisel Verileri Koruma Kurulu ve ilgili diğer yetkili makamlar, yasal düzenlemelerin öngördüğü süre ve koşullarda bilgilendirilir.

6.4. Düzeltici Eylemler

İhlalin kök nedeni analiz edilir ve benzer olayların tekrarlanmaması için gerekli teknik ve organizasyonel düzeltici eylemler uygulanır. Güvenlik süreçleri gözden geçirilir ve gerekli iyileştirmeler yapılır.

7. İletişim

Güvenlikle ilgili sorularınız, endişeleriniz veya güvenlik açığı bildirimleri için aşağıdaki kanallardan bize ulaşabilirsiniz:

E-posta: [email protected]
Telefon: 0212 706 82 20
Adres: Akademi Mahallesi Gürbulut Sokak Selçuklu Üniversitesi Teknoloji Geliştirme Bölgesi Teknokent N:67 Selçuklu/Konya

Platformumuzda olası bir güvenlik açığı tespit ettiğinize inanıyorsanız, lütfen detayları [email protected] adresine bildirin. Güvenlik açığı bildirimleri öncelikli olarak değerlendirilmektedir. Sorumlu güvenlik açığı bildirimi yapan kişilere karşı yasal işlem başlatılmayacak olup, bildirimi yapan kişinin kimliği gizli tutulacaktır.

İşbu Güvenlik Politikası, gelişen tehdit ortamı ve teknolojik gelişmelere paralel olarak düzenli aralıklarla güncellenmektedir. Güncellemeler bu sayfa üzerinden yayımlanır.