Veri Kaybını Önleme (DLP) Politikası

entegratorpro.com (Amazon SP‑API Entegrasyonu)

Yürürlük Tarihi: 19/03/2025

Son Güncelleme: 19/03/2025

1. Giriş

EntegratorPro, Amazon Bilgisi (Amazon Information) ve Kişisel Olarak Tanımlanabilir Bilgiler (PII)
dâhil tüm hassas verileri yetkisiz erişim, aktarım veya sızıntıya karşı korumayı taahhüt eder. Bu Veri
Kaybını Önleme (DLP) Politikası, hassas verilerin yetkili ortamlar dışına çıkmasını engellemek üzere
uygulanan kontrolleri, izleme mekanizmalarını ve olay müdahale süreçlerini tanımlar.
Teknoloji İlkesi: EntegratorPro modern mimaride, Kubernetes üzerinde çalışan
konteynerleştirilmiş mikro servislerle ve en yeni teknolojiler kullanılarak geliştirilmiştir.
CI/CD hattımızda otomatik test, güvenlik taraması, imaj imzalama ve sürümleme
standarttır.

2. Kapsam

Bu politika; aşağıdaki veri ve paydaşları kapsar: – Amazon SP‑API üzerinden elde edilen Amazon Bilgisi,
– EntegratorPro altyapısında saklanan müşteri ve iş verileri, – Hassas verilere erişimi olan çalışanlar,
yükleniciler ve üçüncü taraf hizmet sağlayıcılar.

3. Tanımlar (Özet)

  • Amazon Bilgisi: Amazon tarafından sağlanan veya SP‑API ile elde edilen veriler.
  • PII: Doğrudan veya dolaylı şekilde bir kişiyi tanımlayabilen bilgiler.
  • DLP: Veri kaybını/sızıntısını algılayan, önleyen ve raporlayan teknolojiler ve süreçler bütünü.

4. Roller ve Sorumluluklar

  • Veri Sahibi: Verinin sınıfını ve iş amaçlarını tanımlar; erişim yetkisini onaylar.
  • Güvenlik Ekibi: DLP politikalarını uygular, olayları izler ve raporlar; denetim ve eğitimleri koordine eder.
  • Mühendislik/DevOps: Şifreleme, erişim kontrolleri ve izleme yapılarını uygular; Kubernetes üzerinde güvenli konfigürasyonları sürdürür.
  • Tüm Kullanıcılar: Politikaya uymak ve şüpheli durumları derhâl raporlamakla yükümlüdür.

5. Veri Sınıflandırma

Veriler en az aşağıdaki sınıflara ayrılır:

1. Hassas (Amazon Bilgisi/PII): En yüksek koruma. Erişim kısıtlı, aktarım yasaklarına tabidir.
2. İç: Kurumsal kullanım; dış paylaşım kısıtlı.
3. Genel: Dış paylaşımı serbest.

Tüm sistemlerde veri sınıfı etiketleme ve erişim politikaları ile tanımlanır.

6. Erişim ve Aktarım Kısıtları

  • Kişisel cihaz yasağı: Amazon Bilgisi hiçbir koşulda kişisel bilgisayar, telefon, USB, harici disk veya yetkisiz bulut depolama (örn. kişisel Google Drive/Dropbox vb.) üzerinde erişilemez, saklanamaz veya tutulamaz.
  • Yetkisiz transfer yasağı: E‑posta, mesajlaşma uygulamaları veya yetkisiz dosya paylaşım servisleri üzerinden Amazon Bilgisi gönderilemez.
  • Minimum ayrıcalık: Erişimler RBAC ve en az ayrıcalık ilkesiyle verilir; periyodik olarak gözden geçirilir.

7. Şifreleme Standartları

  • Atıl durum (at rest): Hassas veriler AES‑256 ile şifrelenir.
  • Aktarım (in transit): Tüm trafik TLS 1.2+ üzerinden zorunludur.
  • Gizli anahtar yönetimi: Kubernetes Secret nesneleri ve/veya güvenli kasa çözümleri kullanılır; anahtar rotasyonu politiktir.

8. İzleme ve DLP Mekanizmaları

  • DLP Yazılımı: Yetkisiz veri transferlerini tarar ve engeller; şüpheli aktivitelerde otomatik uyarı üretir.
  • Erişim Günlükleri & Gözlemleme: Amazon Bilgisi ile tüm kullanıcı etkileşimleri merkezi loglama ile izlenir; loglar en az 90 gün saklanır.
  • Anomali Tespiti: Onaylanmamış cihaz/konum erişimlerinde otomatik alarm ve eskalasyon tetiklenir.
  • Kubernetes Gözlemlenebilirliği: Pod/Node metrikleri, imaj bütünlüğü ve ağ ilkeleri (NetworkPolicy) ile uyumluluk sürekli izlenir.

9. Uç Nokta ve Altyapı Güvenliği

  • Kurumsal cihaz zorunluluğu: Erişim yalnızca yönetilen kurumsal cihazlardan yapılır (disk şifreleme, EDR, ekran kilidi vb.).
  • CI/CD Güvenliği: Bağımlılık ve konteyner imaj taramaları zorunludur; imajlar imzalanır ve sadece trusted registry’den çekilir.
  • Yedekleme: Hassas veriler için şifreli yedekleme politikası uygulanır; yedeklere erişim sınırlıdır.

10. Olay Müdahalesi ve Yaptırımlar

  • Yetkisiz erişim/transfer teşebbüslerinde erişim derhâl askıya alınır.
  • Olay kaydı, kök neden analizi (RCA) ve düzeltici/önleyici faaliyetler (CAPA) zorunludur.
  • İhlaller, çalışanlar için disiplin süreçleri, üçüncü taraflar için sözleşmeye dayalı yaptırımlara tabidir.
  • Amazon güvenlik olayları için gerekli bildirimler 24 saat içinde ilgili kanallara iletilir.

11. Uyum, Denetimler ve Testler

  • Amazon SP‑API veri koruma gereklilikleriyle uyum süreklidir.
  • Üç aylık (çeyreklik) güvenlik denetimleri yapılır ve bulgular giderilir.
  • Yıllık güvenlik eğitimi ve düzenli sızma testleri uygulanır.

12. Eğitim ve Farkındalık

Tüm çalışanlar işe alımda ve periyodik olarak DLP, veri sınıflandırma, güvenli aktarım konularında eğitim alır.
Politika değişiklikleri duyurulur ve imza karşılığı kabul edilir.

13. Politika Gözden Geçirme

Bu politika, endüstri en iyi uygulamaları ve düzenleyici gereklilikler doğrultusunda periyodik olarak gözden geçirilir ve güncellenir.

14. İletişim

E‑posta: [email protected]

Adres: Celal Bayar Üniversitesi Teknokent Manisa

15. Teknoloji ve Mimari Notları (Bilgilendirme)

  • Kubernetes üzerinde ölçeklenebilir mimari; HPA, ConfigMap/Secret yönetimi, Helm temelli sürümlenebilir kurulumlar.
  • .NET / ASP.NET Core, Blazor; veri erişiminde EF Core ve Dapper, eşleme için AutoMapper.
  • UI katmanında MudBlazor ve DevExpress DxGrid; gelişmiş filtreleme ve eylem menüleri.
  • İzleme: merkezi log ve metrik toplama, uyarı politikaları ve denetim izleri.

Not:
Bu bölüm bilgilendirme amaçlıdır; güvenlik mimarisi ve araç setleri zamanla güncellenebilir.

EntegratorPRO ile tüm müşteri iletişiminizi profesyonel ve otomatik şekilde yönetin.
Destek ve detaylı bilgi için bizimle iletişime geçin: [email protected]