Bilgi Güvenliği Politikası

BİLGİ GÜVENLİĞİ POLİTİKASI

1. AMAÇ

Bu Politikanın amacı, Tanı Pazarlama ve İletişim Hizmetleri A.Ş. Bilgi Güvenliği Yönetim Sistemi`nin amacını, hedeflerini ve ilkelerini tanımlamaktır.

2. KAPSAM

Bu politikanın hükümleri, Tanı Pazarlama ve İletişim Hizmetleri A.Ş. personeli ile Şirkete özel sözleşmelerle hizmet veren veya dışarıdan destek veren firma ve personeli hakkında uygulanır.

3. POLİTİKA

TANI kurumsal bilgiyi son derece değerli bir varlık olarak kabul etmektedir. Bilgi; iş faaliyetlerimizin sürdürülebilmesi açısından kritik önem taşır ve uygun bir şekilde korunması gerekir. TANI, Bilgi Güvenliği Yönetim Sistemi (BGYS) ISO 27001 standardını uygulayarak kurumsal bilginin Gizlilik, Bütünlük, Kullanılabilirlik ile ilgili ortaya çıkabilecek riskleri ve bu risklerin etkilerini en aza indirmeyi amaçlar.

TANI, özellikle aşağıda belirtilen konuların yerine getirilmesini benimsemiştir:

  • Bilginin ve bilgi sistemlerinin gizliliğinin, bütünlüğünün ve kullanılabilirliğinin sağlanmasını,
  • Bilgi varlıklarına yönelik riskleri tespit etmek ve sistematik bir şekilde riskleri yönetilmesini,
  • Bilgi Güvenliği Standartlarının gerekliliklerini yerine getirmeyi,
  • Bilgi Güvenliği ile ilgili ilgili yasal mevzuata uyum sağlamayı,
  • Bilgi Güvenliği Yönetim Sistemi’nin yaşatılması için sürekli iyileştirme fırsatlarının değerlendirmeyi ve çalışmalarını gerçekleştirmeyi,
  • Bilgi güvenliği farkındalığını artırmak için, teknik ve davranışsal yetkinlikleri geliştirecek şekilde eğitimler gerçekleştirmeyi,
  • Bu politikaya bağlı diğer alt prosedürlerin Bilgi Teknolojileri ve Bilgi Güvenliği Birimi tarafından hazırlanmasını ve yayınlanmasını.

TANI’ın Bilgi Güvenliği Politikaları, ister tam zamanlı, ister yarı zamanlı, daimi ya da sözleşmeli olsun, TANI bilgilerini veya iş sistemlerini kullanan tüm TANI personeli için, coğrafi konumdan veya iş biriminden bağımsız olarak geçerli ve zorunludur. Bu sınıflandırmalara girmeyen ve TANI bilgilerine erişim gereği olan üçüncü şahıs hizmet sağlayıcıları ve bunların bağlı destek personeli gibi tüm kişilerin, bu politikanın genel ilkelerine ve uymak zorunda oldukları diğer güvenlik sorumluluklarına ve yükümlülüklerine bağlı kalması şarttır.

3.1 TÜM ÇALIŞANLARIN SORUMLULUKLARI

Bilgi Güvenliği’nin ve bu politikanın amacı, bilgilerin ve tüm destek iş sistemlerinin, süreçlerinin ve uygulamalarının gizliliğini, bütünlüğünü ve kullanılabilirliğini korumak, sürdürmek ve yönetmektir. Bunun anlamı; TANI’ a ait bilgilerin yetkili ellerde kalması; bilgilerin eksiksiz, doğru ve kullanılabilir durumda olmasının sağlanması bilgilerin ve sistemlerin gerektiğinde kullanıma hazır olmasının sağlanmasıdır. Bu nedenle tüm TANI ve dış kaynaklı personel ile stajyerleri, konumları veya görevleri ne olursa olsun işlerini, bilgilerin TANI bünyesinde korunmasını gözetecek biçimde yapmaktan sorumludur.

TANI‘a ait bilgilerin eksiksiz, doğru ve kullanılabilir durumda hazır olmasının sağlanmasının yanı sıra tüm TANI personeli, TANI Personel Yönetmeliği Kurallarında belirtilen gizli bilgilerin korunması ve TANI iş ahlakı ilkelerine de uymak zorundadır.

TANI; Kişisel Verilerin Korunması Yasasında belirtilen önlemleri almayı ve Koç Holding Kişisel Verilerin Korunması Politikasına tam uyumlu çalışmayı taahhüt eder.

3.2 POLİTİKA SAHİPLİĞİ

Bu politikanın ve tüm standartların ve diğer destekleyici belgelerin ve eğitim faaliyetlerinin işlevsel sahipliği Bilgi Teknolojileri ve Bilgi Güvenliği Birimi tarafından yürütülecek ve bu yöneticilik, aynı zamanda politikanın tüm TANI bünyesinde uygulanmasıyla ilgili olarak tavsiye kaynağı ve rehber olacaktır.

Bilgi Teknolojileri ve Bilgi Güvenliği Birimi tüm çalışanların, Bilgi Güvenliği konularıyla ilgili uygun bilinçlenme düzeyinin oluşmasını sağlayacak uygun eğitimleri almalarını temin edecek ve genel olarak bilgi güvenliği olaylarının ele alınmasında rehberlik edecektir. Gerekli olduğunda bu politikanın ayrıntılı standartlar, prosedürler ve süreçlerle desteklenmesini ve bunların gerek doğdukça kullanıma hazır olmasını sağlayacaktır. Ayrıca bu politika gereklerinin tüm çalışanlara (daimi veya dönemsel) ve tüm yüklenici personeline aktarılmasını sağlamaktan sorumlu olacaktır.

Bilgi Teknolojileri ve Bilgi Güvenliği Yöneticisi, Bilgi Güvenliği ile ilgili genel yönetim çerçevesinin oluşturulmasından sürekliliğinin sağlanmasından bu politikanın güncel olarak yaşamasını, TANI ve iştiraklerinin işle ilgili gerekliliklerini veya bilgilerinin ve bilgi sistemlerinin karşı karşıya olduğu risk ortamındaki ya da tehditlerdeki değişimleri yansıtmaya devam etmesini temin edecek şekilde devamlı gözden geçirilmesinden sorumlu olacaktır.

Bilgi Güvenliği politikaları TANI bilgi varlıklarının karşı karşıya olduğu güncel riskleri yansıtması amacıyla yapılan varlık ve risk güncellemelerine paralel olarak yılda en az bir defa gözden geçirilirler. Yeni riskleri ve risklerde meydana gelen değişiklikleri kontrol altında tutmak için Bilgi Güvenliği Politikaları yeni gerekli eklemeler yapılarak güncellenir. Ayrıca herhangi bir TANI çalışanı Bilgi Güvenliği Politikaların gelişmesi ve TANI’ın ihtiyaç duyduğu kontrolleri daha iyi yansıtması amacıyla politikaların değiştirilmesi konusunda Bilgi Teknolojileri ve Bilgi Güvenliği Birimi’ne talepte bulunabilir. Yapılan talepler Bilgi Teknolojileri ve Bilgi Güvenliği Birimi tarafından ele alınır ve değerlendirilir

Bilgi Güvenliği Politikası ilkeleri, TANI İnsan Kaynaklarının Personel Yönetmeliği Kurallarına paralel uygulanmalıdır. Çalışanlar ayrıca Bilgi Güvenliği Politikasının farkında olmaktan ve bu ilkelere uymaktan sorumludur.

3.3 DENETLEME

Her birim yöneticisi Bilgi Güvenliği Politikasına uyumun sağlanması için gerekli tedbirleri almak ve sistemi gözetlemekten birinci derece sorumludur.

Bilgi Teknolojileri ve Bilgi Güvenliği Birimi başta Bilgi Güvenliği Ana Politikası olmak üzere yayınlanmış olan tüm politika ve prosedürler ile ilgili standartlara uyumun periyodik olarak denetiminden ve ilgililere raporlanmasından sorumludur.

Bilgi Güvenliği Politikası ihlalleri, TANI’ın risklere karşı ihtiyaç duyulan kontrollerin uygulanmaması neticesinde zarar görmesine, ayrıca yeni Türk Ceza Kanuna göre de cezai sorumluluk doğurmasına ve maddi zararların tazmini sorumluluğuna sebep olabilecektir. Dolayısıyla söz konusu ihlal aynı zamanda TANI Personel Yönetmeliği ihlali olup disiplin cezası sonucunu doğurabilir. Gerek gözetim, gerek denetim, gerekse ihbar sonucu tespit edilen Bilgi Güvenliği Politikası ihlalleri istihdama son verilmesine hatta Adli ve Cezai yasal işlemler başlatılmasına varıncaya kadar gidebilecek şirket içi disiplin cezaları ile sonuçlanabilecektir.

Bu politikanın uygulanması konusunda hep birlikte çalışılması, bilgilerimizin ve itibarımızın sürekli olarak korunmasına ve işimizin başarısının devamlılığının sağlanmasına yardımcı olacaktır.

3.4 HEDEFLER

TANI Bilgi Güvenliği, TANI’ın itibarının, güvenilirliğinin, bilgi varlıklarının korunması, temel ve destekleyici iş faaliyetlerinin mümkün olan en az kesinti ile devam etmesi amacıyla,

  • Bilgi sistemlerinin sürekliliğini tam olarak sağlamayı,
  • Çalışanların bilinç, farkındalık ve güvenlik gereksinimlerine uyum düzeylerini en üst seviyeye çıkarmayı,
  • Üçüncü taraflar ile yapılan sözleşmelere uygunluğun tam olarak tesis edilmesini sağlamayı,
  • Bilgi güvenliği ihlal olaylarını en aza indirmeyi ve bunları öğrenme fırsatına çevirmeyi,
  • Bilginin yasalara tam uyumlu üretilmesini, erişim sağlanmasını ve saklanmasını,
  • En güncel ve etkin teknik güvenlik kontrolleri uygulamayı hedefler.

Her bir TANI çalışanı bu hedeflere katkı sağlamaktan sorumludur.

SERTİFİKALAR:

TANI PAZARLAMA VE İLETİŞİM HİZMETLERİ A.Ş.
TALEP VE ŞİKAYET KİŞİSEL VERİLERİN İŞLENMESİ AYDINLATMA METNİ

6698 sayılı Kişisel Verilerin Korunması Kanunu (“Kanun”) uyarınca kişisel verileriniz, veri sorumlusu olarak Tanı Pazarlama ve İletişim Hizmetleri Anonim Şirketi (“Tanı” veya “Şirket”) tarafından aşağıda açıklanan kapsamda işlenebilecektir.

Kişisel verilerinizin Şirket tarafından işlenme amaçları konusunda detaylı bilgilere, www.tani.com.tr/kisisel-verilerin-korunmasi internet adresinden kamuoyu ile paylaşılmış olan Tanı Pazarlama ve İletişim Hizmetleri Anonim Şirketi Kişisel Verilerin Korunması ve İşlenmesi Politikası’ndan ulaşabilirsiniz.

Kişisel Verilerin Hangi Amaçla İşleneceği
Toplanan kişisel verileriniz, Kanun’da öngörülen temel ilkelere uygun olarak, Kanun’un 5. ve 6. maddelerinde belirtilen kişisel veri işleme şartları dahilinde talep veya şikayetlerin alınması, değerlendirilmesi ve sonuçlandırılması ile Şirket tarafından sunulan ürün ve hizmetlerden ilgili kişileri faydalandırmak için gerekli çalışmaların iş birimlerimiz tarafından yapılması ve ilgili iş süreçlerinin yürütülmesi amaçlarıyla (“Amaçlar”) Kanun’un 5. ve 6. maddelerinde belirtilen kişisel veri işleme şartları dahilinde Şirket tarafından işlenebilecektir.

İşlenen Kişisel Verilerin Kimlere ve Hangi Amaçla Aktarılabileceği
Toplanan kişisel verileriniz, Kanun’un 8. ve 9. maddelerinde belirtilen kişisel veri işleme şartlarına uygun olarak Amaçlar’ın gerçekleştirilmesi doğrultusunda iş/çözüm ortaklarımıza, tedarikçilerimize ve kanunen yetkili kamu kurumlarına aktarılabilecektir.

Kişisel Veri Toplamanın Yöntemi ve Hukuki Sebebi
Kişisel verileriniz Şirketimiz ile temas etmeniz halinde, e-posta, Şirketin internet sitesi, telefon/çağrı merkezi kanallarıyla fiziki veya elektronik ortamda Kanun’un 5. maddesinde belirtilen meşru menfaat kişisel veri işleme şartı kapsamında toplanmaktadır.

Kişisel Veri Sahibinin Kanun’un 11. Maddesinde Sayılan Hakları
Kişisel veri sahibi olarak Kanun’un 11. maddesi uyarınca aşağıdaki haklara sahip olduğunuzu bildiririz:

Yukarıda sıralanan haklarınıza yönelik başvurularınızı, www.tani.com.tr/kisisel-verilerin-korunmasi adresinden ulaşabileceğiniz Veri Sahibi Başvuru Formu’nu doldurarak Şirketimize iletebilirsiniz. Talebinizin niteliğine göre en kısa sürede ve en geç otuz gün içinde başvurularınız ücretsiz olarak sonuçlandırılacaktır; ancak işlemin ayrıca bir maliyet gerektirmesi halinde Kişisel Verileri Koruma Kurulu tarafından belirlenecek tarifeye göre tarafınızdan ücret talep edilebilecektir.

KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİ AYDINLATMA METNİ


1. VERİ SORUMLUSU
Kişisel verileriniz veri sorumlusu sıfatıyla Tanı Pazarlama ve İletişim Hizmetleri Anonim Şirketi (“Tanı” veya “Şirket”) tarafından, 6698 sayılı Kişisel Verilerin Korunması Kanunu (“Kanun”) uyarınca aşağıda açıklanan kapsamda işlenebilecektir.

Kişisel verilerinizin Şirketimiz tarafından işlenme amaçları konusunda detaylı bilgiler, https://www.tani.com.tr/kisisel-verilerin-korunmasi’den erişilebilen Tanı Pazarlama ve İletişim Hizmetleri Anonim Şirketi Kişisel Verilerin Korunması ve İşlenmesi Politikası’nda yer almaktadır.

2. KİŞİSEL VERİLERİNİZİN İŞLENME AMACI
Toplanan kişisel verileriniz, Paro Programı, Chippin ve Tanı’ya ait diğer markalar kapsamında Tanı A.Ş. tarafından iletişim bilgilerinize genel ve size özel reklam, promosyon gibi amaçlarla ticari elektronik ileti gönderilmesi ve yine bu amaçlarla sınırlı olmak üzere analiz edilmesi amaçlarıyla, Kanun’un 5. ve 6. maddelerinde belirtilen kişisel veri işleme şartları ve amaçları dahilinde işlenebilecektir.

3. KİŞİSEL VERİLERİNİZİN AKTARILDIĞI TARAFLAR VE AKTARIM AMAÇLARI
Toplanan kişisel verileriniz, yukarıda açıklanan amaçlarla, Kanun’un 8. ve 9. maddelerinde belirtilen kişisel veri işleme şartlarına uygun olarak tedarikçilerimize, kanunen yetkili kamu kurumlarına ve yetkili özel kişilere aktarılabilecektir.

4. KİŞİSEL VERİLERİNİZİN TOPLANMA YÖNTEMİ VE HUKUKİ SEBEBİ
Kişisel verileriniz fiziksel ve/veya elektronik ortamda, tarafınıza ticari elektronik ileti gönderilmesi ve bu kapsamla kişisel verilerinizin analiz edilmesi amaçlarıyla, açık rızanıza ilişkin hukuki sebep ile Şirketimizin meşru menfaatine dayalı olarak; Kanun’un 5. ve 6. maddelerinde belirtilen kişisel veri işleme şartları ve amaçları doğrultusunda toplanmaktadır.

5. KİŞİSEL VERİ SAHİBİ OLARAK KANUN’UN 11. MADDESİNDE SAYILAN HAKLARINIZ
Kişisel veri sahibi olarak Kanun’un 11. maddesi uyarınca aşağıdaki haklara sahip olduğunuzu bildiririz:
• Kişisel verilerinizin işlenip işlenmediğini öğrenme,
• Kişisel verileriniz işlenmişse buna ilişkin bilgi talep etme,
• Kişisel verilerinizin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
• Yurt içinde veya yurt dışında kişisel verilerinizin aktarıldığı üçüncü kişileri bilme,
• Kişisel verilerinizin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerinizin aktarıldığı üçüncü kişilere bildirilmesini isteme,
• Kanun’a ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel verilerin silinmesini veya yok edilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerinizin aktarıldığı üçüncü kişilere bildirilmesini isteme,
• İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle aleyhinize bir sonucun ortaya çıkması durumunda buna itiraz etme,
• Kişisel verilerinizin kanuna aykırı olarak işlenmesi sebebiyle zarara uğramanız hâlinde zararın giderilmesini talep etme.

Yukarıda sıralanan haklarınıza yönelik başvurularınızı, https://www.paro.com.tr/content/uploads/basvuru-formu.pdf den ulaşabileceğiniz Veri Sahibi Başvuru Formu’nu doldurarak Şirketimize iletebilirsiniz. Talebinizin niteliğine göre en kısa sürede ve en geç otuz gün içinde başvurularınız ücretsiz olarak sonuçlandırılacaktır; ancak işlemin ayrıca bir maliyet gerektirmesi halinde Kişisel Verileri Koruma Kurulu tarafından belirlenecek tarifeye göre tarafınızdan ücret talep edilebilecektir.
Sitemizde ve uygulamamızda, siteyi ve uygulamayı kullanımınızı analiz etmek için çerezler kullanılmaktadır. Detaylı bilgi için Çerez Aydınlatma Metni’ni inceleyiniz.
Kişisel verilerinizin kişiselleştirme, hedefleme, reklamcılık ve pazarlama amacıyla işlenmesi ile yurt dışında bulunan Google ve Facebook tarafından analiz ve reklam çerezlerinin kullanım amacıyla yurt dışına aktarımını kabul ediyor musunuz?
Reddet Kabul Et