Bilgi Güvenliği

Bilgi, 21. yüzyılın en önemli varlıklarından biri haline gelirken bilgiyi güvende tutma çabaları da buna paralel olarak önemli hale geliyor. Bilgi güvenliği, verileri hem depolanırken hem de bir makineden veya fiziksel konumdan diğerine aktarılırken yetkisiz erişimlere veya değişikliklere karşı güvende tutmayı amaçlayan bir dizi uygulama olarak tanımlanıyor.

Yapı Kredi olarak veri güvenliğini tanımladığımız politika ve süreçler kapsamında yönetiyoruz. Verileri; gizlilik, bütünlük ve erişilebilirlik değerlerine göre sınıflandırıyoruz. Bu kapsamda verilerin bütünlüğünü ve gizliliğini sağlamaya yönelik güvenlik önlemleri alıyoruz. Aynı zamanda veri sızıntısını tespit edici ve engelleyici kontroller tasarlayarak uyguluyoruz.

Bilgi güvenliği yönetim sistemi uygulamaları, Bilgi Güvenliği Komite’mizin denetiminde yürütülüyor. Komite, Yönetim Kurulu adına bilgi güvenliği politikalarının oluşturulması, güncellenmesi ve uygulanması faaliyetlerini yerine getiriyor. Bu kapsamda yer alan politika, prosedür ve süreçler Komite tarafından yılda en az bir kez gözden geçiriliyor ve siber güvenlik konusunda Yönetim Kurulu’na yıllık olarak raporlama yapılıyor. Bilgi Güvenliği Komitesi hakkında daha fazla bilgiye buradan ulaşabilirsiniz.

Üçüncü taraf firmalarla veri paylaşılmasının gerekli olduğu durumlarda; firmalarla yaptığımız sözleşmelerde politika ve standartlarımıza uygun, Bankacılık Düzenleme ve Denetleme Kurumu’nun (BDDK) “Bankaların Bilgi Sistemleri ve Elektronik Bankacılık Hizmetleri Hakkında Yönetmelik”i kapsamında destek hizmet alımı çerçevesinde bankalardan beklenen veri güvenliğinin sağlanmasına yönelik taahhütlere yer veriyoruz.

Tüm çalışanlarımıza yönelik bilgi güvenliği farkındalığı eğitimlerinde veri güvenliği ve gizliliği konularına yer veriyor, bu konularla ilgili olarak çalışanlarımızı bilinçlendiriyoruz. Bilgi güvenliği eğitimlerinin yanı sıra çalışanlarımıza Kişisel Verilerin Korunması Kanunu hakkında verdiğimiz eğitimlerle de farkındalık yaratıyoruz.

Güvenlik alanında denetimler

Pandemi ile birlikte uzaktan çalışma ve uzaktan çalışma güvenliği konuları Bilgi Sistemleri Güvenlik Yönetimi’mizin en öncelikli konularından biri oldu. Hızlı kararlar alarak uzaktan çalışma için gerekli altyapıları eksiksiz ve güvenli olarak kurarak, çalışanlarımızın güvenli, hızlı ve kesintisiz bir şekilde müşterilerimize uzaktan hizmet sunmalarını sağladık. Kaliteli, sorumlu ve uyumlu bankacılık ilkemiz gereği, özellikle bankacılık ile ilgili yasa ve yönetmeliklere uyum konusu birinci önceliğimiz olarak ön plana çıkıyor. Bilişim teknolojilerindeki gelişmeleri, yeni iş modellerini, güvenlik çözümlerini, siber güvenlik ile ilgili saldırı ve tehditleri ve güvenlik regülasyonlarını çok yakından takip ediyoruz.

Müşterilerimize ait bilgilerin korunması için ulusal ve uluslararası güvenlik standartlarına uygun şekilde siber güvenlik konusunda alınan önlemleri sürekli olarak gözden geçirmeye ve iyileştirmeye devam ediyoruz.

Telefon bankacılığı hizmetlerinin müşterilerimize sunulmasında görev alan tüm müşteri temsilcileri ve takım yöneticilerimiz için sosyal mühendislik saldırıları ve bilinen diğer dolandırıcılık yöntemleri konusundaki periyodik eğitimleri her yıl güncelliyor ve çalışanlarımızın güvenlik farkındalıklarını artırıcı çalışmalar yapıyoruz. Ayrıca, uzaktan eğitim ile tüm çalışanlarımıza periyodik olarak “Bilgi Güvenliği” eğitimi veriyoruz.

Siber saldırıların tespit edilmesi ve önlenmesine yönelik 7/24 izleme yapıyoruz. Tüm ürünlerden topladığımız güvenlik iz kayıtlarını korelasyon kurallarına tabi tutuyor ve böylece muhtemel siber olayları tespit ederek engelliyoruz.

Yapı Kredi, Türkiye’de bankacılık sektörünü düzenleyen BDDK düzenlemelerine tâbidir. BDDK tarafından Bilgi Sistemleri ve Elektronik Bankacılık Hizmetleri konusunda yayımlanmış olan yönetmelik, ISO 27001 Bilgi Güvenliği Yönetim Sistemi’ne muadil bir bilgi güvenliği yönetim sistemi mekanizmasını da zorunlu kılıyor. BDDK tarafından hem yönetmelik kapsamında hem de Bilgi ve İlgili Teknoloji için Kontrol Hedefleri (COBIT) çerçevesi kapsamında düzenli olarak her yıl denetleniyoruz. Bu denetimler, üçüncü taraf bağımsız denetim firmaları tarafından gerçekleştiriliyor.

Buna ek olarak, veri güvenliği konusunda düzenli olarak iç denetimler gerçekleştiriyoruz. Etik Kurallar ve Çalışma İlkeleri, Kişisel Verilerin Korunması ve İşlenmesi Hakkında Kurum Politikası ve Bilgi Güvenliği Politikası gibi kurum içi politikalarla Bankacılık Kanunu gerekliliklerinin ve diğer mevzuat hükümlerinin ötesinde uygulamalar gerçekleştiriyoruz.