Bu politika Pekipay Finansal Teknolojileri A.Ş. tarafından yürütülen her türlü faaliyette 6698 Sayılı Kişisel Verilerin Korunması Kanunu'na (KVKK) ve GDPR (Avrupa Genel Veri Koruma Yönetmeliği) kapsamları dışında kalan bilgilerin korunmasına yönelik benimsenen yöntemleri tarif etmeyi amaçlamaktadır.

Pekipay Finansal Teknolojileri A.Ş. ilgili yasal mevzuatlar çerçevesinde müşteri bilgilerinin gizliliğini ve güvenliğini en üst seviyede sağlamak konusunda gerekli tedbirleri almakta ve bu doğrultuda PekiPayimiz web sitesi, PekiPay Platformu ve mobil uygulamasında aşağıda belirtilen hususları uygulamaktadır.

Sizden toplanan bilgiler başka bir üçüncü tarafa satılmayacak veya kiralanmayacaktır. Ancak PekiPay, bağlı bulunduğu mevzuat hükümleri kapsamında size ait bilgileri iştirakları, üçüncü taraf acenteleri veya taşeronları ile paylaşma hakkını saklı tutar.

Üçüncü taraf acenteleri ve taşeronlar size ait gizli mahiyetteki bilgileri gizlilik ilkesi çerçevesinde saklamayı taahhüt etmek zorunda olup bu bilgileri PekiPay Hizmetlerini sağlayabilme dışındaki amaçlar için kullanamazlar.

Gizli bilgileriniz mahkeme ve diğer kamu otoritelerinin emirlerine cevap verilmesi vb. de dahil olmak üzere hukuki işlemler için de kullanılabilir.

Bilgilere izinsiz erişimi ve bilgilerin ifşa edilmesini engellemek ve verilerin doğru şekilde saklanarak uygun biçimde kullanılmasını sağlamak için bağlı bulunduğu mevzuat kapsamında PekiPay bütün makul güvenlik önlemlerini alır. Bu çerçevede;

• • PekiPay faaliyet süreçlerinde işlenen, depolanan verilerin gizlilik, bütünlük ve erişilebilirliğinin korunması önemli amaçlarımızdandır. Bu amacın gerçekleştirilebilmesi için gerekli tüm yasa ve sözleşmelerden kaynaklanan gereksinimlere uyum sağlanır.


• • ISO 27001 Bilgi Güvenliği Yönetim Sistemi (BGYS) kurulur, gerekli kaynaklar sağlanır ve sürekli gelişimi desteklenir. Bilgi varlıkları belirlenir ve bu varlıkların korunması için önlemler alınır. Teknoloji yatırımları yapılarak varlıklar korunur, riskler tanımlanır ve işlenir, iş sürekliliği planları hazırlanır ve uygulanır.


• • Bilgi yönetimi sisteminin yürütülmesi için Bilgi Güvenliği Komitesi tesis edilir, BGYS yöneticisi atanır, Bilgi Güvenliği Komitesi, BGYS yöneticisi, yöneticiler, çalışanlar ve üçüncü taraflar için rol ve sorumluluklar belirlenir. Bilgi güvenliği politikalarımıza uyum sağlayarak bilgi varlıklarının korunması yönetimimiz başta olmak üzere tüm çalışanlarımızın ve üçüncü taraflarımızın sorumluluğundadır.


• • Politika kapsamında, insan kaynakları güvenliği, erişim kontrolü, fiziksel ve çevresel güvenlik, işletim güvenliği, haberleşme güvenliği, sistem temini güvenliği, tedarikçi ilişkileri güvenliği, bilgi güvenliği ihlal olayları yönetimi, iş sürekliliği yönetimi, taşınabilir ortam yönetimi, kişisel verilerin korunması, bilgi güvenliği denetimleri & düzeltici faaliyetler ve uyum konuları için politikalar belirlenir ve gerekli taraflara duyurulur.

PekiPay’ın, faaliyetlerin ve sunulan ürünlerin niteliği, çeşitliliği ve stratejik hedefleri ile uyumlu olması; bilgi sistemleri ile içerdiği verinin güvenilir, doğru, eksiksiz, izlenebilir, tutarlı, erişilebilir ve ihtiyaçları karşılayacak nitelikte oluşturulması esastır.

Tüm bilgilerin yurt içinde ve elektronik ortamda güvenli ve istenildiği an erişime imkân sağlayacak şekilde saklanılmasına veya yedeklenmesi esastır. Bilgiler Sızma ve stres testi yapılabilmesine, o Muhasebe kayıtlarının Kamu Gözetimi, Muhasebe ve Denetim Standartları Kurulu tarafından belirlenen usul ve esaslara uygun şekilde muhasebeleştirilmesine, imkân verecek yapıda tesis edilir.

Bilgi sistemlerinin sürekli biçimde işlerliğini sağlamak üzere iş sürekliliği planı oluşturulur. Söz konusu planın işlerliği ve yeterliliği düzenli olarak test edilir; ihtiyaç duyulması halinde gerekli tedbirler alınır. İş sürekliliğinin planlanmasında, kritik bilgi teknolojileri varlıkları ile süreçleri belirlenir; bunlara ilişkin iş etki analizi ile risk değerlendirmesi yapılır.

Bilgi sistemleri ile içerdiği verinin güvenli biçimde saklanması esastır. Bu çerçevede, veriler, güvenlik hassasiyet derecelerine göre sınıflandırılır, her bir sınıf için uygun düzeyde güvenlik kontrolleri tesis edilir ve buna göre yedeklenir. Bilgi sistemlerinin güvenliği ve yedekleme sistemlerinin işleyişi düzenli olarak test edilir ve test sonuçlarına göre ihtiyaç duyulması halinde gerekli değişiklikler yapılır.

Bilgi güvenliği yönetim sisteminde, personelin işe başlaması, görev ve pozisyon değiştirmesi ve işten ayrılması da dahil olmak üzere personele ilişkin tüm hususlar bilgi güvenliğini etkileyen yönleriyle değerlendirilir ve gerekli tedbirler alınır.

İnternet kullanımına ilişkin olarak; işbu websitesi ve www.pekipay.com alan adı içeriği Pekipay Finansal Teknolojileri A.Ş.(PekiPay)’a ait fikri mülkiyet hakları olup, PekiPay’ın izni olmadan işbu websitesindeki bilgiler kısmen veya tamamen çoğaltılamaz, aktarılamaz, dağıtılamaz, uyarlanamaz, tercüme edilemez veya saklanamaz.

Websitesi üzerindeki marka, logo ve amblemler tescilli ve koruma altındadır. Yazılı izin olmadan websitesindeki içeriklerin kullanımı, değiştirilmesi ve markaların kullanımı kesin olarak yasaklanmıştır.

İşbu websitesinin içeriği 'olduğu gibi' sunulmaktadır. İşbu websitesi veya işbu websitesinde linki verilen herhangi bir websitesinin içeriklerinin herhangi bir şekilde kullanımından doğan doğrudan, dolaylı veya başka özel zararlardan ilgili taraflara karşı PekiPay sorumlu olmayacaktır.

Diğer her ortam gibi internet üzerinden dolandırıcılık girişimleri de aktif olarak denenmektedir. Bu noktada bilmenizi isteriz ki, Pekipay Finansal Teknolojileri A.Ş. olarak bu riskleri minimize etmek için teknolojinin verdiği tüm imkanları kullanarak güvenliğinizi sağlamak üzere gerekli önlemleri almıştır. Teknolojinin gelişmesi ve tehditlerin artması ile paralel olarak güvenlik konusunda yatırım yapmak PekiPay olarak önceliğimizdir. Ayrıca, herhangi bir olağanüstü durum halinde iş sürekliliği planları ile acil ve beklenmedik durum yönetim prosedürü ile sistemin sağlıklı şekilde çalışmaya devam etmesi planlanmıştır.

Bilgi sistemleri yönetimi kapsamında alınacak Dış hizmetlerine ilişkin risk analizi yapılır. Uygulamaya konulan bilgi sistemlerinin işleyişi, stratejik hedeflere uygunluğu, kontrollerin etkinliği ve yeterliliği, bilgi teknolojilerindeki gelişmeler de göz önüne alınarak düzenli olarak izlenir. Yeni bilgi sistemlerinin PekiPay’te uygulanmasının, PekiPay’in risk profili üzerinde yaratacağı etki değerlendirilir. Bu çerçevede, gerek duyulması halinde, bilgi sistemleri işleyişi revize edilir.

PekiPay bilgi işleme faaliyetlerinin gerçekleştiği binalara, alanlara yetki dışı fiziksel erişimi, müdahale ve hasarı engellemek amacı ile fiziksel güvenlik önlemleri alır. Bilgi işleme faaliyetlerinde kullanılan teçhizatlara yönelik güvenlik kontrolleri uygulanarak bilgi varlıklarının kaybı, hasarı, çalınması, tehlikeye girmesi ve kuruluşun faaliyetlerinin kesintiye uğraması engellenir. Ayrıca PekiPay üçüncü partilerden hizmet aldığı durumlarda hizmet alınan firmanın PekiPayin fiziksel ve çevresel güvenlik kriterlerine uygunluğunu kontrol eder.

Bilginin işlendiği tesislerin, ortamların ve araçların amacına uygun ve güvenli bir şekilde işletilmesini ve yönetilmesini sağlamak amacıyla süreçler oluşturulur, sorumluluklar tanımlanır. Süreçlere yönelik sorumluluklar tanımlanırken bir işi yapan rol ile yapılan işi denetleyen rol aynı kişiye verilmez. Yazılım ve bilginin bütünlüğünü korumak amacıyla kötü niyetli kodlara ve uygulamalara karşı güvenlik kontrolleri gerçekleştirilir. Bilginin ve bilgi varlıklarının bütünlüğünü ve kullanılabilirliğini sağlamak için yedekleme faaliyetleri gerçekleştirilir.

Ağdaki bilginin ve destekleyici altyapının korunmasını sağlanır. Varlıkların yetkisiz ifşa edilmesi, değiştirilmesi, kaldırılması veya yok edilmesini ve iş faaliyetlerinin kesintiye uğramasını önlemek amacıyla bilginin işlenmesine, yönelik standartlar Veri Sınıflandırma prosedürü kapsamında oluşturulur.

Dış kurumlarla veya PekiPay içerisinde alınıp verilen bilgi ve yazılımın güvenliğini sağlayacak güvenlik kontrolleri uygulanır. İnternet sitesi hizmetlerinin güvenlik gereklilikleri sağlanır. Yetkisiz bilgi işleme faaliyetlerini algılamak amacıyla bilgi sistemleri uygulamalarına yönelik denetim izleri oluşturulur.

Ağ güvenliği Ağ trafiğinde güvenliği sağlamak amacıyla, ağ kontrol güvenlik sistemleri bulunur. Ağ güvenliğinde dış güvenlik duvarı, IPS, iç güvenlik duvarı, SSM gibi katmanlı güvenlik mimarisi (bir güvenlik katmanının aşılması durumunda diğer güvenlik katmanının devreye girdiği) kullanılır. Ağ güvenliğinde kullanılan sistemler, sürekli gözetim altında tutulur. Dış ağ ile kurulan bağlantılarda VPN ve SSL kullanılır.

Bilgi Sistemleri Sürekliliğini sağlamak için; Bilgi Sistemleri Süreklilik Planı hazırlanır ve uygulanır. Tüm PekiPay çalışanları, ilgili yasalar, yönetmelikler ve sözleşmelerden doğan güvenlik gereksinimlerine, fikri mülkiyet haklarına, lisans anlaşmalarına ve PekiPay tarafından belirlenen güvenlik gereksinimlerine uymaları yönünde bilgilendirilip, taahhütleri alınır.

PekiPay Bilgi Güvenliği Politikası Bilgi Güvenliği Yetkilisi tarafından yılda en az bir kere gözden geçirilir ve gerekli görülmesi durumunda güncellenerek Yönetim Kurulu onayına sunulur. Güvenlik teknolojilerindeki gelişmelere bağlı olarak ortaya çıkan ihtiyaçları içerecek yeni politikalar üretilir. çalışanların Bilgi Güvenliği Politikası’ndan haberdar olması sağlanır. Politikanın son hali tüm personele duyurulur ve personelin sürekli olarak erişebileceği ortak bir alanda yayımlanır. Personel kendisini ilgilendiren genel hükümlere uymak zorundadır. Personelin kendisini ilgilendiren genel hükümlere uyup uymadığının kontrol edilmesi sorumluluğu personelin idari amirindedir. Bilgi güvenliği politikalarına uyum düzenli olarak izlenir.

Bilgi güvenliğine ilişkin bu düzenleme, üst yönetimin onay tarihi itibariyle yürürlüğe girer. PekiPay’in bilgi güvenliğine ilişkin tüm uygulama ve iş akışları politika hükümleriyle uyumlu şekilde oluşturulur/güncellenir.