TAŞIMACIM SOFTWARE TECHNOLOGIES INC.
سياسة الخصوصية وأمن المعلومات

تُرسّخ هذه السياسة التزامًا مؤسسيًا من جانب شركة تاشيماجيم لتكنولوجيا المعلومات المساهمة ("تاشيماجيم") بحماية سرية جميع البيانات الشخصية وبيانات الموقع والبيانات المالية والتجارية التي تُعالج داخل مؤسستها، وضمان سلامة البيانات، وتوفير وصول متواصل إلى أنظمة معلومات المنصة. وتتعهد تاشيماجيم بتطبيق ضوابط أمنية وقائية وكاشفة وفقًا للمعايير الدولية لمنع الوصول غير المصرح به إلى هذه المعلومات أو الكشف عنها أو تغييرها أو إتلافها. صُممت هذه السياسة لضمان الامتثال لجميع التشريعات الوطنية والدولية، ولا سيما القانون رقم 6698 بشأن حماية البيانات الشخصية، والقانون رقم 6563 بشأن تنظيم التجارة الإلكترونية، والقانون رقم 5651 بشأن تنظيم المنشورات على الإنترنت. وبموجب هذه السياسة، تُجري تاشيماجيم جردًا شاملاً لجميع أصولها المعلوماتية والتكنولوجية، وتُدير بشكل استباقي المخاطر السيبرانية والتشغيلية.
تُراجع هذه السياسة نظام إدارة أمن المعلومات (ISMS) وتُحسّنه باستمرار. كما تلتزم باحترام حقوق المستخدمين وحاملي البيانات (مالكي البيانات) وخصوصيتهم إلى أقصى حد. وفي هذا السياق، تُعزز أمن البيانات إلى أقصى حد من خلال الفصل المادي والمنطقي بين بيئات التطوير والاختبار والإنتاج. ويُحافظ على صلاحيات المستخدمين والموظفين في النظام عند الحد الأدنى الضروري وفقًا لمبدأ "الحاجة إلى المعرفة"، وتخضع هذه الصلاحيات لتدقيق دوري.

1. إدارة أمن المعلومات وحوكمة الشركات

1.1. يُعدّ إنشاء هيكل تنظيمي للشركة، بدعم من الإدارة العليا، أمرًا أساسيًا لإدارة وتنسيق أمن المعلومات بفعالية. وضمن هذا الهيكل، يُلزم تحديد وقياس أهداف نظام إدارة أمن المعلومات (ISMS)، وتحديثها سنويًا بما يتماشى مع أهداف الشركة في مجال التجارة الإلكترونية والخدمات اللوجستية، وتقديم تقارير دورية عنها إلى الإدارة العليا. ويتم ضمان التزام جميع الموظفين وشركاء العمل (بما في ذلك شركات النقل المستقلة) بالسياسات والإجراءات المحددة من خلال التزامات مكتوبة وموافقات رقمية. كما يُعدّ ضمان امتثال جميع الأنشطة للإجراءات الموثقة في إطار مستوى تقبّل المخاطر لدى الشركة والمتطلبات القانونية، وإجراء عمليات تدقيق دورية داخلية وخارجية لأنظمة المعلومات في هذا السياق، التزامًا جوهريًا.

1.2. تعتمد شركة TAŞIMACIM كمبدأ أساسي لأعمالها التحقق المستمر من الامتثال لجميع التشريعات الوطنية والدولية والحفاظ عليه، بما في ذلك قانون التجارة التركي رقم 6563، وقانون قطع الأشجار رقم 5651، وقانون النقل البري رقم 4925، وقانون حماية البيانات الشخصية رقم 6698. كما تقوم بتطوير البنية التحتية السحابية اللازمة وضوابط الأمان لحماية دقة وسلامة بيانات المنصة وضمان الوصول المستمر إلى أنظمة المطابقة/البرمجيات.

1.3. يُطوّر الهيكل التنظيمي المُصمّم لإدارة فعّالة لأمن المعلومات إجراءاتٍ تفصيلية (خطة الاستجابة للحوادث) للكشف عن حوادث الأمن السيبراني والإبلاغ عنها ومنع تكرارها. كما يُجري جردًا لأصول المعلومات، ويُحدّد التهديدات، ويُدير المخاطر. ويُطبّق متطلبات "الأمن بالتصميم" في عمليات برمجة تطبيقات المنصات (الويب/الهواتف المحمولة) واقتنائها وتطويرها وصيانتها.

2. إدارة الأصول وتحليل المخاطر الحرجة

2.1. تتولى شركة TAŞIMACIM المسؤولية الرئيسية عن حصر جميع الأصول (قواعد البيانات، تطبيقات الهاتف المحمول، أنظمة تحديد المواقع/تتبع المسارات، الخوادم، مكونات الشبكة) وتحديد مالكيها لضمان أمن المعلومات. تُصنّف هذه الأصول تصنيفًا منهجيًا مع مراعاة مستويات حساسيتها (سرية، خاصة، داخلية، عامة) والمتطلبات القانونية (وخاصة قانون حماية البيانات الشخصية). وتُطبّق متطلبات صارمة لضمان سلامة البيانات في معالجة وتخزين بيانات الموقع والهوية الخاصة بالشركة والمستخدمين.

2.2. تُجري الشركة تحليلات دورية للمخاطر لتحديد التهديدات الداخلية والخارجية (مثل هجمات الحرمان من الخدمة الموزعة، وتسريب البيانات، والوصول غير المصرح به، وما إلى ذلك)، ونقاط الضعف، والآثار المحتملة على بنية مزود خدمة الوساطة في التجارة الإلكترونية. وتُطبّق ضوابط أمنية، مثل فحص نقاط الضعف واختبار الاختراق، لتقليل المخاطر السيبرانية المحددة إلى مستويات مقبولة.

2.3. يتم تعزيز أمن البيانات إلى أقصى حد من خلال تطبيق مبدأ الفصل المادي والمنطقي بين بيئات التطوير والاختبار والإنتاج (التشغيل الفعلي). ويُحظر منعًا باتًا استخدام البيانات الحقيقية (دون إخفاء الهوية) الخاصة بالمستخدمين وشركات الاتصالات في بيئات الاختبار. كما تم وضع آليات تشفير شاملة لضمان النقل والتخزين الآمنين للبيانات المالية المُرمّزة والبيانات الشخصية المتعلقة بالمدفوعات التي تتم عبر المنصة.

3. أمن شؤون الموظفين والموارد البشرية

3.1. يتم تطبيق نظام التفويض وفقًا لمبدأ "فصل المهام" خلال جميع مراحل التصميم والتطوير والاختبار والتنفيذ التشغيلي. وتُفعّل آليات الموافقة والتسجيل للعمليات الحيوية، مثل عمليات دعم العملاء، والموافقات على عمليات الإرجاع، وتنسيق عمليات مطابقة شركات الشحن. ويُحافظ على صلاحيات الموظفين عند الحد الأدنى (أقل الامتيازات) اللازم لتنفيذ مهامهم الوظيفية، ويخضع ذلك لتدقيق دوري.

3.2. تضمن الشركة التزام جميع موظفيها (مطوري البرامج، وأخصائيي العمليات، وممثلي خدمة العملاء) بإجراءات الأمان المعتمدة من خلال الحصول على اتفاقيات عدم إفشاء ملزمة قانونًا. كما تُنفذ برامج تدريبية دورية لرفع مستوى الوعي بشأن هجمات التصيد الاحتيالي، والهندسة الاجتماعية، وقانون حماية البيانات.

3.3. تُتخذ التدابير البيئية اللازمة لضمان الأمن في المناطق المادية التي توجد بها المعلومات والخوادم. وتُطبّق أنظمة التحكم في الدخول البيومترية أو عبر البطاقات في المكاتب وغرف الخوادم والأرشيفات لمنع الدخول غير المصرح به. كما تُطبّق سياسة المكتب النظيف والشاشة النظيفة بصرامة.

4. التحكم في الوصول والأمن المنطقي

4.1. تخضع صلاحيات الوصول إلى الأنظمة (نظام إدارة علاقات العملاء، وقاعدة البيانات، ولوحة التحكم) لتدقيق دوري. ويُشترط أن تتم إدارة عمليات تحديد وتخصيص واستخدام وإنهاء حقوق الوصول فور مغادرة الموظف للشركة من خلال إجراءات رسمية لإدارة الهوية والوصول، وأن تكون جميع سجلات الوصول (المؤرخة وفقًا للقانون رقم 5651) قابلة للتتبع.

4.2. تم تطوير بنى تحتية احتياطية لحماية دقة المعلومات واكتمالها، ولتوفير وصول مستمر على مدار الساعة إلى المنصة وتطبيقات الهاتف المحمول. كما تم دمج أنظمة المصادقة متعددة العوامل (MFA/2FA) في البنية التحتية لضمان أمان حسابات المستخدمين وشركات الاتصالات، ويتم رصد محاولات تسجيل الدخول المشبوهة في الوقت الفعلي.

4.3. تُستخدم جدران الحماية من الجيل التالي (WAF) وأنظمة كشف ومنع الاختراق (IDS/IPS) لضمان أمن الشبكة ضد التهديدات الخارجية. ويتم اعتماد نهج أمني متعدد الطبقات، حيث يتم ربط السجلات ومراقبتها باستمرار عبر أنظمة إدارة معلومات وأحداث الأمان (SIEM).

5. التشفير، وأمن الشبكات، وحماية البيانات

5.1. تُطبَّق معايير التشفير والإخفاء المعتمدة في هذا المجال لضمان النقل الآمن (البيانات أثناء النقل - عبر بروتوكولات TLS/SSL) والتخزين الآمن (البيانات المخزنة) لكلمات مرور المستخدمين، وبيانات المصادقة، ومعلومات الاتصال/الموقع الحساسة في قواعد البيانات. وتُدار دورة حياة مفاتيح التشفير المستخدمة وسريتها من خلال عمليات إدارة مفاتيح آمنة.

5.2. لضمان سلامة شبكة المنصة، تُطبق قواعد عزل صارمة بين الشبكات الخارجية ومنطقة التخلص من البيانات (DMZ) والشبكات الداخلية. وتخضع واجهات برمجة التطبيقات (APIs) وعمليات التكامل مع مؤسسات الدفع لفحوصات تشفيرية عالية المستوى لضمان اتصال آمن.

5.3. يُشترط حصول مراكز البيانات السحابية على شهادات أمنية دولية من المستوى الثالث أو أعلى. وتُستخدم تدابير مادية وبيئية، تشمل تكييف الهواء، وأنظمة إخماد الحرائق، ومعدات تزويد الطاقة غير المنقطعة (UPS/المولدات)، لضمان السلامة المادية.

6. إدارة حوادث أمن المعلومات واستمرارية الأعمال

6.1. تُطبَّق إجراءات استجابة تفصيلية للحوادث للكشف عن خروقات أمن المعلومات (الوصول غير المصرح به، وتسريب البيانات، وهجمات حجب الخدمة الموزعة - DDoS)، وتصنيفها، وتحليلها، وعزلها. ويُعدّ الإبلاغ عن الخروقات إلى مجلس حماية البيانات الشخصية والجهات المعنية خلال المدة القانونية (72 ساعة) ووفقًا لسياسات الشركة أمرًا بالغ الأهمية. كما تُجرى تحليلات للأسباب الجذرية، وتُحدَّث الأنظمة لمنع تكرار الحوادث.

6.2. تُتخذ تدابير لمنع حدوث أي انقطاعات في الخدمات اللوجستية وعمليات الربط. وتُعدّ شركة تاشيماجيم خطة استمرارية الأعمال (BCP) وخطة استعادة البيانات في حالات الكوارث (DRP) لضمان استدامة العمليات. تهدف هذه الخطط إلى استعادة الخوادم الحيوية بسرعة وتقليل خسائر المستخدمين/مزودي الخدمة في حال وقوع كارثة طبيعية أو هجوم إلكتروني أو عطل في البنية التحتية. ويتم اختبار هذه الخطط من خلال تدريبات دورية (اختبارات تجاوز الأعطال).

7. الامتثال للتشريعات وحماية البيانات الشخصية

7.1. تلتزم شركة TAŞIMACIM بالامتثال التام للقانون رقم 6698 بشأن حماية البيانات الشخصية (KVKK) وقرارات مجلس الإدارة ذات الصلة في معالجة جميع البيانات الشخصية (بيانات المستخدم، الناقل، صاحب الترخيص، الموظف). وتُجرى عمليات معالجة البيانات استنادًا إلى أسس قانونية كالموافقة الصريحة، أو تنفيذ عقد، أو الالتزام القانوني. ويتم الوفاء بالتزام الإبلاغ بشفافية تامة في كل نقطة اتصال.

7.2. تُصان الحقوق القانونية للأفراد المعنيين بالبيانات، والناشئة عن القانون (الحق في الوصول، والتصحيح، والنقل، والحذف، والحق في النسيان)، بدقة متناهية. ومن خلال "عملية إدارة طلبات مراقب البيانات" المعتمدة في شركة تاشيماجيم، تُلبى الطلبات بأسرع وقت ممكن (بحد أقصى 30 يومًا). وباستثناء الالتزامات القانونية المتعلقة بالاحتفاظ بالبيانات (التسجيل والسجلات التجارية)، تُحذف البيانات التي لم تعد شروط معالجتها قائمة، أو تُتلف، أو تُخفى هويتها دوريًا وفقًا لـ"سياسة الاحتفاظ بالبيانات وإتلافها".

7.3. يتم الالتزام التام بالالتزامات التنظيمية الناشئة عن كوننا مزود خدمة للتجارة الإلكترونية. وتخضع الاتصالات الإلكترونية التجارية (بما في ذلك تكامل نظام إدارة المعلومات) للرقابة وفقًا للقانون رقم 6563؛ ويتم تخزين سجلات حركة البيانات بتنسيق غير قابل للتغيير (مشفر) لفترات زمنية محددة قانونًا وفقًا للقانون رقم 5651. ويتم ضمان متطلبات الأمن التشريعية في اقتناء أنظمة المعلومات وتكامل برامج الطرف الثالث من خلال العقود (اتفاقيات معالجة البيانات).