TAŞIMACIM YAZILIM TEKNOLOJİLERİ A.Ş.
GİZLİLİK VE BİLGİ GÜVENLİĞİ POLİTİKASI

İşbu Politika kapsamında, TAŞIMACIM YAZILIM TEKNOLOJİLERİ A.Ş. (“TAŞIMACIM”) bünyesinde işlenen tüm kişisel, lokasyon (konum), finansal ve ticari verilerin gizliliğini korumak, veri bütünlüğünü sağlamak ve platform bilgi sistemlerine kesintisiz erişim sunmak üzere kurumsal bir taahhüt tesis etmektir. TAŞIMACIM, bu bilgilerin yetkisiz kişilerce erişilmesinin, ifşa edilmesinin, değiştirilmesinin veya yok edilmesinin önlenmesi için uluslararası standartlarda önleyici ve tespit edici güvenlik kontrollerini uygulamayı taahhüt eder. Politika; 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK), 6563 sayılı Elektronik Ticaretin Düzenlenmesi Hakkında Kanun (ETK) ve 5651 sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi Hakkında Kanun başta olmak üzere, tüm ulusal ve uluslararası mevzuata uyumun sağlanması maksadıyla kurgulanmıştır. TAŞIMACIM, bu Politika ile tüm bilgi ve teknoloji varlıklarının envanterini çıkarır, siber ve operasyonel riskleri proaktif olarak yönetir.
Politika, Bilgi Güvenliği Yönetim Sistemini (BGYS) sürekli olarak gözden geçirir ve iyileştirir. Ayrıca Kullanıcı ve Taşıyıcıların (veri sahiplerinin) haklarına ve mahremiyetine azami saygı gösterileceğini taahhüt eder. Bu kapsamda, geliştirme, test ve canlı (üretim) ortamlarını fiziksel ve mantıksal olarak ayırarak veri güvenliğini maksimize eder. Sistem üzerindeki kullanıcı ve personel yetkilendirmesi, “bilinmesi gereken (need-to-know)” prensibiyle gerekli minimum seviyede tutularak düzenli olarak denetlenir.

1. BİLGİ GÜVENLİĞİ YÖNETİMİ VE KURUMSAL YÖNETİŞİM

1.1. Etkili bir bilgi güvenliği yönetimi ve koordinasyonu için üst yönetim desteğiyle kurumsal bir organizasyon yapısının tesis edilmesi esastır. Bu yapı içerisinde, Bilgi Güvenliği Yönetim Sistemi’nin (BGYS) hedeflerinin belirlenmesi, ölçülmesi ve Şirket’in e-ticaret ve lojistik hedefleri ile uyumlu olacak şekilde yıllık bazda güncellenerek üst yönetime düzenli raporlanması zorunludur. Tüm çalışanların ve iş ortaklarının (bağımsız taşıyıcılar dahil) belirlenen politika ve prosedürlere uygunluğu, alınan yazılı taahhütler ve dijital onaylar ile sağlanır. Tüm faaliyetlerin, kurumsal risk iştahı ve yasal zorunluluklar çerçevesinde belgelendirilmiş prosedürlere uygunluğunun temini ve bu kapsamda düzenli periyotlarla iç/dış bilgi sistemleri denetimlerinin yürütülmesi temel bir yükümlülüktür.

1.2. TAŞIMACIM; 6563 sayılı ETK, 5651 sayılı loglama mevzuatı, 4925 sayılı Karayolu Taşıma Kanunu ve 6698 sayılı KVKK dâhil tüm ulusal ve uluslararası mevzuata uyumun sürekli olarak teyit edilmesini ve sürdürülmesini temel iş prensibi olarak benimser. Platform verilerinin doğruluğunu, bütünlüğünü korumak ve eşleştirme/yazılım sistemlerine sürekli erişim sağlamak için gerekli bulut altyapısını ve güvenlik kontrollerini geliştirir.

1.3. Etkili bir bilgi güvenliği yönetimi için oluşturulan organizasyon yapısı; siber güvenlik olaylarının tespiti, raporlanması ve tekrarının önlenmesi için detaylı prosedürler (Olay Müdahale Planı) geliştirir. Bilgi varlıklarının envanterini çıkarır, tehditleri belirler ve riskleri yönetir. Platform uygulamalarının (web/mobil) kodlanması, edinimi, geliştirilmesi ve bakımı süreçlerinde “Tasarım Aşamasından İtibaren Güvenlik (Security by Design)” gerekliliklerini uygular.

2. VARLIK YÖNETİMİ VE KRİTİK RİSK ANALİZİ

2.1. TAŞIMACIM, bilgi varlıklarının güvenliğini sağlamak için öncelikle tüm varlıkların (veri tabanları, mobil uygulamalar, GPS/rotasyon takip sistemleri, sunucular, ağ bileşenleri) envanterini çıkarmakla ve sahiplerini atamakla yükümlüdür. Bu varlıklar, hassasiyet düzeyleri (gizli, özel, kurum içi, genel) ve hukuki gereklilikler (özellikle KVKK) dikkate alınarak sistematik bir şekilde sınıflandırılır. Taşıyıcı ve Kullanıcılara ait lokasyon ve kimlik verilerinin işlenmesinde ve muhafazasında katı bütünlük gereklilikleri tanımlanır.

2.2. Şirket, e-ticaret aracı hizmet sağlayıcı altyapısına yönelik iç ve dış tehditleri (DDoS saldırıları, veri sızıntıları, yetkisiz erişim vb.), zafiyetleri ve olası etkileri belirlemek için periyodik risk analizleri uygular. Belirlenen siber risklerin kabul edilebilir seviyelere indirilmesi için zafiyet tarama (vulnerability scanning) ve sızma testleri (penetration testing) gibi güvenlik kontrolleri uygulanır.

2.3. Geliştirme, test ve üretim (canlı) ortamlarının fiziksel ve mantıksal olarak ayrıştırılması prensibi benimsenerek veri güvenliği maksimize edilir. Özellikle Kullanıcı ve Taşıyıcılara ait gerçek verilerin (anonimleştirilmeden) test ortamlarında kullanılması kesinlikle yasaktır. Platform üzerinden gerçekleştirilen ödemelere ait tokenize edilmiş finansal verilerin ve kişisel verilerin güvenli iletimi/saklanması için uçtan uca şifreleme mekanizmaları tesis edilir.

3. PERSONEL VE İNSAN KAYNAKLARI GÜVENLİĞİ

3.1. Tasarım, geliştirme, test ve operasyonel uygulama süreçlerinde “Görevlerin Ayrılığı (Segregation of Duties – SoD)” prensibine uygun olarak yetkilendirme yapılır. Müşteri destek süreçleri, iade onayları veya taşıyıcı eşleştirmelerine müdahale gibi kritik işlemler için onay ve loglama mekanizmaları kurulur. Personel yetkilendirmesi, görev tanımının icrası için elzem olan asgari seviyede (least privilege) tutularak periyodik olarak denetlenir.

3.2. Tüm personelin (yazılımcılar, operasyon uzmanları, müşteri temsilcileri) belirlenen güvenlik prosedürlerine uygunluğunu, hukuki bağlayıcılığı olan Gizlilik Anlaşmaları (NDA) alarak garanti eder. Oltalama (phishing) saldırıları, sosyal mühendislik ve veri koruma hukuku (KVKK) konularında farkındalığı artıracak periyodik eğitim programları uygulanır.

3.3. Bilginin ve sunucuların bulunduğu fiziksel alanlarda güvenliği sağlamak için gerekli çevresel önlemler alınır. Yetkisiz erişimleri önlemek amacıyla ofis alanlarına, sistem odalarına ve arşivlere yönelik biyometrik veya kartlı geçiş kontrolleri uygulanır. Temiz masa ve temiz ekran (clean desk & clear screen) politikası titizlikle yürütülür.

4. ERİŞİM KONTROLÜ VE MANTIKSAL GÜVENLİK

4.1. Sistemlere (CRM, veritabanı, yönetim paneli) erişim yetkilendirmesi düzenli olarak denetlenmektedir. Erişim haklarının tanımlanması, tahsisi, kullanımı ve işten ayrılış anında derhal sonlandırılması süreçlerinin resmi bir Kimlik ve Erişim Yönetimi (IAM) prosedürü ile yönetilmesi ve tüm erişim loglarının (5651 sayılı Kanun uyarınca zaman damgalı olarak) izlenebilirliğinin sağlanması zorunludur.

4.2. Bilginin doğruluğunu ve tamamlığını korumak, Platform’a ve mobil uygulamalara 7/24 sürekli erişim sağlamak için yedekli altyapılar geliştirilir. Kullanıcı ve Taşıyıcı hesaplarının güvenliği için çok faktörlü kimlik doğrulama (MFA/2FA) sistemleri altyapıya entegre edilir ve şüpheli oturum açma girişimleri anlık olarak monitör edilir.

4.3. Dış tehditlere karşı ağ güvenliğini sağlamak için yeni nesil güvenlik duvarları (WAF/Firewall) ve saldırı tespit/önleme sistemleri (IDS/IPS) konumlandırılır. Katmanlı güvenlik yaklaşımı benimsenerek loglar SIEM (Güvenlik Bilgi ve Olay Yönetimi) sistemleri üzerinden korelasyona tabi tutulur ve sürekli izlenir.

5. KRİPTOGRAFİ, AĞ GÜVENLİĞİ VE VERİ KORUMA

5.1. Kullanıcı şifreleri, kimlik doğrulama verileri ve hassas iletişim/konum bilgilerinin güvenli iletimi (data in transit – TLS/SSL protokolleri ile) ve veri tabanlarında güvenli saklanması (data at rest) için endüstri standardı kriptografik şifreleme ve maskeleme önlemleri uygulanır. Kullanılan şifreleme anahtarlarının yaşam döngüsü ve gizliliği güvenli anahtar yönetimi süreçleriyle idare edilir.

5.2. Platformun ağ bütünlüğünü sağlamak adına dış ağlar, DMZ (Arındırılmış Bölge) ve iç ağlar arasında sıkı izolasyon kuralları uygulanır. Uygulama programlama arayüzleri (API’ler) ve ödeme kuruluşlarıyla kurulan entegrasyonlar, en üst düzey kriptografik denetimlerden geçirilerek güvenli haberleşme sağlanır.

5.3. Bulut tabanlı hizmet alınan veri merkezlerinin (Data Center) TIER 3 veya üstü uluslararası güvenlik sertifikasyonlarına sahip olması gözetilir. Fiziksel ve çevresel önlemler, iklimlendirme, yangın söndürme ve kesintisiz güç kaynağı (UPS/Jeneratör) donanımları ile fiziksel bütünlüğün korunması güvence altına alınır.

6. BİLGİ GÜVENLİĞİ OLAY YÖNETİMİ VE İŞ SÜREKLİLİĞİ

6.1. Bilgi güvenliği ihlal olaylarının (yetkisiz erişim, veri sızıntısı, hizmet engelleme saldırısı – DDoS) tespiti, sınıflandırılması, analizi ve yalıtılması için detaylı olay müdahale prosedürleri işletilir. İhlallerin KVKK Kuruluna ve ilgili kişilere yasal süresi (72 saat) içerisinde ve kurumsal politikalara uygun olarak raporlanması esastır. Olayların tekrarlanmaması adına kök neden (root cause) analizleri yapılarak sistemler yamalanır.

6.2. Lojistik ve eşleştirme faaliyetlerindeki kesintilere karşı önlemler alınır. TAŞIMACIM, operasyonların sürdürülebilirliğini sağlamak amacıyla İş Sürekliliği Planı (BCP) ve Felaket Kurtarma Planı (DRP) oluşturur. Bu planlar, olası bir doğal afet, siber saldırı veya altyapı çökmesi durumunda kritik sunucuların hızla ayağa kaldırılmasını ve kullanıcı/taşıyıcı mağduriyetlerinin asgariye indirilmesini hedefler. Planlar düzenli tatbikatlarla (failover testleri) test edilir.

7. MEVZUATA UYUM VE KİŞİSEL VERİLERİN KORUNMASI

7.1. TAŞIMACIM, tüm kişisel verilerin (Kullanıcı, Taşıyıcı, Levha Sahibi, Çalışan verileri) işlenmesinde 6698 sayılı KVKK ve ilgili Kurul kararlarına tam uyum sağlanmasını en üst düzeyde taahhüt eder. Veri işleme faaliyetleri; Açık Rıza, Sözleşmenin İfası veya Hukuki Yükümlülük gibi kanuni dayanaklara bağlı olarak gerçekleştirilir. Aydınlatma yükümlülüğü her temas noktasında şeffaf bir şekilde yerine getirilir.

7.2. Veri sahiplerinin Kanun’dan doğan yasal hakları (erişim, düzeltme, aktarım, silme ve unutulma hakkı) titizlikle korunur. TAŞIMACIM bünyesinde tesis edilen “Veri Sorumlusu Başvuru Yönetim Süreci” ile talepler en kısa sürede (maksimum 30 gün) yanıtlanır. Mevzuatsal saklama (loglama ve ticari defter) yükümlülükleri hariç tutulmak üzere, işleme şartları ortadan kalkan veriler “Veri Saklama ve İmha Politikası” doğrultusunda periyodik olarak silinir, yok edilir veya anonimleştirilir.

7.3. Elektronik Ticaret Aracı Hizmet Sağlayıcı olmanın getirdiği regülatif yükümlülükler eksiksiz yerine getirilir. 6563 sayılı Kanun uyarınca ticari elektronik iletiler (İYS entegrasyonu dâhil) kontrol altında tutulurken; 5651 sayılı Kanun gereği trafik (log) kayıtları yasal süreler boyunca değiştirilemez formatta (hash’lenerek) saklanır. Bilgi sistemleri edinimi ve üçüncü parti yazılım entegrasyonlarında mevzuatsal güvenlik gereklilikleri sözleşmelerle (Veri İşleyen Sözleşmeleri) güvence altına alınır.