TAŞIMACIM SOFTWARE TECHNOLOGIES INC.
ПОЛИТИКА КОНФИДЕНЦИАЛЬНОСТИ И ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

Настоящая Политика устанавливает корпоративное обязательство компании TAŞIMACIM YAZILIM TEKNOLOJİLERİ A.Ş. («TAŞIMACIM») защищать конфиденциальность всех персональных, географических, финансовых и коммерческих данных, обрабатываемых в рамках организации, обеспечивать целостность данных и бесперебойный доступ к информационным системам платформы. TAŞIMACIM обязуется внедрять превентивные и детектирующие меры безопасности в соответствии с международными стандартами для предотвращения несанкционированного доступа, раскрытия, изменения или уничтожения этой информации. Настоящая Политика разработана для обеспечения соответствия всем национальным и международным законодательным актам, в первую очередь Закону № 6698 о защите персональных данных (KVKK), Закону № 6563 о регулировании электронной коммерции (ETK) и Закону № 5651 о регулировании публикаций в Интернете. В соответствии с настоящей Политикой TAŞIMACIM проводит инвентаризацию всех своих информационных и технологических активов и активно управляет кибер- и операционными рисками.
Данная политика постоянно пересматривает и совершенствует систему управления информационной безопасностью (СУИБ). Она также обязуется проявлять максимальное уважение к правам и конфиденциальности пользователей и носителей данных (владельцев данных). В этом контексте она обеспечивает максимальную безопасность данных путем физического и логического разделения сред разработки, тестирования и производства. Авторизация пользователей и персонала в системе поддерживается на необходимом минимальном уровне на основе принципа «необходимости знать» и регулярно проверяется.

1. Управление информационной безопасностью и корпоративное управление

1.1. Создание корпоративной организационной структуры при поддержке высшего руководства имеет важное значение для эффективного управления и координации информационной безопасности. В рамках этой структуры необходимо определить и оценить цели системы управления информационной безопасностью (СУИБ), ежегодно обновлять их в соответствии с целями компании в области электронной коммерции и логистики, а также регулярно отчитываться о них перед высшим руководством. Соблюдение всеми сотрудниками и деловыми партнерами (включая независимых перевозчиков) установленных политик и процедур обеспечивается посредством письменных обязательств и цифровых подтверждений. Обеспечение соответствия всех видов деятельности документированным процедурам в рамках допустимого уровня риска компании и требований законодательства, а также проведение регулярных внутренних/внешних аудитов информационных систем в этом контексте является основополагающей обязанностью.

1.2. В качестве основного принципа своей деятельности компания TAŞIMACIM придерживается принципа постоянной проверки и обеспечения соответствия всем национальным и международным законодательным актам, включая Торговый кодекс Турции № 6563, закон о лесозаготовках № 5651, закон о дорожном транспорте № 4925 и закон о защите персональных данных № 6698. Компания разрабатывает необходимую облачную инфраструктуру и средства контроля безопасности для защиты точности и целостности данных платформы и обеспечения непрерывного доступа к системам сопоставления/программному обеспечению.

1.3. Организационная структура, созданная для эффективного управления информационной безопасностью, разрабатывает подробные процедуры (план реагирования на инциденты) для обнаружения, сообщения и предотвращения повторения инцидентов кибербезопасности. Она проводит инвентаризацию информационных активов, выявляет угрозы и управляет рисками. Она применяет требования «безопасности на этапе проектирования» в процессах кодирования, приобретения, разработки и сопровождения платформенных приложений (веб/мобильных).

2. УПРАВЛЕНИЕ АКТИВАМИ И АНАЛИЗ КРИТИЧЕСКИХ РИСКОВ

2.1. TAŞIMACIM несет основную ответственность за инвентаризацию всех активов (баз данных, мобильных приложений, систем GPS/отслеживания маршрутов, серверов, сетевых компонентов) и определение их владельцев в целях обеспечения безопасности информационных активов. Эти активы систематически классифицируются с учетом уровней их конфиденциальности (конфиденциальные, частные, внутренние, общедоступные) и требований законодательства (в частности, Закона о защите персональных данных). Строгие требования к целостности данных определены при обработке и хранении данных о местоположении и идентификационных данных, принадлежащих Перевозчику и Пользователям.

2.2. Компания проводит периодический анализ рисков для выявления внутренних и внешних угроз (DDoS-атаки, утечки данных, несанкционированный доступ и т. д.), уязвимостей и потенциального воздействия на инфраструктуру своего поставщика услуг электронной коммерции. Для снижения выявленных киберрисков до приемлемого уровня внедряются меры безопасности, такие как сканирование уязвимостей и тестирование на проникновение.

2.3. Максимальная безопасность данных обеспечивается за счет применения принципа физического и логического разделения сред разработки, тестирования и производственной (рабочей) среды. В частности, строго запрещено использование реальных данных (без анонимизации), принадлежащих Пользователям и Операторам связи, в тестовых средах. Для безопасной передачи/хранения токенизированных финансовых данных и персональных данных, связанных с платежами, осуществляемыми через платформу, используются механизмы сквозного шифрования.

3. БЕЗОПАСНОСТЬ ПЕРСОНАЛА И КАДРОВЫХ РЕСУРСОВ

3.1. Процесс авторизации осуществляется в соответствии с принципом «разделения обязанностей» на всех этапах проектирования, разработки, тестирования и внедрения. Для критически важных процессов, таких как процессы поддержки клиентов, утверждения возвратов или подбор перевозчиков, созданы механизмы утверждения и регистрации. Уровень авторизации персонала поддерживается на минимальном уровне (наименьшие привилегии), необходимом для выполнения должностных обязанностей, и периодически проверяется.

3.2. Компания гарантирует, что весь персонал (разработчики программного обеспечения, специалисты по эксплуатации, представители по работе с клиентами) соблюдает установленные процедуры безопасности, заключая юридически обязывающие соглашения о неразглашении (NDA). Периодически проводятся обучающие программы для повышения осведомленности о фишинговых атаках, социальной инженерии и законодательстве о защите данных (KVKK).

3.3. Для обеспечения безопасности в физических зонах, где размещены информация и серверы, принимаются необходимые меры. В офисных помещениях, серверных комнатах и ​​архивах внедрены биометрические системы доступа или системы контроля доступа по картам для предотвращения несанкционированного доступа. Строго соблюдается политика чистоты рабочего стола и экранов.

4. КОНТРОЛЬ ДОСТУПА И ЛОГИЧЕСКАЯ БЕЗОПАСНОСТЬ

4.1. Регулярно проводится аудит авторизации доступа к системам (CRM, база данных, панель администрирования). Обязательно, чтобы процессы определения, распределения, использования и немедленного прекращения прав доступа при увольнении сотрудника осуществлялись в рамках формальной процедуры управления идентификацией и доступом (IAM), а все журналы доступа (с отметками времени в соответствии с Законом № 5651) были отслеживаемыми.

4.2. Для защиты точности и полноты информации, а также для обеспечения круглосуточного доступа к платформе и мобильным приложениям, разработаны резервные инфраструктуры. В инфраструктуру интегрированы системы многофакторной аутентификации (MFA/2FA) для обеспечения безопасности учетных записей пользователей и операторов связи, а подозрительные попытки входа в систему отслеживаются в режиме реального времени.

4.3. Для обеспечения сетевой безопасности от внешних угроз используются межсетевые экраны нового поколения (WAF) и системы обнаружения/предотвращения вторжений (IDS/IPS). Применяется многоуровневый подход к безопасности, при котором журналы событий сопоставляются и постоянно отслеживаются с помощью систем SIEM (Security Information and Event Management).

5. Криптография, сетевая безопасность и защита данных

5.1. Для безопасной передачи (передачи данных – по протоколам TLS/SSL) и безопасного хранения (хранения данных) паролей пользователей, данных аутентификации и конфиденциальной информации о местоположении/связи в базах данных применяются стандартные отраслевые криптографические методы шифрования и маскирования. Жизненный цикл и конфиденциальность используемых ключей шифрования обеспечиваются с помощью защищенных процессов управления ключами.

5.2. Для обеспечения целостности сети платформы применяются строгие правила изоляции между внешними сетями, демилитаризованной зоной (DMZ) и внутренними сетями. Интерфейсы прикладного программирования (API) и интеграция с платежными системами проходят высокоуровневые криптографические проверки для обеспечения безопасной связи.

5.3. Для облачных центров обработки данных требуется наличие международных сертификатов безопасности уровня TIER 3 или выше. Для обеспечения физической целостности используются физические и экологические меры, включая кондиционирование воздуха, пожаротушение и оборудование для бесперебойного питания (ИБП/генераторы).

6. Управление инцидентами в области информационной безопасности и обеспечение непрерывности бизнеса.

6.1. Внедрены подробные процедуры реагирования на инциденты для обнаружения, классификации, анализа и изоляции нарушений информационной безопасности (несанкционированный доступ, утечка данных, атаки типа «отказ в обслуживании» — DDoS). Крайне важно сообщать о нарушениях в Совет по защите персональных данных и соответствующим сторонам в установленные законом сроки (72 часа) и в соответствии с корпоративной политикой. Проводится анализ первопричин и устанавливаются обновления для предотвращения повторения инцидентов.

6.2. Принимаются меры для предотвращения сбоев в логистике и операциях по сопоставлению данных. TAŞIMACIM разрабатывает план обеспечения непрерывности бизнеса (BCP) и план аварийного восстановления (DRP) для обеспечения устойчивости операций. Эти планы направлены на быстрое восстановление критически важных серверов и минимизацию потерь для пользователей/операторов связи в случае стихийного бедствия, кибератаки или сбоя инфраструктуры. Планы регулярно проверяются в ходе учений (тесты на переключение при сбоях).

7. СОБЛЮДЕНИЕ ЗАКОНОДАТЕЛЬСТВА И ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ

7.1. Компания TAŞIMACIM обязуется обеспечить полное соблюдение Закона № 6698 о защите персональных данных (KVKK) и соответствующих решений Совета директоров при обработке всех персональных данных (данные пользователя, перевозчика, лицензиата, сотрудника). Обработка данных осуществляется на законных основаниях, таких как явное согласие, исполнение договора или юридическое обязательство. Обязанность по информированию выполняется прозрачно на каждом этапе взаимодействия.

7.2. Законные права субъектов данных, вытекающие из законодательства (право на доступ, исправление, передачу, удаление и право быть забытым), тщательно защищаются. Благодаря «Процессу управления заявками контролеров данных», созданному в рамках TAŞIMACIM, запросы обрабатываются максимально быстро (максимум 30 дней). За исключением случаев, предусмотренных законодательством о хранении данных (ведение журналов и коммерческих реестров), данные, для которых условия обработки утратили силу, периодически удаляются, уничтожаются или анонимизируются в соответствии с «Политикой хранения и уничтожения данных».

7.3. Все нормативные обязательства, вытекающие из деятельности поставщика услуг электронной коммерции, полностью соблюдаются. Коммерческие электронные коммуникации (включая интеграцию IYS) контролируются в соответствии с Законом № 6563; а записи трафика (журналы) хранятся в неизменяемом формате (хешированные) в течение установленных законом периодов, как того требует Закон № 5651. Законодательные требования безопасности при приобретении информационных систем и интеграции программного обеспечения третьих лиц обеспечиваются посредством договоров (соглашений с обработчиками данных).