---

1. AMAÇ

İNİNAL Bilgi Güvenliği Politikası, tüm çalışanlara, tedarikçilere, şubelere, temsilcilere, iş ortaklarına ve paydaşlara İNİNAL’ın bilgi güvenliği kapsamını, amaçlarını, hedeflerini, ilkelerini ve esaslarını ve bilgi güvenliği ile ilgili rol ve sorumlulukları bildirmek amacıyla hazırlanmıştır.

2. KAPSAM

Bu politika, İNİNAL bünyesindeki veri ve bilgilerin; bilgi güvenliğinin kapsamını, hedeflerini, ilkelerini, yönetim desteğini, risk yönetimi çerçevesini, sürekliliğini, görev ve sorumlulukları, uyum gereksinimlerini ve ihlali durumunda uygulanacak yaptırımları kapsamaktadır.

3. ROLLER VE SORUMLULUKLAR

Bilgi Güvenliği Politikasının güncelliğinin ve sürekliliğinin sağlanmasından Bilgi Güvenliği Komitesi sorumludur. Bilgi Güvenliği politikasında yapılacak güncellemeler Bilgi Güvenliği Komite toplantılarında belirlenir ve Bilgi Güvenliği Yöneticisi tarafından dokümana yansıtılır. Her güncellemede doküman Yönetim Kurulu tarafından onaylanır.

İlgili tarafların bu kapsamdaki görev ve sorumlulukları Bilgi Güvenliği Rol ve Sorumluluklar Prosedürü’nde açıklanmıştır.

Tüm birim yöneticileri kendi sorumluluk alanlarına giren sistemlerin sürekli gözden geçirilmesi ve iyileştirmesinden, tüm çalışanlar güncel olan dokümanları kullanmak ve uygulamaktan sorumludur. Bu politika ile çerçevesi belirlenen bilgi güvenliği gereksinimleri ve kurallarına ilişkin ayrıntılar, bilgi güvenliği prosedürleri ile düzenlenir. Şirket çalışanları ve üçüncü taraflar bu prosedürleri bilmek ve çalışmalarını bu kurallara uygun şekilde yürütmekle yükümlüdür.

4. TANIMLAR VE KISALTMALAR

Bilgi Güvenliği Komitesi	: Bilgi sistemlerinin yönetimine ve bilgi güvenliğinin sağlanmasına ilişkin politikaların, prosedürlerin ve süreçlerin tesis edilmesi, bilgi teknolojilerinin kullanılmasından kaynaklanan risklerin etkin biçimde yönetilmesi amacıyla oluşturulan komiteyi temsil eder.
Hassas ödeme verisi	: Kullanıcıların sistemler üzerinde kimliklerini kanıtlamak amacıyla kullandıkları parola, şifre, kart numarası, kart son kullanma tarihi vb. gizli olarak tanımlanan verilerdir.
BGYS	: Bilgi Güvenliği Yönetim Sistemi
Şirket	: İninal Ödeme ve Elektronik Para Hizmetleri A.Ş.
YS	: Yönetim sistem

5. REFERANS VE DÖKÜMANLAR

• Ödeme ve Menkul Kıymet Mutabakat Sistemleri, Ödeme Hizmetleri ve Elektronik Para Kuruluşları Hakkında Kanun
• Ödeme Hizmetleri ve Elektronik Para İhracı ile Ödeme Hizmeti Sağlayıcıları Hakkında Yönetmelik
• Ödeme ve Elektronik Para Kuruluşlarının Bilgi Sistemleri ile Ödeme Hizmeti Sağlayıcılarının Ödeme Hizmetleri Alanındaki Veri Paylaşım Servislerine İlişkin Tebliğ
• ISO/IEC 27001 Bilgi Güvenlik Yönetim Sistemi Standardı
• ISO/IEC 27031 Bilgi Güvenlik Yönetim Sistemi İş Süreklilik Kılavuzu
• BS 10012 Kişisel Verilerin Gizliliği Standardı
• ISO 20000 BT Hizmet Yönetim Standardı
• ISO 22301 İş Sürekliliği Yönetim Standardı

6. BİLGİ GÜVENLİĞİ POLİTİKASI

İNİNAL; tabi olduğu ulusal, uluslararası veya sektörel düzenlemelerden, ilgili mevzuat ve standart gereklerini yerine getirmekten, anlaşmalardan doğan yükümlülüklerini karşılamaktan, iç ve dış paydaşlara yönelik kurumsal sorumluluklardan kaynaklanan bilgi güvenliği gereksinimlerini sağlamak amacı ile:

• Kişisel bilginin mahremiyetinin korunmasını sağlamak amacıyla idari ve teknik tedbirleri alır.
• Bilginin gizliliğini sağlayarak, bütünlüğünü koruyacak ve sürekli erişilebilirliğini (kullanılabilirliğini) garanti altına alacak altyapıyı ve kontrolleri hayata geçirir.
• Analiz, tasarım, geliştirme, test ve uygulama süreçlerinde görevler ayrılığı prensibine uygun yetkilendirmeyi sağlar ve kritik işlemlerde onay mekanizması tesis eder.
• Geliştirme, test ve üretim ortamlarının fiziksel ve mantıksal olarak ayrılmasını sağlar.
• Kullanıcıların yetkilendirilmesinde gerekli olan minimum yetkilendirme prensibinin sağlanması ve yetkilerin düzenli olarak kontrol edilmesini sağlar.
• Dış ağlardan gelebilecek tehditlere karşı ağ güvenliğini tesis eder.
• Katmanlı güvenlik mimarisini tesis eder ve sürekli gözetimini sağlar.
• Mobil uygulama ve internet sayfası aracılığıyla sunduğu hizmetlerde, servisin şirket tarafından sağlandığını doğrulayacak teknikler kullanır.
• Hassas ödeme verilerinin ve kişisel bilgilerin iletilmesinde ve saklanmasında şifreleme, maskeleme gibi güvenliği sağlayacak tedbirlerin alınmasını sağlar.
• Kullanılan şifreleme anahtarlarının güvenilirliğini sağlar.
• Mobil cihazlar üzerinde çalışan uygulamalar tarafından kullanılan hassas ödeme verilerinin güvenliğinin sağlanmasını (hassas ödeme verilerinin diğer uygulamalar tarafından kullanılamaması, kayıp/çalıntı durumunda erişilemez olması) tesis eder.
• Bilgi Güvenliği konusunda periyodik olarak değerlendirmeler yaparak mevcut riskleri tespit eder; değerlendirmeler sonucunda, aksiyon planlarını gözden geçirir ve takibini sağlar.
• Mobil cihazlar üzerinde çalışan uygulamaların güvenliğini sağlamaya yönelik önlemleri alır, gerekli güncellemeleri sağlar.
• Bilgi güvenliği faaliyetlerinin yönetilmesini ve koordinasyonunu sağlamak amacıyla bir bilgi güvenliği organizasyonu oluşturarak, tüm bileşenlerini bütünleşik olarak yönetir.
• Bilgi ve bilgi işleme olanakları ile ilgili varlık envanterini oluşturarak, sahiplikleri belirler ve bilgi varlıkları üzerindeki riskleri yönetir.
• Bilgi güvenliği olaylarının tespit edilmesi, raporlanması ve tekrarının önlenmesi adımlarını içeren bilgi güvenliği olay yönetimi faaliyetleri gerçekleştirir.
• Bilgi güvenliği bilincini kurum kültürünün bir parçası haline getirerek, çalışanların bilgi güvenliği farkındalığını üst seviyede tutmayı sağlar.
• Bilginin işlendiği alanlarda bilginin güvenliğinin sağlanabilmesi amacıyla gerekli fiziksel ve çevresel güvenlik önlemlerini alır.
• Bilgi sistemleri edinim, geliştirme ve bakımında güvenlik gerekliliklerinin neler olduğunu belirler ve hayata geçirir.
• İş faaliyetlerindeki kesintileri önlemek ve bilgiye sürekli erişimi sağlamak için iş sürekliliği faaliyetleri gerçekleştirir.
• Bilgiye erişimi kontrol etmek ve yetkisiz erişimleri önlemek için ilgili tüm alanlarda gerekli güvenlik kontrollerini hayata geçirir.
• Bilgi güvenliği konusundaki güncel teknolojileri ve yenilikleri takip ederek, çözümler geliştirerek, sürekli iyileştirmeyi sağlar.
• Bilgi güvenliği yönetim sisteminin verimliliğini, iç ve dış denetimlerle kontrol ederek, izleyerek, gözden geçirerek, sistemi sürekli uyumlu kılar.

7. BİLGİ GÜVENLİĞİ HEDEFLERİ VE AMAÇLARI

Bilgi Güvenliği Politikası, şirket çalışanlarına, tedarikçilerine, temsilcilerine, iş ortaklarına ve paydaşlarına şirketin güvenlik gereksinimlerine uygun şekilde hareket etmesi konusunda yol göstermek, bilinç ve farkındalık seviyelerini artırmak ve bu şekilde şirkette oluşabilecek riskleri minimuma indirmek, şirketin güvenilirliğini ve imajını korumak, üçüncü taraflarla yapılan sözleşmelerde belirlenmiş uygunluğu sağlamak, teknik güvenlik kontrollerini uygulamak, şirketin temel ve destekleyici iş faaliyetlerinin minimum kesinti ile devam etmesini sağlamak amacıyla şirketin tüm işleyişini etkileyen fiziksel ve elektronik bilgi varlıklarını iç ve dış kasıtlı veya kasıtsız tehditlere karşı korumayı hedefler.

8. BİLGİ GÜVENLİĞİ ORGANİZASYONU

Şirket yönetimi bilgi güvenliği organizasyonunu şirket bünyesinde oluşturur. Bu kapsamda şirkette güvenlik politikalarının bütünsel bir yaklaşım oluşturulması, sürdürülmesi ve yönetilmesine ilişkin çalışmalar Bilgi Güvenliği Yönetim Süreci kapsamında yürütülür. Şirketin güvenlik kontrol süreçlerini koordine edecek, yönetecek rol ve sorumluluklar Bilgi Güvenliği Rol ve Sorumluluklar Prosedürü kapsamında belirlenir ve ilgili kişilere atanır. Güvenlik teknolojilerindeki gelişmelere bağlı olarak ortaya çıkan ihtiyaçları içerecek yeni politikalar üretilir.

9. RİSK YÖNETİM ÇERÇEVESİ

Şirketin bilgi güvenliğine ilişkin risk değerlendirme yaklaşımı Bilgi Güvenliği Komitesi tarafından belirlenir ve Bilgi Güvenliği Yönetim Süreci kapsamında tanımlanır. Bilgi güvenliği risk değerlendirme yaklaşımı ile şirketin bilgi güvenliği risklerinin hangi yöntemler ile belirleneceği, risk seviyelerinin nasıl hesaplanacağı ve risklerin nasıl değerlendirileceği belirlenir. Bilgi varlıklarıyla ilgili oluşabilecek risklerin tanımlanması, derecelendirilmesi, işlenmesi ve gözden geçirilmesi çalışmaları belirlenen risk değerlendirme yaklaşımına uygun olarak gerçekleştirilir

Risk değerlendirme çalışması sonucunda, riskleri azaltmaya yönelik aksiyonları da içeren “Bilgi Sistemleri Risk Değerlendirme Raporu” oluşturulur. Bilgi Güvenliği Planı, yıllık olarak oluşturulur ve güncellenir.

10. EKLER VE KULLANILAN STANDART FORMLAR

Bilgi Güvenliği Rol ve Sorumluluklar Prosedürü

Bilgi Sistemleri Risk Değerlendirme Raporu

11. POLİTİKA İHLALİ VE YAPTIRIMLAR

Tüm şirket çalışanları, tedarikçileri, temsilcileri, iş ortakları ve paydaşları ilgili yasalar, yönetmelikler ve sözleşmelerden doğan güvenlik gereksinimlerine, fikri mülkiyet haklarına, lisans anlaşmalarına ve şirket tarafından belirlenen güvenlik gereksinimlerine uymakla yükümlüdürler. Yöneticiler sorumluluk alanlarındaki tüm süreçlerin işletilmesinde güvenlik politikalarına ve standartlara uyumu temin eder. Tüm şirket çalışanları, şirket verilerinin gizlilik derecelerine uygun şekilde kullanımı konusunda sorumludurlar.

Şirketin bilgi güvenliği politikalarına uyumun denetlenmesi için Bilgi Güvenliği Yönetim Süreci kapsamında bilgi güvenliği gözden geçirme faaliyetleri gerçekleştirilir. Bilgi Güvenliği Politikası’na uyum durumu yılda en az bir defa yönetim kuruluna raporlanır.

12. GÖZDEN GEÇİRME,YAYIMLAMA VE İÇ KONTROL,DENETİM,RAPORLAMA

Mevzuatta veya bilgi güvenliği uygulama süreçlerindeki değişiklikler politikanın gözden geçirilmesini gerektirir. Gözden geçirilen ve güncellenen politika Yönetim Kurulu tarafından onaylanır. Onaylanan politika kurumun tüm çalışanlarının eriştiği ortak dosya sunucusu üzerinde ve İNİNAL web sitesinde tasnif dışı olarak yayınlanır.

Bu politika, güvenlik anlayışı ile hizmet sunulması ve faaliyetleri kapsamında Bilgi Güvenliği Yöneticisi sorumluğunda yılda en az (1) bir defa gözden geçirilir ve denetlenir.

13. DOKÜMAN REVİZYON KONTROLLERİ

Doküman Revizyon Bilgileri
Revizyon Açıklaması	Tarih	Revizyon No.
Bilgi Güvenliği Politikasının Oluşturulması	Mart 2015	01.0
Yıllık Gözden Geçirme	Nisan 2016	01.1
Yıllık Gözden Geçirme	Ağustos 2017	01.2
Yıllık Gözden Geçirme	Mayıs 2018	01.3
Yıllık Gözden Geçirme	Mayıs 2019	01.4
Yıllık Gözden Geçirme	Kasım 2020	01.5
Yıllık Gözden Geçirme	Aralık 2021	01.6
BGYS kapsamında revizyon ve güncelleme	28.07.2022	02.0
Yıllık gözden geçirme	11.07.2023	02.1