Rask AI için Veri Koruma Politikası
Brask A.Ş.
Amaç
Bu politika, veri korumaya yönelik prosedürleri ve teknik kontrolleri özetlemektedir.
Kapsam
Rask AI müşteri verilerini işleyen üretim sistemleri bu politikaya uymalıdır.
Tanımlar
Üretim Verileri: İş operasyonları ve müşteri hizmetleri için aktif olarak kullanılan ve muhafaza edilen veriler.
Üretim Sistemleri: Rask AI müşteri verilerini oluşturan, alan, depolayan veya ileten sistemler ve altyapı.
Roller ve Sorumluluklar
Brask ML Altyapı Departmanı bu politikayı sürdürür ve günceller. CEO ve hukuk departmanı bu politikayı ve tüm değişiklikleri onaylar.
Politika
Brask politikası bunu gerektirmektedir:
- Verileri sınıflandırma ve onaylı şifreleme standartlarına göre işleyin ve koruyun.
- Aynı sınıflandırmaya sahip verileri birlikte depolayın; hassas ve hassas olmayan verileri karıştırmaktan kaçının. Bir depodaki en yüksek sınıflandırmaya göre güvenlik kontrolleri uygulayın.
- Çalışanların, acil durumlar dışında (örneğin adli analiz, felaket kurtarma) üretim verilerine doğrudan idari erişimi yoktur.
- Tüm Üretim Sistemlerinde gereksiz hizmetleri devre dışı bırakın.
- Üretim Sistemlerine tüm erişimleri kaydedin.
- Tüm Üretim Sistemlerinde güvenlik izlemeyi etkinleştirin (etkinlik ve dosya bütünlüğü izleme, güvenlik açığı taraması, kötü amaçlı yazılım algılama).
Veri Koruma Uygulaması ve Süreçleri
Müşteri Verilerinin Korunması
Rask AI, yedeklilik ve felaket kurtarma için birden fazla bölgede çoğaltılan verilerle AWS'yi kullanır.
Brask çalışanları Üretim Verilerini korumak için bu süreçleri takip eder:
- Uygunsuz değişiklik veya imhayı önlemek için kontroller uygulayın ve gözden geçirin.
- Erişim günlüklerini ve otomatik güvenlik izlemeyi desteklemek için gizli verileri depolayın.
- Müşteri Üretim Verilerini bölümlere ayırın ve yetkili müşterilerin erişimini kısıtlayın.
- Brask tarafından yönetilen anahtarları kullanarak bekleyen tüm Üretim Verilerini şifreleyin.
- Şifreleme anahtarlarını ve anahtar üreten makineleri yetkisiz erişime karşı koruyun; anahtar malzemeye yalnızca ayrıcalıklı hesaplar erişebilir.
Erişim
Çalışanların üretime erişimi varsayılan olarak devre dışıdır ve onay gerektirir. Geçici erişim gerektiğinde verilir ve güvenlik ekibi tarafından duruma göre incelenir.
Ayrılık
- Müşteri verileri, benzersiz müşteri tanımlayıcıları kullanılarak veritabanı/datastore düzeyinde mantıksal olarak ayrılır.
- API katmanı, seçilen bir hesapla istemci kimlik doğrulaması gerektirerek ayrımı zorlar.
- Kimlik doğrulaması yapıldıktan sonra, müşterinin benzersiz tanımlayıcısı erişim belirtecine dahil edilir.
- API, kimliği doğrulanmış hesaba veri erişimini kısıtlamak için bu belirteci kullanır.
- Tüm veritabanı/datastore sorguları, uygun veri ayrımını sağlamak için hesap tanımlayıcısını içerir.
İzleme
Rask AI, bulut hizmetlerini izlemek için Amazon CloudWatch kullanıyor. Sistem arızası durumunda, kilit personel düzeltici eylem için metin, sohbet veya e-posta yoluyla bilgilendirilir.
Gizlilik/İfşa Etmeme Sözleşmesi (NDA)
Brask, gizli bilgileri yasal olarak uygulanabilir şartlarla korumak için dahili ve harici taraflar için geçerli olan Gizlilik Sözleşmelerini kullanır. Temel unsurlar şunları içerir:
- Bilgi tanımı
- Sözleşme süresi
- Fesih sonrası eylemler
- Yetkisiz ifşanın önlenmesine yönelik sorumluluklar
- Bilgi ve fikri mülkiyetin sahipliği
- İzin verilen kullanım ve haklar
- Denetim ve izleme faaliyetleri
- Yetkisiz ifşaların bildirilmesi
- Fesih üzerine bilgilerin iadesi veya imhası
- Sözleşmenin ihlaline ilişkin davalar
- Periyodik inceleme
Dinlenmekte Olan Veriler
Şifreleme
Tüm veritabanlarını, veri depolarını ve dosya sistemlerini Rask AI Şifreleme Politikasına göre şifreleyin.
Elde tutma
Depolanan verileri kategorize edin ve Rask AI Varlık Yönetimi ve Veri Saklama Politikaları uyarınca bir saklama planı uygulayın.
Elde tutmaya ilişkin hususlar:
- Yasal ve sözleşmesel gereklilikler
- Veri türü (örneğin, muhasebe kayıtları, veritabanı kayıtları, denetim günlükleri)
- Depolama ortamı türü (örn. kağıt, sabit disk, sunucu)
Depolama ve Bertaraf
Bekleyen verileri uygun şekilde depolayın ve işleyin. Dikkate alınacak hususlar şunlardır:
- Erişim ve yönetim için yetkilendirme
- Kayıtların tanımlanması ve saklama süreleri
- Teknoloji değişiklikleri ve saklama sırasında erişim
- Geri alma zaman çerçevesi ve formatı
- Bertaraf yöntemleri
Veri Silme
Brask'ın iş hedefleri, yasalar ve üçüncü taraf anlaşmaları doğrultusunda, artık gerekli olmadığında hassas verileri uygun şekilde silin. Silme işleminin kayıtlarını tutun.
Aktarım Halindeki Veriler
Gereklilik
Verileri yalnızca iş süreçleri için kesinlikle gerekli olduğunda aktarın.
Transfer Faktörleri
Veri aktarım yöntemini seçmeden önce aşağıdakiler göz önünde bulundurulmalıdır:
- Bilginin niteliği, hassasiyeti, gizliliği ve değeri
- Veri boyutu
- Potansiyel veri kaybının etkisi
Şifreleme
Aktarım sırasında verilerin güvenliğini sağlamak için:
- Bulut ve üçüncü taraf satıcılar da dahil olmak üzere tüm harici iletimlerin Brask tarafından yönetilen anahtarlarla uçtan uca şifrelenmesi.
- İnternet ve intranet bağlantıları için güçlü protokoller, anahtar değişimleri ve şifreler kullanma.
Son Kullanıcı Mesajlaşma Kanalları
Uçtan uca şifreleme etkinleştirilmediği sürece, kısıtlanmış ve hassas verilerin e-posta veya sohbet gibi elektronik son kullanıcı mesajlaşma kanalları üzerinden gönderilmesine izin verilmez.