Tedarikçi Veri Koruması Gereksinimleri - Değerlendirme Ölçütleri

Transkript

1 Tedarikçi Veri Koruması Gereksinimleri - Değerlendirme Ölçütleri Uygulanabilirlik Microsoft Tedarikçi Veri Koruması Gereksinimleri (DPR), Microsoft satınalma siparişi veya sözleşmesi uyarınca sağlanan hizmetlerin yürütülmesinin bir parçası olarak Microsoft Kişisel Bilgilerini veya Microsoft Önemli Bilgilerini toplayan, kullanan, dağıtan, erişen veya depolayan tüm Microsoft tedarikçilerine uygulanabilir. Burada belirtilen gereksinimlerle tedarikçi ile Microsoft arasındaki sözleşmeye dayalı anlaşmada belirtilen gereksinimler arasında uyuşmazlık olması durumunda sözleşmedeki hükümler öncelikli olur. Burada belirtilen gereksinimlerle herhangi bir yasal gereksinim arasında uyuşmazlık olması durumunda, yasal gereksinimler öncelikli olur. "Microsoft Önemli Bilgileri"; gizlilik veya bütünlük nedeniyle ifşa edildiğinde, Microsoft açısından önemli maddi ve manevi kayıplar doğurabilecek türden bilgilerdir. Bu, sınırlayıcı olmamak kaydıyla şunları içerir: Microsoft donanım ve yazılım ürünleri, şirket içinde kullanılan iş kolu uygulamaları, pazarlama malzemelerinin ön sürümleri, ürün lisans anahtarları ve Microsoft ürün ve hizmetleriyle ilgili teknik belgeler. "Microsoft Kişisel Bilgileri", Microsoft tarafından sağlanan veya bir tedarikçi tarafından Microsoft a sağlanan hizmetlerle ilgili olarak toplanan bilgilerin tümüdür. Bunlar: (i) söz konusu bilgilerin ilgili olduğu kişiyi tanımlayan veya tanımlamak, onunla iletişim kurmak veya belirlemek için kullanılabilen ya da (ii) bir kişinin kimliğinin veya iletişim bilgilerinin elde edilebileceği bilgilerdir. Microsoft Kişisel Bilgileri, sayılanlarla sınırlı kalmamak üzere şunları içerir: ad, adres, telefon numarası, faks numarası, e-posta adresi, sosyal güvenlik numarası, pasaport numarası, başka resmi kimlikler ve kredi kartı bilgileri. Ayrıca başka bilgiler de (bunlarla sınır olmamak kaydıyla kişisel profil, benzersiz tanımlayıcı, biyometrik bilgiler ve/veya IP adresi) Microsoft Kişisel Bilgileriyle ilişkilendirildiği veya birleştirildiği sürece Microsoft Kişisel Bilgileri olarak kabul edilir. DPR'nin yapısı DPR, gizlilik uygulamalarını değerlendirmek için American Institute of Certified Public Accountants (AICPA - Amerikan Yeminli Mali Müşavirler Birliği) tarafından tasarlanan bir çerçeveyi esas alır. Genel Olarak Kabul Gören Gizlilik İlkeleri (GAPP), kişisel bilgilerin korunması ve yönetimiyle ilgili ölçülebilir ölçütler içeren 10 bölüme ayrılmıştır. Bu çerçeve, ek Microsoft güvenlik ve gizlilik gereksinimleriyle geliştirilmiştir. Sürüm 1.4 Sayfa 1

2 Tanımlayıcı Microsoft Tedarikçi Veri Koruması Gereksinimleri Önerilen Değerlendirme Ölçütleri GAPP A Tedarikçinin, Microsoft Kişisel veya Önemli Bilgilerini toplayabilmesi, kullanabilmesi, dağıtabilmesi, depolayabilmesi veya bunlara erişebilmesi için: Yönetim 1. Gizlilik ve güvenlik veri koruma dilini içeren geçerli bir Microsoft sözleşmesi, iş bildirimi veya satınalma siparişi imzalamış olması gerekir. 2. Şirket içinde belirlenen bir kişiyi veya grubu Microsoft Tedarikçi Veri Koruması Gereksinimleriyle uyumluluktan sorumlu tutmalıdır. Tedarikçi geçerli bir Microsoft sözleşmesi, iş bildirimi veya satınalma siparişi sunmalıdır. Tedarikçi, tedarikçinin Veri Koruması Gereksinimleriyle uyumluluğunu sağlamakla görevli olan kişiyi veya grubu belirlemelidir Bu kişinin veya grubun yetkisi ve hesap verme sorumluluğu açık bir şekilde belgelenmelidir. Tedarikçi: 1. Yıllık çalışan gizlilik eğitimi hazırlayıp vermelidir. Microsoft şurada ilgili materyalleri sunmaktadır: oolkit/en/us/privacymaterials.aspx 2. Microsoft Tedarikçi Veri Koruması Gereksinimleri hakkındaki ilgili bilgileri, Microsoft için hizmet veren personeline ve alt yüklenicilerine belirli aralıklarla iletmelidir. Tedarikçi, çalışanları, başlangıçta ve belirli aralıklarla temel gizlilik ve güvenlik ilkeleri (Bildirim, Seçenek ve İzin, Toplama, Kullanma ve Bekletme, Erişim, Başkasına Aktarma ve İfşa Etme, Güvenlik, Kalite, İzleme ve Uygulama) konusunda eğitir. Bu eğitimin yapıldığına kanıt olarak eğitim malzemeleri, katılım kayıtları, çalışanlarla kurulan iletişim (e-posta, web siteleri, bültenler vb.) vb. gösterilebilir. Tedarikçi, Microsoft'a hizmet sağlamakla görevli olan çalışanları ve alt yüklenicileri Microsoft Tedarikçi Veri Koruması Gereksinimleri hakkında eğitir. Bu eğitimin başlangıçta ve dönemsel olarak yapıldığına kanıt olarak eğitim malzemeleri, katılım kayıtları, çalışanlarla ve alt yüklenicilerle kurulan iletişim (e-posta, web siteleri, bültenler vb.) vb. gösterilebilir. Sürüm 1.4 Sayfa 2

3 Tanımlayıcı Microsoft Tedarikçi Veri Koruması Gereksinimleri Önerilen Değerlendirme Ölçütleri GAPP B Tedarikçi, bireylerden Microsoft Kişisel Bilgilerini toplarken onların kişisel bilgilerini tedarikçiye gönderip göndermeyeceklerine karar vermelere yardımcı olmak için bireylere kolayca görebilecekleri gizlilik bildirimleri sağlamalıdır. Gizlilik bildirimleri, kişisel bilgilerin toplanma nedenini ve bu bilgilerin hangi şartlar altında açıklanacağını veya hangi şartlar altında açıklanma olasılığının bulunduğunu belirtmelidir. Gizlilik bildirimleri hazır bulundurulmalı, tarihi açıkça belirtilmiş olmalı ve veri toplama sırasında veya öncesinde sağlanmalıdır. Bildirim Gizlilik bildirimi, şahsın verilerin kullanım amacını anlayabileceği şekilde yazılmalıdır. Microsoft için site barındıran tedarikçiler, gizlilik bildirimlerini, Supplier Privacy Toolkit'te sağlanan yönergelere ve şablonlara göre oluşturmalıdır. Supplier Privacy Toolkit'e şuradan erişilir: ment/toolkit/en/us/default.aspx Microsoft şablonlarının kullanılmasını istiyorsa veya Supplier Privacy Toolkit'te diğer yönergeleri sağlamışsa tedarikçi buna uymalıdır. Microsoft adına satış ve pazarlama kampanyaları yürüten tedarikçiler, Supplier Privacy Toolkit'te sağlanan yönergelere uymalıdır. Supplier Privacy Toolkit'e şuradan erişilir: ment/toolkit/en/us/default.aspx Tedarikçiler canlı sesli arama aracılığıyla Microsoft Kişisel Bilgilerini toplarken; ilgili veri toplama, işleme, kullanma ve saklama uygulamaları hakkında müşteriyle görüşmeye hazır olmalıdır. Tedarikçi, telefonla kişisel bilgi toplandığında verilerin toplanması, işlenmesi, kullanılması ve saklanması konularının ilgili şahısla görüşüldüğünü kanıtlar. Sürüm 1.4 Sayfa 3

4 Tanımlayıcı Microsoft Tedarikçi Veri Koruması Gereksinimleri Önerilen Değerlendirme Ölçütleri GAPP C Tedarikçi, bir şahsın kişisel bilgilerini toplamadan önce o şahsın iznini almalı ve bunu belgelendirmelidir. Tedarikçi, şahısların kişisel bilgi vermeyi kabul etmesi veya reddetmesi işlemlerini ve iki seçeneğin de sonuçlarını açıklar. Tercihler ve İzin Tedarikçi, şahısların iletişim tercihlerini, Supplier Privacy Toolkit'teki İletişim Tercihi genel kurallarına göre toplayıp belgelendirmelidir. Supplier Privacy Toolkit'e şuradan erişilir: ment/toolkit/en/us/default.aspx Tedarikçi, izni, kişisel bilgilerin toplanması sırasında veya daha öncesinde belgeler. Tedarikçi, iletişim tercihlerini yazılı olarak veya elektronik ortamda doğrular. Tedarikçi, iletişim tercihlerini belgeler ve yönetir, ayrıca bu tercihlerde yapılan değişiklikleri uygular ve yönetir. Tedarikçi, şahıslara kişisel bilgilere yönelik yeni kullanım önerilerini bildirir. Tedarikçi: 1. Şahısların iletişim tercihleriyle ilgili değişiklikleri zamanında belgelemeli ve yönetmelidir. Tedarikçi, kişisel bilgilerin yeni kullanımlarına ilişkin izinleri alır ve belgeler. 2. Şahısların kişisel bilgilerinin yeni bir şekilde kullanımı için şahıslardan izin almalı ve belgelemelidir. Tedarikçi, izin verilmeyen durumlarda bilginin kullanılmamasını sağlar. Sürüm 1.4 Sayfa 4

5 Tanımlayıcı Microsoft Tedarikçi Veri Koruması Gereksinimleri Önerilen Değerlendirme Ölçütleri GAPP D Tedarikçi, yalnızca, Microsoft tarafından sağlanan hizmetleri gerçekleştirmek için gereken bilgilerin toplandığından emin olmak için Microsoft Kişisel Bilgilerinin toplanmasını izlemelidir. Gerekli kişisel bilgileri belirtmek için sistemler ve prosedürler mevcuttur. Tedarikçi, sistemlerin ve işlemlerin etkinliğini sağlamak için toplama işlemini izler. Toplama Tedarikçi, Microsoft adına üçüncü taraflardan kişisel bilgi temin ediyorsa, tedarikçi, üçüncü taraf veri koruma ilkelerinin ve uygulamalarının tedarikçinin Microsoft ile yaptığı sözleşmeye ve DPR gereksinimlerine uygun olduğunu doğrulamalıdır. Tedarikçi, üçüncü tarafın veri koruma ilkeleri ve uygulamaları konusunda gereken özeni gösterir. Bir kişinin bilgisayarına yürütülebilir yazılım yüklenmesi veya bilgisayarda yürütülebilir yazılımın kullanılması aracılığıyla önemli Microsoft Kişisel Bilgilerini toplamadan önce, bu bilgilerin toplanmasının gerektiği, Microsoft ile yapılan tedarikçi sözleşmesinde belgelenmelidir. Tedarikçi, bir şahsın bilgisayarında kişisel bilgi toplamak amacıyla çalıştırılabilir bir yazılım kullanırken Microsoft'tan izin alır ve bunu belgeler. Şahısların ırkı, etnik kökeni, siyasi görüşleri, sendika üyeliği, fiziksel sağlığı veya akıl sağlığı ya da cinsel hayatı gibi hassas konularda Microsoft Kişisel Bilgilerini toplamadan önce, bu bilgilerin toplanmasının gerektiği, Microsoft ile yapılan tedarikçi sözleşmesinde belgelenmelidir. Tedarikçi, hassas kişisel bilgileri toplamadan önce Microsoft'tan izin alır ve bunu belgeler. Sürüm 1.4 Sayfa 5

6 Tanımlayıcı Microsoft Tedarikçi Veri Koruması Gereksinimleri Önerilen Değerlendirme Ölçütleri GAPP E Tedarikçi: Saklama 1. Microsoft Kişisel ve Önemli Bilgilerinin yalnızca, Microsoft tarafından sunulan hizmetleri sağlamak için kullanılmasını sağlamalıdır. 2. Microsoft Kişisel ve Önemli Bilgilerinin sürekli olarak saklanması yasayla mecbur tutulmadıkça, bu bilgilerin hizmetleri sağlamak için gerekenden fazla bir süre saklanmamasını sağlamalıdır. 3. Microsoft Kişisel ve Önemli Bilgilerinin saklanmasını ve elden çıkarılmasını belgelemelidir. Talep edilmesi halinde, tedarikçi, Microsoft'a tedarikçinin yetkililerinden biri tarafından imzalanmış bir yok etmek sertifikası sunmalıdır. Kişisel ve Önemli Bilgilerin kullanımını izleyen sistemler ve prosedürler mevcuttur. Tedarikçi, etkin bir şekilde yürütülmelerini sağlamak için sistemleri ve işlemleri izler. Tedarikçi, Microsoft tarafından sözleşmede, iş bildiriminde veya satınalma siparişinde belirtilen belgelenmiş saklama ilkelerine veya saklama gereksinimlerine uyar. Tedarikçi, Microsoft Kişisel ve Önemli Bilgilerinin elden çıkarılmasının (örneğin, Microsoft'a iade etme veya yok etme) kaydını tutar. 4. Tamamen Microsoft'un takdirine bağlı olarak, hizmetler tamamlandıktan sonra veya Microsoft'un talep etmesi üzerine, tedarikçinin elinde bulunan veya kontrolü altında olan Microsoft Kişisel veya Önemli Bilgilerinin Microsoft'a iade edilmesini veya yok edilmesini sağlamalıdır. Sürüm 1.4 Sayfa 6

7 Tanımlayıcı Microsoft Tedarikçi Veri Koruması Gereksinimleri Önerilen Değerlendirme Ölçütleri GAPP F Şahıslar kendi Microsoft Kişisel Bilgilerine erişmek istediğinde, tedarikçi: Erişim 1. Şahısların kendi Microsoft Kişisel Bilgilerine erişebilmeleri için yapmaları gereken şeyleri onlara bildirmelidir. 2. Kendi Microsoft Kişisel Bilgilerine erişmek isteyen şahısların kimliğini doğrulamalıdır. 3. Başka makul bir seçenek olmaması haricinde, kimlik doğrulama için devlet tarafından verilen tanımlayıcıları (örneğin, Sosyal Güvenlik numarası) kullanmaktan kaçınmalıdır. Tedarikçi, kişisel bilgilere erişim için uygulanması gereken adımları ve bilgilerin güncellenmesi için kullanılan yöntemleri bildirir. Tedarikçi, kimlik doğrulama için devlet tarafından verilen tanımlayıcıları kullanmaz. Tedarikçi çalışanları, kişisel bilgilerine erişim talep eden veya kişisel bilgileri üzerinde değişiklik yapan şahısların kimliğini doğrulamak üzere eğitilir. Bir şahsın kimliği doğrulandıktan sonra tedarikçi: 1. O şahsa ait Microsoft Kişisel Bilgilerini elinde tutup tutmadığını veya kontrol edip etmediğini belirlemelidir. 2. İstenen Microsoft Kişisel Bilgilerini bulmak için makul bir çaba göstermeli ve makul bir aramanın yapıldığını göstermeye yetecek kadar kayıt tutmalıdır. 3. Erişim isteklerinin tarihini ve saatini ve tedarikçinin bu isteklere yanıt olarak gerçekleştirdiği eylemleri kaydetmelidir. 4. İstendiğinde, Microsoft'a erişim taleplerinin kayıtlarını sağlamalıdır. Tedarikçi, kişisel bilgilerin tutulup tutulmadığını belirleyen prosedürlere sahiptir. Tedarikçi, taleplere zamanında yanıt verir. Tedarikçi, erişim taleplerinin kaydını tutar ve kişisel bilgiler üzerinde yapılan değişiklikleri belgeler. Erişim reddi yazılı olarak belgelenmeli ve erişimin neden reddedildiği de belirtilmelidir. Sürüm 1.4 Sayfa 7

8 Şahısların kimliği doğrulanıp tedarikçi, talep edilen Microsoft Kişisel Bilgilerine sahip olduğunu doğruladıktan sonra, tedarikçi: 1. Şahıslara Microsoft Kişisel Bilgilerini uygun bir biçimde (basılı, elektronik veya sözlü olarak) vermelidir. Tedarikçi, şahıslara kişisel bilgileri anlaşılabilir bir biçimde ve şahıslar ve tedarikçi için uygun olan bir formda sağlar. 2. Erişim istekleri reddedilirse, şahıslara, daha önceden Microsoft tarafından sağlanan ilgili yönergelerle tutarlılık gösteren yazılı bir açıklama yapmalıdır. Tedarikçi, şahıslara verilen Microsoft Kişisel Bilgilerinin başka bir kişinin kimliğini tespit etmek için kullanılamamasını sağlamak için makul ölçüde tedbir almalıdır. Şahıs ve tedarikçi arasında Microsoft Kişisel Bilgilerinin eksiksiz ve doğru olup olmadığı konusunda anlaşmazlık olursa, tedarikçi bu sorunu Microsoft'a bildirmeli ve sorunu çözmek için Microsoft ile gerektiği gibi iş birliği yapmalıdır. Tedarikçi, verilen bilgilerden başka bir şahsın kimliğinin belirlenememesini sağlayacak makul önlemlerin alındığını kanıtlamalıdır (örneğin, talep edilen şahıs bilgilerinin yalnızca tek bir satırda yer aldığı bir sayfanın tamamı çoğaltılamaz). Tedarikçi, anlaşmazlık durumlarını belgeler ve sorunu Microsoft'a iletir. Sürüm 1.4 Sayfa 8

9 Tanımlayıcı Microsoft Tedarikçi Veri Koruması Gereksinimleri Önerilen Değerlendirme Ölçütleri GAPP G Tedarikçi, Microsoft Kişisel ve Önemli Bilgilerinin toplanmasına, kullanılmasına, dağıtılmasına, depolanmasına veya bunlara erişilmesine yardımcı olması için bir alt yüklenici kullanmak niyetindeyse: Üçüncü Taraflara İfşa Etme 1. Microsoft Supplier Program'a katılan alt yüklenicileri kullanmalı veya hizmetler için alt yüklenici kullanmadan önce Microsoft un açık yazılı iznini almalıdır. 2. Alt yüklenicilere ifşa edilen veya aktarılan Microsoft Kişisel ve Önemli Bilgilerinin türünü ve kapsamını belgelemelidir. 3. Alt yüklenicinin, Microsoft Kişisel Bilgilerini, şahısların beyan edilmiş iletişim tercihlerine uygun olarak kullanmasını sağlamalıdır. 4. Alt yüklenicinin Microsoft Kişisel Bilgilerini kullanımını, tedarikçinin Microsoft ile yaptığı sözleşme koşullarını yerine getirmesi için gereken şeylerle sınırlamalıdır. Tedarikçi, alt yüklenicilerin Microsoft Preferred Supplier Program (MPSP) katılımcısı olduğunu doğrular. Tedarikçi, MPSP'ye dahil olmayan tedarikçileri kullanmak için yazılı izin alır. Tedarikçi, alt yüklenicilere ifşa edilen veya aktarılan Microsoft Kişisel ve Önemli Bilgileri konusunda sürekli olarak belgelendirme yapar. Alt yüklenicinin, Microsoft Kişisel Bilgilerini yalnızca belirlenen amaç doğrultusunda ve şahısların iletişim tercihlerine uygun olarak kullanmasını sağlayan sistemler ve işlemler mevcuttur. Tedarikçi, mahkeme emrine yanıt olarak Microsoft Kişisel Bilgilerinin alt yüklenici tarafından herhangi bir şekilde ifşa edilmesine izin verilmeden önce Microsoft ile görüşüldüğünü (müsade edildiğinde) kanıtlayabilir. 5. Microsoft Kişisel Bilgilerinin alt yüklenici tarafından ifşa edilmesini isteyen bir mahkeme emri varsa, bu emre veya bildirime herhangi bir yanıt vermeden önce, yasaların izin verdiği ölçüde, durumu derhal Microsoft'a bildirmeli ve Microsoft'a olaya müdahale etme fırsatını sağlamalıdır. Sürüm 1.4 Sayfa 9

10 6. Microsoft Kişisel Bilgilerinin yetkisiz olarak kullanılması veya ifşa edilmesi emarelerine dair şikayetleri incelemelidir. 7. Bir alt yüklenicinin, Microsoft Kişisel ve Önemli Bilgilerini, Microsoft'a veya onun tedarikçilerine Microsoft ile ilgili hizmetler sağlamak dışında başka bir amaçla kullandığını veya ifşa ettiğini öğrenir öğrenmez bu durumu derhal Microsoft'a bildirmelidir. 8. Bir alt yüklenicinin, Microsoft Kişisel ve Önemli Bilgilerini yetkisiz olarak kullanması veya ifşa etmesi sonucunda ortaya çıkan zararı veya olası zararı azaltmak için derhal harekete geçmelidir. Microsoft Kişisel Bilgilerinin alt yüklenici tarafından yetkisiz kullanımına veya ifşa edilmesine ilişkin şikayetler için sistemler ve işlemler mevcuttur. Tedarikçi, alt yükleniciler Microsoft Kişisel Bilgilerini yetkisiz amaçlarla kullandıklarında Microsoft'un bu durumdan haberdar edildiğini kanıtlayabilir. Tedarikçi, alt yükleniciler Microsoft Kişisel ve Önemli Bilgilerini yetkisiz amaçlarla kullandıklarında veya bunları ifşa ettiklerinde gerekli işlemlerin yapıldığını kanıtlayabilir. Üçüncü taraftan kişisel bilgi kabul etmeden önce, tedarikçi: 1. Üçüncü tarafın veri toplama uygulamalarının DPR ile uyumlu olduğunu doğrulamalıdır. 2. Üçüncü tarafların yalnızca, Microsoft tarafından sağlanan hizmetleri gerçekleştirmek için gereken kişisel bilgileri topladığını doğrulamalıdır. Tedarikçi, herhangi bir Microsoft Kişisel Bilgisini üçüncü bir tarafa sağlamadan önce Microsoft'tan yazılı izin almalıdır. Üçüncü taraf veri toplama uygulamalarını doğrulayan işlemler mevcuttur. Üçüncü taraflardan gelen Microsoft Kişisel Bilgilerinin aktarımını, yalnızca sözleşmeli hizmetleri gerçekleştirmek için gerekenlerle sınırlayan işlemler mevcuttur. Tedarikçi yazılı iznin kopyalarını sağlayabilir. Sürüm 1.4 Sayfa 10

11 Gereksinim Tanımlayıcısı Microsoft Tedarikçi Veri Koruması Gereksinimleri Önerilen Değerlendirme Ölçütleri GAPP H Tedarikçi, Microsoft Kişisel Bilgilerinin tümünü doğru, eksiksiz ve beyan edilen toplanma ya da kullanılma amaçlarıyla ilgili olmasını sağlamalıdır. Bilgiler toplandığında, oluşturulduğunda ve güncellendiğinde doğrulanır. Sürekli olarak doğruluğu kontrol eden ve gerekli düzeltmeleri yapan sistemler ve işlemler mevcuttur. Kalite Belirtilen amacın yerine getirilmesi için gereken minimum miktarda kişisel bilgi toplanmalıdır. Sürüm 1.4 Sayfa 11

12 Gereksinim Tanımlayıcısı Microsoft Tedarikçi Veri Koruması Gereksinimleri Önerilen Değerlendirme Ölçütleri GAPP I Tedarikçi: İzleme ve Uygulama 1. Veri Koruması Gereksinimleriyle uyumluluğunu doğrulamak için yıllık uyumluluk incelemesi yapmalıdır. Tedarikçi, yıllık uyumluluk incelemelerinin yapıldığını kanıtlamalıdır. 2. Tedarikçinin Microsoft Kişisel Bilgilerini işlemesiyle ilgili herhangi bir şüphelenilen veya bilinen gizlilik ihlali ya da güvenlik açığı durumunu öğrendiği andan itibaren 24 saat içinde bu durumu Microsoft'a bildirmelidir. Tedarikçi, şüphelenilen veya bilinen bir gizlilik ihlalinin veya güvenlik açığının Microsoft'a bildirildiğini kanıtlamalıdır. 3. Yasalar veya mevzuat gerektirmedikçe, Microsoft Kişisel veya Önemli Bilgilerini içeren şüphelenilen veya gerçekleşmiş bir olayla ilgili olarak, Microsoft'un onayını almadan herhangi bir basın açıklaması ya da genel duyuru yayınlamamalıdır. 4. Şüphelenilen veya bilinen güvenlik açıklarını ve ihlalleri derhal azaltmalıdır. 5. Zamanında uygun bir düzeltme eylemenin gerçekleştirilmesini sağlamak için bir düzeltme planı uygulamalı ve Microsoft Kişisel Bilgileriyle ilgili ihlallerin ve güvenlik açıklarının çözümlenmesini izlemelidir. Güvenlik açıkları ve ihlaller zamanında çözümlenir. Uygun olduğunda düzeltme planları mevcuttur. Sürüm 1.4 Sayfa 12

13 Tedarikçi: 1. Microsoft Kişisel Bilgileriyle ilgili veri koruma şikayetlerinin tümüne yanıt vermek için resmi bir şikayet işlemi tesis etmelidir. 2. Microsoft Kişisel Bilgileriyle ilgili her tür şikayeti Microsoft'a bildirmelidir. 3. Microsoft tarafından özel talimatlar verilmediği sürece Microsoft Kişisel Bilgileriyle ilgili veri koruması şikayetlerinin tümünü kaydetmeli ve bunlara zamanında yanıt vermelidir. 4. Talep edilmesi halinde, çözümlenmiş ve çözümlenmemiş şikayetlerle ilgili belgeleri Microsoft'a sağlamalıdır. Tedarikçinin şikayetleri ele almak ve Microsoft'a bildirmek için belgelenmiş bir işlemi olmalıdır. Zamanında yanıt verildiğini gösteren şikayet kayıtları. Açık/kapalı şikayetlerle ilgili belgeler. Sürüm 1.4 Sayfa 13

14 Tanımlayıcı Microsoft Tedarikçi Veri Koruması Gereksinimleri Önerilen Değerlendirme Ölçütleri GAPP J BİLGİ GÜVENLİĞİ PROGRAMI Tedarikçi, Microsoft Kişisel ve Önemli Bilgilerini korumak için ilkeler ve prosedürler içeren bir bilgi güvenliği programı hazırlamalı, uygulamalı ve bu programı sürdürmelidir. Tedarikçinin güvenlik programı, Microsoft Kişisel ve Önemli Bilgilerinin korunmasıyla ilgili aşağıdaki konuları kapsamalıdır: Tedarikçinin uygulanan güvenlik programı, solda listelenen (a) (s) maddelerini kapsamalıdır. Korumalar, mevzuat planlarını (örneğin, HIPPA, GLBA) veya sözleşme gereksinimlerini karşılamak için gerektiğinde listelenenlerden fazla olabilir. Güvenlik a) Yılda bir defa veya daha sık risk değerlendirmeleri yapma. Tedarikçi risk değerlendirmeleri, yeni yeni ortaya çıkan tehditleri, bunların iş üzerindeki olası etkilerini ve meydana gelme ihtimallerini içermelidir. Tedarikçi, güvenlikle ilgili işlemleri, prosedürleri ve genel kuralları buna göre değiştirmelidir. b) En az üç ayda bir ve ağda önemli bir değişiklik olduktan sonra (örneğin, yeni sistem bileşeni yüklemeleri, ağ topolojisindeki değişiklikler, güvenlik duvarı kuralı değişiklikleri, ürün yükseltmeler) iç ve dış ağ güvenlik açığı taramaları yapma. c) Yetkili erişime izin verilmesini sağlayıp, elektronik bilgi sistemlerine fiziksel erişimi sınırlama dahil olmak üzere etkili fiziksel ve mantıksal erişim denetimleri kullanarak yetkisiz erişimi önleme. d) Yeni kullanıcı ekleme, var olan kullanıcıların erişim düzeylerini değiştirme ve artık erişim ihtiyacı olmayan kullanıcıları kaldırma prosedürleri (en düşük öncelik ilkelerini uygulama). e) Güvenlikten sorumlu tutma ve bu konuda hesap verme mecburiyeti getirme. Sürüm 1.4 Sayfa 14

15 f) Sistem değişiklikleri ve bakımdan sorumlu tutma ve bu konuda hesap verme mecburiyeti getirme. g) Riske bağlı olarak makul bir süre içinde sistem yazılımı yükseltmelerini ve düzeltme eklerini uygulama. h) Zararlı olabilecek virüslere ve kötü amaçlı yazılım uygulamalarına karşı koruma sağlamak amacıyla, sunucular, üretim ve eğitim masaüstü bilgisayarları dahil ancak bunlarla sınırlı olmamak üzere, ağa bağlı tüm ekipmanlar için virüsten ve kötü amaçlı yazılımdan koruma yazılımı yükleme. Virüsten koruma ve kötü amaçlı yazılımdan koruma tanımları günde bir defa veya Microsoft ya da virüsten koruma/kötü amaçlı yazılımdan koruma yazılımı tedarikçisinin talimatına göre daha sık güncellenmelidir. i) Sistem bileşenlerini uygulamadan önce test etme, değerlendirme ve yetkilendirme. j) İşlerinin bir parçası olarak yazılım geliştiren tedarikçiler Microsoft un Security Development Lifecycle (SDL) kurallarına bağlı kalmalıdır. adresinde daha fazla bilgi mevcuttur. k) Güvenlik sorunlarıyla ilgili şikayetlerin ve isteklerin çözümü. l) Hataların ve eksikliklerin, güvenlik ihlallerinin ve diğer olayların işlenmesi. m) Sistemlere yönelik gerçekleşen ve girişilen saldırıları veya izinsiz girişleri algılama ve güvenlik prosedürlerini proaktif olarak test etme (örneğin, sızma testi) prosedürleri. Sürüm 1.4 Sayfa 15

16 n) Güvenlik ilkelerini desteklemek için eğitim kaynaklarını ve diğer kaynakları tahsis etme. o) Sisteminde özel olarak ele alınmayan özel durumları ve durumları işlemek için provizyon. p) Bütünlük ve ilgili sistem güvenliği ilkelerini işleme. q) Olağanüstü durum kurtarma planları ve ilgili testler. r) Tanımlanmış taahhütlerin, hizmet düzeyi sözleşmelerinin ve diğer sözleşmelerin belirlenmesi ve bunlarla tutarlılık için provizyon. s) Kullanıcıların, yönetimin ve üçüncü tarafların, kişisel bilgilerin güvenliğiyle ilgili ilkeleri ve prosedürleri anladıklarını ve bunlara uymayı kabul ettiklerini doğrulamaları (başlangıçta ve her yıl) gereksinimi. KİMLİK DOĞRULAMA Tedarikçi, bir şahısa Microsoft Kişisel veya Önemli Bilgilerine erişim imkanı vermeden önce o kişinin kimliğini doğrulamalıdır Tedarikçi tarafından uygulanan kimlik doğrulama işlemleri, şahsın kişisel bilgilerine çevrimiçi erişim için benzersiz bir kullanıcı kullanıcı kimliğinin ve parolanın kullanılmasını gerektirmelidir. Çevrimiçi kimlik doğrulama için tedarikçiler: 1. Mümkünse Microsoft Hesabı kullanmalıdır. 2. Şahıslardan benzersiz bir kimlik ve parola (veya eşdeğeri) kullanmalarını istemelidir. Telefonla kimlik doğrulama için tedarikçiler: 1. Kullanıcının kişi bilgilerini doğrulamasını ve mümkün olduğunda, en az bir benzersiz bilgi (örneğin, UPC kodu, yarışma adı) sağlamasını istemelidir. Telefonla kimlik doğrulama işlemleri, şahıs tarafından kişi bilgilerinin ve yalnızca ilgili şahsın bileceği benzersiz bir bilginin doğrulanmasını içermelidir. Sürüm 1.4 Sayfa 16

17 TEDARİKÇİ PERSONELİNİN MICROSOFT KİŞİSEL BİLGİLERİNE ERİŞİMİ Tedarikçi, personelinin Microsoft Kişisel Bilgilerine erişimini iş ihtiyacıyla sınırlamalıdır. Tedarikçiler, artık Microsoft programlarında çalışmayan kişilerin ağ ve diğer destek hesaplarının tümünü, kişinin programdan ayrılmasının ardından 24 saat içinde ve kendi isteği dışında işten çıkarılması durumunda ise 2 saat içinde devre dışı bırakmalıdır. Tedarikçi çalışanlarının, işle ilgili meşru ihtiyaçların karşılanması amacıyla kişisel bilgilere erişimini sağlamaya ilişkin sistemler ve prosedürler bulunmalıdır. Bu sistemler ve prosedürler dahili/harici erişime, ortama, kağıda, teknoloji platformlarına ve yedekleme ortamına yönelik olmalıdır. MICROSOFT KİŞİSEL BİLGİLERİNİN YOK EDİLMESİ Microsoft Kişisel Bilgilerinin yok edilmesi gerektiğinde, tedarikçi: 1. Microsoft Kişisel Bilgilerini içeren fiziksel varlıkları yakarak, öğüterek veya lime lime ederek bu bilgilerin okunamayacak veya yeniden oluşturulamayacak hale gelmesini sağlamalıdır. Tedarikçi, fiziksel varlıkların veriler okunamayacak veya yeniden oluşturulamayacak şekilde yok edildiğini kanıtlamalıdır. 2. Microsoft Kişisel Bilgilerini içeren dijital varlıkları imha ederek veya silerek bu bilgilerin okunamayacak veya yeniden oluşturulamayacak hale gelmesini sağlamalıdır. DİJİTAL VARLIKLARIN KORUNMASI Tedarikçi: 1. İletimde ve gönderici/alıcı kimlik doğrulaması için Microsoft Bilgileri için endüstri standardı SSL, TLS veya IPsec şifreleme uygulamalarını kullanmalıdır. Internet veya diğer ortak ağlar üzerinden iletilen kişisel bilgileri koruyan sistemler ve prosedürler bulunmalıdır. Bazı mevzuat planları (örneğin, HIPPA, GLBA, PCI) veri iletimine ilişkin belirli gereksinimler içerir. SSL sertifikaları konusunda gerekenler yapılarak eskilerin kullanım süresi dolmadan önce yeni ve geçerli SSL sertifikaların yüklenmesi sağlanır. 2. Microsoft Bilgilerinin depolandığı dizüstü bilgisayarlarda BitLocker veya bunun sektörde tanınan eşdeğer bir alternatifini kullanmalıdır. Sürüm 1.4 Sayfa 17

18 3. Aşağıda listelenmiş olan Microsoft Kişisel Bilgileri türlerini depolarken, günümüzün endüstri standartlarına uygun olan kriptografik olarak güçlü simetrik ve asimetrik algoritmalar kullanmalıdır. Bu gereksinim; USB sürücüler, cep telefonları, yedekleme cihazları veya medyası vb. dahil ancak bunlarla sınırlı olmamak üzere, taşınabilir cihazları kapsar. a. resmi kimlik numaraları (örneğin, sosyal güvenlik veya sürücü ehliyeti numaraları); b. hesap numaraları (örneğin, kredi kartı ve banka hesabı numaraları); c. tıbbi profiller (örneğin, tıbbi kayıt numaraları veya biyometrik tanımlayıcılar). 4. Yalnızca şifreli iletim aracılığıyla gönderilen Microsoft Bilgilerini kabul etmelidir. 5. İhlalleri ve Microsoft Kişisel Bilgilerini içeren sistemlere yetkisiz erişim imkanı elde etme girişimlerini derhal araştırmalıdır. 6. Araştırma sonuçlarını üst düzey bir tedarikçi yöneticisine ve Microsoft'a derhal bildirmelidir. Saklanan resmi kimlik numaralarını, hesap numaralarını ve tıbbi bilgileri şifreleyen sistemler ve prosedürler bulunmalıdır. Tedarikçi, şifrelenmemiş yöntemlerle iletilen kişisel bilgilerin teslimini reddetmelidir. İhlalleri veya yetkisiz erişim girişimlerini araştıran sistemler ve işlemler mevcuttur. Araştırma sonuçlarını Microsoft'a bildiren sistemler ve işlemler mevcuttur. 7. Kabul ettiği kartlar için ilgili kredi kartı işleme standartlarına bağlı kalmalıdır. FİZİKSEL VARLIKLARIN KORUNMASI Tedarikçi: 1. Microsoft Kişisel Bilgilerini erişim denetimi olan bir ortamda depolamalıdır. 2. Microsoft Kişisel Bilgilerini güvenli bir şekilde nakletmelidir. Kişisel bilgilerin dijital, yazdırılmış kopya, arşiv ve yedek kopyalarına fiziksel erişimi düzenleyen sistemler ve işlemler mevcuttur. Kişisel bilgi içeren fiziksel varlıkların nakil sırasında yeterli derecede korunmasını sağlayan sistemler ve işlemler bulunmalıdır. Sürüm 1.4 Sayfa 18

19 OLAĞANÜSTÜ DURUM KURTARMA Tedarikçi, yedekleme ve olağanüstü durum kurtarma planlama işlemlerinin Microsoft Kişisel ve Önemli Bilgilerini yetkisiz kullanımdan, erişimden, ifşadan, değiştirmeden ve yok edilmeden korumasını sağlamalıdır. TESTLER VE DENETIMLER Tedarikçi: 1. Microsoft Kişisel Bilgilerini koruyan anahtar korumalarının etkinliğini düzenli olarak test etmelidir. 2. Güvenlik kontrollerinin bağımsız denetimlerinin düzenli aralıklarla gerçekleştirilmesini sağlamalıdır. Olağanüstü bir durum halinde Microsoft Kişisel ve Önemli Bilgilerini yok edilmekten, değiştirilmekten, ifşa edilmekten veya yetkisiz kullanımdan veya erişimden koruyan sistemler ve işlemler bulunmalıdır. Gerekli testlerin sıklığı, tedarikçi işlemlerinin boyutuna ve karmaşıklığına bağlı olarak değişir. Testin ve test sonuçlarının, ayrıca test sonuçları bir eksikliği gösterdiğinde sistemde, ilkelerde veya prosedürlerde yapılan değişikliklerin belgelenmesi gerekir. MS sözleşme şartları gerektirdiğinde, güvenlik denetimleri sözleşme şartlarına uygun olarak yürütülmelidir. 3. Talep edildiğinde, bu denetimlerin sonuçlarını Microsoft'a sunmalıdır. 4. Olağanüstü durum kurtarma planlarını ve yedek planları belgelendirmeli ve bunların kullanılabilirliğini sağlamak için en az yılda bir defa bunları test etmelidir. Tedarikçi, yedekleme sıklığını belirten yedekleme ilkesini belgelendirmiş olmalıdır. Yedek kopyalar güvenli bir şekilde depolanmalıdır. Yedeklemeler, bunların kullanılabilirliğinden emin olmak için gerçek geri yüklemelerle düzenli olarak test edilmelidir. 5. Güvenlik sızması incelemeleri dahil olmak üzere düzenli olarak tehdit ve güvenlik açığı testleri yapmalıdır. 6. Geliştirme veya test ortamında kullanılan Microsoft Kişisel Bilgilerinin tümünü isimsizleştirmelidir. Microsoft Kişisel Bilgileri geliştirme ve test ortamlarında kullanılmamalıdır; başka bir seçenek yoksa kişilerin tanınmasını veya kişisel bilgilerin kötüye kullanılmasını önlemek için isimsiz kullanım tercih edilmelidir. Sürüm 1.4 Sayfa 19