Travelex Veri Koruması ve Gizliliği ve Bilgi Güvenliği Kuralları

Transkript

1 Travelex'te çalıştığınız süre boyunca müşterilerimiz, ortaklarımız ve çalışanlarımız ile ilgili bilgilerle karşılaşma ihtimaliniz bulunacaktır. Bilgilerin seviye ve hassasiyeti görevinize göre değişecektir. Travelex'in faaliyetlerini yürüttüğü her ülkenin yürürlükte olan Veri Koruma veya Veri Gizliliği yasaları mevcuttur. Bu yasaların karmaşıklığı ve koşulları ülkeden ülkeye değişiklik göstermektedir; yani bazı yasalar kapsamında katı kurallar uygulanırken bazılarında bu durum daha toleranslıdır. Şirketimizi küresel düzeyde yönetmek ve dolayısıyla söz konusu gereksinimlere daha kolay bir şekilde uyum sağlamak için, Travelex işlediği tüm kişisel bilgilere yönelik bir takım politika ve standartlar oluşturmuştur. Çeşitli ülkelerin özel ihtiyaçlarına bağlı bazı istisnalar mevcuttur ve bu istisnalar "İstisna Standartları" yoluyla yönetilmektedir. Size, g görevinizin gerektirdiği Veri Koruması ve Gizliliği eğitimi verilecektir. Bilmeniz gereken öncelikli kurallar şunlardır: Kişisel bilgi nedir? Kişisel bilgi, yaşayan bir bireyi tanımlayan her türlü veri veya bir bireyi tanımlayan diğer verilere eklenebilen bir veri parçasıdır. Bunlar, ses dosyaları, CCTV (kapalı devre televizyon), müşteri veri tabanları, evraklar ve personel dosyalarını içermektedir. Kişisel bilgiler ayrıca "kişisel veriler" veya "kişisel olarak tanımlanabilir bilgiler" olarak da bilinmektedir. Veri Koruması ve Gizliliği Yasasına uyumdan kim sorumludur? Travelex, kişisel bilgileri korumakla yükümlü taraf veya bu bilgilerin sahibi olarak, ilgili yasalara uymak için "veri denetleyicisi" sıfatıyla yasal bir sorumluluk taşımaktadır. Bu yasal sorumluluk ayrıca görevleri icabı kişisel bilgilerle temas kuran tüm Travelex çalışanları için de geçerlidir. Veri Koruması ve Gizliliği Yasası nedir? Yasaların birçoğu, kişisel bilgilerin nasıl işlenmesi gerektiğini belirten bir takım kurallar içermektedir. Söz konusu süreç, kişisel bilgilerin toplanması, kullanılması, depolanması, ifşa edilmesi ve yok edilmesi aşamalarından oluşmaktadır. 20 Şubat 2013 Sayfa 1

2 Travelex ilkeleri nelerdir? Kişisel bilgiler: Adil ve meşru bir şekilde işlenmelidir Gizlilik bildirimleri, istihdam sözleşmeleri veya hüküm ve koşulları doğrultusunda ele alınmalıdır. Yeterli ve uygun olmalı, aşırı miktarda olmamalıdır Sadece müşteriye talep edilen hizmeti sunmak veya istihdam sürecini kolaylaştırmak için gerekli olan bilgileri toplayın. Doğru olmalı ve güncel tutulmalıdır Kişisel bilgileri doğru olarak topladığımızdan ve aynı şekilde muhafaza ettiğimizden emin olmalıyız. Esas olarak niçin toplandıysa sadece o amaç için kullanılmalıdır Bir müşterinin veya çalışanın işlemini gerçekleştirmek için topladığımız kişisel bilgileri, daha sonra müşterinin veya çalışanın izni (rızası) olmaksızın başka bir maksatla kullanamayız. Sadece gerekli olduğu sürece muhafaza edilmelidir Söz konusu bilgiler iş amacıyla ve yasal koruma şartları doğrultusunda muhafaza edilmelidir. Güvenli bir şekilde muhafaza edilmelidir Sadece kişisel bilgilere erişim sağlaması gereken kişiler bu bilgileri almalıdır. Veriler, gerek doğrudan müşteriden/çalışandan alınırken gerekse tedarikçilere aktarılırken korunmalıdır. Kişisel haklar çerçevesinde yönetilmelidir Örneğin: Travelex'in elinde bulunan bilgilere erişim; yanlış veya hatalı bilgileri düzelttirme hakkı. Sadece bu bilgileri alma yetkisi bulunan kişilere açıklanmalıdır Örneğin: Siparişleri işlememize yardımcı olan tedarikçilerimiz ve görevleri icabı bilgilere erişim sağlamaları gereken diğer Travelex çalışanları. Avrupa'da, kişisel bilgilerin diğer ülkelere aktarılmasıyla ilgili olarak sıkı denetimler uygulanmaktadır. 20 Şubat 2013 Sayfa 2

3 Çalışan olarak sorumluluğunuz nedir? Çalıştığınız süre boyunca, biriminizin politika ve prosedürleri doğrultusunda kişisel bilgileri toplayabilir, kullanabilir veya işleyebilirsiniz. Kişisel bilgileri sadece işinizi yaparken size yardımcı olması için kullanabilirsiniz. Kişisel bilgiler, bu bilgileri görmesi veya bu bilgilere erişim sağlaması gerekmeyen kişilerle paylaşılmamalıdır. Personel kantini veya diğer toplu ortamlar gibi kamuya açık yerlerde müşteri bilgileri hakkında konuşmamak da buna dahildir. Kanun uygulayıcı kurumlar, Düzenleyiciler, akrabalar veya müşteriler gibi üçüncü bir kişiden bilgi ifşa etmeye yönelik talepler, bölgenizdeki Uyumluluk Departmanı veya Veri Koruma Birim Başkanına yönlendirilmelidir. Veri Koruması veya Veri Gizliliği yasasını kasıtlı olarak veya ihmal sonucu ihlal ettiği tespit edilen çalışanlar Travelex tarafından disiplin cezasına tabi tutulabilirler. İzlenilmesi gereken basit kurallar: Kişisel bilgi içeren evrakların, kullanılmadığı zaman kilit altında emniyetli bir şekilde saklandığından emin olun. Gizli bilgileri, başkalarının görebileceği şekilde masanızın, dolapların, yazıcıların/faks makinelerinin veya gişelerin üzerinde bırakmayın. Masanızın başından kalkarken bilgisayarınızdaki ekran koruyucuyu aktifleştirdiğinizden ve ekran koruyucunuzun parola korumalı olduğundan (Alt + Ctrl +Delete ve Enter) emin olun. Ekran koruyucunuzu, bilgisayar 15 dakika boyunca boşta kaldıktan sonra otomatik olarak kilitlenecek şekilde ayarlayabilirsiniz. Ancak, verileri emniyete almak bakımından sadece bu yönteme güvenmemelisiniz. Örneğin kağıt öğütücü kullanarak veya emniyetli özel çöp kutularına atarak gizli bilgileri imha edin. Sisteme uygunsuz notlar düşmeyin. Tüm bilgiler doğru, eksiksiz ve olgulara dayalı olmalıdır. Müşteri veya çalışan bilgileri hakkında, bu bilgilere ulaşması gerekli olmayan hiçbir kimseyle kesinlikle konuşmayın. Diğer çalışanlar ve aile ve arkadaşlar da buna dahildir. Müşteri veya çalışan bilgilerini sadece uygun bir amaç doğrultusunda kullanın. Kişisel bilgiler, Bölge Müdürünüzün önceden izni olmaksızın çalışma ortamından dışarıya kesinlikle çıkarılmamalıdır. 20 Şubat 2013 Sayfa 3

4 Kredi Kartı Bilgileri: Kredi kartı bilgileri, PCI DSS (Kredi Kartı Endüstrisi Veri Güvenliği Standardı) olarak bilinen bir takım ek koşullara tabidir. Kart sahibine ait bilgileri korumak ve kartların hileli kullanımını önlemek için yüksek standartlar uygulanmaktadır. Travelex bu standarlara uymalıdır; aksi halde Visa ve MasterCard gibi kredi kartı şirketleri tarafından uygulanan büyük cezalara maruz kalabilir. İşimiz gereği, müşterilerimizden döviz ve seyahat çeklerine ilişkin ödemeleri kolaylaştırmak için bilgi alıyor ve Ön Ödemeli Döviz Kredi Kartımız için veri topluyoruz. Bir kredi kartının üzerindeki 15 veya 16 haneli sayı (kartın ön yüzünde büyük harflerle basılıdır) PAN (Birincil Hesap Numarası) olarak bilinmektedir. Travelex politikası, PAN verilerinin sadece ödemeleri işlemek amacıyla kullanılmasını ve PAN'ın kesinlikle depolanmaması, aktarılmaması veya ifşa edilmemesini gerektirmektedir. PAN'ın not edilmesi veya herhangi bir kaydının saklanması da buna dahildir. Ayrıca, şirketimiz ödemeleri işlemek için kartın son kullanma tarihini ve 3 haneli güvenlik kodunu (CVV kart güvenlik kodu) toplayabilir. Bu, hassas doğrulama verisi (SAD) olarak bilinmektedir. Travelex SAD'ı sistem, evrak veya kayıtlarında kesinlikle tutmamakta veya depolamamaktadır. Size, görevinizle ilgili olarak bu standartlara nasıl uymanız gerektiği konusunda ek bilgiler verilecektir. Bilgi Güvenliği Kişisel bilgilerin yanı sıra Travelex'e ait ticari bilgilerle de (fikri mülkiyet olarak da bilinir) karşılaşabilirsiniz. Bu bilgiler gizlidir ve Travelex dışında veya bu bilgilere erişim sağlaması gerekmeyen Travelex çalışanları ile paylaşılmamalıdır. Travelex ağında, bu bilgilerin gizliliğinin ifşa edilmemesi ve içerdiği bilgilerin gizli kalması, bütünlüğünün korunması ve bu bilgilerin gerektiğinde kullanılabilmesini sağlamak için çeşitli denetimler uygulanmaktadır. Bu denetimler şunları kapsamaktadır: Kötü amaçlı yazılımların (örn. virüsler, Trojanlar vs) sisteme girmesini önlemek için gelen posta ekleri ve URL'lerin taranması. Metin ve eklerde kredi kartı numaralarının yer almadığından emin olmak için Travelex ağı dışına gönderilen e postaların taranması. İnternet hizmetinin kullanımıyla ilgili Travelex politikalarını uygulamak için tüm internet kullanımının kayıt altına alınması. Müstehcen, suç oluşturan veya diğer grup veya kişilere zarar verebilecek nitelikte olan grafikler de dahil olmak üzere hiçbir bilgiyi araştırmamalı, almamalı, görüntülememeli, yüklememeli veya dağıtmamalısınız. Travelex, bu tür sitelere erişimi engelleyen bir filtre sistemi kullanmaktadır. 20 Şubat 2013 Sayfa 4

5 Bu denetimler şunları kapsamaktadır (devamı): Bilgilere erişimi ve bu bilgilerde yapılan değişiklikleri takip etmek için tüm sistem ve uygulamalar üzerinde kapsamlı denetleme yolları uygulanmaktadır. Göreve dayalı erişim kontrolü sadece, işlerini yapmak için verilere erişim sağlaması gereken çalışanlara veriye erişim izni verilmektedir. Doğal afet durumunda veya diğer olağanüstü hallerde Travelex'in işlerini yürütmeye, müşterilerine hizmet vermeye ve çalışanlarını korumaya devam etmesini sağlamak için kapsamlı İş Sürekliliği Yönetim Planları uygulanmaktadır. Olağanüstü bir durumun meydana gelmesi halinde bulunduğunuz görevle ilintili olarak oynayacağınız rol hakkında size bilgi verilecektir. Suçu önlemek ve tespit etmek ve suçluları belirlemek üzere kovuşturma sürecine katkıda bulunmak için CCTV sistemi kullanılmaktadır. CCTV kullanım düzeyi ülkeye ve çevreye göre değişiklik göstermektedir. Örneğin, bir değerin saklandığı iş yerlerinde normal bir ofis ortamına göre çok daha fazla sayıda CCTV kullanılmaktadır. Erişim Kontrolü size, göreviniz doğrultusunda, belirli ofis ve iş yerlerine erişiminizi sağlayacak bir erişim kartı (giriş kartı) verilebilir. İzlenmesi gereken Bilgi Güvenliği Kuralları: Size aksi söylense bile, şifrenizi başkalarıyla asla paylaşmayın. Ancak, bu kuralın tek istisnası, Bilgi Teknolojileri Hizmet Masası'nın (IT Help Desk) bir sorunu çözmek veya bir yükleme yapmak için bilgisayarınıza erişim sağlamasını gerektiren durumlardır. Bu durumda şifrenizi karşı tarafa verebilirsiniz, fakat işlemin hemen ardından mevcut şifrenizi değiştirmelisiniz. Şifrenizi herhangi bir yere not etmeyin. Kolayca hatırlayabileceğiniz, fakat başkalarının zor tahmin edeceği bir şifre belirlemeye çalışın. Şifre olarak isim kullanmayın, çünkü bu tip şifrelerin kırılması kolaydır. Bilgisayar ünitenizi başından ayrılırken mutlaka kilitleyin. Kullanıcı adı ve şifreniz kullanılarak gerçekleştirilen tüm işlemlerden şahsınız sorumludur. Şifrenizin risk altında olduğunu düşünüyorsanız hemen değiştirin ve Bölge Müdürünüze veya BT Hizmet Masasına haber verin. Dizüstü veya masaüstü bilgisayarınıza oyun veya diğer verileri yüklemeyin. Buna, itunes ve Travelex tarafından onaylanmayan uygulamalar da dahildir. Eğer şüpheli bir durum varsa yardım almak için BT Hizmet Masasını arayın. Giriş kartınızı, dizüstü bilgisayarınızı, telefonunuzu veya Travelex'e ait herhangi bir ekipmanı kaybederseniz en kısa sürede BT Hizmet Masasına haber verin. Bu durumda Hizmet Masası cihazı devre dışı bırakacak ve herhangi bir kişisel veya gizli bilginin ifşa edilmesini engelleyecektir. Herhangi bir ziyaretçi Travelex'e ait bir binada bulunduğu zaman daima ona refakat edin. Beklenmeyen veya tanıdık olmayan ziyaretçileri, kimlik bilgilerini kontrol etmeden ve ziyaret sebeplerini öğrenmeden Travelex binasına almayın. 20 Şubat 2013 Sayfa 5

6 Politika kurallarına uymamaktan dolayı, kasıtlı olarak veya ihmal sonucu Travelex ağının zarara (veya olası bir zarara) uğramasına neden olan çalışanlara Travelex tarafından disiplin cezası uygulanabilir. 20 Şubat 2013 Sayfa 6