Veri Güvenliği Uygulamaları

Verisign, müşteri verilerine yönelik olarak uygun teknik ve organizasyonel güvenlik uygulamalarını benimsemiştir ve bunları korumaya devam edecektir. Bunlar Verisign alt yapısı, yazılım, çalışanlar ve prosedürleri kapsar ve müşteri anlaşmasında belirtilen şekilde işleme uygulamasının doğasını, kapsamını ve amaçlarını göz önünde bulundurur. Güvenlik kontrolleri ve uygulamaları, müşteri verilerinin gizlilik, bütünlük ve kullanılabilirliğini, kişisel verilerin işlenmesine içkin risklere, özellikle iletilen, saklanan ya da başka şekilde işlenen müşteri verilerinin kazara veya yasadışı imhası, kaybı, değiştirilmesi, yetkisiz ifşası ya da erişiminden doğan risklere karşı korumak üzere tasarlanmış ve amaçlanmıştır. Verisign, bu güvenlik kontrolleri ve uygulamalarını güçlendirmek ve geliştirmek için sürekli olarak çaba harcar.

Verisign, AICPA, Güvenilir Hizmet İlkeleri ve Kriterleri (Sistem ve Organizasyon Kontrolleri (“SOC”)) (www.aicpa.org) ile uyumlu uygulamalar kapsamında faaliyet yürütür. Verisign’ın bilgi güvenliği uygulamaları, Verisign ile müşterilerin Verisign hizmetlerini kullanımı için geçerli güvenlik alanları oluşturur ve bu alanları yönetir. Çalışanlar, yükleniciler ve geçici çalışanlar dahil tüm Verisign personeli bu uygulamalara ve istihdamlarını ya da Verisign’a sundukları hizmetleri düzenleyen ilave uygulamalara tabidir.

Verisign’ın bilgi güvenliğine yaklaşımı kapsamlıdır, fiziksel güvenlik, ağ alt yapısı, yazılım ve çalışan güvenliği uygulamaları ile prosedürlerinin tümünün güçlü bir yönetim ve gözetim ile güçlendirilen kilit bir rol oynadığı, çok katmanlı bir strateji benimser.

a) Fiziksel Tedbirler

Verisign, ofis mekanları ve tüm üretim alt yapısı da dahil, müşteri verilerinin tutulduğu Verisign tesislerine yetkisi olmayan şahısların erişimini engellemek için özel olarak tasarlanmış önlemleri uygulamaya koyar. Ofis mekanları ile Verisign ortak mekanları/veri merkezleri arasında kullanılan ortak kontroller şunları içerir, örneğin:

  • Tüm fiziksel erişim kısıtlanır ve yetkilendirme gerektirir.
  • Tüm Verisign işletmeleri, kayıt özelliğine sahip video ile kontrol edilir ve izlenir.
  • Girişler, araçların yetkisiz girişlerini engellemek üzere tasarlanmış fiziksel bariyerlerle korunur.
  • İşletmeler, başka görevlerin yanı sıra, görsel kimlik tanıma ve ziyaretçi refakat idaresini gerçekleştiren güvenlik görevlilerince yılda 365 gün, 24 saat bekçi ile korunmaktadır.
  • Tüm çalışan ve ziyaretçiler, tesiste bulunduğu sırada gözle görülebilen resmi bir kimlik kartı takmalıdır.
  • Ziyaretçiler, bir ziyaretçi kayıt defterini imzalamalı ve tesiste bulunduğu sırada refakat edilmeli ve/veya gözlemlenmelidir.
  • Anahtarların/erişim kartlarının edinimi ve mekanlara erişim kabiliyeti izlenir. Verisign’daki görevinden ayrılan çalışan anahtarları/kartları iade etmelidir.
  • Tüm mekanlarda birden fazla jeneratör, güç kaynağı, havalandırma ve klima cihazı ile yangın söndürme sistemi sağlanmıştır.

b) Sistem Erişim Kontrolleri

Yetkisiz iletişimleri engellemek üzere güvenlik duvarları, çevresel güvenlik kontrolleri, VPN’ler ve erişimi kontrol eden yönlendiriciler kullanımdadır ve Verisign standartlarına göre yapılandırılmıştır. Saldırıları ya da şüpheli davranışları tespit etmek için ağ tabanlı sızma tespit sistemleri yapılandırılmıştır, güvenlik ile sistem ve veri gizliliğine ilişkin potansiyel zayıflıkları saptamak için güvenlik açığı taramaları gerçekleştirilir. Verisign, belirli hizmete bağlı olarak, aşağıdaki kontrolleri uygular: (i) parolalar aracılığıyla kimlik doğrulaması ve/veya çok faktörlü kimlik doğrulaması; (ii) belgelendirilen kimlik doğrulaması ve değişim yönetimi süreçleri; ve (iii) erişim için oturum açma. Verisign’ın alt yapısını destekleyen yazılım, işletim sistemleri, veri tabanları ve gerektiğinde güncellenen antivirüs yazılımından oluşur. İçeride geliştirilmiş uygulamalar, ürün sağlama fonksiyonlarını gerçekleştirir. Ayrıca, Verisign üretim sistemlerinin günlük ve periyodik olarak yedeklenmesini sağlamak için birden fazla yedekleme/geri yükleme aracı kullanır.

Verisign’ın müşteri verilerine erişimi yetkili personelle sınırlandırılmıştır, ancak yönetimden alınan uygun onayın ardından erişim yetkisi verilir. Sadece bilmesi gereken Verisign çalışanına, ancak müşterilere destek sunmak kaidesiyle, müşteri verilerine erişim yetkisi verilecektir. Verisign, ayrıca müşterilerin kendi ortamlarına ve içeriklerine kendi yetkili personelleri tarafından gerçekleştirilen erişimleri kontrol edebildiği bir mekanizma sağlar.

c) İletim ve Bağlantı Denetimi

Verisign, müşteri verilerinin rest, iletişim ve aktarım sırasında yetkili olmayan taraflarca okunması, kopyalanması, değiştirilmesi ya da silinmesini engelleyen önlemleri uygulamaya koyar. Bu kontrol, müşteri verilerinin üzerinde yol aldığı uygulama geçitleri ve iletim hatlarını korumak üzere yeterli güvenlik duvarı, VPN, güvenlik protokolü ve şifreleme teknolojilerini içeren çeşitli önlemlerce sağlanır. Müşterilerin Verisign müşteri portallarına erişimi de, Verisign tarafından sağlanan güvenli bir iletişim protokolü vasıtasıyla gerçekleştirilir. Erişim, Aktarım Katmanı Güvenliği (“TLS”) etkin bir bağlantı vasıtasıyla gerçekleşiyorsa, bu bağlantı en az 128-bit şifreleme ile anlaşma sağlanarak kurulur. Şifreleme anahtarını üretmek üzere kullanılan özel anahtar en az 2048 bit’tir. TLS, Verisign’da kullanılan tüm web tabanlı TLS-sertifikalı uygulamalar için sağlanır veya yapılandırılabilir.

d) Verilerin Ayrılması

Müşteri verileri, Verisign ortamlarında tutulan diğer müşterilerin verilerinden mantıksal ya da fiziksel olarak ayrılır.

e) Gizlilik ve Eğitim

Müşteri verilerine erişebilen Verisign çalışanları gizlilik sözleşmelerine tabidir. Verisign çalışanlarının, periyodik olarak eğitim almaları gerekir.

f) Verisign Bilgi Güvenliği Politikaları

Verisign’ın bilgi güvenliği politikaları, Verisign hizmetleri ile müşterilerin bu hizmet kullanımları için geçerli güvenlik alanları oluşturur ve bu alanları yönetir. Verisign personeli Verisign bilgi güvenliği politikalarına ve istihdamlarını ya da Verisign’a sundukları hizmetleri düzenleyen ilave uygulamalara tabidir. Bu politikalarla ilgili bilgiler, geçerli Sistem ve Organizasyon Kontrolleri’nde (SOC 2) ya da talep üzerine müşterilerle paylaşılabilen diğer üçüncü taraf raporlarda mevcuttur.

g) Güvenlik Değerlendirmeleri

Verisign, burada tanımlanan teknik ve organizasyonel güvenlik önlemlerini düzenli olarak test etmek, değerlendirmek, incelemek ve etkinliğini sürdürmek için kurum içi süreçler uygulamaya koyar. Verisign, bağımsız incelemeler yürütmek ve sıralananlara uygunluğu garanti etmek için üçüncü taraflardan yardım alabilir (raporların kullanılabilirliği ve kapsamı hizmete ve ülkeye göre değişebilir):

  • AICPA, Güvenilir Hizmet İlkeleri ve Kriterleri (Sistem ve Organizasyon Kontrolleri Sistem ve Organizasyon Kontrolleri (SOC) 2 Tip II)
  • 2002 Sarbanes-Oxley Yasası
  • İdari ve teknik kontrollerin etkinliğini incelemek üzere, diğer bağımsız üçüncü taraf güvenlik testleri.

Yürürlük: 24 Mayıs 2018