Bu bilgi güvenliği programı (“Güvenlik Programı”) Smartcat'in, Smartcat'in https://www.smartcat.com/ adresinde bulunan web sitesi, hizmetleri ve teknoloji platformu (“Smartcat Platformu”) aracılığıyla alınan bilgileri nasıl koruduğuyla ilgilidir. Smartcat'e sağladığınız bilgiler, güvenlik sistemimiz endüstri standartlarını ve uyumluluğu karşıladığından korunur. Güvenlik Programı, Smartcat uygulamasının ve altyapısının hem fiziksel hem de BT sistemleri güvenliği için geçerlidir.
Smartcat'in kendini işine adamış çalışanları ve yüklenicileri bilgilerin, elektronik cihazların ve ağ kaynaklarının güvenliğini sağlamak için her türlü çabayı göstermektedir.
Smartcat, bilgilerin güvenliğini sağlamak için "Bilgi Güvenliği Politikası", "Olay Müdahale Planı", "Kriptografi Politikası" ve "Güvenli Geliştirme Politikası" dahil ancak bunlarla sınırlı olmamak üzere BT şirketlerine yönelik standart politikalara uyar. Smartcat bu politikaları en az yılda bir kez gözden geçirir.
Smartcat, ABD, AB ve Çin'de AWS ve Microsoft Azure tarafından yürütülen SOC-1, SOC-2 ve SOC-3 uyumlu Kademe IV veri merkezlerini kullanır.
Smartcat, bağımsız bir üçüncü taraf denetiminden geçti ve bir SOC 2 Tip II güvenlik sertifikası aldı.
Smartcat, Ödeme Kartı Endüstrisi Veri Güvenliği Standardı içindeki en yüksek sertifika düzeyi olan PCI DSS Seviye 1 uyumlu bir üçüncü taraf ödeme sağlayıcısı kullanır.
Verilerinizi bulutta barındırarak güvenliğinden emin olabilirsiniz. Bilgisayarınızın çalınması veya bir virüse maruz kalması durumunda davetsiz misafirler ona erişemez. Bilgisayarınız bozulsa bile, tüm verileriniz sizin için güvenli ve kullanılabilir olacaktır.
Smartcat üretim sistemlerine ve ağlarına idari veya ayrıcalıklı teknik erişime sahip tüm Smartcat çalışanları ve üçüncü tarafların, işe alım sırasında ve sonrasında yıllık olarak güvenlik farkındalığı eğitimini tamamlaması gerekir. Çalışanlar ve yükleniciler, ilgili bilgi güvenliği politikaları ve prosedürlerinden haberdardır.
Smartcat Olay Müdahale planı, Smartcat'e veya müşteri verilerine olası veya fiili izinsiz erişim durumunda uygulanacak dahili prosedürlerin ana hatlarını çizer. SOC 2 gerekliliklerini takiben, Olay müdahale planı yıllık bazda gözden geçirilir ve test edilir.
İş sürekliliğine yönelik bir tehdit durumunda Smartcat, aşağıdaki göstergelere uygun olarak verileri minimum kayıpla kurtarabilir:
24 saatten fazla olmayan Geri Yükleme Noktası Hedefi
24 saatten fazla olmayan Geri Yükleme Süresi Hedefi
Smartcat, 1 yıla kadar bir süre boyunca saklanan sistem ve uygulama günlüklerinin yanı sıra kullanıcı etkinliğini de saklar.
Smartcat, talep üzerine müşterilerin veya diğer ilgili tarafların kullanımına sunulan ve Smartcat ile yapılan ek bir gizlilik sözleşmesine tabi olan düzenli penetrasyon testleri gerçekleştirir.
Smartcat Platformu hizmetlerini ve işlevlerini geliştirmek için Smartcat, Smartcat ile gizlilik hükümleri içeren bir hizmet sözleşmesi veya ayrı bir gizlilik sözleşmesi akdeden üçüncü taraf alt yüklenicileri (iş ortakları ve sağlayıcılar) kullanır.
Smartcat gizlilik faaliyetleri, GDPR dahil ancak bununla sınırlı olmamak üzere, Smartcat Platformunun dünya çapında faaliyet gösterdiği ve kişisel verilerin korunmasını düzenleyen geçerli yasalara dayanmaktadır. Verilerinizin gizliliği Smartcat Hizmet Koşulları ( https://www.smartcat.com/terms/ ) ve Smartcat Gizlilik Politikası ( https://www.smartcat.com/privacy-policy/ ) tarafından garanti edilmektedir.
Kişisel verilere ve bilgilere erişimi olan sınırlı sayıda Smartcat çalışanı ve yüklenicisi, güvenlik ekibimiz tarafından kapsamlı bir şekilde kontrol edilir ve kişisel verilerinizi yalnızca işlerinin bir parçası olarak kullanabilir. Ayrıca erişim, yetkilendirme prosedürleri ve altyapı ile sınırlandırılmıştır, bu da yetkileri yetersiz olan çalışanların kişisel verilere erişememeleri anlamına gelmektedir.
Smartcat çalışanları ve yüklenicilerinin kurumsal ağlara erişim için geçerli bir kimlik, kullanıcı adı ve şifreye sahip olmaları gerekir. Ek olarak, kritik iş sistemlerine erişmek için VPN ve Multi-Factor Authentication gereklidir.
Sistemdeki tüm hesaplar yalıtılmış olduğundan, bir hesabın kullanıcıları diğerindeki bilgilere erişemez. Bu, tüm dil kaynaklarının yalnızca sizin ve yetki verdiğiniz kullanıcıların kullanımına açık olduğu anlamına gelir.
Kurumsal müşteriler için, şirketin Tek Oturum Açma (SSO) sağlayıcısı aracılığıyla kullanıcıları yönetme yeteneğini yapılandırabiliriz. Smartcat şu anda üç ana kimlik doğrulama sistemini desteklemektedir: ADFS, Azure AD ve Okta. Ayrıntılar için lütfen bu makaleye bakın.
Smartcat ofisleri, tesisleri, kağıt kayıtları ve kurumsal BT sistemleri için fiziksel güvenlik önlemleri, hırsızlıktan, kötüye kullanımdan, çevresel tehditlerden, yetkisiz erişimden ve sınıflandırılmış veri ve sistemlerin gizliliğine, bütünlüğüne ve kullanılabilirliğine yönelik diğer tehditlere karşı koruma sağlamak için uygulanır. Fiziksel kontrol önlemleri aşağıdaki gibidir:
2 kontrol noktası;
Rozet Erişimi;
CCTV;
24x7 güvenlik.
Smartcat ofisinin kullanılabilirliğini ve/veya güvenliğini etkileyen büyük bir kesinti olması durumunda personel ve yönetim, azaltıcı önlemleri belirleyecek ve uygulayacaktır.
Yedeklemelerin korunmasına yönelik güvenlik tedbirleri, verilerin gizliliği veya hassasiyetine uygun olarak uygulanır. Bilgilerin, yazılımların ve sistem görüntülerinin yedek kopyaları veri kaybına karşı korumak için düzenli olarak alınır.
Sunucularımıza ve veri merkezlerimize yapılan yedeklemeler, kapsam dahilindeki sistemlerde günlük olarak çalışacak şekilde yapılandırılmıştır. Yedekleme programları, yedekleme uygulama yazılımı içinde tutulur.
Yedekleme geri yükleme süreçlerinin testini de içeren bir olağanüstü durum kurtarma testi yıllık olarak gerçekleştirilir.
Operasyonel sürekliliğin yanı sıra bilgi güvenliğinin sürekliliği de sağlanır.
Bilginin gizliliğini, orijinalliğini ve/veya bütünlüğünü korumak amacıyla kriptografinin doğru ve etkili kullanımını sağlamak için Smartcat, dijital imza, şifreleme ve karma gibi kriptografik anahtarlar kullanır.
Bilgiler aşağıdaki şekilde şifrelenir:
Platform, Kullanıcının bilgisayarı ile Smartcat sunucuları arasında aktarılan verileri korumak için bir HTTPS/TLS protokolü kullanır;
Smartcat, web sertifikası için bir dijital imza anahtarı türü, DSA veya RSA PCKS#1 algoritması, 2048 bit anahtar uzunluğu kullanır;
Web şifresi için Smartcat, şifreleme anahtarı türü, AES algoritması, 256 bit anahtar uzunluğu kullanır;
Gizlilik için Smartcat, şifreleme anahtarı türü, AES algoritması, 256 bit anahtar uzunluğu kullanır;
Tüm parolalar karma ve tuzlanmış biçimde (Bcrypt, PBKDF2 veya scrypt, ECDH anahtar türü; en az 256 bit anahtar uzunluğu) saklanır ve OAuth 2.0 aracılığıyla birkaç harici yetkili servis desteklenir. Üretim yapılandırma dosyalarındaki tüm parolalar şifrelenir ve yapılandırmaların şifresini çözmek için gereken sertifikalar, yöneticiler tarafından üretim makinelerine yüklenir ve bunlara alt düzey mühendisler tarafından erişilemez.
Smartcat, üretim ortamında ve finansal sistemlerde bilgi güvenliğini etkileyen organizasyonda, iş süreçlerinde, bilgi işleme tesislerinde ve sistemlerde yapılan değişiklikleri kontrol eder. Kapsam içi sistemlerdeki tüm önemli değişiklikler belgelenmiştir.
Değişim yönetimi süreçleri şunları içerir:
İyileştirme önlemleri de dahil olmak üzere değişikliklerin planlanması ve test edilmesi için süreçler.
Bilgi güvenliği, operasyonlar veya üretim platformu üzerinde önemli bir etkisi olabilecek değişikliklere devam etmeden önce belgelenmiş yönetim onayı ve yetkilendirme.
Programlar ve makul olarak beklenen etkilerin bir açıklaması da dahil olmak üzere, değişikliklerin önceden bildirilmesi.
Tüm acil durum değişikliklerinin ve müteakip incelemelerin dokümantasyonu.
Başarısız değişiklikleri düzeltmek için bir süreç.
Bilgi güvenliğinin uygulamaların ve bilgi sistemlerinin geliştirme yaşam döngüsü içerisinde tasarlanmasını ve uygulanmasını sağlamak için Smartcat, sistem değişikliği kontrol prosedürlerini, yazılım sürüm kontrollerini, platform değişiklikleri yapıldıktan sonra uygulamaların teknik incelemelerini, yazılım paketlerindeki değişikliklere ilişkin kısıtlamaları, güvenli sistem mühendisliğini sürekli olarak uygular. ilkeler, güvenli geliştirme ortamları, dış kaynaklı geliştirme, sistem güvenlik testi, sistem kabul testi ve test verilerinin korunması.