Bilgi Güvenliği Politikamız

FONGOGO KİTLE FONLAMA PLATFORMU A.Ş.


BİLGİ GÜVENLİĞİ VE BT İŞLETİM PROSEDÜR VE POLİTİKASI


Doküman Sahibi

Bilgi Teknolojileri Birimi

Versiyon

1.2

YK Karar Tarihi/No

07.12.2021-17

1 Amaç

Bu uygulama esasının amacı, FonGoGo Kitle Fonlama Platformu A.Ş.’nin (“Şirket”) kitle fonlama faaliyetlerine ilişkin Bilgi Teknolojileri (BT) altyapısına bağlı işlerin sürekliliğinin sağlanması, tüm işlerde meydana gelebilecek olumsuz durumların engellenmesi, bilginin geniş çaplı tehditlerden korunmasına yönelik prosedür ve politikayı belirlemektir. Ayrıca, bilgi sistemleri güvenliğini korumak, temel ve destekleyici iş faaliyetlerini en az kesinti ile devam etmesini sağlamak, Şirketin güvenirliği ve temsil ettiği makamın imajını korumak, çalışanların bilgi sistemleri güvenliği konusunda farkındalık seviyelerini artırmak ve bu prosedürlere bağlı olarak çalışmalarını sürdürmelerini sağlamak üzere gerekli kuralları ortaya koymaktır.

2 Kapsam

İşbu doküman Bilgi Teknolojileri birimi başta olmak üzere tüm Şirket personelini kapsar. Bilgi güvenliği politika, prosedür ve kurallarına uyulmaması halinde, kullanıcılar hakkında aşağıdaki maddelerden bir veya birden fazlası uygulanabilir.

  • Uyarma,

  • Kınama,

  • Sözleşme feshi

3 Sorumluluk

İşbu dokümanın uygulanmasından ve Şirketin Bilgi Teknolojileri Birimi sorumlu olup, görevlerini, yazılı prosedürlere, politikalara ve görev tanımlarına uygun olarak yerine getirir.

İşbu doküman üzerinde yapılacak bütün değişikliklerin Yönetim Kurulu tarafından onaylanması gerekmektedir.

4 Tanımlar

Bu dokümanda kullanılan tanımlar Sermaye Piyasası Kurulu’nun “Kitle Fonlaması Tebliği” (lll-35/A.2) ve “Bilgi Sistemleri Yönetimi Tebliği” (VII-128.9) metinlerinde yer almaktadır.

5 Uygulama
5.1 Bilgi Güvenliği

Bilgi güvenliğinde temel şartlar şu şekildedir:

  • Gizlilik

    • Bilginin yetkisi olmayan kişilere erişiminin kapalı olması ve engellenmesi.

  • Kullanılabilirlik

    • Bilginin her daim hazır olması ve yetkili kullanıcıların en kısa süre içinde bilgiye erişebilmesi.

  • Bütünlük

    • Bilginin doğruluğunun temini ve yetkisiz değiştirilmesinin engellenmesi.
      Faaliyetler

BT güvenliğinde herhangi bir aksama olmaması için güvenlik tedbirleri yanında çalışanların titiz bir şekilde tüm kurallara uymaları gerekmektedir.



Şirketin tüm yönetici ve çalışanları ile dışarıdan hizmet aldığı kuruluşların bu hizmeti sağlamakla görevlendireceği çalışanları, bilgi güvenliğini sağlamak için gereken özen ve basireti göstermek zorundadır. Şirket ve dışarıdan hizmet alınan kuruluş personelleri görevlerini yerine getirirken, tüm bilgilerin yetkili ellerde kalmasını ve korunmasını gözetecek biçimde hareket etmekle sorumludur. Bu çerçevede, bilgi işlem altyapısını kullanan ve bilgi kaynaklarına erişen herkes

  • Kişisel ve elektronik iletişimde ve üçüncü taraflarla yapılan bilgi alışverişlerinde bilgilerin gizliliğini korumalıdır.

  • Bilgi güvenliği ihlali tespit etmesi durumunda bunu üst yönetime raporlamalıdır.

  • Bilgi kaynaklarını Şirket içinden dahi olsa yetkisiz kişiler ile paylaşılmamalıdır.

  • Bilişim kaynaklarını yasalara ve yönetmeliklere aykırı faaliyetler amacı ile kullanmamalıdır.

BT Birimi tüm çalışanların, bilgi güvenliği konularıyla ilgili uygun bilinçlenme düzeyinin oluşmasını sağlayacak uygun eğitimleri almalarını temin edecek ve genel olarak bilgi güvenliği olaylarının ele alınmasında rehberlik edecektir.

Şirket yöneticileri, bilgi güvenliği politikasına uyumun sağlanması için gerekli tedbirleri almak ve sistemi takip etmekten birinci derece sorumludur.

5.2 İş Sürekliliği ve Bilgi Sistemleri Süreklilik Planı
  • Yürütülen faaliyetlerde bir kesinti olmaması için veri merkezi altyapısında tüm bileşenler yedekli olacak şekilde çift olarak kullanılır. Elektrik altyapısı ve bağlı olduğu UPS altyapısı, internet servis sağlayıcıları, firewall ve sunucu ekipmanları yedekli olacak şekilde çift olarak uygulanır.

  • Yedekler taşınabilir medyalar üzerinde oluşturulur ve kilit altında saklanır. Yedekleme medyaları etiketlenir ve hangi medyada hangi yedeğin bulunduğuna dair kayıtlar tutulur. Yedekleme bilgisine uygun seviyede fiziksel ve çevresel koruma sağlanır. Gizliliğin önemli olduğu durumlarda yedeklemelerin kriptolu olarak alınması göz önünde bulundurulur. Yedekleme işlerine ait kayıtlar ayrıca tutulur, başarısız olan yedekleme işleri takip edilir ve yedeği alınamamış verinin yedeği alınır.

  • Yedeklenmiş verinin düzenli aralıklarla geri döndürme testi yılda bir kere yapılır.

  • Yedeklemenin türü (tam yedekleme/değişen kayıtların yedeklenmesi), yedeklemenin sıklığı iş gereklerine, güvenlik gereksinimlerine ve bilginin kritiklik derecesine göre belirlenir.

  • Sunucu yedekleri günlük olarak alınır ve yedi gün geriye dönük saklanır.

  • Veri tabanı yedekleri günlük olarak tam yedek alınır ve saatlik değişen kayıtların yedeği alınır.

  • Kesinti durumunda sunucu bileşenlerinden dolayı bir problem oluşmuş ise günlük alınan sunucu yedeği yeni bir sunucuya yüklenir ve uygulamalar son versiyonları ile yeniden yayına alınır.

  • Eğer veri tabanı sunucusunda problem yaşanırsa ek olarak veri tabanı tam yedekten yüklenerek üzerine değişen kayıt yedekleri yüklenir, en son bir saat önce alınan yedekler ile sistem ayağa kaldırılır.

5.3 E-posta Kullanım Politikası ve Kullanım Kuralları
  • İşe yeni başlayan personel için, belirlenen şablon ile sistem yöneticisi tarafından e-posta adresi açılır.

  • Kullanıcı e-posta adresini ve şifresini sistem yönetim ekibinden SMS ya da e-posta yoluyla alır, ilk kullanımda şifresini değiştirir.

  • Kullanıcı kendisine verilen e-posta adresinden sorumludur. Şifresini başka bir kullanıcı ile paylaşamaz. Farklı bir kullanıcının e-posta hesabını kullanamaz.

  • Kişisel kullanımlarda, internet ortamındaki listelere üye olunması durumunda Şirket e-posta adresleri kullanılmamalıdır.

  • Olası durumda spam, sahte e-posta vb. zararlı e-postalara cevap yazılmamalı, e-posta ekleri açılmamalıdır. Bu tür e-postalar virüs ya da truva atı amaçlı zararlı kodlar içerebilir.

  • Çalışanlar e-posta hesaplarını düzenli olarak kontrol etmelidir.

  • Başkasına ait bir cihazdan e-posta hesapları kontrol edilmemelidir.

  • Uzun süre kullanılmayan e-posta hesapları (en az 6 ay giriş yapılmamış) BT birimi tarafından kapatılır.

5.4 Kullanıcı Erişim Yönetim ve Yetkilendirme Politikası ve Prosedürü
  • Hiçbir şekilde generic hesap (birden fazla kişinin kullandığı ortak hesap) oluşturulmaz, tüm kullanıcılar isme özeldir.

  • Yönetici onaylı gelen talep doğrultusunda kullanıcı hesapları ve e-posta adresleri açılır.

  • İhtiyaç halinde personele kullanacağı PC zimmet formu karşılığında teslim edilir.

  • Kullanıcı çalışma süresi boyunca kendisine zimmetli olan eşyalardan sorumludur.

  • Kullanıcının şahsi bilgilerini başkaları ile paylaşması ve bu durumda ortaya çıkacak olumsuz durumlardan kendisi sorumludur.

  • Kullanıcıda herhangi bir admin / yönetici yetkisi bulunmaz.

  • Sistem yönetimi, admin haklarını ve şifrelerini hiçbir kullanıcı ile paylaşamazlar.

  • Kullanıcı hakları tanımlanırken en az ayrıcalık ilkesine uygun olarak, yalnızca gerekli işi gerçekleştirmek için yeterli erişime izin vermeye dikkat edilir.

5.5 VPN Kullanım Prosedürü ve Politikası
  • VPN kullanımı BT ekibi tarafından yönetilir.

  • VPN ihtiyacı olan personel, yöneticisi onaylı talebini eposta ile BT ekibine iletir.

  • VPN kurulumu kullanıcı tarafından BT ekibinin paylaştığı kurulum dokümanı yardımı ile kurulur.

  • Kullanıcı kendi VPN hesabı ile VPN bağlantısı kurar.

  • Kullanıcı VPN bilgileri ile birlikte kullanıcı adını ve şifresini kimse ile paylaşamaz.

  • Kullanıcı VPN kullanımını sonlandırmak istiyor ise eposta ile talebini BT ekibine ileterek, VPN kullanımının kapatılmasını sağlar.

  • Kullanıcı geçerli süre için VPN kullanımı talep etti ise, VPN kullanım süresi dolduğu zaman BT ekibi kullanıcı VPN bağlantısını haber vermeksizin kapatır.

  • İşten ayrılan personelin varsa VPN hesabı BT ekibi tarafından kapatılır.

5.6 Anti Virüs Kullanım Prosedürü ve Politikası
  • Kullanıcılar bilgisayarlarda yüklü olan Anti Virüs programının devamlı olarak açık olmasından sorumludur.

  • Anti virüs programı güncellemeleri otomatik olarak kendisi yapar.

5.7 Şifre Kullanma Kuralları ve Prosedürü
  • Kullanıcı kendine ait olan hiçbir şifreyi, başka bir kullanıcı ile paylaşamaz. Kullanmakta olduğu panel, programlar, e-posta, web ortamları vb. sistemlerden kullanıcı sorumludur.

  • Şifreler e-posta ve diğer yazışmalı veya sözlü programlarda paylaşılmamalıdır.

  • Kullanıcı şifreleri herhangi bir kâğıda yazılıp saklanmamalıdır.

  • Herhangi bir kişiye telefonda şifre verilmemelidir.

  • Şifreler aile bireyleri veya yakın çevre ile paylaşılmamalıdır.

  • Şifreler izin dönemlerinde veya herhangi bir sağlık sorununda raporlu olunması durumunda iş arkadaşları ile paylaşılmamalıdır.

  • Şifreler “123456” veya “abcde” gibi basit şifreler olmamalıdır. Bunun gibi şifreler konulmak istendiğinde sistem otomatik olarak izin vermeyecektir.

  • Şifre uzunlukları en az 7 karakter sıralı olmayan karmaşık şifreler olmalıdır. Bunun dışındaki şifreleri sistem kabul etmeyecektir.

  • Kullanıcı şifresini unutmuş ise yöneticisi bilgisi ile BT departmanına başvurur ve şifresinin sıfırlanmasını sağlar.

5.8 İnternet Kullanım Politikası
  • Kullanıcılar peer-to-peer bağlantı yolu ile internetteki servisleri kullanmayacaktır.

  • Bilgisayarlar üzerinden genel ahlak anlayışına aykırı sitelere girilmemeli ve herhangi bir dosya indirilmemelidir.

  • Personel ortak kullanılan internet bağlantımızın yavaşlamaması adına yüksek bant genişliği kullanabilecek istekler konusunda dikkatli davranmalı, BT Departmanı’nın aynı internet bağlantısını ofis dışındaki veri merkezine bağlanmak için de kullandığının bilincinde olmalıdır.

  • Personel iş saatleri dahilinde bilgisayarını sadece iş amaçlı kullanmalıdır.

  • Şüpheli herhangi bir durumda BT departmanına bilgi verilmelidir.

  • Tarayıcı adres bölümündeki adres bilgisi ve SSL sertifika durumu kontrol edildikten sonra işlem yapılmalıdır.

  • Sık kullanılan adresler için kısa yol oluşturulmalı, arama yapılarak arama sonucundan link tıklanmamalı, arama ile girilecek ise arama sonucunda adres linkleri kontrol edilerek tıklanmalıdır.

5.9 Bilgisayar (Dizüstü-Masaüstü) Kullanım Politikası
  • Bilgisayar başından kısa veya uzun süreli uzak kalınması durumunda bilgisayar kilitlenmelidir (Windows + L tuşu ile).

  • Dizüstü bilgisayarların çalınması/kaybolması veya bozulması durumunda en kısa sürede BT Birimi’ne haber verilmelidir.

  • Her kullanıcı kendi bilgisayarından sorumludur. Bu bilgisayarlardan kaynaklanabilecek, Şirkete veya kişiye yönelik saldırılardan kullanıcı sorumludur.

  • Kullanıcı bilgisayarından ağ güvenliğini ve ağ trafiğini etkileyecek eylemleri yapmamalıdır. (Örneğin bir kişinin yetkili olmadığı halde sunuculara erişmek istemesi veya bir yere devamlı ping atması vb.)

  • Port veya ağ taraması yapılmamalıdır.

  • Cihazlar üzerindeki lisanslar gizli tutulmalıdır.

  • Bilgisayarlar üzerinde bir problem oluştuğunda yetkisiz kişiler tarafından müdahale edilmemelidir.

  • Bilgisayarlara herhangi bir lisanssız yazılım yüklenmemelidir. Aksi durumda sorumluluk kullanıcıya ait olacaktır.

  • Dizüstü bilgisayarlar Şirket dışında güvenlik açısından daha dikkatli korunmalıdır. Herhangi bir bilginin 3. şahışlar’a geçmesi engellenmelidir.

5.10 Wireless (Kablosuz) Bağlantı Kullanım Politikası
  • Personelin kullanacağı wireless ile misafir şahısların kullanacağı wireless sistemi ayrı tutulmuştur.

  • Şirket wireless şifresi, personel dışında kimse ile paylaşılamaz.

  • BT birimi gerekirse wireless kullanımında MAC filtreleme yapabilir.

  • Mevcut wireless şifreleri 6 ayda bir değiştirilir.

  • Misafirlere sadece “Guest“ wireless bağlantısı bilgileri verilmelidir. Misafirler sınırlı erişim hakkına sahip olmalıdır. (Guest wireless bağlantısı sınırlandırılmıştır)

  • Şirkete ait olmayan hiçbir cihaz Şirket ağına kablo ile bağlanmamalı sadece misafir kablosuz ağ bağlantısı paylaşılmalıdır.

5.11 Görevler Ayrılığı İlkesi
  • Personelin hakları tanımlanırken riskleri azaltmak ve sadece üstlendiği sorumlulukların kontrolü amacıyla en az ayrıcalık ilkesi uygulanır.

  • Test ve gerçek ortamdaki işlemler ile bu işlemlerin gerçekleştiği ortamlar, yetkisiz erişim ve değişim riskine karşı birbirinden ayrılır, ayrı sunucular kullanılır.

  • Yazılım geliştirme, veri tabanı, sistem ve uygulama testleri ayrı birimler tarafından yürütülür.

  • Yazılım geliştirme ekiplerinin sadece test ortamlarına erişimi ve sorumlulukları bulunur.

  • Test ve üretim ortamlarında yeni sürüm yayınlama akışları devops araçları kullanılarak yapılır, yayına alma sürecince sunucuya herhangi bir kullanıcının bağlanmasına gerek duyulmaz.

  • Yazılım geliştirme ve yayına alma akışlarında; Yazılım Geliştirme ve Yayına Alma Politika ve Prosedürleri dokümanı uygulanır.

  • Uygulama testlerinde değişiklik talep sahibi birim kullanıcıları yayına alma öncesi ve sonrası kontroller için sorumludur.

5.12 Bilgi Sistemleri Risk Yönetimi Süreç ve Prosedürleri

Bilgi Teknolojileri Birimi kendi politika ve prosedürleri kapsamında Operasyonel Risk (yazılım, donanım vb.) analizlerini düzenli olarak yapar ve Yönetim Kurulu’na yıllık olarak raporlar. Risk Yönetimi faaliyeti kapsamında aksiyon planları takip edilir.


Bilgi sistemlerine ilişkin risklerin yönetilmesinde asgari olarak aşağıdaki hususlar değerlendirmeye alınır:

  • Bilgi teknolojilerindeki hızlı gelişmeler sebebiyle rekabetçi ortamda gelişmelere uymamanın olumsuz sonuçları, gelişmelere uyma konusundaki zorluklar ve yasal mevzuatın değişebilmesi,

  • Bilgi sistemleri kullanımının öngörülemeyen hatalara ve hileli işlemlere zemin hazırlayabilmesi,

  • Bilgi sistemlerinde dış kaynak kullanımından dolayı dış kaynak hizmeti veren kuruluşlara bağımlılığın oluşabilmesi,

  • İş ve hizmetlerin önemli oranda bilgi sistemlerine bağlı hale gelmesi,

  • Bilgi sistemleri üzerinden gerçekleştirilen işlemlerin, verilerin ve denetim izlerine ilişkin tutulan kayıtların güvenliğinin sağlanmasının zorlaşması.

  • Bilgi sistemlerine ilişkin risk analizi yapılır. Bu analiz yılda en az bir defa veya bilgi sistemlerinde meydana gelebilecek önemli değişikliklerde tekrarlanır.

  • Bilgi sistemlerinin teknik açıklarına ilişkin bilgi, zamanında elde edilir ve şirketin bu tür açıklara karşı zafiyeti değerlendirilerek, riskin ele alınması için uygun tedbirler alınır.

5.13 Kaydedilebilir Taşınır Materyaller Güvenliği
  • Personel giriş kartı kayıp/çalıntı durumlarında BT birimine derhal bildirmek zorundadır.

  • BT birimi bina yönetimini bilgilendirir güvenlik açısından kaybolan veya çalınan kartı sistemden bloke eder ve giriş-çıkışlar engellemiş olur.

  • Taşınacak veri eğer usb disk ile taşınacaksa bu usb diskin tehdit unsuru olan bir yazılım içermediğine emin olunmalıdır.

  • Usb disk biçimlendirildikten sonra şifrelenerek veri kopyalanmalıdır.

  • Usb diskleri bilgisayardan çıkartılırken önce “aygıtı düzenli şekilde çıkar” komutu verilerek bağlantısı kesilmelidir.

  • Harici taşınabilir disklerin içi mekanik yapıya sahip olduğundan bu diskler darbelere karşı çok hassastır. Bu nedenle kullanırken ve taşırken dikkat edilmelidir. Özellikle hard diskler taşınırken koruyucu kılıflar içerisinde taşınmalıdır.

  • Kötü amaçlı kimselerin bilgilere ulaşmasını engellemek için taşınabilir materyaller güvenilir şekilde muhafaza edilmeli, gerekirse kilitli dolaplarda veya çelik kasalarda saklanmalıdır.

  • Taşınır materyaller çalışma masasında veya bilgisayarda güvensiz şekilde bırakılmamalıdır. Gerekmediği sürece dışarıya çıkartılmamalı, kaybolma riskine karşı tedbirli olunmalıdır.

  • Misafirlere ait USB, taşınır disk ya da hafıza kartları kesinlikle kullanılmamalı, dosya transferi gerektiği durumlarda eposta ile alınması gerekmektedir.

5.14 Fiziksel ve Çevresel Güvenlik
  • Çalışan personele ait şahsi dosyalar kilitli dolaplarda muhafaza edilmeli ve dosyaların anahtarları kolay ulaşılabilir bir yerde olmamalıdır.

  • Gizlilik ihtiva eden yazılar kilitli dolaplarda muhafaza edilmelidir. İmha edilmesi gereken yazılar bekletilmeden imha edilmelidir.

  • Personel dışındaki kişilerin ofislere girişleri kontrol edilmeli ve bilgi kaynaklarının olduğu mekanlara personel eşliği haricinde girişlerine izin verilmemelidir.

  • Dışarıdan hizmet alınan kuruluşların çalışanları için "ihtiyacı kadar bilme" prensibi uygulanmalıdır.

5.15 Ekipman Güvenliği ve Temiz Masa Kuralları
  • Hassas bilgiler içeren evraklar, bilgi ve belgelerin masa üzerinde kolayca ulaşılabilir yerlerde ve açıkta bulunmaması gereklidir. Bu bilgi ve belgelerin kilitli yerlerde muhafaza edilmesi gerekmektedir.

  • Sistemlerde kullanılan şifre, telefon numarası ve T.C kimlik numarası gibi bilgiler ekran üstlerinde veya masa üstünde bulunmamalıdır.

  • Kullanım ömrü sona eren, artık ihtiyaç duyulmadığına karar verilen bilgiler imha edilmeli, bilginin geri dönüşümü ya da yeniden kullanılabilir hale geçmesinin önüne geçilmelidir.

  • Faks makinelerinde gelen giden yazılar sürekli kontrol edilmeli ve makinede yazı bırakılmamalıdır.

  • Her türlü bilgiler, şifreler, anahtarlar ve bilginin sunulduğu sistemler, ana makineler (sunucu), PC’ler vb. cihazlar yetkisiz kişilerin erişebileceği şifresiz ve korumasız bir şekilde başıboş bırakılmamalıdır.

  • Ekipman yerleşimi yapılırken çevresel tehditler ve yetkisiz erişimden kaynaklanabilecek zararların asgari düzeye indirilmesine çalışılmalıdır. Ekipman, gereksiz erişim asgari düzeye indirilecek şekilde yerleştirilmelidir.

  • Kritik veri içeren araçlar yetkisiz kişiler tarafından gözlenemeyecek şekilde yerleştirilmelidir. Özel koruma gerektiren ekipman izole edilmiş olmalıdır.

  • Bilgi işlem araçlarının yakınında yeme, içme ve sigara içilmesi engellenmelidir.

  • Ekipmanın bakımı doğru şekilde yapılmalıdır. Ekipmanın bakımı, üreticinin tavsiye ettiği zaman aralıklarında ve üreticinin tavsiye ettiği şekilde yapılmalıdır. Bakım sadece yetkili personel tarafından yapılıyor olmalıdır. Tüm şüpheli ve mevcut arızalar ve bakım çalışmaları için kayıt tutulmalıdır. Ekipman bakım için Şirket dışına çıkarılırken kontrolden geçirilmelidir. İçindeki hassas bilgiler silinmelidir. Ekipman sigortalıysa, gerekli sigorta şartları sağlanıyor olmalıdır.

  • Üretici garantisi kapsamındaki ürünler için garanti süreleri kayıt altına alınmalı ve takip edilmelidir.

  • Tesis dışına çıkarılan ekipmanın başıboş bırakılmamasına, seyahat halinde dizüstü bilgisayarların el bagajı olarak taşınmasına dikkat edilmelidir.

  • Cihazın muhafaza edilmesi ile ilgili olarak üretici firmanın talimatlarına uyulmalıdır.

  • Evden çalışma ile ilgili tedbirler alınmalıdır, ofiste uyduğumuz kurallar evde çalışma ortamımızda da geçerlidir.

  • Cihazlar sigortalanır.

  • Ekipman imha edilmeden önce gizli bilginin bulunduğu depolama cihazı fiziksel olarak imha edilmelidir.

  • Depolama cihazının içerdiği bilginin bir daha okunamaması için klasik silme veya format işlemlerinin ötesinde yeterli düzeyde işlem yapılmalıdır.

5.16 Personel İşten Ayrılma
  • İşten ayrılan personelin tüm hesapları kontrol edilir.

  • Panel kullanıcısı pasif hale getirilir.

  • E-posta ve varsa VPN hesapları kapatılır.

  • Gerekli görülürse e-posta hesabı geçici bir süre için yönlendirilir.

  • Zimmet formu ile personele tahsis edilen cihazlar/ekipmanlar geri alınır ve kontrolleri sağlanır.

  • Bina/ofis yönetimine bilgi verilir ve kullanıcı giriş şifre ve giriş kartı iptal edilir.

5.17 Varlık Yönetimi
  • Veri merkezi içinde kullanılan ekipman ve sunucu listesi veri merkezi sözleşmesinde listelenir.

  • Ofis kullanımındaki ekipmanlar envanter listesinde kayıt altına alınır.

5.18 Dış Kaynak Kullanımı
  • Dış kaynak konusu olan firma incelenir ve işe uygun olup olmadığı araştırılır.

  • Çalışılacak firma ile dış kaynak sözleşmesi yapılır.

  • Sözleşmede SLA detayları ve uyulmaması durumda cezai şartlar belirtilmiş olur.

  • Dışarıdan hizmet alımı faaliyetleri, ilgili mevzuat ve Şirket politika ve uygulama esasları çerçevesinde kontrol edilir.

  • Dışarıdan alınan hizmetler incelenerek, SPK’nın dışarıdan hizmet alınamayacağını belirttiği alanlarda hizmet alınıp alınmadığı kontrol edilir.

  • Hizmet alınan kuruluşlarla yapılan sözleşmelerin içerik bakımından SPK tarafından belirtilen hususlara uygunluğu kontrol edilir.

  • Dışarıdan hizmet alımına ilişkin hususlara acil durum planında yer verilip verilmediği kontrol edilir.

5.19 Bilgi Sistemleri Kontrolleri

Bilgi sistemleri stratejilerinin iş hedefleriyle uyumu, bilgi sistemlerinin güvenliği, etkinliği ve sürekliliği için gerekli kaynakların tahsisine, bilgi sistemleri yönetimine ilişkin politika, süreç ve prosedürlerin varlığı kontrol edilir.

Bilgi sistemlerine ve süreçlerine ilişkin potansiyel riskleri etkileriyle birlikte tespit etme ve bu çerçevede risk yönetimini gerçekleştirme, bilgi güvenliği ihlallerini izleme ve değerlendirme ve iş sürekliliği planının hazırlanmasını sağlama sorumluluğunun yerine getirilmesindeki faaliyetler incelenir.

Bilgi sistemleri üzerinde hata, eksiklik veya kötüye kullanım risklerini azaltmak için görev ve sorumluluk alanlarının ayrılığının yanı sıra sistem, veri tabanı ve uygulamaların geliştirilmesinde, test edilmesinde ve işletilmesinde görevler ayrılığı prensibinin uygulanıp uygulanmadığı kontrol edilir.

6 Yürürlük

Bu doküman, onaylanmasına ilişkin Yönetim Kurulu kararı alınmasını takiben yayımlandığı tarihte yürürlüğe girer.

7 Doküman Onay Geçmişi

Versiyon

Güncelleme/Onay

Güncelleme Kapsamı/Onay

1

BT Birimi/Yönetim Kurulu

İlk yayım

1.2

Yönetim Kurulu

Tebliğ değişikliklerine uyum

Kitle fonlaması işlemleri çeşitli oranlarda risklere tabidir. Bunlar arasında yatırımın kısmi yada tümünün kaybı, payların devir imkânının kısıtlı olabileceği, kar payı da dahil olmak üzere herhangi bir getiri elde edilememesi ve yatırım yapılan girişimin ticari hedeflerine ulaşamaması gibi riskler bulunmaktadır. Bu nedenle, işlem yapmaya karar vermeden önce, piyasada karşılaşabileceğiniz riskleri anlamanız, mali durumunuzu ve kısıtlarınızı dikkate alarak karar vermeniz gerekmektedir. Kitle fonlama faaliyetleri riskleri için Genel Risk Bildirimi’mizi, karşılaşabileceğiniz risk tipleri için Özel Risk Bildirimi’mizi inceleyebilirsiniz.

Fongogo, III-35/A.2 sayılı Kitle Fonlaması Tebliği (“Tebliğ”) kapsamında paya dayalı kitle fonlaması faaliyetinde bulunmak üzere Sermaye Piyasası Kurulu tarafından listeye alınmış bir şirkettir. Paya dayalı kitle fonlaması ve bu kapsamda platformların sunduğu hizmetlere yahut diğer kitle fonlaması faaliyetlerine ilişkin bilgilere internet sitemiz ve Tebliğ aracılığı ile ulaşabilirsiniz. Fongogo hiçbir şekilde yatırım tavsiyesi veya yatırım analizi sunmaz, bir girişimci veya girişim şirketine ilişkin yatırım önerisinde bulunmaz, yatırımın belirli bir yatırımcı için uygunluğunu teyit etmez, saklama hizmeti sunmaz ve hiçbir durumda bu e-postanın içeriği bu şekilde yorumlanamaz. Kişiler kendi yatırım kararlarını, kendileri, gerekli belgeleri inceleyerek, yatırımcı gereksinimlerini, yatırım limitlerini ve yatırım konusu araçları yeniden satma imkanı hakkında ayrıntılı bilgiler edinerek ve her türlü yatırım kararının riskler içerebildiğini gözeterek vermelidir. Kitle fonlaması ve Platform’da yayımlanan ilgili kampanyalar özelinde bu risklere ilişkin çeşitli bilgilere konu ile ilgili bilgilendirme formları veya açıklamalar aracılığıyla ulaşabilirsiniz.