Teknolojinin Gücüne Katılım

I

Siber Güvenlik ve Veri Gizliliği

Siber Güvenlik ve Veri Gizliliği

Ziraat Katılım, siber güvenlik süreçlerini Bilgi ve İletişim Güvenliği Rehberi, BDDK Yönetmeliği ve diğer yasal düzenlemeler ile yönetmektedir.

Ziraat Katılım, belirlemiş olduğu bilgi güvenliği strateji ve politikaları doğrultusunda BT Risk Yönetimi yapısı kurmuştur.

Ziraat Katılım, varlıkların kritikliğine uygun güvenlik kontrolleri belirleyip testler uygulamakta ve riskleri eşik değerin altına indirmeye çalışmaktadır.

Ziraat Katılım, müşteri ve Banka verilerinin gizliliğini ve güvenliğini korumak amacıyla ortaya çıkan riskleri tespit etmeye ve sistemlerinin güvenliğini sürekli iyileştirmeye odaklanarak, üst düzey bir siber güvenlik altyapısını sürdürmeyi hedeflemektedir.

Bu yaklaşım kapsamlı güvenlik politikaları ve standartlarını, güçlü bir güvenlik farkındalığı ve eğitim programını, ayrıca gelişmiş ve katmanlı savunmaların uygulanmasını içeren bütüncül bir bilgi güvenliği yönetim stratejisini kapsamaktadır.

Banka’da bilgi güvenliği ile ilgili görev ve sorumlulukların belirlenmesi, Bilgi Güvenliği Komitesi’nin sorumluluğundadır.
Ziraat Katılım siber güvenlik ve veri gizliliği stratejileri, aşağıda listelenen ulusal mevzuata uygun, küresel çapta kabul görmüş standartlar ve modeller baz alınarak oluşturulmuştur.

  • 5411 Sayılı Bankacılık Kanunu

  • Bankacılık Düzenleme ve Denetleme Kurumu (BDDK) tarafından yayımlanan Bankaların Bilgi Sistemleri ve Elektronik Bankacılık Hizmetleri Hakkında Yönetmelik ve muhtelif düzenlemeleri

  • ISO 27001 Bilgi Güvenliği Yönetim Sistemi Gereksinimler Standardı

  • ISO 27005 Bilgi Güvenliği Risk Yönetim Sistemi

  • T.C. Cumhurbaşkanlığı Dijital Dönüşüm Ofisi Bilgi ve İletişim Güvenliği Rehberi

  • KVKK (Kişisel Verileri Koruma Kanunu)

  • COBIT (Control Objectives for Information and Related Technology) Standartları

  • NIST (ABD Ulusal Standartlar ve Teknoloji Enstitüsü) Standartları

Ziraat Katılım, belirlemiş olduğu bilgi güvenliği strateji ve politikaları doğrultusunda BT Risk Yönetimi yapısı kurmuştur. Bilgi varlıklarını güvenlik değerlerine göre sınıflandıran Banka, bu varlıkların kritikliğine uygun güvenlik kontrolleri belirlemekte, söz konusu kontrollerle bağlantılı testler uygulamakta, testler sonucu tespit edilen risklere karşı sürekli iyileştirici faaliyetler uygulayarak eşik değerin altındaki seviyelere getirmeye çalışmaktadır.

Ziraat Katılım Bankası, siber güvenlik süreçlerini Cumhurbaşkanlığı Dijital Dönüşüm Ofisi’nin Bilgi ve İletişim Güvenliği Rehberi, Bankacılık Düzenleme ve Denetleme Kurumu’nun Bankaların Bilgi Sistemleri ve Elektronik Bankacılık Hizmetleri Hakkında Yönetmeliği ile diğer yasal düzenleme ve iyi uygulamaları dikkate alarak etkin bir şekilde yönetmektedir.

Veri Gizliliğini Korumak Üzere Oluşturulan Sistemler

Ziraat Katılım, kişisel verilerin güvenli bir şekilde saklanması, hukuka aykırı olarak işlenmesinin önlenmesi ve hukuka uygun olarak imha edilmesi için gereken tüm teknik ve idari tedbirleri almaktadır. Kişisel Verilerin Korunması Uygulama Esas ve Usulleri mevzuatında yer alan aydınlatma yükümlülüğü doğrultusunda, Banka gerekli bilgilendirmelere tüm kanallarında yer vermekte ve gerekli açık rızaların alınmasına hassasiyet göstermektedir.

Kişisel verilerin korunması kapsamında farkındalık oluşturmak amacıyla tüm çalışanlara gerek sınıf içi gerek uzaktan eğitimler verilmekte ve bu eğitimlerin tamamlanması zorunlu tutulmaktadır. BDDK’nın Bilgi Sistemlerine İlişkin Sızma Testleri Genelgesi kapsamında, bağımsız firmalar tarafından yılda en az bir kez sızma testleri yapılmaktadır. Bu testler, Banka bilgi sistemlerine yetkisiz erişim veya hassas bilgilere ulaşım gibi güvenlik açıklarının tespit edilip düzeltilmesini amaçlamaktadır. Sızma testi sonuçları Yönetim Kurulu’na sunulmakta ve gerekli aksiyon planları oluşturulmaktadır.

Banka’da, kurumsal ağdan ve dış ağlardan gelebilecek tehditlere karşı Ağ Güvenlik Kontrol Sistemleri kurulmuştur. Ağ kaynaklarının kullanımıyla ilgili olarak USB kullanımı, Banka dışı dosya paylaşımı, veri tabanı ve uygulama erişimleri, standart dışı uygulama yükleme gibi konulara yönelik kurallar belirlenmiştir. Ayrıca, Banka lokasyonunda çalışma gerçekleştirecek 3’üncü taraf firma çalışanları, danışmanlar, bağımsız denetim firması çalışanları ve dış denetçiler için sağlanacak bilgisayarlar ve erişimlerle ilgili standartlar oluşturulmuştur.

Ağ kaynaklarının kullanımı Veri Sızıntısı Engelleme (DLP) Sistemleri ile izlenmekte, oluşturulan kural ve politikalar doğrultusunda veri sızıntılarının önüne geçilmektedir. İşlemlerin iz kayıtları oluşturularak güvenlik süreçleri desteklenmektedir.

Siber Güvenlik Tehditlerine Karşı Alınan Önlemler

Ziraat Katılım’ın yasal sorumlukları doğrultusunda yeni ve ileri güvenlik sistemlerini takip ederek, en etkili veri gizliliği ve güvenliği çözümlerini uygulamayı hedeflemektedir. Banka bünyesinde, haftanın yedi günü kesintisiz olarak Banka’nın sistemlerini ve alarm mekanizmalarını inceleyen, açıklık ve zafiyet taraması yapan, siber tehditlere karşı istihbarat toplayarak müdahale eden Siber Güvenlik Merkezi faaliyet göstermektedir.

Merkezde aktif ve kesintisiz bir şekilde kullanılan aşağıda yer alan sistemler:

  • Network ve istemci güvenlik ürünleri ve cihazları: Antivirüs, DDoS koruma, IPS, EDR/ EPP sistemleri, NAC ve WAF sistemleri, firewall, e-posta güvenlik ürünleri.

  • DLP sistemleri ve Web/DNS güvenliği sistemleri, veri sızıntılarını engellemeye yönelik çözümler.

  • SIEM sistemleri, tüm güvenlik loglarını izleyerek alarm oluşturabilme kapasitesi.

  • Yazılım kodları inceleme sistemleri, kullanılan uygulamaların güvenliğinin sağlanmasına yönelik çözümler.

  • Sızma testi sistemleri ve zafiyet yönetimi sistemleri.

Banka’nın bilgi güvenliği süreçlerini kesintisiz bir şekilde desteklemektedir.

Siber Güvenlik ve Veri Gizliliği Eğitimleri ve Farkındalık Çalışmaları

Ziraat Katılım belirlediği siber güvenlik ve veri gizliliği politikası ile güvenlik kültür ve farkındalığının Banka’ya yayılması ve güvenlik sorumluluğunun çalışanların tamamınca paylaşılması hedefiyle tüm çalışanlarına yönelik kapsamlı bir Bilgi Güvenliği Farkındalık Programı yürütmektedir. Bu program çerçevesinde, her ay düzenli olarak bültenler hazırlanmakta ve çalışanların bilgi güvenliği risk algısını ölçmek amacıyla periyodik anketler yapılmaktadır.

Ayrıca, oltalama saldırılarına karşı bilinç oluşturmak için yıl boyunca sosyal mühendislik yöntemleri kullanılarak iç tatbikatlar gerçekleştirilmektedir. Bu tatbikatların sonuçları değerlendirilerek, çalışanların farkındalık düzeyini artırmak amacıyla gerekli eğitimler planlanmakta ve atanmaktadır.

Banka’da yeni işe başlayan çalışanlara yönelik olarak düzenlenen oryantasyon programlarına, yüz yüze sınıf içi bilgi güvenliği eğitimleri dâhil edilmekte, bunun yanı sıra yıl içinde tüm personele güncel bilgi güvenliği eğitimleri atanmaktadır.

Rapor Hakkında

Ziraat Katılım 2024 Entegre Faaliyet Raporu’nda sunulan veriler aksi belirtilmedikçe Banka’nın 1 Ocak 2024-31 Aralık 2024 tarihleri arasındaki faaliyetlerini kapsamaktadır.

Ziraat Katılım Bankası A.Ş. 2024 Entegre Faaliyet Raporu ile ilgili görüş ve önerilerinizi e-posta adresine iletebilirsiniz.

stratejiplanlamavesurdurulebilirlik@ziraatkatilim.com.tr
2025 Ziraat Katılım © Tüm hakları saklıdır.
Designed by
Moreport Logotype
Developed by
Moreport Logotype