Kişisel Verilerin Korunması

GÜVENLİK TEDBİRLERİ

1. TEKNİK TEDBİRLER

  • Uygulamada yer alan tüm kişisel veriler bulut sistemlerinde depolanmaktadır. Bu konuda hizmet alınan bulut hizmet sunucusunun veri merkezi İstanbul’da yerel bir veri merkezi olarak konumlanmış olup kişisel verilerin yurtdışına aktarılmaksızın bulutta depolanarak 6698 sayılı Kişisel Verilerin Korunması Kanunu’na (KVKK) ve Avrupa Veri Koruma Yönetmeliğine (GDPR) uygun hareket edilmektedir.
  • Bulutta depolanan kişisel verilerin güvenliği sağlanmakta olup bu konuda bulut hizmet sunucusu tarafından siber saldırıları anında tespit ederek engelleyen IPS-IDS/DDOS ve Firewall gibi güvenlik çözümleri kullanılmaktadır. Bulutta yer alan veriler, bulut hizmet sunucusunun Disaster Recovery ve Back-up servisleri sayesinde, kişisel verilerin herhangi bir sebeple zarar görmesi, yok olması, çalınması veya kaybolması gibi hallerde DOKTOR365 kullanıcılarının yedeklenen verileri kullanarak en kısa sürede faaliyete geçmesi temin edilmektedir.
  • Bulut hizmet sunucusu tarafından alınan güvenlik tedbirlerinin yanı sıra SETABAYT bünyesinde de ağ güvenliği ve uygulama güvenliği sağlanmaktadır. Bu kapsamda, 
    • Çalışanlar için yetki matrisi oluşturulmuştur.
    • İki aşamalı kimlik doğrulaması yapılmaktadır.
    • Flash bellek ve CD kullanımı yasaklanmıştır.
    • Erişim logları ve uygulama üzerinden gerçekleştirilen tüm işlemlere ait log kayıtları kullanıcı müdahalesi olmayacak şekilde ve düzenli olarak tutulmaktadır.
    • Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkileri kaldırılmaktadır.
    • Firewall (güvenlik duvarı) kullanılmaktadır.
    • Kullanıcı hesap yönetimi ve yetki kontrol sistemi uygulanmakta olup bunların takibi de yapılmaktadır.
  • SETABAYT çalışanları tarafından DOKTOR365 üzerinde gerçekleştirilen tüm güncellemeler öncelikle test sürücüsü üzerinde gerçekleştirilmekte ve uygulama geliştirme ve sorun giderme işlemlerinin, uygulamanın işleyişini hiçbir şekilde sekteye uğratmaması amaçlanmaktadır.
  • SETABAYT bünyesinde kişisel veri gizliliğine en yüksek derece de önem verilmekte olup kişisel veri güvenliğinin takibi düzenli olarak yapılmakta;. kişisel veri içeren ortamların güvenliği sağlanmaktadır. Bu kapsamda mevcut riskler ve tehditler belirleniş olup kurum içi periyodik ve/veya rastgele denetimler yapılmakta ve düzenli olarak sızma testleri uygulanmaktadır. Şirket bünyesinde bilgi güvenliğine ilişkin tüm tedbirler alınmış olup bu konuda ISO 27001 bilgi güvenliği sertifikamız bulunmaktadır.
  • DOKTOR365 kullanıcılarının uygulama üzerinde işledikleri hasta bilgileri, yalnızca kullanıcılar ve yetkilendirdikleri personel tarafından görülmekte olup, hasta bilgileri, SETABAYT personeli tarafından hiçbir şekilde erişilememektedir. Böylece APP365 yoluyla, doktor – hasta mahremiyeti en üst düzeyde sağlanmaktadır.
  • 6698 sayılı Kanun’a uygun olarak Kişisel Veri Saklama ve İmha Politikası hazırlanmış olup, tüm kişisel veriler bu politika çerçevesinde işlenmekte ve gerektiğinde imha edilmektedir. 

 

2. İDARİ TEDBİRLER 

  • Kişisel veri içeren tüm fiziksel ve elektronik ortamlara giriş çıkışlarla ilgili gerekli güvenlik önlemleri alınmakta, çalışanların yetkileri belirlenerek fiziksel ortamlara yetkisiz personelin girmesi engellenmektedir. Bunun yanı sıra sistem ve uygulama kullanımları şifrelenmekte ve bu sayede yalnızca yetkili personelin kişisel veri içeren elektronik ortamlara girmesi temin edilmektedir.
  • Çalışanlarla imzalanan sözleşmelerde veri güvenliği ve kişisel verilerin korunmasına ilişkin hükümlere yer verilmekte ve çalışanlarla veri güvenliğine ilişkin hükümler içeren gizlilik sözleşmeleri imzalanmaktadır. Bunların yanı sıra, çalışanlar için veri güvenliği konusunda belli aralıklarla eğitim ve farkındalık çalışmaları yapılmaktadır.
  • Çalışanların yanı sıra hizmet sunulan ve hizmet alınan taraflarla ayrı ayrı gizlilik sözleşmeleri imzalanmaktadır.
  • Erişim, bilgi güvenliği, kullanım, saklama ve imha konularında 6698 sayılı Kanun’a uygun olarak Kişisel Veri Saklama ve İmha Politikası hazırlanmış, veri işleme ve imha süreçlerinde görevli personel belirlenmiş ve uygulamaya başlanmıştır.
  • Veri minimizasyonu ilkesine uygun olarak yalnızca gerekli olduğu ölçüde kişisel veri işlenmekte ve kişisel veriler mümkün olduğunca azaltılmaktadır.
  • Bulut hizmet sunucusu başta olmak üzere, veri işleyen hizmet sağlayıcılarının veri güvenliği konusunda belli aralıklarla denetimi sağlanmaktadır.


 

SECURITY MEASURES

1. TECHNICAL MEASURES

  • All personal data in the application are stored in cloud systems. The data center of the cloud service provider is located as a local data center in Istanbul and personal data is stored in the cloud without being transferred abroad, in compliance with the Personal Data Protection Law No. 6698 (KVKK) and the European Data Protection Regulation (GDPR).
  • The security of personal data stored in the cloud is ensured and security solutions such as IPS-IDS/DDOS and Firewall are used by the cloud service provider to detect and prevent cyber-attacks instantly. Thanks to the Disaster Recovery and Back-up services of the cloud service provider, in the event that personal data is damaged, destroyed, stolen or lost for any reason, DOKTOR365 users are ensured to be operational as soon as possible by using the back-up data.
  • In addition to the security measures taken by the cloud service provider, network security and application security are also ensured within SETABAYT. In this context, 
    • Authorization matrix has been created for employees.
    • Two-step identity verification is performed.
    • Flash memory and CD use is prohibited.
    • Access logs and log records of all transactions performed through the application are kept regularly and without user intervention.
    • The authorizations of employees who change their duties or leave their jobs are removed.
    • Firewall (firewall) is used.
    • User account management and authorization control system is implemented and these are also monitored.
  • All updates performed by SETABAYT employees on DOKTOR365 are first performed on the test driver and it is aimed to ensure that application development and troubleshooting processes do not interrupt the operation of the application in any way.
  • SETABAYT attaches the highest degree of importance to personal data confidentiality and personal data security is regularly monitored;. security of environments containing personal data is ensured. In this context, existing risks and threats have been identified, in-house periodic and/or random audits are carried out and penetration tests are regularly performed. All measures regarding information security have been taken within the Company and we have ISO 27001 information security certificate.
  • The patient information that DOKTOR365 users process on the application is only visible to the users and the personnel they authorize, and patient information is not accessible by SETABAYT personnel in any way. Thus, doctor-patient privacy is ensured at the highest level through DOKTOR365.
  • In accordance with KVKK and GDPR, a Personal Data Retention and Destruction Policy has been prepared, and all personal data are processed within the framework of this policy and destroyed when necessary. 

 

2. ADMINISTRATIVE MEASURES 

  • Necessary security measures are taken for entry and exit to all physical and electronic environments containing personal data, and unauthorized personnel are prevented from entering physical environments by determining the authorization of employees. In addition, the use of systems and applications is encrypted to ensure that only authorized personnel can access electronic media containing personal data.
  • Provisions regarding data security and protection of personal data are included in the contracts signed with employees and confidentiality agreements containing provisions on data security are signed with employees. In addition, training and awareness-raising activities on data security are organized for employees at regular intervals.
  • In addition to employees, confidentiality agreements are signed separately with service providers and service recipients.
  • A Personal Data Storage and Destruction Policy has been prepared in accordance with KVKK and GDPR on access, information security, use, storage and destruction, and personnel in charge of data processing and destruction processes have been identified and put into practice.
  • In accordance with the principle of data minimization, personal data is processed only to the extent necessary and personal data is reduced as much as possible.
  • Data processing service providers, especially cloud service providers, are periodically audited on data security.