Yandex 360 tarafından alınan güvenlik önlemleri
- Bilgi güvenliği organizasyonu
- İnsan kaynaklarının güvenliği
- Varlık yönetimi
- Erişim yönetimi
- Fiziksel ve çevresel güvenlik
- Veri güvenliği ve bilgi yaşam döngüsü yönetimi
- Vaka yönetimi
- Bilgi sistemlerinin geliştirilmesi ve sürdürülmesi
- Çalışmanın kesintiye uğramamasının sağlanması ve kriz yönetimi
- Bilgi güvenliği incelemesi
Bu sayfada, Yandex’in, Yandex 360 for Business müşterilerinin verilerini korumak için uyguladığı teknik ve organizasyona dair önlemler açıklanmaktadır.
Bilgi güvenliği organizasyonu
Bilgi Güvenliği Yönetim Sistemi
- Yandex, müşteri verilerine yönelik bilgi güvenliği ihlali risklerini en aza indirmek için bir bilgi güvenliği yönetim sistemi sürdürmekte, dahili politikalar ve prosedürler benimsemekte ve onları uygulamaktadır.
Güvenlik Sorumluluğu
- Yandex’te güvenlik prosedürlerinin uygulanması ve izlenmesinden sorumlu bir ekip bulunmaktadır.
Risk Yönetimi
- Yandex, düzenli risk değerlendirmelerini ve risk azaltma planlarının uygulanmasını içeren bir risk yönetimi programına sahiptir.
İnsan kaynaklarının güvenliği
Eğitim
-
-
Yandex, çalışanlarının ve yüklenicilerinin şirketin kural ve prosedürlerine uygun olarak bilgi güvenliği önlemlerini uygulamalarını şart koşar.
-
Yandex, çalışanlarını müşteri verilerinin doğru kullanımı konusunda eğitir.
-
İşin iptali veya değiştirilmesi
- Yandex, çalışanlarına ve yüklenicilerine bilgi güvenliği sorumluluklarını tanımlar ve bildirir ve işten çıkarılma veya iş değişikliğinden sonra da devam eden bu sorumlulukları yerine getirir.
Varlık yönetimi
Onaylı Kullanımlar
- Yandex, bilgi ve bilgi işleme araçlarıyla ilgili bilgi ve varlıkların onay verilen kullanımına ilişkin kuralları belgeler ve kurallara uyar.
Varlık iadesi
- Yandex çalışanlarının, iş sözleşmelerinin sona ermesi üzerine, sahip oldukları kurumsal varlıkları iade etmeleri öngörülmektedir.
Bilginin sınıflandırılması
- Yandex, bilgileri yasal gereklilikler, değer, kritiklik ve yetkisiz ifşa veya değişikliğe karşı hassasiyet açısından sınıflandırır.
Varlıklara Uygulanan İşlem
- Yandex, benimsenen bilgi sınıflandırma şemasına uygun olarak varlık işleme prosedürleri geliştirir ve bu prosedürleri uygular.
Erişim yönetimi
Müşteri Verilerine Erişim Politikası
- Yandex 360 düzenlemeleri, sözleşmede veya yasada aksi belirtilmedikçe çalışanların müşteri verilerine erişimini yasaklamaktadır.
Erişim Yönetim Politikası
- Yandex’in, yalnızca yetkili kişilerin korunan alanlara, nesnelere, bilişim ve ağ kaynaklarına erişim hakkına sahip olmasını öngören bir politikası vardır.
Ağlara ve sistemlere erişim
-
-
Yandex ağlarına ve sistemlerine erişim, yetkili çalışanlara sağlanır.
-
Yandex çalışanlarının yöneticileri, astlarının nesnelere, korunan alanlara, bilgi işlem ve ağ kaynaklarına erişimini denetler.
-
Yandex, kullanıcı erişim haklarını, işlerini yapmak için gerekli olan en az yetki grubuyla ve gereken süreyle sınırlar.
-
Yandex, donanım yönetim arayüzlerini yetkili personelin sınırlı erişimi olan birbirinden ayrılmış ağlara yerleştirir.
-
Yandex, güvenlik politikasına uygun olarak yetkili kişilere kaynak koduna erişim izni verir.
-
Kullanıcı erişim yetkilerinin denetimi
- Yandex, çalışanların tüm erişim yetkilerini yıllık olarak gözden geçirir.
Erişim yetkilerinin iptali veya düzenlenmesi
- Yandex, şirketteki görevi sona eren çalışanların bilgi ve sistemlere erişim yetkilerini iptal eder ve sorumluluklarının kapsamı değiştiğinde düzenleme yapar.
Şifre Kalitesi
- Yandex, dahili şifre yönetim sistemlerinde yüksek kaliteli şifreler sunar. Denetimler en düşük şifre uzunluğunu, karakter sınıfı sayısını ve en uzun geçerlilik süresini dikkate alır.
Fiziksel ve çevresel güvenlik
Fiziksel Erişim Denetimi
- Yandex’in, ofislere ve veri merkezlerine sadece yetkili personelin erişebilmesini sağlamayı amaçlayan uygun fiziksel erişim denetimleri vardır.
Donanımların güvenli bir şekilde imha edilmesi veya yeniden kullanılması
- Depolama ortamındaki gizli veriler silinir veya ortam yeniden kullanılmadan önce güvenli bir şekilde üzerine yazılır. Ortam kullanılamaz hale gelirse, Yandex bunları resmi prosedürleri izleyerek imha eder.
Veri güvenliği ve bilgi yaşam döngüsü yönetimi
Veri aktarımının güvenliği
- Yandex, TLS protokolünü kullanarak genel ağlar ve dahili ağlar üzerinden aktarılan müşteri bilgilerini korur.
Vaka yönetimi
Vakaya Müdahale. Raporlama
-
-
Yandex, güvenlik tehditlerini tespit etmek, kaydetmek ve bilinen veya şüphelenilen vakalara uygun şekilde yanıt vermek amacıyla bu tehditleri izlemek, raporlamak ve bunlara yanıt vermek için resmi bir süreç yürütür.
-
Yandex, müşteri verilerinin sızdırılması konusunda müşterileri gecikmeksizin bilgilendirmek için prosedürlere sahiptir.
-
Bilgi sistemlerinin geliştirilmesi ve sürdürülmesi
Sistem Geliştirme Yaşam Döngüsü
- Yandex’te, sistemlerin ve uygulamaların geliştirilmesini ve dağıtımını düzenleyen bir sistem geliştirme yaşam döngüsü vardır.
Bilgi Güvenliği Gereksinimleri
- Yandex, bilgi güvenliğiyle ilgili gereksinimleri yeni bilgi sistemlerine ve mevcut sistemlerdeki iyileştirmelere uygular.
Güvenli Geliştirme
-
-
Yandex’te, güvenli geliştirme sürecinin temel bileşenleri sürekli olarak geliştirilmektedir: Security Development Lifecycle, SDLC.
-
Yandex, geliştirme yaşam döngüsü kapsamında sistemlerde yapılan değişiklikleri resmi değişiklik denetim prosedürleri aracılığıyla kontrol eder. Bunlar arasında güvenlik mimarisi incelemeleri ve ürün güvenliği denetimleri yer alır.
-
Yandex, sistem geliştirme yaşam döngüsü boyunca sistem geliştirmesi ve entegrasyonu için ortamlar oluşturur ve bunları uygun şekilde korur.
-
Yandex geliştirme, test ve üretim ortamlarını birbirinden ayırır.
-
Yandex’in, üretim verilerinin geliştirme veya test ortamlarında asla çoğaltılmamasını sağlamaya yönelik prosedürleri vardır.
-
Zafiyet Yönetimi
-
-
Yandex, güvenlik sorunlarını tespit etmek, azaltmak ve çözmek için bulut platformunu düzenli olarak sızma testlerine tabi tutar ve güvenlik açıklarını tarar.
-
Yandex, sistemler üretime geçene kadar keşfedilen güvenlik açıklarını düzeltir.
-
Yandex’in bir açık yönetim politikası vardır. Kritik bir güvenlik açığının, iletildiği zaman ile uygulandığı zaman arasındaki maksimum süreyi belgeler.
-
Yandex, etik bilgisayar korsanlarını ürünlerdeki güvenlik açıklarını bulmaya ve bunları ödül karşılığında şirkete bildirmeye teşvik eden bir hata avcılığı programı yürütmektedir.
-
Kriptografik Standartlar
- Yandex’te, minimum kriptografik standartları belirleyen bir politika onaylanmıştır. Tüm uygulamaların yanı sıra ağ ve bilgi işlem kaynakları da bunlara uymalıdır.
Çalışmanın kesintiye uğramamasının sağlanması ve kriz yönetimi
Yedekleme
-
-
Yandex, tüm kritik hizmetler için yedekleme mekanizmaları kullanır.
-
Yandex, kesintisiz çalışma için tasarlanmış ve çevresel tehditlerden korunan, coğrafi olarak dağıtılmış çeşitli veri merkezlerinde faaliyet göstermektedir.
-
Yandex, donanım arızası durumunda müşteri verilerini korumayı amaçlayan veri yedeklemeyi kullanmaktadır.
-
Testler
- Yandex, çalışmanın kesintiye uğramamasına ve kriz yönetimine yönelik planlarını düzenli olarak test etmektedir.
Bilgi güvenliği incelemesi
Öz değerlendirme
-
-
Yandex, bilgi sistemlerinin şirketin bilgi güvenliği politikası ve standartlarına uygunluğunu düzenli olarak denetler.
-
Yandex, bilgi güvenliği yönetimi ve uygulamasına yönelik yaklaşımını planlı bir düzenlilikle veya önemli değişiklikler meydana geldiğinde değerlendirir ve gözden geçirir.
-