+41 52 511 (SUI)     + 1 713 955 7305 (ABD)     
Siber Güvenlik Politikası

 

1. Giriş ve amaç

1.1 Rheonics tescilli veriler, müşteri bilgileri, fikri mülkiyet ve BT altyapısı dahil olmak üzere bilgi varlıklarını yetkisiz erişim, kullanım, ifşa, değişiklik, kesinti veya imhadan korumayı taahhüt eder.

1.2 Bu politika, güvenli bir ortamın sürdürülmesine yönelik çerçeveyi oluşturur. Rheonics' dijital operasyonlar, aşağıdakilerle uyumlu:

  • Yönetmelikler: İsviçre FADP, GDPR (uygulanabilir olduğu yerde), ABD eyalet/federal yasaları ve diğer geçerli ulusal yasalar Rheonics işletmektedir.
  • Standartlar: Sıfır Güven ilkeleri, CIS Ölçütleri, NIST yönergeleri (örneğin, geçerli olduğu durumlarda SP 800-88, SP 800-171) ve OWASP yönergeleri.

1.3 Amaçlar:

  • Verilerin ve sistemlerin gizliliğini, bütünlüğünü ve erişilebilirliğini (CIA) koruyun.
  • Siber güvenlik olaylarının risklerini en aza indirin ve iş sürekliliğini sağlayın.
  • Tüm personel arasında güvenlik bilincine sahip bir kültür yaratın.
  • Yasal, düzenleyici ve sözleşmesel yükümlülüklere uyumu sağlayın.

 

2. kapsam

Tümüne uygulanır Rheonics çalışanlar, yükleniciler, danışmanlar, stajyerler, gönüllüler ve üçüncü taraflar ("Kullanıcılar") Rheonics sistemler, veriler veya tesisler. Şunları kapsar:

2.1 Varlıklar

  • donanım
  • Yazılım (SaaS/IaaS/PaaS dahil)
  • Veri (elektronik ve fiziksel)
  • ağlar
  • Fiziksel olanaklar

2.2 Aktiviteler

  • Yerinde çalışma
  • Uzaktan çalışma
  • Şirkete ait cihazların kullanımı
  • Kişisel cihazların kullanımı (BYOD)
  • Gelişim faaliyetleri
  • Üçüncü taraf satıcı etkileşimleri

 

3. Roller ve sorumluluklar


RolAnahtar Görevler
YönetimPolitikayı savun; kaynakları tahsis et; genel uyumluluğu ve risk yönetimini sağla.
BT/Güvenlik EkibiKontrolleri uygulayın/yönetin; olay müdahalesine öncülük edin; denetimler ve değerlendirmeler yapın.
Tüm kullanıcılarPolitikaya uyun; güçlü parolalar + MFA kullanın; olayları derhal bildirin; eğitimi tamamlayın.

 

4. Politika Beyanları

4.1 Veri Güvenliği

  • Sınıflandırma ve Taşıma: Veriler hassasiyete göre sınıflandırılmalı ve işlenmelidir (Bkz. Ek A). Gereksinimler hassasiyetle birlikte artar.
  • Şifreleme: Sınırlı ve Gizli veriler, güçlü, endüstri standardı algoritmalar kullanılarak, hareket halindeyken ve hareketsizken şifrelenmelidir.
  • Bertaraf: Güvenli yöntemler kullanılmalıdır: Elektronik ortamlar için NIST SP 800-88 uyumlu silme; Gizli veya Kısıtlı veriler içeren fiziksel belgeler için çapraz kesme (P-4 veya üzeri). Veri saklama takvimlerine uyulmalıdır.

4.2 Erişim Kontrolü

  • En Az Ayrıcalık ve RBAC: Erişim, Rol Tabanlı Erişim Kontrolü (RBAC) kullanılarak işlevin gerekliliğine (en az ayrıcalık) göre verilir.
  • Kimlik doğrulama: Benzersiz Kullanıcı Kimlikleri gereklidir. Güçlü Parolalar (Ek B'ye bakın) ve MFA, bulut hizmetleri, uzaktan erişim, yönetim hesapları ve Gizli/Kısıtlı verileri işleyen sistemler için zorunludur.
  • Yorumlar: Yöneticiler/sistem sahipleri tarafından üç ayda bir incelenen erişim hakları; fesih veya rol değişikliği üzerine derhal iptal edilir. Erişim izinleri/değişiklikleri için resmi onay süreci gereklidir.

4.3 Kabul Edilebilir Kullanım Politikası (AUP)

  • İş amacı: Rheonics kaynaklar öncelikle ticari kullanım içindir. Görevlere müdahale etmediği, aşırı kaynak tüketmediği, masraf çıkarmadığı veya politikaları/yasaları ihlal etmediği sürece sınırlı tesadüfi kişisel kullanıma izin verilir.
  • Yasaklanmış Faaliyetler: Bunlarla sınırlı olmamak üzere: yasa dışı faaliyetler, taciz, saldırgan materyale erişim/dağıtım, telif hakkı ihlali, yetkisiz sistem değişikliği, güvenlik kontrollerini aşma, yetkisiz yazılım yükleme, kötü amaçlı yazılım tanıtma, yetkisiz veri paylaşımı/sızdırma, aşırı kişisel kullanım.
  • Kullanıcı Dikkati: Kullanıcılar e-postalara (kimlik avı), web gezintilerine (kötü amaçlı sitelere) ve eklere/bağlantılara karşı dikkatli olmalıdır.

4.4 Ağ Güvenliği

  • Çevre ve Segmentasyon: Güvenlik duvarları, IDS/IPS bakımı yapıldı. Ağ segmentasyonu kritik sistemleri (örneğin, Ar-Ge, üretim) ve veri depolarını izole eder.
  • Wi-Fi: Dahili ağlar için güvenli WPA3-Kurumsal (veya en azından WPA2-Kurumsal). Misafir Wi-Fi'si mantıksal olarak ayrılmalı ve dahili kaynaklara erişim sağlamamalıdır.
  • Uzaktan Erişim: Sadece şirket onaylı VPN ile MFA ile. Bölünmüş tünelleme kısıtlanabilir.
  • Sıfır Güven: Sıfır Güven mimarisi prensiplerinin (örneğin, mikro segmentasyon, sürekli doğrulama, cihaz sağlık kontrolleri) uygulanması devam ediyor ve kritik ağlar için 1'nın 2026. çeyreğine kadar tamamlanması hedefleniyor.

4.5 Şirkete Ait Uç Nokta Güvenliği

  • Koruması:Şirkete ait tüm uç noktalarda (masaüstü bilgisayarlar, dizüstü bilgisayarlar, mobil cihazlar) şirket tarafından yönetilen Uç Nokta Algılama ve Yanıt (EDR) veya onaylı Antivirüs yazılımının çalışır durumda ve güncel olması gerekir.
  • Yama: İşletim Sistemleri ve uygulamalar şirketin yama yönetim süreci aracılığıyla güncel tutulmalıdır. Kritik yamalar tanımlanmış zaman çizelgeleri içinde uygulanır [Rheonics zaman çizelgelerini tanımlamak için, örneğin kritik işletim sistemleri için 72 saat].
  • Şifreleme: Dizüstü bilgisayarlar ve taşınabilir cihazlarda tam disk şifrelemesi (örneğin BitLocker, FileVault) zorunludur.

4.6 Kendi Cihazınızı Getirin (BYOD)

  • Onay ve Standartlar: Kamuya açık olmayan erişime yönelik kişisel cihazların (BYOD) kullanımı Rheonics Veriler açık onay ve asgari standartlara uyumu gerektirir (Bkz. Ek D).
  • Güvenlik gereksinimleri: MDM kaydı, desteklenen işletim sistemi sürümleri, güvenlik yazılımı, şifreleme, parolalar, uzaktan silme yeteneği ve veri ayırma/konteynerleştirmeyi içerir.
  • Yasal Uyarı: Rheonics BYOD cihazlarından şirket verilerini yönetme/silme hakkını saklı tutar; Rheonics Güvenlik önlemleri sırasında oluşabilecek kişisel veri kayıplarından sorumlu değildir.

4.7 Yazılım Güvenliği ve Yönetimi

  • Yetkili Yazılım: Yalnızca BT tarafından onaylanan lisanslı yazılımlar yüklenebilir. Kullanıcıların yetkisiz uygulamaları yüklemesi yasaktır.
  • Yama Yönetimi: Tüm sistemlerdeki (sunucular, uç noktalar, ağ aygıtları) tüm yazılımlara (işletim sistemi, uygulamalar, donanım yazılımları) uygulanır.
  • Güvenlik Açığı Yönetimi: Düzenli güvenlik açığı taramaları gerçekleştirilir. Kritik güvenlik açıkları, tanımlanmış zaman çizelgeleri içinde giderilmelidir [Rheonics Tanımlamak için]. Kritik sistemlere periyodik olarak gerçekleştirilen penetrasyon testleri.
  • Güvenli Geliştirme: (Uygulanabilirse) Geliştirme ekipleri güvenli kodlama uygulamalarını (örneğin OWASP Top 10) takip etmeli, kod incelemeleri yapmalı ve güvenlik test araçlarını (SAST/DAST) kullanmalıdır.
  • Yazılım Kompozisyon Analizi (SCA): Açık kaynaklı bileşenler envanter edilmeli ve güvenlik açıkları açısından taranmalıdır. Yönetim/BT Güvenliği tarafından açıkça risk kabul edilmediği sürece Ömür Sonu (EOL) yazılım/bileşenlerinin kullanımı yasaktır.

4.8 Fiziksel Güvenlik

  • Giriş kontrolu: Erişim Rheonics tesisler, sunucu odaları ve Ar-Ge laboratuvarları fiziksel kontroller (rozetler, anahtarlar, biyometri) yoluyla kısıtlanmıştır. Hassas alanlar için erişim kayıtları tutulmaktadır.
  • Ziyaretçi Yönetimi: Ziyaretçilerin imza atması, geçici kimlik verilmesi ve kamuya açık olmayan alanlara refakat edilmesi gerekmektedir.
  • İş İstasyonu Güvenliği: Kullanıcılar, gözetimsiz olduklarında iş istasyonlarını kilitlemelidir (Windows+L / Ctrl+Cmd+Q).
  • Masayı/Ekranı Temizle: Hassas bilgiler (fiziksel belgeler, ekranlar) özellikle açık alanlarda veya masalar gözetimsiz bırakıldığında yetkisiz görüntülemeye karşı korunmalıdır. Güvenli atık kutuları kullanılmalıdır.

4.9 Bulut Güvenliği

  • Onaylanmış Hizmetler: Bulut hizmetlerinin (SaaS, IaaS, PaaS) kullanımı Rheonics Veriler BT/Güvenlik tarafından onaylanmalıdır.
  • Yapılandırma ve İzlemeoring: Hizmetler, geçerli olduğu durumlarda CIS Benchmarks (AWS/GCP/Azure) ile uyumlu olacak şekilde güvenli bir şekilde yapılandırılmalıdır. Koşullu Erişim politikaları (örneğin, coğrafi konum, cihaz uyumluluğu) uygulanmalıdır. API ve kullanıcı etkinliği günlüğü etkinleştirilmeli ve izlenmelidir.
  • Veri koruması: Bulut sağlayıcılarının beklentileri karşıladığından emin olun Rheonics' Veri güvenliği, şifreleme, yedekleme ve ikamet gereklilikleri sözleşmeler ve değerlendirmeler yoluyla karşılanmaktadır.

4.10 Üçüncü Taraf / Tedarikçi Yönetimi

  • Risk değerlendirmesi: Erişim, işleme ve depolama yapan satıcılarla etkileşime girmeden önce güvenlik değerlendirmeleri gerçekleştirilir Rheonics veri veya ağlara bağlanın. Risk seviyesi değerlendirme derinliğini belirler.
  • Sözleşmesel Gereklilikler: Sözleşmelerde gizlilik, veri koruma (GDPR/FADP kapsamında kişisel verilerin işlenmesi halinde DPA'lar dahil), güvenlik kontrolleri, olay bildirimi ve denetim haklarını kapsayan maddeler yer almalıdır.
  • Devam Eden İzlemeoring: Kritik tedarikçi güvenlik duruşunun periyodik olarak gözden geçirilmesi.

4.11 Olay Müdahalesi

  • Raporlama: Şüpheli olaylar derhal (keşfedilmesinden itibaren 1 saat içinde hedef) aracılığıyla bildirilmelidir () veya (24/7 Şirket İçi Ekipler kanalı).
  • Müdahale Planı: Rheonics Olay Müdahale Planı (IRP) tutar. Temel akış için Ek C'ye bakın.
  • Kritik Olaylar: (örneğin, fidye yazılımı, doğrulanmış veri ihlali) Tırmanma ve kontrol eylemlerini tetikleyin (hedef 4 saat içinde). Yasal/Yönetimsel bildirim, düzenlemeler tarafından belirlenen zaman çizelgelerini takip eder (örneğin, geçerli olduğu durumlarda GDPR/FADP 72 saatlik ihlal bildirimi).
  • İşbirliği: Tüm Kullanıcılar, olay müdahale soruşturmalarına tam olarak işbirliği yapmalıdır.

 

5. Yaptırım

İhlaller, yerel istihdam yasalarına tabi olarak, ciddiyet ve niyete göre ele alınacaktır.

İhlalÖrnek E-postaSonuç (Örnekler)
KüçükKazara politika sapması; kritik olmayan eğitimin kaçırılmasıYazılı uyarı; zorunlu yeniden eğitim
BüyükPaylaşılan kimlik bilgileri; tekrarlanan küçük ihlaller; yetkisiz P2P yazılımının yüklenmesiAskıya alma; resmi disiplin eylemi
Kritik / KasıtlıKasıtlı veri ihlali; kötü niyetli faaliyet; sabotajFesih; olası yasal işlem

 

6. Politika Bakımı

  • Cadence'i inceleyin: En az yılda bir kez Politika Sahibi (BT Başkanı) ve paydaşlar tarafından incelenir.
  • İnceleme Tetikleyicileri: Aşağıdakiler tarafından tetiklenen özel incelemeler: Büyük güvenlik olayları, önemli düzenleyici değişiklikler (örneğin, yeni veri gizliliği yasaları), büyük teknoloji/altyapı değişiklikleri (örneğin, büyük bulut göçü), denetim bulguları.
  • Güncellemeler: Onaylanan değişiklikler tüm kullanıcılara iletildi.

 

7. Ekler

7.1 Ek A: Veri Sınıflandırması

SınıflandırmaÖrnek E-postaTaşıma Gereksinimleri
KısıtlıMüşteri PII'si, Ar-Ge kaynak kodu, kripto anahtarları• Şifreleme (hareket halindeyken/hareket halindeyken)
• Sıkı Erişim Günlükleri
• Bilinmesi gereken + açık onay
• Yıllık erişim incelemesi
GizliÇalışan kayıtları, finansal veriler, iç stratejiler• MFA önerilir/gerekli
• Bilinmesi gereken temel
• Dahili olarak sınırlı paylaşım
İçToplantı notları, iç politikalar, genel iletişimler• Onay alınmadan dışarıya paylaşım yapılamaz.
• Şirket sistemlerini kullanın
Açık AlanPazarlama materyalleri, web sitesi genel içeriği• İşleme/paylaşım konusunda hiçbir kısıtlama yok

 

7.2 Ek B: parola gereksinimleri

  • Minimum uzunluk:
    • Kullanıcı hesapları: 12 karakter
    • Yönetici/Hizmet hesapları: 16 karakter
  • karmaşa
    • En az 3'ten 4'ü: büyük harf, küçük harf, sayılar, semboller (~!@#$%^&*()-_=+[]{}|;:'”,.<>/?). Kullanıcı adı veya genel sözlük kelimeleri içeremez.
  • rotasyon
    • Maksimum 90 gün (onaylı sürekli kimlik doğrulama yöntemleri kullanılmadığı sürece).
  • Tarihçe
    • Önceki 5 şifre tekrar kullanılamaz.
  • Depolama:
    • Güvenli olmayan bir şekilde yazılmamalıdır. Şirket tarafından onaylanmış parola yöneticisini (örneğin, Bitwarden, 1Password) kullanın.oring karmaşık benzersiz şifreler. Şifrelerin paylaşılması yasaktır. MFA atlama yasaktır.

 

7.3 Ek C: Olay Müdahale Akışı

  • Tespit ve Analiz: Potansiyel olayları belirleyin.
  • Raporlama: Tanımlanmış kanallar aracılığıyla BT/Güvenliğe HEMEN (hedeflenen 1 saat içinde) rapor verin.
  • Triyaj ve Değerlendirme: BT/Güvenlik ciddiyetini ve etkisini değerlendirir.
  • Sınırlama: Etkilenen sistemleri/hesapları izole edin (kritik olaylar için hedef 4 saat içinde).
  • Yok etme: Tehdit/zafiyetleri ortadan kaldırın.
  • Tedavi Süreci: Sistemleri/verileri güvenli bir şekilde geri yükleyin.
  • Olay Sonrası İnceleme: Öğrenilen dersler, süreç iyileştirme.
    • Bildirim: Değerlendirmeye bağlı olarak gerekli görülen Yasal/Düzenleyici/Müşteri bildirimleri gerçekleştirilir (örneğin GDPR/FADP kişisel veri ihlalleri için 72 saat içinde).

 

7.4. Ek D: BYOD Asgari Standartları

  • onay: Kamuya açık olmayan verilere erişim öncesinde gereklidir.
  • Cihaz Gereksinimleri:
    • İşletim Sistemi Sürümleri: Şu anda satıcı tarafından desteklenen sürümleri çalıştırmalısınız (örneğin, Windows 11+, macOS 14+, iOS 16+, Android 13+)
    • Güvenlik: Ekran kilidi/biyometri etkin; cihaz şifrelemesi etkin; onaylı güvenlik yazılımı (AV/kötü amaçlı yazılım önleme) gerekebilir; cihaz jailbreak yapılmamış/rootlanmamış.
    • MDM: Kayıt Rheonics' Mobil Cihaz Yönetimi (MDM) çözümü zorunludur.
    • Uzaktan sil: Şirket verileri/profili için yeteneğin etkinleştirilmesi gerekir.
  • Veri Ayrımı: Yönetilen bir profil veya kapsayıcı (örneğin, Microsoft Intune MAM, Android İş Profili) içindeki onaylı uygulamalar aracılığıyla erişilen/depolanan şirket verileri. Şirket verilerinin kişisel uygulamalara/depolama alanına kopyalanması yasaktır.
  • : Güvenli Wi-Fi üzerinden bağlanın; iş için güvenilmeyen halka açık Wi-Fi'lardan kaçının.

 

8. İletişim ve Onay

  • Güvenlik Soruları/Endişeleri: Temas etmek () veya iç kanallar aracılığıyla BT/Güvenlik Ekibimize iletilebilir.
  • Olayları Bildirin: Acil yöntemleri kullanın: () ve (24/7 Şirket İçi Ekipler kanalı).
  • Alındı: Tüm kullanıcıların, işe alım sırasında ve önemli güncellemelerin ardından bu politikayı elektronik olarak (İK Portalı, Eğitim Sistemi) okumaları, anlamaları ve aldıklarını onaylamaları gerekmektedir. Onaylamamanın başarısız olması, politikanın uygulanabilirliğini ortadan kaldırmaz.
Siber Güvenlik Politikasını İndirin
Rheonics Siber Güvenlik Politikası
Ara