ISO 27001 Bilgi Güvenliği Politikası

EGuardAgent (bundan böyle "Şirket" olarak anılacaktır) olarak; geliştirdiğimiz uç nokta (endpoint) güvenlik yazılımları ve sunduğumuz bulut tabanlı yönetim hizmetlerinde, bilgi güvenliğini en üst seviyede tutmayı temel prensibimiz olarak kabul ediyoruz.

Bu politika, TS EN ISO/IEC 27001 Bilgi Güvenliği Yönetim Sistemi (BGYS) standardına uygun olarak; müşterilerimize ait hassas verilerin (ekran görüntüleri, aktivite logları, kullanıcı bilgileri) gizliliğini, bütünlüğünü ve erişilebilirliğini korumak amacıyla oluşturduğumuz teknik ve idari tedbirleri beyan eder.

1. Temel İlkelerimiz (CIA Triad)

EGuardAgent, bilgi güvenliği süreçlerini üç temel ilke üzerine inşa etmiştir:

Gizlilik (Confidentiality)

Müşteri verilerine sadece yetkili kişilerin erişebilmesini sağlamak. (Örn: 2FA, Rol bazlı yetkilendirme)

Bütünlük (Integrity)

Verilerin yetkisiz kişilerce değiştirilmesini veya silinmesini önlemek. (Örn: Log hashing, Code signing)

Erişilebilirlik (Availability)

Yetkili kullanıcıların ihtiyaç duydukları anda verilere erişebilmesini garanti altına almak. (Örn: Çevrimdışı çalışma modu, Yedekli sunucu mimarisi)

2. Teknik Güvenlik Kontrollerimiz

ISO 27001 standartları gereği uyguladığımız spesifik teknik kontroller ve EGuardAgent mimarisindeki karşılıkları aşağıdadır:

A. Erişim Kontrolü (Access Control)

Yetkisiz erişimleri engellemek için çok katmanlı bir güvenlik mimarisi uygulanmaktadır:

  • Çift Faktörlü Kimlik Doğrulama (2FA): Yönetim paneline erişimlerde, standart parolanın ötesinde HMAC-SHA256 TOTP algoritması tabanlı, 6 haneli ve 5 dakika geçerli tek kullanımlık şifreler zorunlu kılınmıştır.
  • Güvenli Oturum Yönetimi: Tüm API istekleri, 60 dakika geçerlilik süresine sahip JWT (JSON Web Token) ile doğrulanmakta; süresi dolan oturumlar otomatik olarak sonlandırılmaktadır.
  • Lisans Doğrulama Middleware: Her API isteğinde lisansın aktifliği ve geçerliliği sunucu tarafında (Server-side) kontrol edilir.
  • Korumalı Kaldırma: Masaüstü ajanı (Agent), sadece yetkili admin şifresi ile kaldırılabilir; bu süreçte UninstallForm üzerinden doğrulama yapılır.

B. Kriptografi (Cryptography)

Veriler hem iletim (data-in-transit) hem de saklama (data-at-rest) aşamalarında endüstri standardı algoritmalarla şifrelenir:

  • Veritabanı Şifreleme: Uç noktalarda (Endpoint) tutulan yerel veriler (Loglar, ayarlar), SQLCipher (256-bit AES) teknolojisi ile şifreli SQLite veritabanlarında saklanır. Veritabanı dosyası çalınsa dahi veriler okunamaz.
  • Parola Güvenliği: Kullanıcı parolaları veritabanında asla açık metin olarak tutulmaz; BCrypt (Work Factor 11) algoritması ile hashlenerek saklanır.
  • İletişim Güvenliği: İstemci ve sunucu arasındaki tüm veri trafiği HTTPS/TLS 1.2+ protokolü üzerinden şifreli olarak gerçekleştirilir.

C. İşletim Güvenliği ve Loglama (Operations Security)

Sistem aktivitelerinin izlenebilirliği ve güvenliği için kapsamlı kayıt mekanizmaları işletilmektedir:

  • Detaylı Denetim İzleri (Audit Logs): Sistem üzerindeki tüm yönetici aktiviteleri (politika değişikliği, kullanıcı ekleme/silme) kayıt altına alınır.
  • Hata ve Debug Logları: Sistem hataları, kişisel veri içermeyecek şekilde %LocalAppData% dizininde, otomatik temizleme (7 gün) politikasıyla tutulur.
  • Zararlı Yazılım Koruması: EGuardAgent, kendi bütünlüğünü korumak adına, sistem dosyalarına (Görev Yöneticisi, Regedit vb.) yapılan müdahaleleri tespit eder ve engeller.

D. İletişim Güvenliği (Communications Security)

Ağ güvenliğini sağlamak için alınan önlemler:

  • Güvenli Senkronizasyon: Veri transferi sırasında veri bütünlüğünü sağlamak için "BulkLogSyncService" gibi servisler, verileri paketler halinde ve doğrulama anahtarlarıyla iletir.
  • Minimum Veri İlkesi: Sunucuya sadece gerekli log verileri (Base64 kodlu ekran görüntüleri, text loglar) gönderilir; gereksiz ağ trafiği oluşturulmaz.

E. İş Sürekliliği Yönetimi (Business Continuity)

Hizmet kesintilerine karşı dayanıklılık:

  • Çevrimdışı (Offline) Mod: İnternet kesintisi durumunda EGuardAgent durmaz; yerel politika motoru çalışmaya devam eder ve logları şifreli yerel veritabanında (Queue) biriktirir. Bağlantı sağlandığında otomatik senkronizasyon devreye girer.
  • Otomatik Güncelleme: Yazılımın güncelliği ve güvenliği, kullanıcı müdahalesi gerektirmeyen sessiz arka plan güncellemeleri (Inno Setup /VERYSILENT) ile sağlanır.

3. Risk Yönetimi ve İhlal Bildirimi

Şirketimiz, bilgi güvenliği risklerini düzenli olarak değerlendirmekte ve olası tehditlere (DDoS, Brute-Force, veri sızıntısı) karşı proaktif önlemler almaktadır.

Olası bir güvenlik ihlali veya zafiyet tespiti durumunda;

  • İhlal anında tespit edilerek müdahale edilir.
  • Etkilenen müşterilerimiz ve (gerekiyorsa) yasal otoriteler (KVKK, USOM), yasal süreler içerisinde bilgilendirilir.
  • Kök neden analizi yapılarak tekrarı önleyici yamalar (patch) yayınlanır.

4. Taahhüt

EGuardAgent Yönetimi olarak; Bilgi Güvenliği Yönetim Sisteminin (BGYS) kurulması, uygulanması, işletilmesi, izlenmesi, gözden geçirilmesi, sürdürülmesi ve sürekli iyileştirilmesi için gerekli tüm kaynakları sağlayacağımızı taahhüt ederiz. Müşterilerimizin verilerinin güvenliği, işimizin en kritik parçasıdır.

E-Guard | Kurumsal Bilgisayar Yönetimi