GÜVENLİK POLİTİKASI

Aligned with ISO/IEC 27001 & SOC 2

1. Giriş

DeskCamera, bilgisayar ekranı ve sesi ONVIF/RTSP protokolleri aracılığıyla NVR/VMS sistemlerine aktaran bir yazılım uygulamasıdır. Tamamen yerel ağ içinde çalışacak şekilde tasarlanmıştır ve herhangi bir kullanıcı verisini veya video içeriğini iletmez, toplamaz ya da saklamaz. Yazılım, sıkı güvenlik standartlarına ve uyumluluk uygulamalarına uygun olarak geliştirilmiştir.

2. Politika Amacı

ISO/IEC 27001 ve SOC 2 Güven Hizmetleri Kriterleri ile uyumlu olarak, DeskCamera uygulamasının gizliliğini, bütünlüğünü ve kullanılabilirliğini sağlamak amacıyla güvenlik çerçevesini ve sorumlulukları tanımlamak.

3. Temel Güvenlik İlkeleri

  • Sadece Yerel Mimari: DeskCamera tamamen müşterinin altyapısında çalışır ve internete veya harici sunuculara bağlantı gerektirmez. Lisans doğrulama veya güncelleme kontrolü gibi durumlar dışında DeskCamera bulut altyapısına isteğe bağlı bağlantı kurulabilir. Bu bağlantılar sırasında hiçbir kişisel veri iletilmez.

  • Veri Toplama Yok: Uygulama herhangi bir kullanıcı verisi, video veya telemetri toplamaz ya da iletmez.

  • Güvenli Kod Tabanı Yönetimi (ISO 27001 A.9, A.12): Kaynak kod, rol tabanlı erişim kontrolü, günlükleme ve düzenli denetimlerle korunan bir DevOps deposunda tutulur.

  • İmzalı Yapılar (SOC 2 – Sistem Bütünlüğü): Tüm uygulama sürümleri, modern şifreleme ve fiziksel güvenlik standartlarına uygun bir donanım anahtarında (ör. HSM/Yubikey) şifrelenmiş biçimde saklanan bir sertifika ile dijital olarak imzalanır.

  • Güvenli Yazılım Geliştirme Yaşam Döngüsü (SDLC): DeskCamera, güvenli tasarım, kod incelemesi, statik kod analizi ve en az yılda bir kez gerçekleştirilen sızma testlerini içeren güvenli bir SDLC sürecini takip eder.

  • Güncelleme Bütünlüğü (SOC 2 – Değişiklik Yönetimi): Tüm güncellemeler yayınlanmadan önce resmi değişiklik kontrolü, geriye dönük testler ve bütünlük doğrulamasından geçer. Değişiklikler, denetim izi sağlayan bir sürüm kontrol sistemi üzerinden takip edilir.

4. Erişim Kontrolü

  • Yalnızca yetkili personel kaynak koduna veya yapı altyapısına erişebilir.

  • Erişim üç ayda bir gözden geçirilir (ISO/IEC 27001 A.9.2.5).

  • Tüm erişimler ve yönetici işlemleri günlüklenir ve denetim amaçlarıyla saklanır.

5. Tedarikçi ve Üçüncü Taraf Risk Yönetimi (ISO 27001 A.15)

  • Tüm üçüncü taraf kütüphaneler ve bağımlılıklar izlenir ve takip edilir.

  • Güvenlik duyuruları haftalık olarak incelenir, yamalar düzenli olarak uygulanır.

  • Yüksek riskli veya artık desteklenmeyen bileşenlerden kaçınılır veya sandbox ortamında çalıştırılır.

6. Olay Müdahale Hazırlığı (ISO 27001 A.16, SOC 2)

  • Güvenlik açıkları ve olay raporları için özel bir iletişim noktası mevcuttur.

  • Güvenlik olayları; tespit, sınıflandırma, sınırlama, düzeltme ve temel neden analizi aşamalarından geçen yapılandırılmış bir süreçle yönetilir.

  • Gelecekteki müdahaleleri geliştirmek için edinilen dersler gözden geçirilir.

7. Müşteri Sorumlulukları

  • Resmî DeskCamera web sitesi aracılığıyla sunulan yazılım güncellemelerini uygulamak.

  • Sistem yapılandırmalarını güvenli tutmak ve DeskCamera uç noktalarına ağ erişimini sınırlamak.

8. Uygunluk ve Gözden Geçirme

Bu politika her yıl ve sistem veya ortamda önemli değişiklikler yapıldığında gözden geçirilir.

9. Güvenlik Sorunları için İletişim

Güvenlikle ilgili konular şu adrese bildirilebilir: [email protected]