SAP CLOUD HİZMETLERİ İÇİN KİŞİSEL VERİ İŞLEME ANLAŞMASI 1. ARKA PLAN
1.1 Amaç.
İşbu belge, SAP ve Müşteri arasında yapılan bir veri işleme anlaşması ("DPA") olup Müşteri tarafından ve Müşterinin Bulut Hizmeti kullanımıyla bağlantılı olarak her bir Veri Denetleyici tarafından sağlanan Kişisel Veriler için geçerlidir. Anlaşmada, Bulut Hizmeti'nin canlı kullanım sisteminde depolanan Kişisel Verilerin korunması için SAP tarafından uygulanmakta olan teknik ve kurumsal önlemler belirtilmektedir.
1.2 Standart Sözleşme Maddeleri Belgesinin Uygulanması.
Kişisel Verilerin işlenmesinde bir Uluslararası Aktarım söz konusuysa Bölüm 5'te belirtildiği üzere Standart Sözleşme Maddeleri geçerli olacaktır. Bu maddeler işbu belgeye referans olarak eklenmiştir.
1.3 Yönetim.
Bölüm 5.2'de belirtilenler dışında, diğer Veri Denetleyicilerden gelen tüm isteklerin yönetiminden yalnızca Müşteri sorumludur. Müşteri, Bulut Hizmeti'ni kullanmasına izin verdiği diğer tüm Veri Denetleyicilerin işbu DPA'nın koşullarına bağlı olmasını sağlayacaktır.
2. EKLER
Müşteri ve Müşterinin Veri Denetleyicileri, Bulut Hizmeti'ndeki Kişisel Verilerin toplanma ve işlenme amaçlarını belirler. Ek 1'de SAP'nin Bulut Hizmeti aracılığıyla sağlayacağı işlemenin ayrıntıları belirtilmiştir. Ek 2'de SAP'nin, Anlaşmada aksi belirtilmediği sürece Bulut Hizmeti'nde uyguladığı teknik ve kurumsal önlemler belirtilmiştir.
3. SAP'NİN YÜKÜMLÜLÜKLERİ 3.1 Müşterinin Talimatları.
SAP, (i) kanunen yasak olmadığı veya (ii) Bulut Hizmeti'nde önemli bir değişiklik yapılmasını gerektirmediği sürece Müşterinin (kendi adına veya Veri Denetleyicilerinin adına) Kişisel Veriler ile ilgili olarak sağladığı talimatları uygulayacaktır. SAP, Müşteriden aldığı talimat doğrultusunda herhangi bir Kişisel Veriyi düzeltebilir veya kaldırabilir. SAP, bir talimata uyamaması durumunda Müşteriyi derhal bilgilendirecektir (e-postaya izin verilir).
3.2 Veri Gizliliği.
SAP ve Alt İşleyicileri, Kişisel Verilerin işlenmesi için yalnızca Veri Koruma Kanunu uyarınca veri ve telekomünikasyon gizliliğine riayet etmek zorunda olan personel ile çalışacaktır. SAP ve Alt İşleyicileri, Kişisel Verilere erişimi olan kişilere veri güvenliği ve veri gizliliği hakkında düzenli olarak eğitim verecektir.
3.3 Teknik ve Kurumsal Önlemler.
(a) SAP, Ek 2'de belirtilen uygun teknik ve kurumsal önlemleri uygulayacaktır.
(b) Ek 2, Bulut Hizmeti'nin canlı kullanım sistemi için geçerlidir. Müşteri, canlı kullanım haricindeki ortamlarda herhangi bir Kişisel Veriyi depolamamalıdır.
(c) SAP, Bulut Hizmeti'ni SAP'nin aynı veri merkezinde barındırılan ve aynı Bulut Hizmeti'ni alan tüm müşteri portföyüne sağlamaktadır. Müşteri, Kişisel Verilerin korunmasıyla ilgili olarak Ek 2'de belirtilen önlemlerin, veri koruma seviyesi düşürülmemek kaydıyla SAP tarafından iyileştirilebileceğini kabul eder.
3.4 Güvenlik İhlali Bildirimi.
SAP, herhangi bir Güvenlik İhlalinden haberdar olursa Müşteriyi derhal bilgilendirecektir.
3.5 İş Birliği.
Müşterinin talebi doğrultusunda SAP, SAP'nin Kişisel Verileri işlemesiyle ilgili olarak Veri Kullanıcılarından veya düzenleme kurullarından gelen taleplerle ilgilenmesi için Müşteriye veya herhangi bir Veri Denetleyiciye makul ölçüde destek sunacaktır.
4. ALT İŞLEYİCİLER 4.1 İzin Verilen Kullanım.
(a) Müşteri ve Veri Denetleyiciler, SAP'ye Kişisel Verilerin işlenmesini Alt İşleyicilere devretme yetkisi vermektedir. SAP, Alt İşleyicilerinden kaynaklanan herhangi bir Anlaşma ihlalinden sorumlu olacaktır.
(b) Alt İşleyiciler, Kişisel Verilerin işlenmesi bağlamında SAP'nin bir Veri İşleyici (veya Alt İşleyici) olarak sahip olduğu tüm yükümlülüklere sahiptir.
(c) SAP, seçimden önce Alt İşleyicilerin güvenlik ve gizlilik uygulamalarını değerlendirecektir. Alt İşleyiciler, uygun güvenlik önlemleri aldıklarını kanıtlayan güvenlik sertifikalarına sahip olabilir. Aksi halde SAP, veri işleme sürecinde yer aldıkları için her bir Alt İşleyicinin güvenlik uygulamalarını düzenli olarak değerlendirecektir.
(d) Müşterinin talebi üzerine SAP, Bulut Hizmeti'ni sağlamak için birlikte çalıştığı her bir Alt İşleyicinin adını, adresini ve görevini Müşteriye bildirecektir.
4.2 Yeni Alt İşleyiciler.
SAP'nin Alt İşleyiciler ile birlikte çalışıp çalışmayacağı, aşağıdaki koşullara uygun olmak kaydıyla kendi takdirine bağlıdır:
(a) SAP, Geçerlilik Tarihinde mevcut olan Alt İşleyici listesinde yapılan herhangi bir değişikliği derhal (e-posta yoluyla veya Destek Portalına göndererek) Müşteriye bildirecektir (Acil Durum Değişiklikleri veya Alt İşleyicilerin değiştirilmeden silinmesi haricinde).
(b) Müşteri, Kişisel Verilerin Alt İşleyiciler tarafından işlenmesiyle ilgili haklı bir sebep öne sürebiliyorsa SAP'nin bildirimini aldıktan sonra otuz gün içinde SAP'ye yazılı bildirimde bulunarak SAP'nin bir Alt İşleyici ile çalışmasına itiraz edebilir. Müşterinin belirli bir Alt İşleyici kullanılmasına itiraz etmesi halinde taraflar iyi niyet çerçevesinde bir çözüm üretmek üzere bir araya gelecektir. SAP (i) söz konusu Alt İşleyiciyi kullanmamayı veya (ii) Müşterinin itirazında talep ettiği düzeltici adımları uygulayarak Alt İşleyiciyi kullanmayı seçebilir. Bu seçeneklerden hiçbirinin makul ölçüde mümkün olmaması ve Müşterinin haklı bir sebep doğrultusunda itirazını sürdürmesi halinde her bir taraf, otuz gün öncesinden yazılı bildirimde bulunarak Anlaşmayı feshedebilir. Müşteri, bildirimi aldıktan sonra otuz gün içinde itiraz etmezse Müşterinin, yeni Alt İşleyiciyi kabul ettiği varsayılır.
(c) Müşterinin itirazının öne sürüldükten sonra altmış gün boyunca çözüme kavuşmaması ve SAP'nin herhangi bir fesih bildirimi almaması halinde Müşterinin Alt İşleyiciyi kabul ettiği varsayılır.
4.3 Acil Durum Değişikliği.
SAP, bir Alt İşleyiciyi SAP'nin makul kontrolü dışında gelişen bir nedenden ötürü değiştirebilir. Bu durumda SAP, Müşteriyi Alt İşleyici değişikliğiyle ilgili olarak mümkün olan en kısa sürede bilgilendirecektir. Müşteri, Bölüm 4.2 (b) uyarınca bir Alt İşleyici değişikliğine itiraz etme hakkını saklı tutar.
5. ULUSLARARASI AKTARIMLAR
5.1 Uluslararası Aktarımla ilgili Sınırlamalar
SAP veya Alt İşleyicilerinin, EEA veya İsviçre Veri Denetleyicilerinden elde edilen Kişisel Verilere EEA veya İsviçre dışında erişebilmesi veya söz konusu verileri EEA veya İsviçre dışında dışa aktarabilmesi ("Uluslararası Aktarım") için şu koşulların sağlanmış olması gerekir:
(a) Alıcı veya alıcının Kişisel Verileri işlediği veya bu verilere eriştiği ülke ya da bölge, Kişisel Verilerin işlenmesiyle ilgili olarak Avrupa Komisyonu tarafından belirlenen şekilde veya (b) Bölüm 5.2 uyarınca Veri Kullanıcılarının hak ve özgürlükleri için yeterli düzeyde koruma sağlamalıdır.
5.2 Standart Sözleşme Maddeleri ve Çok Katmanlı Çerçeve.
(a) Standart Sözleşme Maddeleri, Kişisel Verilerin işlenmesiyle ilgili olarak Avrupa Komisyonu tarafından belirlenen şekilde Veri Kullanıcılarının hak ve özgürlükleri için yeterli düzeyde koruma sağlamayan bir ülkeye Uluslararası Aktarımın söz konusu olduğu durumlarda geçerlidir.
(b) SAP, Üçüncü Ülke Alt İşleyicileri için, söz konusu Alt İşleyici Kişisel Verileri işlemeden önce Standart Sözleşme Maddelerinin değişikliğe uğramamış versiyonunu kabul etmiştir.
Müşteri (kendisiyle birlikte her bir Veri Denetleyici adına), işbu belge ile SAP ve Üçüncü Ülke Alt İşleyicisi arasındaki Standart Sözleşme Maddelerini kabul etmektedir. SAP, Veri Koruma Kanunu uyarınca doğrudan bir yaptırım hakkının bulunmaması halinde Veri Denetleyici adına Alt İşleyiciye karşı bu Standart Sözleşme Maddelerini uygulayacaktır.
(c) İşbu DPA'daki hiçbir madde, Standart Sözleşme Maddelerinin çelişkili maddesinden üstün olacağı şeklinde yorumlanamaz.
6. SERTİFİKALAR VE DENETİMLER 6.1 Müşteri Denetimleri.
Müşteri veya Müşterinin bağımsız bir üçüncü taraf denetçisi, yalnızca aşağıdaki durumlar için geçerli olmak üzere SAP'nin, kendisi tarafından işlenen Kişisel Verilerle ilgili güvenlik uygulamalarını ve kontrol ortamını denetleyebilir:
(a) SAP'nin (i) ISO 27001 veya diğer standartlarla (kapsam, sertifikada belirtildiği şekildedir) uyumluluğunu gösteren bir sertifika ya da (ii) geçerli bir ISAE3402 ve/veya ISAE3000 tasdik raporu sağlayarak Bulut Hizmeti'nin canlı kullanım sistemlerini korumaya yönelik teknik ve kurumsal önlemleri uyguladığına ilişkin yeterli kanıt sağlamaması. Müşterinin talebi üzerine, SOC Denetim raporları veya ISO sertifikaları üçüncü taraf denetçi veya SAP aracılığıyla sunulabilir;
(b) Güvenlik İhlalinin meydana gelmesi;
(c) Müşterinin veya başka bir Veri Denetleyicinin, SAP'nin bu DPA kapsamındaki yükümlülüklerine uymadığı konusunda şüphe duymak için haklı nedenlere sahip olması;
(d) Müşterinin veya başka bir Veri Denetleyicinin veri koruma yetkilisi tarafından resmi olarak denetim talebinde bulunulması veya
(e) Mecburi Veri Koruma Kanunu uyarınca Müşteriye doğrudan bir denetim hakkının sağlanması.
Müşteri SAP'nin ortamını denetlerken SAP, denetim süreçlerinde Müşteriye makul ölçüde destek sunacaktır.
6.2 Denetim Kısıtlamaları.
Müşteri denetimi, taraflar arasında makul olarak anlaşmaya varılan şekilde, herhangi bir on iki aylık dönemde bir kez ile sınırlı olacak, belirlenen kapsam doğrultusunda gerçekleştirilecek ve en fazla 3 iş günü sürecektir. Veri Koruma Kanunu uyarınca daha erken bir denetim gerekli olmadıkça en az altmış günlük makul bir süre önceden bildirimde bulunulması gerekir. SAP ve Müşteri, mükerrer denetimleri en aza indirmek için mevcut sertifikaları veya diğer denetim raporlarını kullanacaktır. Müşterinin Bölüm 6.1 (c) (denetim sonucunda SAP tarafından gerçekleştirilen bir ihlalin ortaya koyulmaması halinde geçerlidir; böyle bir durumda SAP kendi denetim masraflarını üstlenir), 6.1 (d) veya 6.1 (e) uyarınca gerçekleştireceği denetimler hariç olmak üzere Müşteri ve SAP kendi denetim masraflarını üstlenecektir. Böyle durumlarda Müşteri kendi masrafının yanı sıra denetimin gerçekleştirilmesi için gerekli olup SAP tarafından sağlanan iç kaynakların masrafını da üstlenecektir. Denetim sonunda SAP'nin Anlaşma kapsamındaki yükümlülüklerinden birini ihlal ettiğinin belirlenmesi durumunda SAP, masrafları kendisine ait olmak üzere, söz konusu ihlali derhal telafi edecektir.
7. AB ERİŞİMİ
7.1 İsteğe Bağlı Hizmet.
Sipariş Formuna eklenmiş olması halinde SAP, Bölüm 7'de belirtildiği üzere uygun Bulut Hizmeti için AB Erişimi sağlayacağını kabul eder.
7.2 AB Erişimi.
SAP, Bulut Hizmeti'ndeki Kişisel Verilere erişimin gerekli olduğu desteği sağlamak üzere yalnızca Avrupa Alt İşleyicileri ile çalışacaktır.
7.3 Veri Merkezinin Konumu.
Sipariş Formunun Geçerlilik Tarihinden itibaren, Bulut Hizmeti'ndeki Kişisel Verilerin barındırılması için kullanılan Veri Merkezleri, EEA veya İsviçre'de bulunacaktır. SAP, Müşterinin önceden yazılı izni (e- postaya izin verilir) olmaksızın Müşteri örneğini, EEA veya İsviçre dışında bulunan bir Veri Merkezine taşımayacaktır. SAP, Müşteri örneğini EEA veya İsviçre'deki bir veri merkezine taşımayı planlıyorsa planlanan geçişten önceki otuz gün içinde Müşteriyi yazılı olarak (e-postaya izin verilir) bilgilendirecektir.
7.4 Hariç Tutulanlar.
Aşağıdaki Kişisel Veriler, 7.2 ila 7.3 arasında belirtilen gereksinimlere tabi değildir:
(a) Destek çağrısı gönderen kişilerin iletişim bilgileri;
(b) Destek çağrısı açılırken Müşteri tarafından gönderilen diğer tüm Kişisel Veriler. Müşteri, destek çağrısı açarken Kişisel Veri aktarmamayı tercih edebilir. Olay yönetim süreci için bu veriler gerekliyse Müşteri, olay iletisini SAP'ye iletmeden önce bu Kişisel Verileri anonimleştirmeyi tercih edebilir;
(c) Canlı kullanım haricindeki sistemlerde yer alan Kişisel Veriler.
8. TANIMLAR
Burada tanımları verilmemiş büyük harfle başlayan terimler, Anlaşmada belirtilen anlamları taşıyacaktır.
8.1 "Veri Merkezi" Müşteri için kendi bölgesinde barındırılan Bulut Hizmeti'nin canlı kullanım örneğinin bulunduğu konum anlamına gelir. Bu konum http://www.sap.com/corporate-en/about/our- company/policies/data-privacy-and-security/location-of-data-center.html adresinde yayınlanır, Müşteriye bildirilir ya da Sipariş Formunda belirtilir.
8.2 "Veri Denetleyici" tek başına veya başkalarıyla birlikte Kişisel Verilerin işlenme amaçlarını ve araçlarını belirleyen kişi veya tüzel kişi, kamu kurumu, acente veya başka bir kuruluş anlamına gelir.
8.3 "Veri İşleyici" kişisel verileri denetleyici adına işleyen bir kişi, tüzel kişi, kamu kurumu, acente veya başka bir kuruluş anlamına gelir.
8.4 "Veri Koruma Kanunu" kişilerin Anlaşma kapsamında Kişisel Verilerin işlenmesine ilişkin temel haklarını, özgürlüklerini ve gizlilik haklarını koruyan geçerli yasalar anlamına gelir.
8.5 "Veri Kullanıcısı" kimliği belirlenmiş veya belirlenebilecek kişi anlamına gelir.
8.6 "EEA" Avrupa Ekonomik Bölgesi (İzlanda, Lichtenstein ve Norveç ile birlikte Avrupa Birliği Üyesi Devletler) anlamına gelir.
8.7 "Avrupa Alt İşleyicisi" Kişisel Verileri fiziksel olarak EEA veya İsviçre'de işleyen Alt İşleyici anlamına gelir.
8.8 "Kişisel Veriler" işbu DPA'nın amaçları doğrultusunda, bir Veri Kullanıcısına ilişkin herhangi bir bilgi anlamına gelir. Kişisel Verilere yalnızca, Müşterinin veya Müşterinin Yetkili Kullanıcılarının Bulut Hizmeti'ne girdiği veya bu kişilerin Bulut Hizmeti kullanımlarından elde edilen kişisel veriler dahildir. Bunlara, Anlaşma kapsamında destek sunmak üzere SAP veya Alt İşleyicileri tarafından sağlanan veya erişilen kişisel veriler de dahildir. Kişisel Veriler, Müşteri Verilerinin bir alt kümesidir.
8.9 "Güvenlik İhlali", teyit edilmiş olmak kaydıyla (1) Müşterinin Kişisel Verilerinin veya Gizli Verilerinin kaza sonucu veya yasa dışı şekilde imhası, kaybı, değiştirilmesi veya ifşası ya da (2) Kişisel Verileri içeren benzer bir olay (geçerli yasa uyarınca Veri Denetleyiciye bildirimde bulunması için bir Veri İşleyicinin gerekli olduğu) anlamına gelir.
8.10 "Standart Sözleşme Maddeleri" veya zaman zaman adlandırıldığı şekilde "AB Model Maddeleri", (Standart Sözleşme Maddeleri (işleyiciler)) veya Komisyon tarafından sunulan daha sonraki herhangi bir versiyonu (otomatik olarak geçerli olur) anlamına gelir. Geçerli Standart Sözleşme Maddelerine şu adresten erişebilirsiniz: http://ec.europa.eu/justice/data- protection/international-transfers/files/clauses_for_personal_data_transfer_processors_c2010-
593.doc. Bunlara, işbu DPA'ya iliştirilmiş olan Ek 1 ve Ek 2 de dahildir.
8.11 "Alt İşleyici" SAP'nin veya SAP'nin Bağlı Şirketlerinin çalıştığı SAP Bağlı Şirketleri ve üçüncü taraflar anlamına gelir.
8.12 "Üçüncü Ülke Alt İşleyicisi, Avrupa Komisyonu'nun http://ec.europa.eu/justice/data- protection/international-transfers/adequacy/index_en.htm adresinde yayınladığı gibi bir yeterlilik kararına konu olan ülkeler ve EEA dışında bulunan herhangi bir Alt İşleyici anlamına gelir.
Veri işleme anlaşması ve Standart Sözleşme Maddelerine ilişkin Ek 1 Veri Dışa Aktaran
Veri Dışa Aktaran, Yetkili Kullanıcıların Kişisel Veri girmesine, değiştirmesine, kullanmasına, silmesine veya bu verileri başka şekilde işlemesine olanak sağlayan bir Bulut Hizmeti'ne abone olur.
Veri İçe Aktaran
SAP ve Alt İşleyicileri, aşağıdaki destek hususlarını içeren Bulut Hizmeti'ni sağlar:
SAP Bağlı Şirketleri, SAP'nin Operasyonlar/Bulut Dağıtımı kolunda personel çalıştırdığı St. Leon/Rot (Almanya), Hindistan ve diğer konumlardaki SAP tesislerinden Bulut Hizmeti veri merkezlerine uzaktan destek sağlar. Destek kapsamında şunlar yer almaktadır:
• Bulut Hizmeti'nin izlenmesi
• Bulut Hizmeti'nde depolanan Müşteri Verilerinin yedeklenmesi ve geri yüklenmesi
• Bulut Hizmeti'ne yönelik düzeltmelerin ve yükseltmelerin kullanıma sunulması ve geliştirilmesi
• Temel Bulut Hizmeti altyapısının ve veri tabanının izlenmesi, sorunlarının giderilmesi ve yönetilmesi
• Güvenliğin izlenmesi, ağ tabanlı saldırı tanıma desteği, sızma testleri
Bir Müşteri, Bulut Hizmeti'ni kullanamadığını veya hizmetin, Yetkili Kullanıcıların bir kısmı ya da tümü için beklendiği gibi çalışmadığını bildiren bir destek çağrısı gönderdiğinde SAP Bağlı Şirketleri destek sağlar. SAP telefonları yanıtlar, temel sorun giderme işlemlerini gerçekleştirir ve destek çağrılarını Bulut Hizmeti'nin canlı kullanım örneğinden ayrı bir izleme sisteminde yönetir.
Veri Kullanıcıları
Veri Dışa Aktaran tarafından aksi belirtilmedikçe, aktarılan Kişisel Veriler şu veri kullanıcısı kategorileri ile ilgilidir: çalışanlar, yükleniciler, iş ortakları veya Kişisel Verileri Bulut Hizmeti'nde depolanmış diğer kişiler.
Veri Kategorileri
Aktarılan Kişisel Veriler, aşağıdaki veri kategorileri ile ilgilidir:
Müşteri, abone olunan her Bulut Hizmeti için veri kategorilerini belirler. Müşteri, veri alanlarını Bulut Hizmeti'nin uygulanması sırasında veya Bulut Hizmeti kapsamında belirtilen şekilde konfigüre edebilir. Aktarılan Kişisel Veriler genellikle şu veri kategorileri ile ilgilidir: ad, telefon numaraları, e-posta adresi, saat dilimi, adres verileri, sistem erişimi/kullanımı/yetkilendirme verileri, şirket adı, sözleşme verileri ve fatura verilerinin yanı sıra banka hesap verileri, kredi kartı veya banka kartı verileri dahil olmak üzere Yetkili Kullanıcıların Bulut Hizmeti içinde girdiği uygulamaya özel veriler.
Özel Veri Kategorileri (Varsa)
Aktarılan Kişisel Veriler şu özel veri kategorileri ile ilgilidir: Varsa Sipariş Formu'nda belirtildiği şekilde.
İşleme İşlemleri
Aktarılan Kişisel Veriler, aşağıdaki temel işleme aktivitelerine tabidir:
• Bulut Hizmeti'nin kurulması, çalıştırılması, izlenmesi ve sağlanması için Kişisel Verilerin kullanılması (Operasyonel ve Teknik Destek dahil)
• Danışmanlık Hizmetlerinin sağlanması;
• Yetkili Kullanıcılar ile iletişim kurulması;
• Kişisel Verilerin belirlenen Veri Merkezlerinde depolanması (çok kiracılı mimari)
• Tüm düzeltmelerin veya yükseltmelerin Bulut Hizmeti'ne yüklenmesi
• Kişisel Verilerin yedeklenmesi
• Kişisel Verilerin veri iletimi, veri alımı ve veri erişimi dahil olmak üzere bilgisayarda işlenmesi
• Müşterinin talimatlarının işbu Anlaşmaya uygun şekilde uygulanması
Ek 2 - Teknik ve Kurumsal Önlemler 1. TEKNİK VE KURUMSAL ÖNLEMLER
Aşağıdaki bölümlerde, SAP'nin mevcut güvenlik önlemleri tanımlanmıştır. SAP, benzer veya daha iyi düzeyde güvenlik sağladığı sürece bu önlemlerde dilediği zaman önceden bildirmeksizin değişiklik yapabilir. Bu, güvenlik düzeyinde eksilme olmadan münferit önlemlerin aynı amaca hizmet eden yeni önlemlerle değiştirilebileceği anlamına gelir.
1.1 Fiziksel Erişim Denetimi.
Yetkisiz kişilerin, Kişisel Verileri işleyen ve/veya kullanan veri işleme sistemlerinin bulunduğu tesislere, binalara veya odalara fiziksel erişimi önlenir.
Önlemler:
• SAP, dahili bir güvenlik departmanı tarafından yürütülen güvenlik sınıflandırmasını temel alan uygun önlemleri uygulayarak kendi varlıklarını ve tesislerini korur.
• Genelde binalar erişim denetim sistemleri (örneğin, akıllı kart erişim sistemi) aracılığıyla korunur.
• Minimum gereksinim olarak binanın en dışında bulunan giriş noktaları, modern etkin anahtar yönetimini içeren sertifikalı bir anahtar sistemi teçhizatına sahip olmalıdır.
• Güvenlik sınıflandırmasına bağlı olarak, binalar, münferit alanlar ve civardaki tesisler ek önlemler alınarak daha fazla korunabilir. Bunlara özel erişim profilleri, güvenlik kameraları, hırsız alarm sistemleri ve biyometrik erişim denetim sistemleri dahildir.
• Sistem ve Veri Erişim Denetimi önlemleri (aşağıdaki Bölüm 1.2 ve 1.3'e bakın) doğrultusunda bireysel olarak yetkili kişilere erişim hakları verilir. Bu aynı zamanda ziyaretçi erişimi için de geçerlidir. SAP binalarına gelen misafirler ve ziyaretçiler resepsiyona adlarını kaydettirmeli ve yetkili SAP personeli tarafından bu kişilere eşlik edilmelidir.
• SAP çalışanları ve şirket dışı personel, kimlik kartlarını tüm SAP konumlarında takmalıdır.
Veri Merkezlerine yönelik ek önlemler:
• Tüm Veri Merkezleri, ekipmanların ve Veri Merkezi tesislerinin zarar görmesini önleme amacıyla korumalar, güvenlik kameraları, hareket algılayıcılar, erişim denetim mekanizmaları ve diğer önlemler ile zorunlu kılınan sıkı güvenlik önlemlerine bağlı kalır. Veri Merkezi tesislerindeki sistemlere ve altyapıya yalnızca yetkili temsilciler erişebilir. Uygun işlevselliğin sağlanması için fiziksel güvenlik ekipmanlarının (örneğin, hareket algılayıcılar, kameralar vb.) bakımı düzenli olarak yapılır.
• SAP ve tüm üçüncü taraf Veri Merkezi sağlayıcıları, Veri Merkezlerinde SAP'nin gizli alanlarına giren kişilerin adlarını ve girdikleri zamanı kaydeder.
1.2 Sistem Erişim Denetimi.
SAP Hizmetlerinin sağlanması için kullanılan veri işleme sistemlerinin yetkisiz kullanımı önlenmelidir.
Önlemler:
• Kişisel Verileri depolayan ve işleyenler dahil olmak üzere hassas sistemlere erişime izni verilirken birden fazla yetkilendirme düzeyi kullanılır. Yetkili kullanıcıların gereken kullanıcı ekleme, silme veya değiştirme yetkilerine sahip olduğundan emin olmak için süreçlerden yararlanılır.
• Tüm kullanıcılar SAP sistemlerine benzersiz tanıtıcı (kullanıcı kimliği) ile erişir.
• SAP, talep edilen yetki değişikliklerinin yalnızca kılavuzlara uygun şekilde uygulandığından emin olmak için prosedürlerden (örneğin, yetki olmadan herhangi bir hak sağlanmaması) yararlanır. Bir kullanıcı şirketten ayrılırsa erişim hakları da iptal edilir.
• SAP, parolaların paylaşılmasını yasaklayan, bir parola ifşa edildiğinde ne yapılması gerektiğini belirten, parolaların düzenli olarak değiştirilmesini ve varsayılan parolaların değiştirilmesini gerektiren bir parola ilkesine sahiptir. Kimlik doğrulama için kişisel kullanıcı kimlikleri atanır.
Tüm parolalar belirtilen minimum gereksinimleri karşılamalıdır ve şifrelenmiş biçimde depolanırlar. Etki alanı parolaları konusunda sistem, karmaşık parola gereksinimlerine uygun şekilde her altı ayda bir parola değişikliğini zorunlu kılar. Her bilgisayarın parola korumalı bir
• Şirket ağı, ortak ağdan güvenlik duvarıyla korunur.
• SAP, şirket ağına erişim noktalarında (e-posta hesapları için), tüm dosya sunucularında ve tüm çalışma istasyonlarında güncel bir virüsten koruma yazılımı kullanır.
• İlgili güvenlik güncellemelerinin düzenli ve dönemsel dağıtımını sağlamak üzere bir güvenlik yaması yönetimi uygulanır.
• SAP'nin kurumsal ağına ve önemli altyapısına tam uzaktan erişim, güçlü kimlik doğrulama ile korunur.
1.3 Veri Erişim Denetimi.
Veri işleme sistemlerini kullanma yetkisi olan kişilerin yalnızca erişim hakkına sahip olduğu Kişisel Verilere erişmesi ve Kişisel Verilerin işleme, kullanım ve depolama sırasında yetki verilmeden okunmaması, kopyalanmaması, değiştirilmemesi veya silinmemesi gerekir.
Önlemler:
• SAP Güvenlik İlkesinin bir parçası olarak Kişisel Veriler için, SAP'nin Bilgi Sınıflandırma standardına göre "gizli" bilgiler ile en az aynı koruma düzeyi gereklidir.
• Kişisel, gizli veya hassas bilgilere erişim, bilinmesi gereken (need-to-know) temelinde sağlanır. Yani, çalışanlar ve şirket dışındaki taraflar işlerini tamamlamaları için gerekli olan bilgilere erişebilir. SAP, yetkilerin nasıl atanacağını ve kime hangi yetkilerin atanacağını belirten yetki konseptlerinden yararlanır. Tüm kişisel, gizli veya hassas veriler SAP güvenlik ilkelerine ve standartlarına uygun şekilde korunur. Gizli bilgiler gizli bir şekilde işlenmelidir.
• Tüm canlı kullanım sunucuları, Veri Merkezlerinde veya sunucu odalarında çalıştırılır. Kişisel, gizli veya hassas bilgileri işleyen uygulamaları koruyan güvenlik önlemleri düzenli olarak denetlenir. SAP bu amaçla BT sistemlerinde şirket içi ve şirket dışı denetimlerin yanı sıra sızma testleri gerçekleştirir.
• SAP, kişisel yazılımların veya SAP tarafından onaylanmayan diğer yazılımların yüklenmesine izin vermez.
• Artık gerekli olmayan veri ve veri taşıyıcıların nasıl silineceği veya imha edileceği, bir SAP güvenlik standardı ile belirlenir.
1.4 Veri Aktarım Denetimi.
İlgili hizmet anlaşmasına uygun olarak Hizmetlerin sağlanması için gerekli olduğu durumlar haricinde, Kişisel Veriler aktarım sırasında yetki verilmeksizin okunamaz, kopyalanamaz, değiştirilemez veya silinemez. Veri taşıyıcılar fiziksel olarak taşınırken, kabul edilen hizmet düzeylerinin sağlanabilmesi için gereken önlemler (örneğin, şifreleme, kurşun kaplamalı muhafaza kutuları) alınmalıdır.
• Kişisel Verilerin SAP dahili ağları üzerinden aktarımı, SAP Güvenlik İlkesi doğrultusunda diğer gizli verilerle aynı şekilde korunur.
• Veriler SAP ve müşterileri arasında aktarılırken, aktarılan Kişisel Veriler ile ilgili koruma önlemleri üzerinde karşılıklı olarak anlaşmaya varılır ve bunlar ilgili Anlaşmanın bir parçası haline gelir. Bu, hem fiziksel hem de ağ tabanlı veri aktarımı için geçerlidir. Her durumda Müşteri, SAP tarafından denetlenen sistemler dışında gerçekleşen tüm veri aktarımlarının (örneğin, SAP Veri Merkezinin güvenlik duvarı dışında gerçekleşen veri aktarımları) sorumluluğunu kabul eder.
1.5 Veri Giriş Denetimi.
Kişisel Verilerin kim tarafından girildiği, değiştirildiği veya SAP veri işleme sistemlerinden silindiği geriye dönük olarak incelenip tespit edilebilir.
Önlemler:
• SAP, işlerini yerine getirmek amacıyla yalnızca yetkili kişilerin Kişisel Verilere erişmesine izin verir.
• SAP, SAP'nin Ürünlerinde ve Hizmetlerinde, Kişisel Verilerin SAP veya alt işleyicileri tarafından girilmesi, değiştirilmesi, silinmesi veya engellenmesi için mümkün olan en kapsamlı ölçüde bir kayıt sistemi uygulamıştır.
1.6 İş Denetimi.
Başkası adına işlenen Kişisel Verilerin (örneğin, bir müşterinin adına işlenen Kişisel Veriler) yalnızca ilgili anlaşma ve müşterinin ilgili talimatları doğrultusunda işlenmesi gerekir.
Önlemler:
• SAP; SAP ve müşterileri, alt işleyicileri veya diğer hizmet sağlayıcıları arasındaki sözleşmelere uygun hareket etmek için denetimlerden ve süreçlerden yararlanır.
• SAP Güvenlik İlkesinin bir parçası olarak Kişisel Veriler için, SAP'nin Bilgi Sınıflandırma standardına göre "gizli" bilgiler ile en az aynı koruma düzeyi gereklidir.
• Tüm SAP çalışanları ve sözleşmeli alt işleyiciler ya da diğer hizmet sağlayıcıları sözleşme gereğince SAP müşterilerinin ve iş ortaklarının ticari sırları da dahil olmak üzere tüm hassas bilgilere ilişkin gizliliğe uygun şekilde hareket etmek zorundadır.
• SAP, şirket içi destek hizmetleri için özel olarak tasarlanmış güvenli bir destek çağrısı alanı sağlar. SAP, bu alanda erişim verilerinin ve parolaların aktarılması için erişimi denetlenen ve izlenen özel bir güvenlik alanı sunar. SAP müşterileri, uzak destek bağlantıları üzerinde her zaman denetim sahibidir. SAP çalışanları müşterinin bilgisi veya tam etkin katılımı olmadan müşterinin sistemine erişemez.
1.7 Kullanılabilirlik Denetimi.
Kişisel Veriler kaza sonucu veya yetkisiz imha veya kayıp durumlarına karşı korunur.
Önlemler:
• SAP işletme açısından kritik önem taşıyan sistemlerin gerektiği gibi ve gerektiği zaman derhal geri yüklenmesini sağlayan yedekleme süreçlerinden ve diğer önlemlerden yararlanır.
• SAP, Veri Merkezlerinde elektrik olmasını sağlamak üzere kesintisiz güç kaynaklarından (örneğin: UPS, pil, jeneratörler vb.) yararlanır.
• SAP, sağlanan Hizmetler için iş ve olağanüstü durum kurtarma stratejilerinin yanı sıra beklenmedik durum planları da belirlemiştir.
• Acil durum süreçleri ve sistemleri düzenli olarak test edilir.
1.8 Veri Ayırma Denetimi.
Kişisel Veriler farklı amaçlar için toplanır ve ayrı işlenebilir.
Önlemler:
• SAP, dağıtılan yazılımın teknik özelliklerini (örneğin, çoklu kiralama veya ayrı sistem altyapıları) kullanarak birçok müşteriden alınan Kişisel Veriler arasında veri ayrımı yapar.
• Müşteriler (Bağlı Şirketleri dahil) yalnızca kendi verilerine erişebilir.
• Belirli bir müşterinin destek olayının işlenmesi için Kişisel Verilerin gerekli olduğu durumlarda veriler, söz konusu iletiye atanır ve yalnızca bu iletinin işlenmesi için kullanılır; diğer herhangi bir iletinin işlenmesi için bu verilere erişilmez. Bu veriler, özel destek sistemlerinde depolanır.
1.9 Veri Bütünlüğü Denetimi.
İşleme aktiviteleri sırasında Kişisel Verilere dokunulmaz; veriler, eksiksiz ve geçerli kalır.
Önlemler:
SAP, yetkisiz değişikliklere karşı koruma olarak çok katmanlı bir savunma stratejisi uygulamıştır.
Hususi olarak SAP, yukarıda açıklanan denetim ve önlem bölümlerini uygulamak üzere aşağıdakileri kullanır. Özellikle:
• Güvenlik duvarları;
• Güvenlik İzleme Merkezi;
• Virüsten koruma yazılımı;
• Yedekleme ve kurtarma;
• Harici ve dahili sızma testleri;
• Güvenlik önlemlerini sınayacak düzenli harici denetimler.
