Bilgi Güvenliği

İlke

Kullanıcılardan kimlik ve iletişim bilgileri istenildiğinde, bu bilgiler kullanıcıların izni olmadan başka kişiler ya da kurumlarla paylaşılmamalı ve kullanıcılar bu konuda bilgilendirilmelidir.

Açıklama

Kişisel bilgilerin korunmasından ve amacı dışında kullanılmamasından, bu bilgiyi temin eden ve kullanan tüm kurumlar sorumludur. İnternet siteleri hazırlanırken, bu durum göz önünde bulundurularak önlemlerin alınması gerekmektedir. Kişisel bilgilerin paylaşılmadığına ilişkin kullanıcılara garanti verilmiyor veya kullanıcı bu konuda tereddüt yaşıyor ise, siteyi kullanmaktan vazgeçebilmekte ya da doğru ve eksiksiz bilgi vermekten kaçınabilmektedir.

Yönergeler
  • İnternet sitelerinde kullanıcıların kişisel bilgileri talep edilirken, bu bilgilerin istenme amacı ve nerede kullanılacağı açıkça belirtilmelidir.
  • Kişisel bilgiler amacı dışında kullanılmamalı, bilgilerin farklı amaçlar için kullanılma ihtimali varsa bu bilgi kullanıcıların tam olarak anlayabileceği ve rahatça okuyabileceği biçimde sunulmalıdır.
  • Kullanıcı bilgilerinin saklandığı ya da kullanıldığı durumlarda kullanıcılardan izin alınmalıdır, ayrıca kullanıcılara bilgilerinin kullanılabilmesine yönelik tercih yapma imkânı da sunulmalıdır.
  • Girilen bilgilerin hata oluşmadan eksiksiz bir şekilde doldurulması sağlanmalıdır.
  • İnternet sitelerinde kullanılan çerezler, eklentiler vb. uygulamalar, kullanıcıların bilgisayarlarında veri depolama ya da başka uygulamaları çalıştırma gibi işlemler gerçekleştiriyorsa, bu durum da kullanıcılar ile paylaşılmalıdır. Kullanıcıların istediklerinde internet sitesinde bulunan çerezleri ya da eklentileri devre dışı bırakabilmeleri sağlanmalıdır.
  • Kişisel verilerin toplanmasına gereğinden fazla vurgu yapılması durumunda olumsuz algı oluşacağından toleranslar dâhilinde bir bilgilendirme yapılması ve genel kabul gören ilkelerin sürekli tekrarlanmaması gereklidir.
Referanslar
  • ISO 9241-151 / 7.2.8.3 – User control of personal information
  • ISO 9241-151 / 7.2.8.4 – Storing information on the user’s machine
Faydalı Kaynaklar
Önem Derecesi
Örnek
İlke

İnternet siteleri, kullanıcıların kredi kartı bilgileri ile işlem yapmaları gereken durumlarda kullanıcı veri güvenliğini sağlamak için önlemler almalıdır.

Açıklama

Kullanıcıların bazı servislerden faydalanabilmesi için kredi kartları ile işlem yapmaları gerekebilir. Bu durumda, kredi kartı bilgilerinin istenmeyen her türlü olumsuz duruma karşı korunması için gerekli önlemlerin alınması gerekmektedir.

Yönergeler
  • Sitenin ilgili işlemi yapmak için güvenli olduğunu gösteren açıklamalar kullanıcının anlayacağı şekilde belirtilmelidir.
  • İnternet sitesi güvenliğini artırmak amacıyla 128 bit SSL ve 256 bit SSL gibi şifreleme sistemleri kullanılabilir. SSL şifreleme sistemine sahip olabilmek için konu ile ilgili hizmet veren kurumlardan (Örn. KamuSM, Globalsign, Godaddy, RapidSSL, Verisign vb.) destek alınabilir. SSL sertifikası alabilmek için başvuru yapılabilir.
  • Kredi kartı numarasının sistemde saklanmadığına dair bilgi verilmelidir.
  • Kredi kartı numaraları genel kabul gören bölümleme ile gruplandırılmalıdır.
  • Son kullanma tarihleri menüden seçilecek ise tarih aralıkları güncel olmalıdır.
  • İnternet siteleri üzerinden kredi kartı ile yapılan işlemlerde “3D Güvenlik” uygulaması kullanılmalıdır.
Referanslar
  • ISO 9241-151 / 7.2.8.2 – Providing a business policy statement
Faydalı Kaynaklar
Önem Derecesi
Örnek
İlke

İnternet sitelerinde, kurumsal gizlilik politikalarına ve gizlilik sözleşmelerine yer verilmelidir.

Açıklama

Kullanıcılar tarafından girilen bilgilerin ve yapılan işlemlerin saklandığı, kullanıldığı veya paylaşıldığı durumlarda, kurumların gizlilik politikaları açık, anlaşılır ve kolay erişilebilir şekilde sunulmalıdır. Hukuk birimleri tarafından çok uzun hazırlanmış bileşenlerin bir anda okunması ve özümsenmesi oldukça zordur. Bu dokümanların bölümlenmiş biçimde, özümsenebilir ve kullanıcının kullandığı terminolojilere uygun düzenlenmesi gereklidir.

Yönergeler
  • Kullanıcılardan kişisel bilgi girişi yapmaları isteniyorsa, bu bilginin istenme amacı, bilginin nasıl kullanılacağı ve bilginin paylaşılıp paylaşılmayacağı bildirilmeli, varsa ilgili kanun, yönetmelik ya da düzenlemelere dayandırılarak açıklanmalıdır.
  • Kurumsal gizlilik politikalarına yer verirken, W3C (Dünya Çapında Ağ Birliği) tarafından belirlenen P3P (Gizlilik Tercihleri Platformu Protokolü) standartları göz önünde bulundurulmalıdır.
  • Kurumsal gizlilik politikalarının çok uzun yazılıp aynı bölüme “okudum anladım” şeklinde kutucuklarla uygulanması yerine, detaylı metin bağlantısı verilerek ve kısa bir açıklama ile tanımlanarak hem erişimi hem de kullanımı kolaylaştırılmalıdır.
  • Gizlilik politikasını anlatan metin, site kullanıcıları tarafından anlaşılabilecek sade bir dilde yazılmalı, yazı karakteri boyutu okunabilir ve satır aralıkları da makul olmalıdır.
Referanslar
  • ISO 9241-151 / 7.2.8.1 – Providing privacy policy statements
  • ISO 9241-151 / 7.2.8.2 – Providing a business policy statement
Faydalı Kaynaklar
Önem Derecesi
Örnek