Sitemizde, hizmetlerin sunulması ve kullanıcı deneyiminin iyileştirilmesi amacıyla çerezler kullanılmaktadır. Zorunlu çerezler her zaman aktiftir. Diğer çerezler hakkında detaylı bilgi için Çerez Politikası’nı inceleyebilirsiniz.
Çerez Politikası'nı İncele
Bilgi Güvenliği Politikası
LEA ONLINE - BİLGİ GÜVENLİĞİ POLİTİKASI
Veri Sorumlusu:
CRUISE BRANDS TURİZM DENİZCİLİK LTD. ŞTİ.
(LEA Online / LEA Journeys)
TÜRSAB Belge No: 11502
www.lea.online
1. AMAÇ VE KAPSAM
İşbu Bilgi Güvenliği Politikası; LEA ONLINE tarafından
işletilen www.lea.online
platformu ve bağlı tüm dijital ve operasyonel süreçler kapsamında işlenen bilgi
varlıklarının;
- Gizliliğinin
(Confidentiality)
- Bütünlüğünün
(Integrity)
- Erişilebilirliğinin
(Availability)
korunmasına ilişkin esasları belirler.
Bu politika;
- Üyelik
sistemi
- Rezervasyon
ve satış altyapısı
- Ödeme
entegrasyonları
- Operasyonel
seyahat süreçleri
- SMS
ve e-posta altyapıları
- Sunucu
ve ağ altyapısı
- Çalışanlar,
yetkilendirilmiş kullanıcılar ve dış hizmet sağlayıcılar
kapsamında işlenen tüm bilgi varlıklarını içerir.
2. BİLGİ GÜVENLİĞİ YÖNETİM İLKELERİ
LEA ONLINE aşağıdaki temel ilkeleri benimser:
2.1 Gizlilik
Bilgilere erişim yalnızca “Bilmesi Gereken” (Need-to-Know)
prensibi ve En Az Yetki (Least Privilege) yaklaşımı ile sınırlandırılır.
2.2 Bütünlük
Bilgilerin yetkisiz değiştirilmesi, silinmesi veya tahrif
edilmesi teknik ve idari kontrollerle engellenir.
2.3 Erişilebilirlik
Sistemlerin operasyonel sürekliliği için yedekleme ve
felaket kurtarma planları uygulanır.
2.4 Mevzuata Uyum
LEA ONLINE;
- 6698
sayılı KVKK
- 5651
sayılı Kanun
- Tüketici
mevzuatı
- Ödeme
sistemleri mevzuatı
başta olmak üzere ilgili tüm yasal düzenlemelere uyum
sağlar.
2.5 Veri Minimizasyonu
Yalnızca hizmetin kurulması ve ifası için gerekli olan
veriler işlenir ve saklanır.
3. TEKNİK GÜVENLİK ÖNLEMLERİ
LEA ONLINE, güncel siber tehditlere karşı çok katmanlı
güvenlik yaklaşımı uygular.
3.1 Ağ ve İletişim Güvenliği
- Tüm
veri trafiği güçlü SSL/TLS sertifikaları ile şifrelenir.
- API
iletişimleri güvenli anahtar ve token mekanizmaları ile korunur.
- Üçüncü
taraf entegrasyonlar (ödeme sistemleri, rezervasyon servisleri vb.)
güvenli bağlantılar üzerinden yürütülür.
3.2 Kimlik Doğrulama ve Yetki Yönetimi
- Kullanıcı
girişlerinde SMS OTP veya e-posta doğrulama mekanizmaları uygulanabilir.
- Gerektiğinde
iki faktörlü doğrulama (2FA) kullanılabilir.
- Admin
ve operasyon panellerinde rol bazlı yetkilendirme (RBAC) uygulanır.
- Yetkisiz
erişim girişimleri sistem tarafından loglanır ve izlenir.
3.3 Ödeme ve Kart Güvenliği
- LEA
ONLINE, kredi kartı numarası, CVV ve son kullanma tarihi gibi hassas kart
verilerini kendi sistemlerinde saklamaz.
- Tüm
tahsilat işlemleri lisanslı ödeme kuruluşları ve bankalar aracılığıyla
gerçekleştirilir.
- 3D
Secure ve ilgili banka güvenlik mekanizmaları kullanılır.
- Kart
güvenliği süreçlerinde PCI-DSS standartları dikkate alınır.
3.4 Sistem ve Altyapı Güvenliği
- Sunucu
erişimleri sınırlandırılmıştır.
- Güvenlik
duvarı ve ağ güvenliği önlemleri uygulanır.
- Sistem
güncellemeleri ve güvenlik yamaları düzenli olarak yapılır.
- Yedekleme
ve felaket kurtarma planları uygulanır.
- Parolalar
güvenli ve kriptografik yöntemlerle saklanır.
4. LOG VE KAYIT YÖNETİMİ
5651 sayılı Kanun ve ilgili mevzuat uyarınca aşağıdaki
kayıtlar tutulabilir:
- IP
kayıtları
- Sistem
erişim logları
- Rezervasyon
ve işlem geçmişi
- Ödeme
onay/red kayıtları (kart verisi içermeksizin)
- SMS
ve e-posta gönderim logları
Bu kayıtlar;
- Bilgi
güvenliğinin sağlanması
- Sahtecilik
(fraud) tespiti
- Kötüye
kullanımın önlenmesi
- Hukuki
uyuşmazlıkların çözümü
amaçlarıyla kullanılabilir.
Yasal saklama yükümlülüğü bulunan veriler ilgili mevzuatta
öngörülen süre boyunca saklanır. Loglara erişim yetkisi kısıtlıdır; loglar yetkisiz değişikliğe karşı korunur.
5. OPERASYONEL SÜREÇ VE EVRAK GÜVENLİĞİ
Tur ve cruise hizmetlerinin niteliği gereği;
- Kimlik
ve pasaport bilgileri
- Vize
başvuru belgeleri
- Sigorta
işlemleri için gerekli bilgiler
- Konsolosluk
ve ilgili otoritelerle paylaşılması gereken belgeler
rezervasyon sonrası operasyonel süreçte toplanabilir.
Bu veriler:
- Güvenli
kurumsal iletişim kanalları üzerinden alınır,
- Yalnızca
hizmetin ifası için gerekli taraflarla paylaşılır,
- Yetkisiz
erişime karşı korunur,
- Yasal saklama süresi dolduğunda güvenli imha prosedürüne tabi tutulur.
Operasyonel evraklar yalnızca yetkili personel tarafından erişilebilir alanlarda tutulur; paylaşım, hizmetin ifası için zorunlu taraflarla sınırlıdır.
6. İDARİ GÜVENLİK ÖNLEMLERİ
LEA ONLINE;
- Çalışanlara
gizlilik yükümlülüğü getirir,
- Yetki
matrisleri oluşturur,
- Hizmet
sağlayıcılarla veri güvenliği hükümleri içeren sözleşmeler yapar,
- Erişim
kontrollerini düzenli olarak gözden geçirir,
- İç
politika ve prosedürlerini uygular.
7. VERİ İHLALİ VE OLAY YÖNETİMİ
Olası bir bilgi güvenliği veya kişisel veri ihlali
durumunda:
- Olay
derhal tespit edilerek kayıt altına alınır.
- Teknik
müdahale ile ihlal kontrol altına alınır.
- İhlalin
kapsamı ve etkisi değerlendirilir.
- Mevzuat
gerektiriyorsa Kişisel Verileri Koruma Kurumu’na bildirim yapılır.
- İlgili
veri sahipleri uygun yöntemlerle bilgilendirilir.
LEA ONLINE, ihlalleri en kısa sürede tespit etmek ve
etkilerini minimize etmek için gerekli organizasyonu oluşturur.
8. SÜREKLİLİK VE GÜNCELLEME
Bilgi güvenliği süreçleri;
- Teknolojik
gelişmeler
- Yeni
tehditler
- Mevzuat
değişiklikleri
- Altyapı
güncellemeleri
doğrultusunda düzenli olarak gözden geçirilir.
İşbu politika, ihtiyaç halinde güncellenebilir. Güncel
versiyon www.lea.online
üzerinde yayınlanır.