ISO 27001 Bilgi Güvenliği Politikası

1. Temel İlkelerimiz (CIA Triad)

E-POS, bilgi güvenliği süreçlerini üç temel ilke üzerine inşa etmiştir:

Gizlilik (Confidentiality)

İşletme ciroları, maliyetler ve müşteri verilerine sadece yetkili personelin (Örn: İşletme sahibi, Mağaza Müdürü) erişebilmesini sağlamak.

Bütünlük (Integrity)

Finansal kayıtların ve stok verilerinin yetkisiz kişilerce değiştirilmesini veya silinmesini önlemek. (Mali mevzuat gereği veri tutarlılığı esastır.)

Erişilebilirlik (Availability)

İşletmenin satış yapmaya kesintisiz devam edebilmesini garanti altına almak. (Örn: İnternet kesintisinde offline çalışabilme)

2. Teknik Güvenlik Kontrollerimiz

ISO 27001 standartları gereği uyguladığımız spesifik teknik kontroller ve E-POS mimarisindeki karşılıkları aşağıdadır:

A. Erişim Kontrolü (Access Control)

Kasa ve yönetim paneli erişimlerinde katı yetkilendirme kuralları uygulanır:

• Rol Bazlı Yetkilendirme (RBAC): "Kasiyer", "Garson", "Mutfak", "Yönetici" gibi roller tanımlanmıştır. Bir kasiyer, geçmiş satışları silemez veya maliyetleri göremez; sadece satış yapabilir.
• Çift Faktörlü Kimlik Doğrulama (2FA): Yönetim paneline (Backoffice) erişimlerde, SMS veya Authenticator uygulaması ile doğrulama zorunludur.
• Hassas İşlem Onayı: İkram, İade veya Satış İptali gibi suistimale açık işlemler, yetkili yönetici şifresi veya kartı okutulmadan yapılamaz.
• Güvenli Oturum: API istekleri süreli JWT (JSON Web Token) ile doğrulanır, boşta kalan kasa oturumları otomatik kilitlenir.

B. Kriptografi ve Ödeme Güvenliği

Finansal veriler endüstri standardı algoritmalarla korunur:

• Veritabanı Şifreleme: POS terminallerinde tutulan yerel veriler (ürünler, bekleyen sepetler), SQLCipher (256-bit AES) teknolojisi ile şifrelenir. Cihaz çalınsa dahi veriler okunamaz.
• Kredi Kartı Güvenliği (PCI-DSS): E-POS, kredi kartı numaralarını asla veritabanında saklamaz. Ödeme işlemleri lisanslı ödeme kuruluşları üzerinden "Tokenization" yöntemiyle yapılır.
• İletişim Güvenliği: Terminal ve Bulut Sunucu arasındaki tüm veri trafiği HTTPS/TLS 1.2+ protokolü ile şifrelenir.

C. Operasyonel Güvenlik ve Loglama

Kasa hareketlerinin izlenebilirliği (Audit Trail) sağlanır:

• İşlem Logları: Hangi personelin hangi saatte kasayı açtığı, hangi ürünü iptal ettiği veya ne kadar indirim uyguladığı kayıt altına alınır ve silinemez.
• Veri Yedekleme: Bulut sunuculardaki veriler günlük olarak coğrafi yedekli (Geo-Redundant) şekilde yedeklenir.
• Versiyon Kontrolü: Terminallerdeki yazılımın bütünlüğü, otomatik güncelleme sistemi ile korunur ve eski/güvensiz sürümlerin çalışması engellenir.

D. İş Sürekliliği Yönetimi (Business Continuity)

Perakende ve restoran sektöründe kesinti kabul edilemez:

• Çevrimdışı (Offline) Mod: İnternet kesintisi durumunda E-POS satış yapmayı durdurmaz. Satış verileri yerel şifreli kuyrukta (Queue) biriktirilir ve internet geldiğinde sunucuya aktarılır.
• Felaket Kurtarma (Disaster Recovery): Ana veri merkezinde sorun olması durumunda, sistemler otomatik olarak ikincil veri merkezine yönlendirilir.

3. Risk Yönetimi ve İhlal Bildirimi

Şirketimiz, olası tehditlere (DDoS, Veri Sızıntısı, İç Tehditler) karşı düzenli penetrasyon testleri yaptırmaktadır.

Olası bir güvenlik ihlali veya veri sızıntısı durumunda;

• İhlal anında tespit edilerek erişimler kısıtlanır.
• Etkilenen işletmeler ve KVKK gereği yasal otoriteler 72 saat içinde bilgilendirilir.
• Kök neden analizi yapılarak güvenlik yamaları tüm terminallere dağıtılır.

4. Taahhüt

E-POS Yönetimi olarak; Bilgi Güvenliği Yönetim Sisteminin (BGYS) uygulanması, işletilmesi ve sürekli iyileştirilmesi için gerekli tüm kaynakları sağlayacağımızı, müşterilerimizin ticari sırlarını ve finansal verilerini kendi verimiz gibi koruyacağımızı taahhüt ederiz.