Bizim

Information Security Policy / Bilgi Güvenliği Politikası (EN/TR)

Last Updated: 10 September 2025
Applies To: All employees, contractors, consultants, and third parties engaged with Kooch.

________________________________________

PART A — ENGLISH (Information Security Policy)

1) Purpose
The purpose of this Information Security Policy is to safeguard the confidentiality, integrity, and availability of information assets managed by Kooch ([Kooch Yazılım Ltd. Şti.]) and to ensure compliance with applicable laws (including KVKK, GDPR where relevant, and contractual obligations).

2) Scope
This policy applies to:
• All employees, contractors, and interns of Kooch;
• All systems, devices, networks, and cloud services used by Kooch;
• All client data, internal company data, and personal data processed under business operations.

3) Information Security Objectives
• Protect information assets against unauthorized access, disclosure, alteration, and destruction.
• Ensure business continuity and minimize operational disruption.
• Comply with KVKK, GDPR (where applicable), and ISO/IEC 27001 requirements.
• Foster a culture of information security awareness and accountability.

4) Roles and Responsibilities
• Top Management: Approves and reviews the ISMS, allocates resources, and demonstrates commitment.
• Information Security Officer (ISO): [■ Name/Role] responsible for implementation, monitoring, and reporting of ISMS controls.
• Employees & Contractors: Must follow this policy, report incidents, and attend mandatory security awareness training.
• Third Parties: Bound by contractual security obligations (NDAs, DPAs, security clauses).

5) Key Principles
• Access Control: Information access is based on role and need-to-know.
Multi-factor authentication (MFA) is required for critical systems.
• Data Classification: All data must be classified (Public, Internal, Confidential, Restricted).
Handling rules apply accordingly.
• Encryption: Sensitive data must be encrypted in transit (TLS 1.2+) and at rest where feasible.
• Network Security: Firewalls, IDS/IPS, VPN, and secure Wi-Fi are mandatory controls.
• Asset Management: All hardware, software, and cloud accounts must be inventoried.
• Incident Response: All security incidents must be reported immediately to security@kooch.co. An incident log must be maintained.
• Business Continuity: Backups must be performed regularly, tested, and stored securely.
• Compliance: All staff must comply with KVKK obligations (e.g., breach notifications, data subject rights support).

6) Training and Awareness
• All employees and contractors must complete onboarding security training.
• Refresher training is required annually.
• Phishing simulations and awareness campaigns will be conducted periodically.

7) Monitoring and Review
• Logs of system access, network activity, and administrative actions will be maintained and reviewed.
• Internal audits of the ISMS will be conducted annually.
• This policy will be reviewed at least once per year by top management.

8) Disciplinary Actions
Non-compliance with this policy may result in disciplinary measures, up to and including termination of contract and legal action.

9) Policy Approval
This Information Security Policy is approved by:
CEO / Founder: [ Masoud Salmani]
Date: 10 September 2025

________________________________________

PART B — TÜRKÇE (Bilgi Güvenliği Politikası)

1) Amaç
Bu Bilgi Güvenliği Politikası’nın amacı, Kooch ([Kooch Yazılım Ltd. Şti.]) tarafından yönetilen bilgi varlıklarının gizliliğini, bütünlüğünü ve erişilebilirliğini korumak ve ilgili yasalara (KVKK, gerekli hâllerde GDPR) ve sözleşmesel yükümlülüklere uyumu sağlamaktır.

2) Kapsam
Bu politika;
• Kooch’un tüm çalışanlarını, yüklenicilerini ve stajyerlerini,
• Kooch tarafından kullanılan tüm sistem, cihaz, ağ ve bulut hizmetlerini,
• Kooch’un iş faaliyetlerinde işlenen müşteri verilerini, şirket içi verileri ve kişisel verileri kapsar.

3) Bilgi Güvenliği Hedefleri
• Bilgi varlıklarını yetkisiz erişim, ifşa, değişiklik ve yok edilmeye karşı korumak.
• İş sürekliliğini sağlamak ve operasyonel kesintileri en aza indirmek.
• KVKK, GDPR (uygulandığı hâllerde) ve ISO/IEC 27001 gerekliliklerine uyum sağlamak.
• Bilgi güvenliği farkındalığı ve hesap verebilirlik kültürü oluşturmak.

4) Roller ve Sorumluluklar

• Üst Yönetim: ISMS’i onaylar, gözden geçirir, kaynak tahsis eder ve bağlılığını gösterir.
• Bilgi Güvenliği Sorumlusu (ISO): [■ İsim/Görev] – ISMS kontrollerinin uygulanmasından, izlenmesinden ve raporlanmasından sorumludur.
• Çalışanlar ve Yükleniciler: Bu politikaya uymak, olayları bildirmek ve zorunlu güvenlik eğitimlerine katılmakla yükümlüdür.
• Üçüncü Taraflar: Sözleşmesel güvenlik yükümlülükleri (Gizlilik Sözleşmeleri, Veri İşleme Anlaşmaları, güvenlik hükümleri) ile bağlıdır.

5) Temel İlkeler
• Erişim Kontrolü: Bilgiye erişim rol ve bilmesi gereken prensibine göre verilir. Kritik sistemlerde çok faktörlü kimlik doğrulama (MFA) zorunludur.
• Veri Sınıflandırması: Tüm veriler (Genel, Dahili, Gizli, Kısıtlı) olarak sınıflandırılmalı ve buna uygun şekilde işlenmelidir.
• Şifreleme: Hassas veriler, aktarımda (TLS 1.2+) ve mümkün olduğunda saklama aşamasında şifrelenmelidir.
• Ağ Güvenliği: Güvenlik duvarı, IDS/IPS, VPN ve güvenli Wi-Fi zorunlu kontrollerdir.
• Varlık Yönetimi: Tüm donanım, yazılım ve bulut hesapları envantere kaydedilmelidir.
• Olay Müdahalesi: Tüm güvenlik olayları derhal security@kooch.co adresine bildirilmeli ve bir olay günlüğü tutulmalıdır.
• İş Sürekliliği: Yedeklemeler düzenli olarak yapılmalı, test edilmeli ve güvenli şekilde saklanmalıdır.
• Uyum: Tüm personel, KVKK yükümlülüklerine (ör. ihlal bildirimleri, ilgili kişi talepleri) uymalıdır.

6) Eğitim ve Farkındalık
• Tüm çalışanlar ve yükleniciler işe girişte güvenlik eğitimini tamamlamalıdır.
• Yıllık tazeleme eğitimi zorunludur.
• Belirli aralıklarla oltalama (phishing) simülasyonları ve farkındalık kampanyaları yapılır.

7) İzleme ve Gözden Geçirme
• Sistem erişimleri, ağ aktiviteleri ve yönetici işlemlerine ilişkin loglar tutulmalı ve düzenli incelenmelidir.
• ISMS’in iç denetimleri yılda en az bir kez yapılmalıdır.
• Bu politika, üst yönetim tarafından yılda en az bir kez gözden geçirilmelidir.

8) Disiplin Önlemleri
Bu politikaya uyulmaması, iş sözleşmesinin feshi ve yasal işlem dahil olmak üzere disiplin yaptırımlarına yol açabilir.

9) Politika Onayı
Bu Bilgi Güvenliği Politikası aşağıdaki kişi tarafından onaylanmıştır:
CEO / Kurucu: [Masoud Salmani]
Tarih: 10 Eylül 2025

İşinizi dönüştürmeye hazır mısınız?
Başlayın
Kooch logo containing a shirdal inside a shield with kooch text
ZİYA GÖKALP MAH. ,
SÜLEYMAN DEMİREL BUL. ,
OFİS NO: 7E İÇ KAPI NO: 136
BAŞAKŞEHİR/İSTANBUL, Türkiye

© 2025 Kooch Siber Güvenlik ve Uyumluluk
Ana sayfalar
Ana SayfaHakkımızdaHİZMETLERBize Ulaşın
Yardımcı sayfalar
SSSLisanslar
Bizi Arayın
+90850840913
Bize bir E-posta Gönder
info@kooch.co
Gizlilik ve Çerez PolitikalarıKVKKYasal Sorumluluk ReddiBilgi Güvenliği Politikası