CRANIOCATCH BİLİŞİM TEKNOLOJİLERİ MEDİKAL DENTAL SANAYİ VE TİCARET A.Ş, dental radyoloji alanında yapay zekâ destekli çözümler geliştiren bir teknoloji firması olarak, faaliyet gösterdiği alandaki yüksek hassasiyet gerektiren bilgi varlıklarının korunmasını öncelikli sorumluluğu olarak kabul eder. Kritik öneme sahip sistemlerinde yer alan tüm bilgi varlıklarını gizlilik, bütünlük ve erişilebilirlik ilkeleri doğrultusunda korumayı, ulusal mevzuata, uluslararası standartlara ve sözleşmesel yükümlülüklere tam uyumlu çalışmayı, risk temelli yaklaşımı esas alarak Bilgi Güvenliği Yönetim Sistemi (BGYS) kurmayı, yönetmeyi, sürdürmeyi ve sürekli iyileştirici faaliyetlerde bulunmayı taahhüt eder.

Bu doğrultuda Şirketimizin bilgi güvenliğini sağlamaya yönelik hedefleri aşağıda sıralanmıştır:

1. Bilgi Varlıklarının Korunması

• İçeriden veya dışarıdan, kasıtlı ya da kasıtsız meydana gelebilecek her türlü tehdide karşı Şirket’in bilgi varlıklarını korumak.
• Yapay zekâ sistemlerimizde kullanılan, işlenilen veya üretilen veri setlerinin bütünlüğünü ve doğruluğunu sağlamak.
• Bilgiye erişilebilirliği iş süreçlerinin gerektirdiği şekilde sağlamak, yasal mevzuat gereksinimlerini karşılamak, sürekli iyileştirmeye yönelik çalışmalar yapmak.
• Bilgi güvenliğinin temel unsurları gizlilik, bütünlük ve erişilebilirliğe bağlı olarak, kullanıma sunulan bilgi varlıklarının izinsiz veya yetkisiz bir biçimde erişimi, kullanımı, değiştirilmesi, ifşa edilmesi, ortadan kaldırılması, el değiştirmesi ve hasar verilmesini önlemek.
• Bilgi güvenliği varlıklarında sadece elektronik ortamda tutulan verilerin değil; yazılı, basılı, sözlü ve benzeri ortamda bulunan tüm verilerin güvenliğini sağlamak.

2. Kişisel Verilerin Korunması

• Şirketin amaçları doğrultusunda 6698 sayılı kanunun, ikincil düzenlemelerin ve Avrupa Birliği Genel Veri Koruma Tüzüğü’ne (GDPR) uygun şekilde kişisel verilerin işlenmesini sağlamak.
• Mevzuata uygun olarak bütün kişilerin verilerinin mahremiyet ve gizliliğinin sağlanması için gerekli çalışmaların yapılmasını taahhüt etmek.
• Anonimleştirme, şifreleme ve erişim kontrolü gibi teknik ve idari tedbirleri almak ve bunları güncel tutmak.
• Bilgi Güvenliği Yönetimi ve KVKK eğitimlerini tüm personele vererek bilinçlendirmeyi sağlamak.

3. Yapay Zekâ ve Dijital Sistem Güvenliği

• Yapay zekâ algoritmalarının eğitildiği veri setlerinin güvenliğini sağlamak, bu veriler üzerinde yapılan işlemlerin izlenebilirliğini garanti altına almak.
• Ürünlerimizde yer alan dijital bileşenlerin siber güvenlik testlerini düzenli olarak yapmak (penetrasyon testi vb.).
• Yazılım geliştirme süreçlerinde "tasarımdan itibaren güvenlik (security by design)" prensibiyle hareket etmek.

4. Risk Yönetimi ve Olaylara Müdahale

• Bilgi Güvenliğini hedef alan gerçekte var olan veya şüphe uyandıran tüm açıklıkları bilgi güvenliği olay yönetimi kapsamında değerlendirilmesi ve yapılan değerlendirmeler neticesinde, mevcut kontrollerin güncellenmesi veya yeni kontrollerin devreye alınması faaliyetleri en kısa zamanda gerçekleştirilmesini sağlamak.
• Tüm bilgi varlıkları için risk değerlendirmeleri yapmak, tespit edilen riskler doğrultusunda kritik varlıklar üzerinde özel kontrol önlemleri belirlemek.
• Bilgi güvenliğini hedef alan şüpheli durumları etkin bir şekilde tespit etmek, olay müdahale planlarını devreye almak ve olay sonrası kök neden analizlerini yapmak.
• İhlal durumlarına karşı disiplin prosedürleri ve ihbar mekanizmaları oluşturmak.

5. İş Sürekliliği ve Felaket Kurtarma

• İş süreklilik planları hazırlamak, sürdürmek ve test etmek.
• İş sürekliliğini kesintiye uğratabilecek tehditler için planlar oluşturmak, test etmek ve sürekli güncel tutmak.
• Felaket kurtarma senaryoları kapsamında veri yedekleme stratejileri uygulamak ve dış kaynaklı sistemler için güvenlik sözleşmeleri yapmak.

6. Eğitim, Farkındalık ve Uyum

• Şirket personelinin bilgi güvenliğine bilinçli yaklaşımı ve sorumluluk alanlarına düşen görevleri yerine getirmesi, yayınlanan politika, prosedür, talimat ve duyurulara azami derecede özen göstermesini sağlamak.
• Bu amaç doğrultusunda Şirket Personeline düzenli olarak bilgi güvenliği, KVKK, etik ve yapay zekâ güvenliği eğitimleri vermek.

Yukarıda sayılanlara ek olarak Şirketimiz, Bilgi Güvenliği Yönetim Sistemimizi iç ve dış denetimlerle değerlendirmeyi, gelişen teknoloji, yeni yasal gereklilikler ve sektörel riskler doğrultusunda politikalarımızı güncellemeyi ve Bilgi Güvenliği Yönetim Sisteminin sürekli iyileştirilmesi sağlamayı amaçlamaktadır.