Olayların ve güvenlik olaylarının raporlanması

Staffino, güvenliği çok ciddiye alır ve tüm potansiyel ve bildirilen güvenlik açıklarını araştırır. Her çalışan, gözlemlenen güvenlik olayını veya bir güvenlik olayı şüphesini derhal Support’a bildirmekle yükümlüdür. Olay meydana gelirse, müşteri veya çalışan bilgileri e-posta [email protected] veya telefonla destek ekibine (+421907539484 veya +421948082282) iletebilir. Staffino ekibi, e-posta talebinize (veya acil durumlarda telefon görüşmesine) aşağıda belirtilen zamanlarda yanıt verecek ve talebi onayladıktan hemen sonra ilgilenecektir. Her istek, Güvenlik Yöneticisi tarafından önem düzeyine göre kategorilere ayrılacak ve o düzeyde sağlanan kılavuza göre çözülecektir. BT güvenlik olayları durumunda, her müşteri e-posta ile bilgilendirilecektir. AWS’nin yanında, ayrıntılı genel bakış, AWS’nin güvenlik açıklarını nasıl raporladığına https://aws.amazon.com/security/vulnerability-reporting/ adresinden ulaşılabilir. Amazon hizmetlerinin durumu https://status.aws.amazon.com/

Çalışanların temel görev ve sorumlulukları

1. Çalışan, gözlemlenen bir güvenlik olayını veya güvenlik açığını bildirmekle yükümlüdür.

2. Bir güvenlik olayının gözlemlenmesinden sonra, delilin geçersiz olmasına veya sonuçlarının bozulmasına yol açabilecek herhangi bir faaliyette bulunulması yasaktır.

3. Çalışan, bir güvenlik açığı gözlemledikten sonra SM’ye bildirmekle yükümlüdür.

4. Çalışanlar, güvenlik olayı olup olmadığını doğrulamak için güvenlik olayı raporunun alıcısıyla işbirliği yapmakla yükümlüdür.

5. Bir güvenlik olayının meydana gelmesiyle bağlantılı olarak bir suç işlenmiş veya işlenmişse, çalışan derhal kolluk kuvvetlerine ve en yakın amirine veya müdürüne haber vermelidir.

6. Güvenlik olayına neden olan çalışanlar hakkında geçerli disiplin kovuşturmalarına göre sonuçlar çıkarılabilir.

Güvenlik olayı sınıflandırması

Olaylarla ilgili olarak, üç düzeyde sorun aciliyeti ve önceliği ayırt ediyoruz (kritik, ciddi, yaygın):

• Kritik konular, kişisel veri sızıntısı veya hizmet hatası riskinin bulunduğu güvenlik olaylarını içerir.
• Ciddi sorunlar arasında, gerçek bir veri sızıntısı riskinin olduğu, ancak bu riskin hemen olmadığı (örn. istenmeyen posta göndermek için bir e-posta sunucusunun kullanılması) veya şirketin itibarına zarar verme riskinin bulunduğu durumlar yer alır.
• Yaygın sorunlar, olası güvenlik olaylarından gelen standart güvenlik uyarılarını içerir (bilgi uyarıları, tedarikçiler tarafından uyarılar, örneğin Microsoft Güvenlik Bildirimleri)

Genel olay sınıflandırması

Olaylarla ilgili olarak, sorunun aciliyeti ve önceliğini beş düzeyde (kesinti, kritik, acil, daha az acil, acil olmayan) ayırt ederiz:

• Kesinti sorunları, hizmetin kullanılamama durumunu içerir
• Kritik sorunlar arasında temel işlevlerin olmaması (geri bildirim bırakma, önemli bilgilerin görüntülenmesi vb.), mevcut verilerin bulunmaması, BT güvenlik olayları veya veri sızıntısı sayılabilir. Genel olarak, kritik düzey, uygulama ile çalışmayı devre dışı bırakan sorunları içerir.
• Acil sorunlar, daha görünür hatalar ve orta derecede önemli işlevlerin (profilleri yönetme vb.)
• Daha az aciliyet, daha az görünür hatalardır, bunlar uygulamayla çalışmayı zorlaştırabilen sorunlardır, ancak uygulama tam kullanımda kalır
• Acil olmayan sorunlar arasında görünür olmayan (veya neredeyse görünmez) hatalar ve iyileştirmeler bulunur.

Olay çözüm süreleri

Staffino, aşağıdaki yanıt/çözüm sürelerini garanti eder:

• Kesinti – 1 saate kadar yanıt süresi, 6 saate kadar çözüm süresi
• Kritik – 12 saate kadar yanıt süresi, 24 saate kadar çözünürlük süresi
• Orta derecede acil – 24 saate kadar yanıt süresi, 72 saate kadar çözüm süresi
• Daha az acil – 72 saate kadar yanıt süresi, bir sonraki sürüme kadar çözüm süresi
• Acil olmayan – 72 saate kadar yanıt süresi, geliştirme planına bağlı olarak çözüm süresi

Staffino, mesai saatleri içinde (08:00-17:00) teknik destek sağlar. Genişletilmiş teknik destek sağlanırsa, tüm anlaşmalar teknik destek sözleşmesine yazılır.