Bilgi Sistemleri Yönetimi ve Bilgi Güvenliği

Ziraat Katılım’da bilgi güvenliğine ilişkin faaliyetler, Banka’nın iç kontrol ve gözetim mekanizmalarıyla uyumlu bir yapı altında yürütülmektedir. Bu kapsamda bilgi güvenliği süreçleri, İç Sistemler Grup Başkanlığı koordinasyonunda ele alınmakta ve söz konusu Grup Başkanlığı faaliyetlerini Yönetim Kurulu gözetiminde sürdürmektedir. Banka bünyesinde bilgi güvenliğinin sağlanmasına ilişkin nihai sorumluluk Yönetim Kurulu’na aittir. Yönetim Kurulu, bilgi güvenliği yönetimini kurumsal yönetim uygulamalarının ayrılmaz bir parçası olarak ele almakta ve bilgi varlıklarının korunmasına yönelik politika ve stratejilerin hayata geçirilmesini gözetmektedir.

Bankacılık Kanunu, Banka Esas Sözleşmesi ve ilgili diğer mevzuat hükümleri ile Yönetim Kurulu tarafından belirlenen politika ve stratejiler çerçevesinde, bilgi güvenliğine ilişkin çalışmaları koordine etmek üzere Bilgi Güvenliği Komitesi oluşturulmuştur. Komite’nin görev ve yetkileri Yönetim Kurulu tarafından belirlenmektedir. Bilgi güvenliği politikalarının oluşturulması, onaylanması ve periyodik olarak güncellenmesi ile bilgi güvenliğine ilişkin görev ve sorumlulukların tanımlanması Komite’nin sorumluluğunda yürütülmektedir. Komite ayrıca önemli güvenlik vakaları, yeni zafiyetlerin ortaya çıkması veya kritik altyapı değişiklikleri gibi olağan dışı durumlarda gözden geçirme faaliyetleri gerçekleştirmektedir. Bilgi Güvenliği Komitesi tarafından alınan kararlar, hayata geçirilmesi amacıyla ilgili bilgi teknolojileri ekiplerine yönlendirilmekte ve gerekli aksiyonların alınması sağlanmaktadır.

Bilgi güvenliği ile ilgili operasyonel faaliyetler, Genel Müdür’e bağlı olarak görev yapan Bilgi Güvenliği birimi tarafından yürütülmektedir. Bu faaliyetler İç Sistemler Grup Başkanlığı koordinasyonunda izlenmekte olup Bankacılık Düzenleme ve Denetleme Kurumu (BDDK) denetimlerine tabidir. Bununla birlikte bilgi güvenliği uygulamaları, Bilgi Güvenliği Yönetim Sistemi kapsamında ISO 27001 Bilgi Güvenliği Yönetim Sistemi Standardı çerçevesinde gerçekleştirilen denetimlerle de düzenli olarak değerlendirilmektedir.

Banka’da Bilgi Sistemleri Yönetimi Banka’nın operasyonel sürekliliğini ve iş süreçlerinin kesintisiz şekilde yürütülmesini destekleyen temel yapılardan biridir. Bu kapsamda bilgi teknolojileri altyapısı Banka’nın kurumsal hedefleri ve iş öncelikleriyle uyumlu biçimde yönetilmektedir.

Bilgi Sistemleri yönetim süreçlerinde verimliliğin artırılması amacıyla 2024 yılında Bilgi Teknolojileri Yönetişim Modeli tasarlanmış ve Banka genelinde uygulanmaya başlanmıştır. Aynı dönemde Çevik Yönetim Modeli kullanılmaya başlanmış ve proje ile talep yönetimini bütüncül biçimde ele alan Stratejik Yönetişim uygulaması devreye alınmıştır.

Bu yapı ile bilgi sistemleri taleplerinin önceliklendirilmesi, onay süreçlerinin netleştirilmesi ve kaynak kullanımının daha etkin yönetilmesi hedeflenmiştir.

2025 yılında Stratejik Yönetişim uygulaması kapsamında, talep ve proje yönetimi süreçlerinde efor takibi ve performans izleme mekanizmaları kurulmuş ve düzenli raporlama yapılmaya başlanmıştır. Banka iş aileleri tarafından müşteriler ile kurum içi personelin kullanımına yönelik planlanan ürün ve hizmetler, talep yönetimi uygulaması olan Stratejik Yönetişim aracılığıyla gerekli onay ve fizibilite aşamalarından geçirilerek Ziraat Teknoloji’ye iletilmektedir. Ziraat Teknoloji bünyesinde gerçekleştirilen altyapı ve yazılım geliştirme çalışmalarının ardından, bilgi sistemleri altyapısına entegrasyonu sağlanan ürün ve hizmetler, iş aileleri tarafından yapılan kabul testleri sonrasında kullanıma sunulmaktadır.

Çevik Yönetim Modeli kapsamında çevrim sonlarında gerçekleştirilen değerlendirme toplantıları sayesinde riskler ve veriler doğrultusunda karar alma süreçleri güçlenmiş ve bilgi sistemleri yönetiminde daha hızlı, esnek ve kaliteli çıktılar elde edilmiştir.

Siber Güvenlik, Veri Gizliliği ve BT Risk Yönetimi

Dijitalleşmenin bankacılık süreçlerinde hız kazanmasıyla birlikte, bilgi sistemleri ve veri güvenliğine yönelik riskler de daha karmaşık ve dinamik bir yapı kazanmıştır. Ziraat Katılım, bu gelişimi dikkate alarak bilgi sistemlerinin güvenilirliğini artırmaya, müşteri ve Banka verilerinin gizlilik ve bütünlüğünü korumaya yönelik çalışmalarını sürekli olarak geliştirmektedir. Bu kapsamda güvenlik altyapısına yönelik teknik yatırımların yanı sıra, güvenliğin kurumsal bir sorumluluk olarak ele alındığı bir yaklaşım benimsenmektedir. Çalışanlara yönelik eğitimler ve farkındalık faaliyetleriyle desteklenen bütüncül bir bilgi güvenliği yönetimi anlayışı uygulanmaktadır.

Ziraat Katılım, müşteri ve Banka verilerinin gizliliğini ve güvenliğini korumak amacıyla ortaya çıkan riskleri tespit etmeye ve sistem güvenliğini sürekli olarak iyileştirmeye odaklanmaktadır.

Bu yaklaşım, kapsamlı güvenlik politikaları ve standartlarının yanı sıra güçlü bir güvenlik bilinci ve eğitim programı ile desteklenen, gelişmiş ve çok katmanlı savunma sistemlerinin uygulandığı entegre bir bilgi güvenliği yönetimi stratejisi çerçevesinde yürütülmektedir.

Bilgi güvenliği strateji ve politikaları doğrultusunda BT Risk Yönetimi yapısı kurulmuştur. Bilgi teknolojileri riski, Banka’nın kurumsal risk bileşenlerinden biri olarak kabul edilmekte ve bankacılık operasyonlarının ayrılmaz bir parçası olarak ele alınmaktadır. Banka, iş sürekliliği ve veri bütünlüğünün sağlanabilmesi amacıyla operasyonel riskler ile bilgi teknolojileri risklerini bütünleşik bir yapı içinde yönetmektedir.

Bilgi varlıkları gizlilik, bütünlük ve erişilebilirlik kriterlerine göre sınıflandırılmakta, varlıkların kritikliğine uygun güvenlik kontrolleri belirlenmektedir. Belirlenen kontrollerin etkinliği düzenli testlerle izlenmekte ve tespit edilen risklere yönelik gerekli iyileştirme çalışmaları yürütülmektedir. Bu süreçlerde ISO 27005 Bilgi Güvenliği Risk Yönetimi Standardı esas alınmaktadır.

Bilgi güvenliği ve siber güvenlik süreçleri; 5411 sayılı Bankacılık Kanunu, Bankacılık Düzenleme ve Denetleme Kurumu tarafından yayımlanan Bankaların Bilgi Sistemleri ve Elektronik Bankacılık Hizmetleri Hakkında Yönetmelik, Kişisel Verilerin Korunması Kanunu, ISO 27001, ISO 27005, COBIT (Control Objectives for Information and Related Technology) ve NIST (National Institute of Standards and Technology) standartları dikkate alınarak yürütülmektedir. Ayrıca, 6 Temmuz 2019 tarih ve 30823 sayılı Resmî Gazete’de yayımlanan Bilgi ve İletişim Güvenliği Tedbirleri konulu 2019/12 sayılı Cumhurbaşkanlığı Genelgesi uyarınca, Cumhurbaşkanlığı Dijital Dönüşüm Ofisi tarafından oluşturulan Bilgi ve İletişim Güvenliği Rehberi’ne uyum sağlamaktadır.

Ulusal ve uluslararası mevzuat düzenli olarak izlenmektedir. Banka bilgi güvenliği politikaları ve bu politikaları destekleyen uygulamalar, tabi olunan düzenleyici otoritelerin gereklilikleriyle uyumlu biçimde güncel tutulmaktadır. Dijital dönüşüm, yeni teknolojiler ve süreçlerdeki gelişmeler doğrultusunda bilgi güvenliği düzenlemeleri periyodik olarak gözden geçirilmektedir.

Bilgi Güvenliği Farkındalığı ve Eğitim Çalışmaları

Ziraat Katılım’da, bilgi güvenliği kültürünün kurum genelinde yerleşmesini desteklemek amacıyla tüm çalışanları kapsayan yapılandırılmış bir Bilgi Güvenliği Farkındalık Programı yürütülmektedir. Çalışanların Banka’ya katılım sürecinde uygulanan oryantasyon programları ile yüz yüze gerçekleştirilen sınıf içi eğitimlerin içeriklerine bilgi güvenliği başlıkları dâhil edilmekte ve çalışanların görevlerine başlamadan önce temel farkındalık düzeyine ulaşmaları hedeflenmektedir.

Banka’da her yıl tüm çalışanlara, güncellenen siber tehdit başlıklarını ve iyi uygulamaları içeren bilgi güvenliği farkındalık eğitimleri atanmakta ve eğitimlerin tamamlanma durumu düzenli olarak izlenmektedir. Bilgi güvenliği farkındalığının sürekliliğini sağlamak amacıyla, aylık periyotlarla güncel bilgi güvenliği olayları ve iyi uygulamaları içeren bilgilendirme bültenleri hazırlanarak tüm çalışanlarla paylaşılmaktadır.

Diğer yandan, oltalama saldırıları konusunda farkındalık oluşturmak amacıyla, Sosyal mühendislik ve kimlik avı girişimlerine karşı farkındalığın artırılması amacıyla yıl içerisinde kurum içi tatbikat çalışmaları gerçekleştirilmektedir. Bu çalışmalar sonucunda elde edilen bulgular analiz edilmektedir. Tatbikatlarda başarısız olan çalışanlara yönelik ilave eğitimler planlanarak farkındalık düzeyinin yükseltilmesi hedeflenmektedir.

2024 yılında, bilgi sistemleri denetim süreçlerinde görev alan Banka Teftiş Kurulu müfettişlerinin ağ güvenliği, işletim sistemi güvenliği ve güvenli yapılandırma konularında eğitim almaları sağlanmıştır. Ayrıca ISO 27001 Bilgi Güvenliği Yönetim Sistemi denetimlerine yönelik eğitimler tamamlanmış ve sınavlarda başarı gösteren müfettişler ISO 27001 Baş Denetçi sertifikası almaya hak kazanmıştır. Ayrıca, veri analitiği temelli denetim çalışmalarını desteklemek amacıyla SQL Server eğitimleri düzenlenmiştir.

2025 yılında ise müfettiş yardımcılarının mesleki gelişimini desteklemek amacıyla Teftiş Yetki ve Teftiş Yeterlilik eğitimleri gerçekleştirilmiştir. Teftiş Yetki eğitimi kapsamında 14 gün süren programda 20 farklı eğitim verilmiştir. Teftiş Yeterlilik eğitimi kapsamında ise 26 gün süren programda 23 farklı eğitim gerçekleştirilmiştir.

Kesintisiz Hizmete Yönelik İş Sürekliliği Planları

Ziraat Katılım, iş sürekliliğinin sağlanması, kurumsal hedeflere odaklanılması ve müşteri deneyimi ile memnuniyetinin güçlendirilmesi amacıyla bilgi teknolojileri varlıklarını korumaya yönelik uygulamaları sistematik bir çerçevede hayata geçirmektedir. Bu kapsamda bilgi sistemleri altyapısının sürekliliği ve güvenilirliği gözetilmekte, dijital bankacılık hizmetlerinin kesintisiz sunulmasını etkileyebilecek operasyonel ve teknolojik riskler yakından izlenmektedir. Uygulanan kontroller ve izleme mekanizmalarıyla Banka’nın dijital hizmet altyapısının güvenli ve sürdürülebilir şekilde işletilmesi amaçlanmaktadır.

Banka’da iş sürekliliği yönetişim yapısı, İSAD (İş Sürekliliği ve Acil Durum) Komitesi, Genel Müdürlük Birimleri, Şubelerde belirlenen Müdahale Ekipleri ve Koordinatörlükten oluşmaktadır. Koordinatörlük görevi Operasyon Merkezi Bölüm Başkanlığı tarafından yürütülmekte, iş sürekliliğine ilişkin planlama, uygulama ve izleme süreçleri bu yapı aracılığıyla bütüncül şekilde yönetilmektedir. Olası acil durum ve kriz senaryolarında süreçlerin etkin şekilde yönetilmesi amacıyla Kriz Merkezi devreye alınmakta, müdahale ve iyileştirme faaliyetleri bu merkez üzerinden koordine edilmektedir. Banka İş Sürekliliği Süreci kapsamında İş Sürekliliği Planı’nın hazırlanması, güncellenmesi ve uygulanmasına yönelik faaliyetlerin koordinasyonu İSAD Koordinatörlüğü tarafından yerine getirilmektedir.

Ziraat Katılım, bankacılık faaliyetlerinin kesintisiz şekilde sürdürülebilmesini teminen iş sürekliliği çalışmalarını mevzuatla uyumlu ve sistematik bir yapı içinde yürütmektedir. Bu doğrultuda Ziraat Katılım İş Sürekliliği Planı, Bankaların İç Sistemleri ve İçsel Sermaye Yeterliliği Değerlendirme Süreci Hakkında Yönetmeliğin 13’üncü maddesi, Bankaların Bilgi Sistemleri ve Elektronik Bankacılık Hizmetleri Hakkında Yönetmeliğin 28’inci maddesi ve TSE ISO 22301 İş Sürekliliği Yönetim Sistemi Standardı esas alınarak hazırlanmış olup 2024 yılında güncellenmiştir. Güncellenen plan kapsamında Banka’nın kritik faaliyetlerinin sürekliliğini destekleyen yapı ve senaryolar gözden geçirilmiş, iş sürekliliği çerçevesi güncel riskler dikkate alınarak yeniden değerlendirilmiştir.

İş Sürekliliği Planı, bilgi sistemleri ve fiziki güvenlik kaynaklı acil ve beklenmedik durumlar nedeniyle Banka faaliyetlerinin kesintiye uğraması durumunda ortaya çıkabilecek risklere karşı hazırlıklı olunmasını sağlayan yönetsel süreçleri ve stratejileri içermektedir.

Güncellenen plan kapsamında bilgi sistemleri ve operasyonel faaliyetlerde meydana gelebilecek kesintilere yönelik senaryolar oluşturulmaktadır. Senaryolar hazırlanırken faaliyetlerde meydana gelebilecek kesintilerin olası etkileri olay öncesi, olay esnası ve olay sonrası olmak üzere üç aşamada ele alınmaktadır. Kesinti durumlarında Genel Müdürlük birimleri ve şubelerin, belirlenen senaryolar doğrultusunda hareket etmeleri öngörülmektedir.

Bankaların Bilgi Sistemleri ve Elektronik Bankacılık Hizmetleri Hakkında Yönetmelik uyarınca her yıl düzenli olarak Olağanüstü Durum Merkezi testleri gerçekleştirilmektedir. Test edilecek süreçlerin belirlenmesi amacıyla tüm Banka birimlerinin katılımıyla İş Etki Analizi çalışmaları yapılmakta, Banka açısından kritik süreçler ve kritik personel belirlenmektedir. İş Etki Analizi sonuçlarına göre belirlenen süreçler, ilgili personel tarafından testlere tabi tutulmaktadır. Testler sonucunda elde edilen bulgular doğrultusunda İş Sürekliliği Planı ve ekleri yılda en az bir kez güncellenmekte, yılda iki kez İletişim Zinciri Testleri gerçekleştirilmektedir.

2025 yılında iş sürekliliği kapsamındaki uygulama ve geliştirme çalışmaları sürdürülmüş, İş Sürekliliği Planı ile Afet/Acil Durum Aksiyon Süreç Planı Banka bünyesinde ayrı dokümanlar olarak yayımlanmıştır.

İş sürekliliğinin sağlanması hedefiyle 2025 yılında bilgi sistemleri altyapısında önemli teknik iyileştirmeler hayata geçirilmiştir:

• Aktif–Aktif Veri Merkezi Projesi (Active–Active Data Center) çalışmalarına başlanmıştır.
• Kullanım ömrü tamamlanmış Core Switch ve Metro Ethernet Switch cihazlarının değişimi gerçekleştirilmiştir.
• Windows ve Linux sunucularının işletim sistemleri güncel sürümlere yükseltilmiştir.
• İş sürekliliğine engel oluşturabilecek veri tabanı ve kod seviyesindeki bulgular tespit edilerek gerekli iyileştirmeler yapılmıştır.
• Uygulama sunucularına ait web erişim kayıtlarının merkezi olarak toplanması ve izlenmesi sağlanmıştır.
• SWIFT sisteminin yedeklenmesine yönelik çalışmalar başlatılmış olup SAA (SWIFT Alliance Access) yapısının aktif–pasif şekilde yedekli hale getirilmesine yönelik süreç yürütülmektedir.
• Kara Liste sorgulama yapısı, yedekli mimariye kavuşturulmak üzere ele alınmış olup sisteme zarar verebilecek risklerin önlenmesi amacıyla yapısal iyileştirme çalışmaları yapılmaktadır.
• Güvenlik projeleri olan;
  - Cloud DDoS Koruma Projesi (Akamai),
  - DDoS Koruma Yenileme Projesi,
  - IPS (Intrusion Prevention System) Yenileme Projesi,
  - NAC (Network Access Control) Dönüşüm Projesi tamamlanarak sistem dayanıklılığı artırılmıştır.

2025 yılında bilgi sistemleri yönetimi kapsamında, müşteri deneyimini ve hizmet sunumu etkinliğini artırmaya yönelik yenilikler;

• Mobil ve İnternet Şube altyapısı yenilenmiş, kullanıcı deneyimini iyileştiren arayüz ve işlevsellik geliştirmeleriyle Banka müşterilerinin kullanımına sunulmuştur.
• Müşterilerin ödeme yapacak kişilerden dijital ortamda ödeme talebinde bulunabilmelerini sağlayan Ödeme İste Sistemi hayata geçirilmiştir.
• Banka müşterilerinin şubeler veya mobil uygulama üzerinden satın aldıkları altınların fiziki teslimine olanak tanıyan altyapı oluşturulmuştur.
• Müşterilerin ikinci el araç satış işlemlerini güvenli şekilde gerçekleştirebilmeleri amacıyla Güvenli Ödeme Hizmeti devreye alınmıştır.
• Sosyal medya platformları üzerinden gelir elde eden içerik üreticilerinin, vergi beyanı gerekmeksizin otomatik vergilendirilmesini sağlayan Sosyal Medya İçerik Üreticisi Hesabı kullanıma sunulmuştur.
• Ayrı bir iş yeri açmaksızın evlerinde ürettikleri ürünleri elektronik ortamda satan müşterilerin vergi indiriminden yararlanabilmelerine imkân tanıyan Evden Üretim Hesabı müşterilerin kullanımına açılmıştır.
• Tasarrufların bir bölümünün katılma hesabında, bir bölümünün ise yatırım fonlarında değerlendirildiği Paylaşımlı Hesap Hizmeti kullanımı başlatılmıştır.
• BDDK tarafından yayımlanan Kimlik Doğrulama ve İşlem Güvenliği Kriterleri Genelgesi ile uyumlu olacak şekilde gerekli altyapı çalışmaları tamamlanmıştır.

2025 ve sonrasında Ziraat Katılım, yapay zekâ altyapısının güçlendirilmesi, Robotik Süreç Otomasyonu (RPA) ile otomatikleşen süreçlerin artırılması, yeni veri merkezi yatırımları ve ana bankacılık arayüzlerinin uçtan uca modernizasyonu gibi alanlara odaklanmayı planlamaktadır. Ziraat Katılım, bilgi sistemleri yönetimini sürekli gelişim yaklaşımıyla ele alarak, dijital bankacılık ekosisteminde güvenilir, esnek ve sürdürülebilir bir teknoloji altyapısı sunmayı hedeflemektedir.

Veri Gizliliğini Korumak Üzere Oluşturulan Sistemler

Ziraat Katılım, kişisel verilerin güvenli şekilde saklanması, hukuka aykırı olarak işlenmesinin önlenmesi ve hukuka uygun biçimde imha edilmesi amacıyla gerekli teknik ve idari tedbirleri almaktadır. Bu kapsamda veri işleme faaliyetleri, Anayasa’nın 20’nci maddesi, 6698 sayılı Kişisel Verilerin Korunması Kanunu ve 5411 sayılı Bankacılık Kanunu başta olmak üzere ilgili tüm yasal düzenlemeler çerçevesinde yürütülmektedir.

Kişisel Verilerin Korunması Uygulama Esas ve Usulleri doğrultusunda Banka, aydınlatma yükümlülüğünü yerine getirmekte, veri sahiplerine yönelik bilgilendirmelere tüm hizmet kanallarında yer vermekte ve gerekli açık rızaların alınmasına önem göstermektedir. Banka, veri sorumlusu sıfatıyla işlediği kişisel verileri Veri Sorumluları Sicili Bilgi Sistemi (VERBİS) kapsamında kayıt altına almakta ve güncel tutmaktadır. Veri işleme süreçlerine ilişkin politika ve aydınlatma metinlerine Banka’nın kurumsal internet sitesi üzerinden erişilebilmektedir.

Kişisel verilerin korunmasına yönelik yaklaşım, yalnızca müşteri verileriyle sınırlı tutulmamakta; çalışanların kişisel bilgi ve verilerinin korunması da temel ilkeler arasında yer almaktadır. Ziraat Katılım, çalışanlara ait kişisel bilgilerin gizliliğinin sağlanması, yetkisiz kişilerle paylaşılmasının önlenmesi ve kişilerin temel hak ve özgürlüklerinin korunması amacıyla ilgili yasal düzenlemelerle uyumlu önlemler almaktadır. Bu kapsamda çalışanların veri gizliliğine ilişkin sorumlulukları net biçimde tanımlanmakta; belirlenen tedbir ve düzenlemelere uyum beklenmektedir. Bu yaklaşım, Banka’nın İnsan Kaynakları ve İnsan Hakları Politikası ile uyumlu şekilde yürütülmektedir.

Banka bilgi sistemlerine yönelik güvenlik açıklarının tespit edilmesi ve giderilmesi amacıyla, BDDK’nin Bilgi Sistemlerine İlişkin Sızma Testleri Genelgesi kapsamında bağımsız firmalar tarafından yılda en az bir kez sızma testleri gerçekleştirilmektedir. Bu testler, Banka bilgi sistemlerine yetkisiz erişim, veri sızıntısı ve benzeri güvenlik açıklarının tespit edilmesini amaçlamaktadır. Sızma testleri sonucunda elde edilen bulgular doğrultusunda aksiyon planları oluşturulmakta ve bu planlar Yönetim Kurulu’na ve Bankacılık Düzenleme ve Denetleme Kurumu’na çeyrek dönemler itibarıyla raporlanmaktadır.

Banka bünyesinde, kurumsal ağdan ve dış ağlardan gelebilecek tehditlere karşı Ağ Güvenlik Kontrol Sistemleri işletilmektedir. Ağ kaynaklarının kullanımına ilişkin olarak USB kullanımı, Banka dışı dosya paylaşımı, veri tabanı ve uygulama erişimleri ile standart dışı uygulama yüklemelerine yönelik kurallar belirlenmiştir. Banka lokasyonlarında görev alacak üçüncü taraf firma çalışanları, danışmanlar ve denetçiler için sağlanacak bilgisayar ve erişimlere ilişkin standartlar tanımlanmıştır.

Ağ kaynaklarının kullanımı, Veri Sızıntısı Önleme (Data Loss Prevention – DLP) sistemleri aracılığıyla izlenmektedir. E-posta ve internet ortamı üzerinden gerçekleştirilen veri transferleri anlık olarak kontrol edilmektedir. 2025 yılında, veri sızıntısı önleme uygulamaları kapsamında izleme mekanizmalarına ek olarak engelleyici kontroller devreye alınmıştır. Ayrıca son kullanıcı seviyesinde USB kullanımı kısıtlanarak verilerin kurum dışına çıkarılmasına yönelik riskler azaltılmaktadır. Güvenlik süreçlerini desteklemek amacıyla işlemlere ilişkin iz kayıtları oluşturulmakta ve düzenli olarak izlenmektedir.

Bilgi güvenliği uygulamalarının mobil kanallarda da güçlendirilmesi amacıyla 2025 yılında, mobil cihazlara uygulanan güvenlik politikalarının kapsamı genişletilmiş; müşterilerin mobil cihazlarında yer alabilecek zararlı yazılımlara karşı korunmasını sağlamak üzere mobil uygulama güvenliği hizmeti kullanıma alınmıştır.

Elektronik bankacılık hizmetlerinde ve elektronik ortamda sözleşme ilişkisinin kurulmasına yönelik süreçlerde Kimlik Doğrulama ve İşlem Güvenliği Kriterleri Genelgesi’ne uyum çalışmaları tamamlanmıştır. Dijital kanallar üzerinden gerçekleştirilen işlemlerde güvenlik seviyesi güçlendirilmiştir.

Müşteri verisi güvenliğini güçlendirmek ve analitik çalışmalarda gizliliği korumak amacıyla, teknoloji iş ortaklarıyla yürütülen süreçlerde kullanılmak üzere müşteri numaralarını şifreli bir yapıya dönüştüren “Müşteri ID Çözücü (Customer ID Decoder)” uygulaması kurgulanmıştır.

Veri Güvenliği Farkındalığı ve Eğitim Çalışmaları

Kişisel verilerin korunması kapsamında kurum genelinde farkındalık oluşturmak amacıyla, tüm çalışanlara hem sınıf içi hem de uzaktan eğitimler düzenli olarak sunulmakta ve bu eğitimlerin tamamlanması zorunlu tutulmaktadır. Bu sayede çalışanların KVKK yükümlülükleri, temel ilkeler ve iyi uygulamalar konusunda ortak bir bilgi düzeyine ulaşması hedeflenmektedir.

Siber Güvenlik Tehditlerine Karşı Alınan Önlemler

Banka bünyesinde faaliyet gösteren Siber Güvenlik Merkezi, haftanın yedi günü kesintisiz izleme ve müdahale yaklaşımıyla Banka’nın bilgi sistemlerini ve alarm mekanizmalarını takip etmektedir. Merkez tarafından açıklık ve zafiyet taramaları gerçekleştirilmekte, potansiyel tehditlere ilişkin analizler yapılmakta ve gerekli müdahale süreçleri yürütülmektedir.

Bilgi güvenliği altyapısı, ağ, istemci, uygulama ve veri güvenliğini kapsayan bütüncül bir yapı içerisinde yönetilmektedir. Bu kapsamda ağ ve uç nokta güvenliği çözümleri, hizmet dışı bırakma saldırılarına karşı koruma sistemleri, saldırı tespit ve önleme mekanizmaları, erişim kontrol uygulamaları, güvenlik duvarları, e-posta güvenliği çözümleri ile veri kaybı önleme (DLP) ve web/DNS güvenliği sistemleri kullanılmaktadır. Güvenlik olaylarının merkezi olarak izlenmesi amacıyla sistem kayıtları Güvenlik Bilgileri ve Olay Yönetimi (SIEM) altyapısı üzerinden toplanmakta ve analiz edilmektedir.

Ayrıca uygulama güvenliğinin sağlanmasına yönelik kod inceleme süreçleri yürütülmekte; düzenli sızma testleri ve zafiyet yönetimi çalışmaları gerçekleştirilmektedir.

Banka’da 2024 yılı içerisinde kod standartlarının kontrolüne yönelik çalışmalar yürütülmüş, kaynak kod güvenlik taramaları ve denetimleri gerçekleştirilmiştir. Web uygulamalarında güvenlik duvarı çalışmaları devreye alınmış, yeni geliştirilen uygulama ve sistemler için zafiyet analizleri yapılmıştır. Ayrıca, kurumsal mobil cihazların güvenliğinin artırılması amacıyla MAM/MDM çözümü hizmete alınmıştır.

2025 yılında, siber tehditlere karşı kullanılan ağ ve uç nokta güvenlik kontrollerinde kapsam genişletme ve iyileştirme çalışmaları gerçekleştirilmiştir. Hizmet dışı bırakma saldırılarına karşı kullanılan DDoS ve saldırı önleme sistemleri için yeni ürünler devreye alınmıştır. IPS, EDR ve EPP çözümleri aktif şekilde kullanılmaya devam edilmiştir. Aynı dönemde SIEM altyapısında kapasite artışı sağlanarak iz kayıtlarının toplanması ve analiz edilmesine yönelik kabiliyetler güçlendirilmiştir.

Veri sızıntısı önleme uygulamaları kapsamında mevcut kuralların etkinliği artırılmış, izleme mekanizmalarına ek olarak engelleyici kontroller devreye alınmıştır. Banka mobil cihazlarına uygulanan güvenlik politikalarının kapsamı genişletilmiştir. Müşterilerin mobil cihazlarında yer alabilecek zararlı yazılımlara karşı korunmasını sağlamak amacıyla mobil uygulama güvenliği hizmeti kullanıma alınmıştır.

Banka bünyesinde bilgi güvenliği ihlallerine yönelik süreçler kapsamında Siber Olaylara Müdahale Ekibi (SOME) görev yapmaktadır. Bilgi sistemleri ile ilişkili güvenlik olayları ve zayıflıklar merkezi izleme mekanizmaları aracılığıyla takip edilerek kayıt altına alınmaktadır. Bu kapsamda Banka, 7/24 esasına göre çalışan Siber Güvenlik Merkezi hizmeti almaktadır.

Ziraat Katılım, siber güvenlik ve veri gizliliğine yönelik çalışmalarını sürekli iyileştirme yaklaşımı çerçevesinde yürütmektedir. Bu alandaki kısa, orta ve uzun vadeli hedefler mevzuat gereklilikleri, risk yönetimi kapasitesinin geliştirilmesi ve teknolojik altyapının güçlendirilmesi doğrultusunda belirlenmektedir. Gelecek dönemlerde ise tehditlerin erken tespiti ve müdahale kapasitesinin artırılması amacıyla, güvenlik çözümlerinde yapay zekâ destekli ürünlerin kullanımının yaygınlaştırılması planlanmaktadır.