1.1 ChemOrbis e-pazaryeri yazılımlarının analizi, tasarımı, geliştirmesi, bakım ve operasyon hizmetleri e-iş, e-ticaret sektörünün lider firmalarından Treda Bilişim Teknolojileri A.Ş. tarafından verilmektedir. Treda, ilk başarısı ChemOrbis olan, e-pazaryerleri kuran bir B2B (kurumlararası ticaret) şirketidir. ChemOrbis, Türkiye'nin kimyasal ürünler alanında, başlangıç olarak plastik hammadde odaklı olarak kurulmuş olan ve tarafsız bir sanal ticaret platformuyla birlikte endüstriyel bilgiler içeren bir içerik sunan ilk ve tek kurumlararası elektronik ticaret pazaryeridir. Üye şirketlerin görüşlerinden yararlanılarak oluşturulan içerikte piyasadaki fiyatlar, koşullar ve beklentiler hakkında bilgiler yer alır.

ChemOrbis, üye şirketler hakkında bilgilerin yanı sıra ChemOrbis web sitesinde gerçekleştirilen ihalelerle ilgili bilgilerin de kaydını tutar. Her iki tür bilgi de gizli tutulur.

ChemOrbis, şirketin kendisi tarafından sağlanan, oluşturulan, satın alınan tüm bilgileri gizlilik prensiplerine göre sınıflandırır.

Üyeler hakkındaki bilgilere (şirket bilgileri, adresleri, telefon numaraları, bağlantı kurulacak kişiler, e-posta adresleri, ürünler, potansiyel ürünler, tedarik zinciri bilgileri, ihale katılımcıları hakkında bilgiler, ihale miktarları, üçüncü kişilerce anlaşma yapılan sevkıyat/ödeme şartları) sadece ChemOrbis satış ve müşteri ilişkileri ekipleri ulaşabilir.

İhalelerle ilgili bilgiler, ihale açanın belirlediği sınırlar çerçevesinde, ChemOrbis Müşteri İlişkileri ve Satış bölümleri çalışanlarının erişimine açıktır.

Satış ve müşteri ilişkileri çalışanları da dahil olmak üzere, Treda ve ChemOrbis personelinin tamamı için gizlilik anlaşmaları imzalama zorunluluğu bulunmaktadır.

ChemOrbis üyelerinin her birine bir yetkili kullanıcı adı ve parolası verilir (sistem tarafından rastlantısal olarak verilen parolalar alfa-sayısal, yani harf ve sayılardan oluşmuş şifrelerdir). Üyenin, siteye ilk kez giriş yaptığında parolasını değiştirmesi gerekmektedir. Şirket yetkilisi, şirket adına sınırlı kullanım olanağına sahip başka kullanıcı adları da ekleyebilir. Üye şirketler ChemOrbis sitesindeki parola gerektiren tüm alanlara, yani; "Pazaryeri", "Bülten", "Büyüteç" ve "Kimya Haberleri" alanlarına giriş yapabilir.

"Gizli" olduğu belirtilen bilgilere erişim izni sadece bu bilgilere ihtiyacı olan çalışanlarımıza verilmiştir.

ChemOrbis, gizlilik anlaşmalarının imzalanmasının ardından bilgileri üçüncü taraflarla paylaşabilir. ChemOrbis üye şirketlerden bilgi toplar. ChemOrbis, bu bilgileri, "n, n-1, n-2 ...." şeklinde bir kod dizisi kullanarak sınıflandırır ve bu sınıflandırma usulünde değişiklik yapmaz. Ancak, ChemOrbis üye şirketlere ait "n-1" ve / veya "n-2" seviyesindeki bilgileri "n" seviyesine indirme gibi sınıflandırılmada bir değişiklik yapmaya karar verdiği takdirde, üye şirketlere e-mail yoluyla ulaşarak açıklamak istedikleri bilgiler konusunda fikirlerini sorar. ChemOrbis ayrıca, bu sınıflandırma içine, şirket içinden ve şirket dışından kimlerin hangi bilgilere ulaşabileceğini belirten, uygun kimlikleri ortaya çıkararak dahil eder (gizlilik anlaşmaları vb. imzalanmasında sonra, çalışanlar, üye şirketler veya üçüncü taraflar gibi).

Üye şirketlerden birisi üyeliğini sona erdirmek istediğinde, ChemOrbis söz konusu şirketin "kabul edilmiş" olan statüsünü "reddedilmiş" olarak değiştirir. Reddedilmiş statüsündeki şirketler sistem içinde yer almazlar ve sisteme kullanıcı adı ve şifreleriyle giriş yapamazlar. ChemOrbis, üye şirketlere ait tüm bilgilerin gizliliğine şirketlerin statüsünü göz önünde bulundurmaksızın eşit derecede itina gösterir ve gözetir.

Chemorbis, her gün http://www.chemorbis.com adresindeki web sitesinde güncel piyasa ve fiyat haberlerini yayınlar. Bu haberler günlük/haftalık/aylık Polimer ve Monomer Fiyatlarını ve piyasa analizlerini içerir. Bu haberleri toplamakla görevli ChemOrbis İçerik Ekibi, ihtiyaç duyduğu verileri, Türkiye ve dünya kimya - plastik piyasalarındaki alıcı ve satıcılarla, güven, açıklık ve iyi niyete dayalı bir yaklaşım çerçevesinde bire bir bağlantı kurarak toplar. ChemOrbis İçerik Ekibi, alıcı ve satıcılardan topladığı bu verileri karşılaştırma yapılabilecek bir biçimde bir araya getirir. ChemOrbis, İçerik Ekibine, ChemOrbis elektronik pazaryeri Web uygulaması aracılığıyla ChemOrbis'te sitesi üzerinden gerçekleştirilen online ihale bilgilerine erişim izni vermemektedir.

ChemOrbis İçerik Ekibi, bilgi toplamak amacıyla alıcı ve satıcılarla bağlantı kurduğunda zaman kendini tanıtarak bağlantı kurduğu kişilere herhangi bir zamanda, herhangi bir ChemOrbis üyesine verebilecekleri bilgilerin, ChemOrbis İçerik Ekibi tarafından http://www.chemorbis.com web sitesi içeriğinde kullanılabileceği konusunda açıklama yapar.

ChemOrbis yönetimi, İçerik Ekibinin, Piyasa Fiyat Raporları veya Piyasa Analizleri bölümlerinde kullanmak üzere kimseyi bilgi vermeye zorlamaya veya bu bölümler için topladığı bilgileri saklamaya çalışmayacağını taahhüt eder.

Yukarıda 1. paragrafta da belirtildiği üzere, ChemOrbis'in http://www.chemorbis.com adresinde, günlük/haftalık/aylık Polimer ve Monomer Fiyatları ve Piyasa Analizleri bölümleri içinde güncel piyasa haberlerini ve fiyatlarını yayınladığı bir web sitesi bulunmaktadır. Bu site ayrıca, ChemOrbis'in elektronik pazaryeri olarak ChemOrbis'in online ihalelerine yer vermektedir. ChemOrbis yönetimi, İçerik Ekibi'nin bilgi topladığı alıcı ve satıcılar ile ihalelere katılan veya katılmayan üyelerinin kimliklerini gizli tutmayı ilke olarak benimsemiştir. ChemOrbis, bu kimlikleri, kullanıcılarının veya diğer şahısların, fiyat veya analizlerin kaynağına ulaşmak için kullanabilecek şirket adlarını veya şirket kimliğiyle ilgili diğer bilgileri, web sitesi veya diğer bir vasıta aracılığıyla ortaya çıkmamasını garanti eden zorunlu prosedürlerle korur.

1.2 Organizasyonumuz veya gizlilikle ilgili bu sitede açıklamış olduğumuz kurallar hakkında her türlü sorunuz için privacy@treda.com.tr adresine e-posta gönderebilirsiniz.

Bu sitenin güvenliği ile ilgili bir sorun olduğunu düşündüğünüzde ChemOrbis Müşteri Hizmetleri ile bağlantı kurabilirsiniz.

1.3 ChemOrbis, müşterileri ve sitedeki ihaleler ile ilgili tüm bilgiler için geçerli olan prensipler aynı şekilde uygulanmaya devam edilir.

2.1 Treda'nın, hem site üyelerine hem de ofis personeline açıklayıcı bilgiler sunan detaylı bir güvenlik politikası bulunmaktadır. Üyelere, kendi belirledikleri bir kullanıcı adı ve sistem tarafından raslantısal biçimde oluşturulan bir parola (parola alfa-sayısal bir şifredir ve üyenin siteye ilk girişinin ardından değiştirmesi gerekmektedir) verilir. Üyeler, kullanıcı adı ve parolalarının güvenliğinden kendileri sorumludurlar. Her şirketin yetkili bir kullanıcısı vardır. Yetkili kullanıcılar ek olarak, şirket adına işlem yapmak üzere daha kısıtlı kullanım hakkına sahip olan kullanıcı adları oluşturabilir. Bu kullanıcılar, asla tam yetkili bir kullanıcı olamayacakları için menünün tamamına erişim sağlamadıklarından, sadece bazı işlemlerde, gerek duyulan yetki kodlarını biliyorlarsa yetkili kullanıcı gibi işlem yapabilirler.

Güvenlik politikası gereği, tüm bilgiler kendileri için belirlenen güvenlik düzeyine göre sınıflandırılır. Treda ve ChemOrbis personeli kendileri için belirlenen güvenlik düzeyine göre bilgilere erişim sağlama olanağına sahiptir.

Hem ofis binası hem de Chemorbis ve Treda üretim sunucularına servis sağlayan co-location merkezine fiziksel erişim koruma altındadır. Bunlara ek olarak, ofis binasındaki sunucular, IT bölümü içinde özel bir alanda bulunmaktadırlar.

Treda güvenlik politikasının, içinde güvenlikle ilgili her türlü ayrıntının tanımlandığı bir doküman haline getirilmiştir. Personelin tamamı için (yeni gelenler de dahil), şirket tarafından belirlenen kurallara ve düzenlemelere uyma zorunluluğu vardır. Çalışanlar gizlilik anlaşmalarına imza atarak bu kuralları kabul ederler. Treda güvenlik politikası, üç ayda bir Treda Güvenlik Komitesi tarafından gözden geçirilir. Treda Güvenlik Politikası dokümanında güncellemeler yapılır ve personel bu güncellemelerden haberdar edilir. Doküman haline getirilen, sistem güvenliği hedefleri, kuralları ve standartları, sözleşmelerde, yasal anlaşmalarda ve diğer hizmet düzeyinde anlaşmalarında tanımlanan sistem güvenliği gereksinimlerine uygunluk gösterir. Erişim, scripting, güncelleme, uzaktan erişim ile ilgili ayrıntılı kurallar bütününün tamamı sadece kalifiye bir ekibin değerlendirmesine tabidir. Bu doküman herkese açık değildir.

2.2 Yeni gelen elemanlara sunulan oryantasyonun bir parçası olarak, gizlilik ve ilgili güvenlik kuralları gözden geçirilerek, kuralların kilit unsurları ve bunların çalışanlar üzerinde yarattığı etkiler görüşülür. Bunun sonrasında, çalışanların bu kuralları okuduğunu, anladığını ve bu kurallara uyacağını ifade eden yazılı bir beyanı imzalaması gerekmektedir. Çalışanlar için, performans değerlendirmelerinin bir parçası olarak, bu kuralları anladıklarını ve bunlara uyacaklarını her yıl yeniden teyit etme zorunluluğu bulunmaktadır.

2.3 Açıklama A1'de de belirtildiği üzere, ChemOrbis, bilgi paylaşımında bulunmadan önce üçüncü taraflarla bir gizlilik anlaşması imzalar. ChemOrbis, "n" ve "n-1" kategorilerinde belirtilen, şirket adı, şirket logosu, şirket türü, kuruluş tarihi, şehir, ülke, iş alanları, satılan - alınan ürünleri, yıllık hacim gibi bilgileri üçüncü taraflara paylaşabilir. ChemOrbis, bu bilgileri üçüncü taraflara, mevcut ChemOrbis modeline yeni ticaret modülleri eklemek, üçüncü partilerle birlikte yeni ChemOrbis projeleri oluşturmak amaçlarına yönelik olarak sağlar.

3.1 ChemOrbis, sitesini ziyaret eden ziyaretçilerin, üye olmak üzere başvuru yaparken güvenli bir oturum açmasını sağlar.

3.2 Pazaryerine giriş yapabilmek ve ChemOrbis tarafından sunulan haberlere erişim sağlamak için tüm dış kullanıcıların benzeri olmayan bir kullanıcı kimliği ve parolası alması zorunluluğu vardır.

Sağlam bir kimlik belirleme ve doğrulama mekanizması gerektirmeyen sistemlere yönelik olarak sağlam ve statik parolalar kullanılır.

3.3 Güncelleme, değişiklik yapma veya silme işlemleri için ( kullanıcıları, sadece yönetici ve müşteri ilişkileri ekibi silebilir, yetkili kullanıcılar silinemez, yetkili kullanıcı ancak şirketin silinmesi halinde silinebilir) kullanıcı kimliği, yetkili kullanıcı adı ve parola gerekir. Kullanıcı, bu bilgileri güvenli bir oturumda verdikten sonra, herhangi bir değişiklik yapmak üzere kullanıcı profili bölümüne geçebilir.

3.4 IT departmanının logical erişim kontrolü için kullandığı prosedürler (firewall, router ve parola kontrolleri) bulunmaktadır. Bu kontroller, hem dahili ağ içinde hem de Internet'ten, penetrasyon (etki) testleri gerçekleştirilerek periyodik olarak test edilir.

Sadece belirli çalışanlara uzaktan erişim izni verilir; sistem bu kullanıcıları tanır ve çağrılarını kabul eder.

3.5 Ofis içinde, 10 dakika süreyle kullanılmayan bilgisayarlara giriş engellenir. Şirketin IT donanımları sadece yetkili çalışanların kullanımına açıktır, IT donanımı söz konusu olduğunda diğer çalışanlar veya ziyaretçilere ancak IT personelinin yardımıyla hareket edebilir.

3.5.1 Verilerin kaydı, günlük rutin yedekleme sırasında, yetkili olmayan personel tarafından hem fiziksel hem de logical erişimle tutulur.

Herhangi bir geri alma süreci söz konusu olduğunda ise, yetkili olmayan personelin erişimine izin verilmez.

3.6 Çalışanların, çalışma koşullarının bir rutin parçası olarak bir gizlilik anlaşmasına imza atma zorunluluğu vardır. Bu anlaşma, çalışanın erişim sağlayabildiği herhangi bir bilginin veya verinin başka bireylere veya tüzel kişiliklere açıklamasını yasaklamaktadır.

Çalışanın iş tanımına ve ihtiyacına göre gizli bilgilere erişimini engelleyen uygun erişim kontrolleri sağlanmıştır.

3.7 Gizli bilgiler, aktarım sırasında 128 bit şifreleme teknolojisi kullanılarak korunur (SSL teknolojisi).

ChemOrbis web sitesinin, standart bir ağ tarayıcısındaki özellikler kullanılarak kontrol edilebilecek dijital bir sertifikası bulunmaktadır.

3.8 Treda yönetimi, şirketin web sitesine web alanı sağlayan ISP'nin performans düzeyini sürekli olarak değerlendirmeye tabi tutar. Bu değerlendirme, ISP'nin kullandığı güvenlik kontrollerinin değerlendirilmesiyle olur.

3.9 Sistem "log"ları haftalık olarak izlenir. Sistemde, sistemdeki herhangi bir gelişme hakkında sistem yöneticisine e-mail ile bilgi veren bir izleme yazılımı çalışmaktadır. Sistemde dikkat edilmesi gereken bir gelişmenin kaydedilmesi durumunda, 3 gün içinde, izlenmesi ve analiz edilmesi için bununla ilgili bir rapor dosyası oluşturulur.

3.10 Çalışanların, çalışma koşullarının bir rutin parçası olarak bir gizlilik anlaşmasına imza atma zorunluluğu vardır. Bu anlaşma, çalışanın erişim sağlayabildiği herhangi bir bilginin veya verinin başka bireylere veya tüzel kişiliklere açıklamasını yasaklamaktadır.

Çalışanın iş tanımına ve ihtiyacına göre gizli bilgilere erişimini engelleyen uygun erişim kontrolleri sağlanmıştır.

3.11 Treda, dışardan teknolojik destek veya servis kiralar ve dış kaynak sağlayıcıya veri transferi yapar. Dış kaynak sağlayıcısı tarafından yürütülen kontroller Treda gözetiminde gerçekleşir.

3.12 Treda, gizlilik politikasının tüm versiyonlarının kopyalarını saklar. Treda avukatları kurallar bütünüyle ilgili bu beyanattaki temel değişikliklerin bir özetini sunar.

Treda, gizlilik politikasına dair daha az sınırlayıcı değişikliklere gitmemeye özen göstermeye çalışır, bununla birlikte; şirket, daha az sınırlayıcı nitelikte bir değişiklik yapıldığı taktirde, yeni kural için müşterilerinin de onayını almaya çalışır. Güvenlik politikası dokümanında bu madde ile ilgili değişiklik yapılmıştır (TGP 3. inceleme ve değerlendirme). Ayrıca, üyelere ve ziyaretçilere yönelik olarak web sitesinde yayınladığımız kişisel gizlilik dokümanın da bazı değişiklikler yaptık.

3.13 ChemOrbis, üçüncü taraflarla paylaştığı bilgilerin başkalarına verilmediğinden veya yayınlamadığından emin olmak üzere bu bilgileri izler. (TSP dokümanı Ek D)

4.1 Treda, dış kaynaklı tehlikelerle ilgili değerlendirmeler ve üretim sistemlerinin aylık olarak etki testine tabi tutulması konularında üçüncü taraflardan destek alır.

Ayrıca grup, sunucu "log" larının korunmasını sağlar ve analiz eder.

4.2 Yönetim, web sitesinde açıklanan gizlilik politikasıyla ilgili prensipleri üç ayda bir gözden geçirir ve uygunluğunu değerlendirmeye tabi tutar. Yönetim, güvenlik politikası için gereken değişiklikleri veya açıklamaları değerlendirmeden sonraki 5 iş günü içinde yapar.

Sitenin gizlilik politikası ile ilgili açıklanan kurallarını etkileyen kanunlar ve yasal düzenlemeler, şirketin avukatları tarafından en azından yıllık olarak veya yeni düzenlemeler bir güncellemeyi gerektirdiğinde değerlendirilir ve rapor edilir.

Güncel kişisel gizlilik meselelerine yönelik olarak düzenli olarak personel toplantıları düzenlenir ve bu toplantılarda ortaya çıkarılan bilgiler üç ayda bir düzenlenen yönetim toplantılarında görüşülür.

Şirket, en güncel güvenlik bilgilerine sahip olmak üzere kendi endüstrisine ve faaliyet gösterdiği alana yönelik çeşitli yayınlara ve kullanıcı gruplarına üye olur. Sitenin "webmaster"ı, sistemde oluşabilecek herhangi bir zayıf nokta konusunda her ay şirketin CIO'suna rapor verir. Bu rapor, Yönetim, izleme ve çözümleme amacıyla yönetim tarafından gözden geçirilir.

4.3 IT ekibi, güncel güvenlik meselelerine yönelik olarak haftada bir toplantı yapar, bu toplantılarda ortaya konan bilgiler, üç ayda bir düzenlenen yönetim toplantılarında görüşülür.

4.4 Güvenlik meselelerine ilişkin bilgiler kaydedilir ve problemler hakkında düzenlenen bir raporda bir araya toplanır. Düzeltme konusunda yapılması gerekenler yönetim tarafından kaydedilir ve izlenir.