Teknik ve Kurumsal Önlemler Beyanı

Politika Arşivlerimizde(Yeni sekmede veya pencerede açılır) bu politikanın önceki sürümlerine ve diğer politikalara bakın.

Bu Teknik ve Kurumsal Önlemler Beyanı, atıfta bulunmak suretiyle Veri İşleme Ekimize dahil edilmiştir. Abonelik Hizmet Sözleşmesi(Yeni sekmede veya pencerede açılır) uyarınca Canva'nın Canva Hizmetlerine uyguladığı asgari güvenlik standartlarını açıklamaktadır. "Veri" (bizimle olan sözleşmenizde aksi belirtilmediği sürece, şüpheye mahal vermemek amacıyla kurumsal müşteri verileri anlamıyla sınırlanmıştır) terimi de dahil olmak üzere bu Teknik ve Kurumsal Önlemler Beyanı'nda kullanılan ancak tanımlanmayan büyük harfle başlayan terimler, Veri İşleme Ekinde(Yeni sekmede veya pencerede açılır) yer alan anlamlara sahiptir.

1. Kişisel verileri bulanıklaştırma ve şifreleme önlemleri

Canva, müşteriler ve Canva uygulaması arasında herkese açık ağlar üzerinden iletilen Verileri, TLS 1.2 veya üstü bir protokol kullanarak şifrelemektedir. Canva'nın sunucularında depolanan Müşteri Verileri, AES 256 veya daha güçlü bir şifreleme standardı kullanılarak şifrelenmektedir.


2. İşletim sistemlerinin ve hizmetlerin gizliliğinin, bütünlüğünün, kullanılabilirliğinin ve dayanıklılığının kesintisiz bir şekilde sağlanmasına yönelik önlemler

Canva'nın, güvenlik ve gizliliğin yönetiminden sorumlu personeli bulunmaktadır. Risk kayıtlarında yönetilen gizlilik ve güvenlik risklerini tartışmak üzere üç aylık aralıklarla toplanan bir Bilgi Güvenliği Komitesi ile birlikte Güvenlik, Gizlilik ve Veri Sorumluları görevlendirmiştir.


3. Fiziksel veya teknik bir olay yaşanması halinde kişisel verilerin kullanılabilirliğinin ve bu verilere erişimin zamanında geri getirilebilmesini sağlamaya yönelik önlemler

Canva, hizmetlerinin kullanılabilir olmasını desteklemek amacıyla Amazon Web Services (AWS) otomatik ölçeklendirme, AWS kullanılabilirlik bölgeleri, kapsamlı uygulama ve altyapı izleme ile 7/24 uygulama desteği ad listeleri kullanmaktadır.

Canva, Müşteri Verileri de dahil olmak üzere, Canva uygulamasının temel işlevlerini destekleyen veri depolarının yedeklerini muhafaza etmektedir. Yedekler birincil veri depolama konumundan coğrafi olarak ayrı bir konumda depolanmaktadır.

Canva, Veri içerikli güvenlik olayları için belgelendirilmiş bir Kişisel Veri Olayı Müdahale Planı içeren güvenlik olayı müdahale kapasitesini korumaktadır. Bu Planda, olaylara yönelik kontrol altına alma, müdahale etme, değerlendirme ve bilgi paylaşma yöntemlerimizin yanı sıra Canva personelinin görev ve sorumlulukları ile olay sonrası değerlendirmeleri için bir gereklilik tanımlanmaktadır.


4. Veri işlemenin güvenliğinin sağlanması için alınan teknik ve kurumsal önlemlerin etkililiğinin düzenli aralıklarla test edilmesi, incelenmesi ve değerlendirilmesine yönelik süreçler

Canva, uygulama ve altyapısının yıllık penetrasyon testini gerçekleştirmesi için alanında uzman bir üçüncü taraf güvenlik testi kurumuyla çalışmaktadır. Canva ayrıca bir üçüncü taraf uygulaması güvenlik açığı tarama hizmetinden de yararlanmakta ve herkese açık bir yazılım hatası bulma ödül programı yürütmektedir.


5. Kullanıcı kimliğini belirleme ve yetkilendirme önlemleri

Müşteri hesabının kimlik doğrulama için şifre içerdiği durumlarda Canva, sektör standardı bir şifre karma işlevi kullanarak şifreleri, veri eklenmiş (salted) ve karıştırılmış (hashed) halde depolamaktadır. Canva, Güvenlik Onayı Biçimlendirme Dili (SAML) kullanan bir müşteri kimliği sağlayıcısıyla Çoklu Oturum Açma (SSO) entegrasyonunu desteklemektedir.


6. Veri iletimi sırasında verilerin korunmasına yönelik önlemler

1. madde uyarınca Canva, müşteriler ve Canva uygulaması arasında iletilen Verileri, TLS 1.2 veya üstü bir protokol kullanılarak şifrelemektedir.


7. Depolama sırasında verilerin korunmasına yönelik önlemler

1. madde uyarınca, Canva'nın sunucularında depolanan Müşteri Verileri, AES 256 veya daha güçlü bir şifreleme standardı kullanılarak şifrelenmektedir.


8. Kişisel verilerin işlendiği konumların fiziksel güvenliğini sağlamaya yönelik önlemler

Hizmetin barındırılması ve Verilerin depolanması, Amazon Web Services (AWS) tarafından sağlanan veri merkezlerinde gerçekleştirilmektedir. Bu bakımdan Canva, AWS'nin fiziksel, çevresel ve altyapı kontrollerine güvenmektedir. Canva, veri merkezi kontrollerinin etkililik düzeyiyle ilgili olarak AWS tarafından sağlanan sertifikaları ve üçüncü taraf tasdiknamelerini düzenli aralıklarla incelemektedir.


9. Olay günlüğü tutulmasını sağlamaya yönelik önlemler

Canva uygulama ve altyapı güvenliği denetim günlükleri tutmaktadır. Denetim günlükleri anormal etkinlikleri tespit etmek üzere analiz edilmektedir.


10. Varsayılan yapılandırma da dahil olmak üzere sistem yapılandırması sağlamaya yönelik önlemler

Canva, yaygın kullanılan bir sektör standardına dayalı sağlamlaştırma standardı kullanarak sunucu altyapısını sağlamlaştırmaktadır. Canva, Güvenlik Açığı Yönetimi Prosedürüne uygun olarak sunucularına güvenlik yamaları uygulamaktadır.


11. Şirket içi BT faaliyetlerinin ve BT güvenliğinin düzenlenmesine ve yönetimine yönelik önlemler

Canva personelinin Müşteri Verilerine erişimi rol tabanlıdır ve en düşük ayrıcalıklı erişim ilkesine uygun şekilde gerçekleştirilmektedir. Personelin, Müşteri Verilerine yalnızca sorumluluklarını etkili bir şekilde yerine getirebilmesine yetecek düzeyde erişmesine izin verilmektedir. Canva sistemlerine uzak ağ erişimi için güvenli protokoller üzerinden şifrelenmiş iletişim ve çok faktörlü kimlik doğrulama kullanımı gereklidir. Canva, personeline yönelik şifre yönetimi için şifrelerin her bir kişiye özel ve yetkisiz kişilerce erişilemez olmasını sağlayacak şekilde tasarlanan prosedürler belirlemiştir ve asgari olarak aşağıdakileri içeren bu prosedürleri uygulamayı sürdürecektir:

- şifrelerin, bilgisayar sistemlerinde depolandıkları süre içinde veya ağ üzerinden aktarımları sırasında kriptografik yöntemlerle korunması;

- sağlayıcılardan gelen varsayılan şifrelerin değiştirilmesi ve

- iyi şifre uygulamaları üzerine eğitim.

Personelin üretim altyapısına erişimi için çok faktörlü kimlik doğrulaması (MFA) gereklidir.

Canva personeli, gizlilik yükümlülüklerine ve Kişisel Verilerin İşlenmesi Politikasına tabidir. Canva, personelinin işe başlarken ve sonrasında yılda bir kez olmak üzere bilgi güvenliği farkındalığı eğitiminden geçmesini zorunlu tutmaktadır. Canva, personelinin yılda bir kez gizlilik yasası eğitimi (öğrenci verileriyle ilgili olarak COPPA ve FERPA ile uyumluluk da dahil olmak üzere) almasını da zorunlu hale getirmiştir.

Canva, gizlilik etki değerlendirmeleri de dahil ancak bunlarla sınırlı olmamak üzere, kasten gizlilik yaklaşımını uygulamaktadır.


12. Süreçlere ve ürünlere ilişkin sertifikalara/güvencelere yönelik önlemler

Canva, Bilgi Güvenliği Yönetim Sisteminin (ISMS) ISO 27001 standardının gerekliliklerini karşıladığından emin olmak amacıyla belirli aralıklarla harici teftişlerden ve sertifika yenileme denetimlerinden geçerek ISO 27001 sertifikasını muhafaza edecektir.

Canva, ISO 27001 standardının gerekliliklerini karşılayan bir bilgi güvenliği politikasını, Canva'nın ISMS ve bilgi güvenliği kontrollerini değerlendiren bir şirket içi denetim programını ve Canva'nın Bilgi Güvenliği Yönetim Sisteminin (ISMS) denetlenmesinden sorumlu olan bir yönetim komitesini bünyesinde bulunduracaktır.


13. Verilerin en aza indirilmesini sağlamaya yönelik önlemler

Canva, ziyaretçilerin platformundaki belirli işlevleri isimsiz bir şekilde kullanmasına olanak sağlamakta ve Müşterilerden alınacak zorunlu verileri, yalnızca talep edilen hizmetin sağlanması için gerekli olan düzeye indirmektedir.


14. Veri kalitesinin sağlanmasına yönelik önlemler

Canva, verilerinin kalitesini, canva.com platformuna kaydolan e-postaların doğrulanması yoluyla güvence altına almaktadır. Canva ayrıca kullanıcıların hesaplarındaki bilgileri, müşteri desteği birimine (Müşteri Memnuniyeti Ekibi) talep göndererek veya kendi kendilerine güncellemesine de olanak tanımaktadır.


15. Verilerin sınırlı süreyle saklanmasını sağlamaya yönelik önlemler

Canva, farklı türdeki veriler için saklama sürelerini yasal gerekliliklere, Canva'nın meşru menfaatlerine ve veri toplama amaçlarına göre düzenleyen bir Veri Saklama Politikası uygulamayı sürdürmektedir.


16 Hesap verilebilirliğin sağlanmasına yönelik önlemler

Canva, Avrupa'da ve Birleşik Krallık'ta yerel temsilciler görevlendirmiştir. Canva'nın Avrupa Ekonomik Alanı'ndaki yerel temsilcisi, kayıtlı adresi Avenue Huart Hamoir 71, 1030 Brüksel, Belçika olan Avrupa Veri Koruma Ofisi'dir (EDPO). Birleşik Krallık'taki yerel temsilcimiz, kayıtlı adresi 8 Northumberland Avenue, Londra WC2N 5BY, Birleşik Krallık olan Birleşik Krallık Avrupa Veri Koruma Ofisi'dir (EDPO UK). Yüksek riskli veri işleme faaliyetleri için Veri Koruma Etki Değerlendirmeleri gerçekleştirilmekte ve Canva, veri işleme faaliyetlerinin kayıtlarını tutmaktadır.


17. Veri taşınabilirliği ve veri silme seçeneklerinin sağlanmasına yönelik önlemler

Canva, Müşteri Verilerinin talep üzerine 28 gün içinde silinmesi için otomatik bir süreç uygulamakta ve alternatif hizmet sağlayıcılara iletilmek üzere Müşteri Verilerini indirme olanağı sağlamaktadır.


Diğer politikalar