CyberEdge Veri Koruma Sigortası

2

Bring on tomorrowİlgili Kanun ve Yönetmelikler

3

1/ Taslak KanunCezai Yaptırımlar

- Kanun hükümlerine aykırı olarak, kişisel verileri ele geçiren, kaydeden, bir başkasına veren/yayan/yok etmeyenler TCK’nın ilgili hükümleri uyarınca cezalandırılır.

- Kanun hükümlerine aykırı olarak, kişisel verileri depolayan, muhafaza eden, değiştiren, yeniden düzenleyen, açıklayan, elde edilebilir hale getiren, sınıflandıran/kullanılmasını engelleyen/üçüncü kişilere aktaranlar TCK’nın 135’inci maddesine göre cezalandırılır.

- Kişisel verilerin silinmesi/anonim hale getirilmesi yükümlülüğüne aykırı hareket halinde veri sorumlusu altı aydan bir yıla kadar hapis cezası ile cezalandırılır.

- Bu suçların bir tüzel kişinin faaliyeti çerçevesinde işlenmesi halinde, ilgili tüzel kişi hakkında TCK’nın tüzel kişilere özgü güvenlik tedbirlerine hükmolunur.

İdari Yaptırımlar:

- 100 TL – 100.000 TL arasında idari para cezası verilir.

- İdarî para cezaları gerçek ve özel hukuk tüzel kişileri hakkında uygulanır.

CyberEdge

4

2/ Avrupa Birliği Müktesebatı

-Ocak 2012 tarihinde yayınlandı. -Farklı ülkelerin veri koruma kanunlarını harmonize etmek ve teknolojik yeniliklere değinmek amaçlandı.-AB içinde veri işleyen herkese uygulanacak.-Avrupa dışında olup AB vatandaşlarına mal ve hizmet satanlara da uygulanması planlanıyor.-Kişilerin kurumlar/şirketler aleyhine şahsi dava açması -Ticaret birliklerinin toplu dava (class action) açma hakkı-Türkiye’deki Taslak Kanun’un bu yönetmelik uyarınca güncellenmesi söz konusu olabilir.-Türkiye’de Taslak Kanun bu Direktifi iç hukuka taşımak amacıyla hazırlandı.

5

Anayasa: Özel hayatın gizliliği ve korunması

Medeni Kanun: Kişilik hakkının korunması

Borçlar Kanunu : Kişilik hakkının korunması

İş Kanunu: İşçinin kimlik bilgileri, işverenin düzenlemek zorunda olduğu her türlü belge ve kayıtlar

Ceza Kanunu: TCK 132-140: Özel Hayata ve Hayatın Gizli Alanına Karşı Suçlar

Bankaların Destek Hizmeti Almalarına İlişkin Yönetmelik

Elektronik Haberleşme Sektöründe Kişisel Verilerin İşlenmesi ve Gizliliğinin Korunması Hakkında Yönetmelik

Tıbbi Deontoloji Tüzüğü

Hasta Hakları Yönetmeliği

CyberEdge

6

Bankacılık Kanunu:BDDK başkanı, üyeleri, ve personelinin bankalara, bankaların bağlı ortaklıklarına ve banka müşterilerine ait sırları açıklamama ve kendileri ve başkalarının yararına kullanmama yükümlülüğü

- 1-3 yıl hapis

- 1000 – 2000 gün adli para cezası

- 1/6 oranında ceza artırımı: sırların kendileri ya da başkaları için yarar sağlamak amacıyla açıklanmış olması hali

- En az 2 yıl geçici / sürekli yasaklılık: Fiilin önemine göre / sorumluların düzenleyici kuruluşlarda görev yapmaları hali

Banka Kartları ve Kredi Kartları Kanunu: Banka kartı ve kredi kartı sahiplerinin kişisel verileri

-1-3 yıl hapis + 1000 güne kadar adli para cezası: Kasten ihlal

-1000 güne kadar adli para cezası: Dikkatsizlik veya tedbirsizlik veya meslekte yetersizlik veya emir ve kurallara aykırılık nedeniyle ihlal

CyberEdge

7

Bring on tomorrowKapsam

8

Mesleki Sorumluluk Sigortası Genel Şartları

Talep Esaslı (Claims Made)

9

Anlaşmalı Hizmet Sağlayıcılar

Halkla İlişkiler (PR)

• Süreç Yönetimi

• Medya ve Bildirim İşlemleri

IT Forensic

Hukuki Süreçler

• Yasal Yükümülülük ve Yaptırımların İncelenmesi  

• Savunma

CyberEdge

10

TEMİNATLAR

A- VERİ SORUMLULUĞU

A.1 Kişisel Veri Sorumluluğu

Gerçek veya iddia edilen Kişisel Bilgi İhlali sonucu oluşan ve Sigortalı aleyhine bir Talep doğuran Zarar

A.2 Şirket Verileri Sorumluluğu

Gerçek veya iddia edilen Şirket Bilgilerinin İhlali sonucu oluşan ve Sigortalı aleyhine bir Talep doğuran Zarar

A.3 Dış Kaynak Kullanımı Sorumluluğu

Gerçek veya iddia edilen veri korumasına ilişkin yasa veya yönetmeliklerin ihlali sonucu oluşan ve Şirket adına kişisel veri toplamasından veya işlemesinden dolayı bir Dış Kaynak Sağlayıcısı aleyhine Şirketin sorumlu olduğu bir Talep doğuran Zarar

CyberEdge

11

A.4 Veri Güvenliği Sorumluluğu

Vaki veya iddia olunan ve aşağıdakilerle sonuçlanan bir fiil, hata veya ihmal sonucu oluşan Zarar:

(i) Üçüncü Şahıs Verilerine, Şirketin Bilgisayar Sistemine zarar vermek için özellikle tasarlanmış yetki dışı herhangi bir yazılım, bilgisayar kodu veya virüs bulaşması

(ii) Yetkisi olan bir Üçüncü Şahsın Verilere erişimi, uygun olmayan veya yanlış bir şekilde engellenmesi;

(iii) Şirketin tesisleri, Bilgisayar Sistemi veya çalışanlardan elektronik olmayan yollarla bir erişim kodu çalınması;

(iv) Herhangi bir Bilgisayar Sisteminde depolanan Verilerin Veri Güvenliği İhlali nedeniyle imhası, değiştirilmesi, bozulması, hasar görmesi veya silinmesi

(v) Şirketin donanımlarının bir Üçüncü Şahıs tarafından fiziksel olarak çalınması veya

(vi) Şirketin bir çalışanı tarafından Veri Güvenliği İhlali nedeniyle herhangi bir Verinin ifşa edilmesi

 

CyberEdge

12

B. VERİ İDARİ PROSEDÜRLERİ

B.1 Veri İdari Soruşturması

Bir Soruşturma ile bağlantılı makul ücretler, masraflar ve hukuki danışmanlık ve temsil masrafları (Alt Sorumluluk limitini aşmamak kaydıyla)

B. 2 Veri İdari Para Cezaları

Şirketin, bir Soruşturma ile bağlantılı olarak, o Soruşturmanın veri korumasına yönelik yasa veya yönetmeliklerinin ihlal edildiği yönünde karara bağlanmasından sonra ödemekle yükümlü olduğu Veri İdari Para Cezaları (Alt Sorumluluk limitini aşmamak kaydıyla)

 

CyberEdge

13

İTİBARIN ONARILMASI

• Şirketin İtibarının Onarılması

Şirketin itibarının bir Talep nedeniyle gördüğü zararı hafifletmek üzere, bağımsız halkla ilişkiler danışmanından alınan tavsiyeler ve destek için yapılan makul masraf ve harcamalar (Alt Sorumluluk limitini aşmamak kaydıyla)

• Kişisel İtibarın Onarılması

Şirketin bir yöneticisi, uyumdan sorumlu yöneticisi, Veri Korumadan Sorumlu Yöneticisi veya hukuk baş danışmanının kişisel (bireysel ve mesleki) itibarının bir Talep nedeniyle gördüğü zararı hafifletmek üzere, bağımsız halkla ilişkiler danışmanından alınan tavsiyeler ve destek için yapılan makul masraf ve harcamalar (Alt Sorumluluk limitini aşmamak kaydıyla)

• Bildirim ve İzleme

Herhangi bir Kişisel Bilgi İhlali veya Şirket Bilgilerinin İhlaline ilişkin (Alt Sorumluluk limitini aşmamak kaydıyla) Bildirim Masraflarını ödeyecektir.

Sigortacı, kimlik hırsızlığı eğitim ve itibar dosyası veya kimlik izleme ile bağlantılı (Alt Sorumluluk limitini aşmamak kaydıyla) makul masraf ve harcamaları ödeyecektir.

Bu Ek Teminata, Muafiyet uygulanmayacaktır.

CyberEdge

14

ELEKTRONİK VERİLER

Aşağıdakilerle bağlantılı makul masraf ve harcamalar:

(Alt Sorumluluk limitini aşmamak kaydıyla)

• Elektronik Verilerin geri yüklenmesi, yeniden toplanması veya yeniden oluşturulmasının mümkün olup olmadığının belirlenmesi ve

• Elektronik Verilerin geri yüklenmesi, yeniden oluşturulması veya yeniden toplanması

CyberEdge

15

Opsiyonel Ek Teminatlar

1- Medya İçeriği

- Medya İçeriği Sorumluluğu

   sigortalı’nın Materyalin toplanması, oluşturulması, serbest bırakılması, basılması, yayınlanması veya dağıtılması ile bağlantılı bir fiili, hatası, yalan beyanı, yanıltıcı beyanı veya ihmali sonucu oluşan ve:

• Telif hakları, başlık, slogan, ticari marka, ticari isim ihlali ve alan adı ihlali;

• İntihal, korsanlık veya suiistimal veya fikir hırsızlığı;

• Yazılan, konuşulan veya yayınlanan sözcükler nedeniyle kötü niyet ile işlenmemiş herhangi bir kişiyi yanlış tanıtma, özel bilgileri kamuya açıklama, lekeleme veya hakaret etme fiili ve bununla bağlantılı manevi zarar veya manevi ızdırap

• Tecavüz, gizlilik ihlali, yolsuz tescil veya zapt, izinsiz girme veya gizlice dinleme ile sonuçlanan herhangi bir Zarar’ı Sigortalı adına, ödeyecektir.

CyberEdge

16

2- Siber Dolandırıcılık

Siber Dolandırıcılık Sorumluluğu

Bir Güvenlik Tehdidi sonucunda uğradığı Dolandırıcılık Zararı’nı Sigortalı adına ödeyecektir.

Tanımlar:

Dolandırıcılık Zararı

 

• Sigortalı tarafından, Sigortacı’nın önceden yazılı olarak onaylaması koşuluyla, Sigortalı’nın zarar görmesi ile sonuçlanacak bir Güvenlik Tehdidini sona erdirmesi için ödediği meblağlar veya

• Bir Güvenlik Tehdidinin nedenini belirlemek için yapılan araştırma masrafları.

 Güvenlik Tehdidi

Para, menkul kıymet veya Sigortalı için değeri bulunan başka maddi veya gayri maddi mülkiyet talep etmek amacıyla, bir Bilgisayar Sistemine, yerel, sınır ötesi veya çok ülkeyi kapsayan bir saldırı yapma tehdidi veya bu yönde bağlantılı tehditler dizisi anlamına gelmektedir.

CyberEdge

17

3- Ağ Kesintisi Sigortası Ağ Kesintisi Sigortası

  Sigortalı’nın Bekleme Saatleri Süresinden sonra ve yalnızca bir Güvenlik Arızası sonucunda uğradığı herhangi bir Ağ Zararını ödeyecektir.

 Ağ Zararı

Önemli Kesintinin sona ermesinden sonraki 120 gün (veya Sigortalı gereken özeni ve işlemleri yapmış olduğu durumlarda, Önemli Kesintinin sona ermesinden sonraki 120 gün) içinde, yapılan aşağıdaki masraflar anlamına gelmektedir:

• Önemli Kesinti olmasa, normalde yapılmayacak olan masraflar ve

• Aşağıdakilerin saat esasına göre hesaplanacak olan toplam tutarı:

• Kazanılacak Net Gelir (gelir vergisi öncesi Net Kar veya Zarar) ve

• Bordro da dahil olmak üzere devam eden normal işletme masrafları

Önemli Kesinti

Sigortalı’nın işinin doğrudan bir Güvenlik Arızası nedeniyle fiili ve ölçülebilir şekilde kesintiye uğraması veya durması anlamına gelmektedir.

Güvenlik Arızası

Yetkisiz erişim, yetkisiz kullanım, hizmeti engelleme saldırısı veya kötücül kod alma veya göndermeyi de kapsayan ancak bunlarla sınırlı olmayan bir Bilgisayar Sistemi arızası veya bir Bilgisayar Sisteminin güvenliğinin ihlal edilmesi. “Güvenlik Arızası”, bir Şirketin özel yazılı güvenlik politikaları veya prosedürlerini doğrudan çiğneyerek, Şirketin bir tesisinden, bir Şirket Bilgisayar Sisteminden veya Şirketin müdürleri, yöneticileri veya çalışanlarından birinden, elektronik olmayan yollarla, bir parola veya erişim kodunun çalınmasından kaynaklanan arıza veya ihlalleri de kapsar.

CyberEdge

18

3- Ağ Kesintisi Sigortası İstisnaları:

Resmi Kurum veya Resmi Makam

Herhangi bir resmi kurum veya resmi makamın emriyle bir Bilgisayar Sistemine yönelik el koyma, kamulaştırma, istimlak veya imha işlemlerinden ileri gelen, bunlara dayanan veya atfedilen Ağ Zararları istisna edilmiştir.

Özel Ağ Kesintisi

Aşağıdakilerden kaynaklanan, bunlara dayanan veya atfedilenler istisna edilmiştir:

• Nedeni ne olursa olsun Üçüncü Şahıslara karşı sorumluluk;

• Her türlü mahkeme masrafı veya vekalet ücretleri;

• Herhangi bir Bilgisayar Sisteminin uğranan Ağ Zararından önceki halinin ötesinde bir düzeye ulaşacak şekilde güncellenmesi, yükseltilmesi, iyileştirilmesi veya değiştirilmesi;

• Elverişsiz iş koşulları; veya

• Yazılım programı hataları veya zayıf noktalarının giderilmesi.

 

CyberEdge

19

İSTİSNALAR

• Bedensel Yaralanma ve Maddi Varlıkların Hasarı

• Sözleşme Sorumluluğu

• İşverenlerin Yükümlülükleri

• İcra Bildirimi

• Fikri Mülkiyet

• Kasıtlı Eylem

• Suç Teşkil Eden Eylemler

• Önceki Talepler ve Olaylar

• Terörizm/Savaş

• Rekabet

20

İSTİSNALAR - devamı

• Siber terörizm

Kim tarafından olursa olsun bilgisayarlar aracılığıyla veya bilgisayarlar üzerinde işlenmiş, kamunun kullanmakta olduğu herhangi bir tür veya formdaki bir iletişim, ulaşım, enerji tedariki, veri erişimi, güvenlik veya benzeri bir sistemin, şiddete, ölüme ve/veya imhaya yol açacak şekilde olsun veya olmasın bozulması amacıyla yapılan veya bozulması ile sonuçlanan ve bir hükümeti politikalarını değiştirmeye zorlamak amacıyla karışıklık, panik veya terör yaratan veya yaratmak üzere tasarlanan bir fiil istisna edilmiştir. Siber terörizm, ayrıca bilgisayar tesisleri ve iletim hatlarına yönelik fiziksel saldırıları da kapsar.

• Altyapı veya Güvenlik Arızası

Aşağıdakilerden kaynaklanan veya aşağıdakilere ilişkin hususlar istisna edilmiştir:

o Mekanik arıza; Herhangi bir elektrik kesintisi, dalgalanma, voltaj azalması veya kapsamlı elektrik kesintileri;

o Telekomünikasyon veya uydu sistemi arızaları veya

o Şirket veya Dış Kaynak Sağlayıcısı tarafından, gereken tüm veya sektör standardı Bilgisayar Sistemi güvenliğinin makul şekilde sağlanamaması.

CyberEdge

21

• Ticari Zarar

Ticari yükümlülükler; Sigortalı tarafından veya Sigortalı adına yapılan herhangi bir elektronik fon transferi veya işleminin parasal değerinin hesaplarda, hesaplara veya hesaplar arasında transferi sırasında, kaybolması, azalması veya zarar görmesi veya toplam sözleşme tutarının veya beklenen tutarın üzerinde verilen kupon nominal değeri, fiyat indirimleri, ödüller, mükafatlar veya maddi değere sahip başka bir karşılıktan kaynaklanan, bunlara dayanan veya bunlara atfedilen hususlar istisna edilmiştir.

• Menkul Kıymet Talebi

Menkul kıymetlerin mülkiyeti, alımı, satımı veya arzı ile bağlantılı (ister yazılı hukuk ister Örf ve Adet hukuku konusu) bir yasa, yönetmelik veya kuralın ihlalinden ileri gelen, dayanan veya atfedilen hususlar istisna edilmiştir.

İSTİSNALAR - devamı

22

Hasar Süreci

23

Hasar Senaryolarıİş Durması

Bir süpermarkette satış sistemine erişimin sorunu nedeniyle stok ve sayım sistemleri arası bağlantı kesilmiş, bu nedenle sistemin onarılması ve stok ikmaline kadar kapalı kalmıştır.

Tarama

200 ‘den fazla perakende outlet’i (150 fastfood şubesi dahil) satış sistemine sızıntı neticesinde girilen tüm datanın ele geçirilmesi ve zarar görmesi, yeniden yüklenmesi nedeniyle bireyler açısından $10 milyon aşkın zarar doğmuştur.

Güvenlik Zaafı

Bir otel zincirinin güvenlik duvarı hacker’lar tarafından geçilmiş ve 600,000 kart bilgisi elde edilerek $10 milyon aşkın zarar doğmuştur.

Hırsızlık

Uluslararası bir sigorta şirketi; yedekleme bandının kaybı nedeni ile 46,000 sigorta ettiren özel bilgisinin kaybı nedeni ile GBP27,5m ceza ile karşılaşmıştır.

Hack’leme

Mastercard ve Visa’nın dünyadaki en büyük işlemcisi, 1.5 milyon bireyin kart numaralarının hack’lenerek çalıınması nedeniyle zarar doğmuş ayrıca hisse değeri 4 gün içinde 12% düşmüştür.

24

Hasar Örnekleri

25

Hasar Örnekleri

26

Hasar Örnekleri

27

Hasar Örnekleri

AIG is the marketing name for the worldwide property-casualty, life and retirement, and general insurance operations of American International Group, Inc. Products and services are written or provided by subsidiaries or affiliates of American International Group, Inc. Not all products and services are available in every jurisdiction, and insurance coverage is governed by actual policy language. Certain products and services may be provided by independent third parties. Insurance products may be distributed through affiliated or unaffiliated entities. Certain property-casualty coverages may be provided by a surplus lines insurer. Surplus lines insurers do not generally participate in state guaranty funds and insureds are therefore not protected by such funds.