RTB ve Programatik Ortaklar için Veri Koruma Ek Belgesi
Last Update: May 29, 2024
RTB ve Programatik Ortaklar için Veri Koruma Ek Belgesi
Yürürlük Tarihi: 29 Mayıs 2024
Taboola , Programatik ve RTB Ortaklarıyla (her biri “Ortak“) uygun veri koruma şartlarının yürürlükte olmasını sağlamak için bu Veri Koruma Ek Sözleşmesini (“DPA“) sunmaktadır.
Bu Veri Koruma Anlaşması, Partner ile Taboola arasında RTB ve programatik hizmetlerin sağlanmasına ilişkin mevcut sözleşmesel iş düzenlemesini (“Temel Anlaşma“) otomatik olarak tamamlar ve onun bir parçasını oluşturur.
Bu Veri Koruma Anlaşmasında kullanılan ancak bu Anlaşmada tanımlanmayan büyük harfle yazılmış tüm terimler, Temel Anlaşmada kendilerine verilen anlamlara sahip olacaktır. Bu Veri Koruma Anlaşması ile Temel Anlaşma arasında herhangi bir çelişki olması durumunda, bu Veri Koruma Anlaşması, söz konusu çelişki ölçüsünde geçerli olacaktır.
1. Tanımlar
“Uygulanabilir Veri Koruma Yasaları”, zaman zaman değiştirilebilen veya yürürlükten kaldırılabilen tüm geçerli federal, ulusal, eyalet veya diğer gizlilik ve veri koruma yasaları anlamına gelir; bunlara, uygulanabilir olması durumunda ve sınırlama olmaksızın, CCPA (aşağıda tanımlandığı gibi) ve Avrupa Veri Koruma Yasaları dahildir.
“CCPA”, Kaliforniya Tüketici Gizliliği Yasası (Cal. 100) anlamına gelir. Civ. (Kanun §§ 1798.100 – 1798.199), Kaliforniya Gizlilik Hakları Yasası (Cal.) ile değiştirildiği şekliyle. Civ. Code §§ 1798.100 – 1798.199).
“Veri Sorumlusu”, Kişisel Bilgilerin işlenmesinin amaçlarını ve yöntemlerini belirleyen kuruluşu ifade eder ve CCPA ve CPRA kapsamında Kişisel Bilgileri “işletme” veya “üçüncü taraf” olarak işleyen herhangi bir kuruluşu içerir.
“Veri Gizliliği Çerçevesi” veya “DPF”, EU-ABD ortak veri gizliliği çerçevesini ifade eder. Veri Gizliliği Çerçevesi ve EU -ABD Anlaşmasına UK Uzantısı ABD tarafından belirlenen DPF Ticaret Bakanlığı.
“Avrupa Veri Koruma Yasaları” ifadesi, EU Veri Koruma Yasaları ve UK Veri Koruma Yasaları anlamına gelir.
“EU Veri Koruma Yasaları” şu anlama gelir: (i) EU Yönetmeliği 2016/679 (“EU GDPR”); (ii) EU Direktifi 2002/58/EC; ve (iii) (i) veya (ii) uyarınca, bunlara uygun olarak veya bunları uygulayan veya başka bir şekilde kişisel verilerin işlenmesiyle ilgili olan her bir AEA üye devletinin ulusal yasaları; her durumda, zaman zaman değiştirildiği veya yürürlükten kaldırıldığı şekliyle.
“Kişisel Bilgi”, tanımlanmış veya tanımlanabilir bir gerçek kişiye ilişkin her türlü bilgiyi ifade eder ve yürürlükteki Veri Koruma Yasaları uyarınca “kişisel veri” veya “kişisel bilgi” olarak tanımlanan her türlü bilgiyi içerir.
“İzin Verilen Amaç”, Taboola Ek I’de belirtildiği gibi, Ortak İş Ortağına işlenmek üzere Paylaşılan Verileri ifşa ettiği veya başka şekilde kullanıma sunduğu, Temel Anlaşma uyarınca çevrimiçi reklamların alım satımıyla ilgili gerçek zamanlı teklif verme amaçları anlamına gelir.
“Sınırlı Aktarım” şu anlama gelir: (i) EU GDPR geçerli olduğu durumlarda, kişisel verilerin Avrupa Ekonomik Alanı’ndan (AEA) Avrupa Komisyonu tarafından yeterlilik değerlendirmesine tabi olmayan bir AEA dışındaki ülkeye aktarılması (“EU Sınırlı Aktarım”); ve (ii) UK GDPR geçerli olduğu durumlarda, kişisel verilerin Birleşik Krallık’tan, Birleşik Krallık Veri Koruma Yasası 2018’in 17A Bölümü uyarınca yeterlilik düzenlemelerine tabi olmayan veya bunlara dayanmayan herhangi bir başka ülkeye aktarılması (“UK Sınırlı Aktarım”).
“Güvenlik Olayı”, paylaşılan verilerin kazara veya yasa dışı olarak yok edilmesine, kaybolmasına, değiştirilmesine, yetkisiz olarak ifşa edilmesine veya bunlara yetkisiz erişime yol açan bir güvenlik ihlali anlamına gelir.
“Satmak” ve “paylaşmak” terimleri, CCPA ve CPRA ile bunların uygulama yönetmeliklerinde belirtilen anlamlara sahip olacaktır.
“Paylaşılan Veriler”, bu Veri Koruma Sözleşmesinin Ek I’inde listelenen Kişisel Bilgi kategorilerini ifade eder.
“Standard Contractual Clauses” şu anlama gelir: (i) EU GDPR uygulandığı durumlarda, Avrupa Komisyonu’nun 4 Haziran 2021 tarihli ve 2021/914 sayılı Uygulama Kararı’na ekli sözleşme maddeleri (Avrupa Parlamentosu ve Konseyi’nin (EU) 2016/679 sayılı Yönetmeliği uyarınca kişisel verilerin üçüncü ülkelere aktarılmasına ilişkin standard contractual clauses) (“EU SCCs”); ve (ii) UK GDPR uygulandığı durumlarda, Bilgi Komiseri tarafından DPA 2018’in 119A(1) maddesi uyarınca yayınlanan “ EU Komisyonu Standard Contractual Clauses Uluslararası Veri Aktarımı Eki” (“UK Addendum”).
“UK Veri Koruma Yasaları” şu anlama gelir: (i) Avrupa Birliği (Çekilme) Yasası 2018’in 3. maddesi uyarınca UK yasalarının bir parçası olan EU GDPR (“UK GDPRYönetmeliği”); (ii) Gizlilik ve Elektronik İletişim (AB Direktifi) Yönetmelikleri 2003; (iii) Veri Koruma Yasası 2018; ve (iv) (i) veya (ii) uyarınca, bunlara uygun olarak veya bunları uygulayan veya başka bir şekilde kişisel verilerin işlenmesiyle ilgili olan UK diğer tüm yasalar; her durumda, zaman zaman değiştirilen veya yürürlükten kaldırılan halleriyle.
2. Verilerin ifşa edilmesi
İş Ortağının Temel Anlaşmaya ve bu Veri Koruma Anlaşmasına uyması şartıyla, Taboola , İş Ortağının bu verileri yalnızca İzin Verilen Amaç doğrultusunda işlemesi için Paylaşılan Verileri İş Ortağına açıklayacak veya başka bir şekilde erişilebilir hale getirecektir.
3. Tarafların ilişkisi
Taraflar , Taboola Ortağa ifşa ettiği Paylaşılan Verilerin denetleyicisi olduğunu ve Ortağın Paylaşılan Verileri yalnızca İzin Verilen Amaç doğrultusunda denetleyici sıfatıyla işleyeceğini kabul eder.
4. Ortak Yükümlülükleri
Ortak aşağıdakileri garanti eder, beyan eder ve taahhüt eder:
(a) Paylaşılan Verileri her zaman yalnızca İzin Verilen Amaç doğrultusunda ve Yürürlükteki Veri Koruma Yasalarına uygun olarak işleyecektir;
(b) Yürürlükteki Veri Koruma Yasalarının, Paylaşılan Verilerin İzin Verilen Amaç İçin İşlenmesine ilişkin yükümlülüklerini yerine getirmesini engellediğine inanmak için hiçbir nedeni yoktur;
(c) İş Ortağı, Paylaşılan Verileri İzin Verilen Amaç doğrultusunda Yürürlükteki Veri Koruma Yasalarına uygun olarak İşleyemeyeceğini belirlerse, derhal Taboola bilgilendirecektir;
(d) Yürürlükteki Veri Koruma Yasalarının gerekliliklerine uygun ve veri sahiplerinin veri korumasıyla ilgili sorularını iletebilecekleri iletişim bilgilerini içeren, kamuya açık bir gizlilik bildirimini her zaman web sitesinde sunacak ve muhafaza edecektir;
(e) Veri sahiplerinin, paylaşılan verilerinin işlenmesine itiraz etme hakkı da dahil olmak üzere (sınırlama olmaksızın) yürürlükteki veri koruma yasalarına uygun olarak veri koruma haklarını kullanmalarını sağlayacaktır;
(f) Avrupa Veri Koruma Yasaları kapsamında korunan Paylaşılan Verilerin işlenmesiyle ilgili olarak şunları yapacaktır:
(g) Paylaşılan Verileri yalnızca Avrupa Veri Koruma Yasalarının gerekliliklerine uygun olarak, bu konuda onay aldığı durumlarda işlemek; ve
(h) Paylaşılan Verileri bir Güvenlik Olayına karşı korumak için, en azından Ek II’de belirtilen önlemler de dahil olmak üzere, uygun teknik ve organizasyonel önlemleri uygulayacaktır.
5. Makul ve Uygun Adımlar
Taboola, İş Ortağının Paylaşılan Verileri Temel Anlaşma ve bu Veri Koruma Sözleşmesi uyarınca, Geçerli Veri Koruma Yasalarına uygun bir şekilde işlemesini sağlamak için makul ve uygun adımlar atabilir.
İş Ortağı, Temel Sözleşmeye, bu Veri Koruma Sözleşmesine veya Geçerli Veri Koruma Yasalarına uymuyorsa, Taboola, Paylaşılan Verilerin yetkisiz kullanımını durdurmak ve düzeltmek için makul ve uygun adımlar atacaktır (İş Ortağına Paylaşılan Verilerin ifşasını askıya almak veya sonlandırmak dahil).
6. Yürürlükteki Kanunlara Uygunluk
İş ortağı, yürürlükteki veri koruma yasalarına uymak ve paylaşılan verilere, yürürlükteki veri koruma yasalarının gerektirdiği düzeyde gizlilik koruması sağlamakla yükümlüdür.
7. işbirliği görevi
Taraflardan herhangi birinin, (a) Paylaşılan Verilerin İzin Verilen Amaç için ifşa edilmesi; veya (b) Paylaşılan Verilerin diğer tarafça işlenmesi ile ilgili olarak bir veri sahibinden, düzenleyici kurumdan veya diğer üçüncü bir taraftan (“Yazışma“) herhangi bir yazışma, soru veya şikayet alması durumunda, ilgili taraf diğer tarafı derhal bilgilendirecek ve taraflar, Yürürlükteki Veri Koruma Kanunu kapsamındaki gerekliliklere uygun olarak Yazışmaya yanıt vermek için makul ve iyi niyetle işbirliği yapacaktır.
8. EU ve UK Kısıtlı Transferler
Taboola İş Ortağına yapılan Paylaşılan Verilerin herhangi bir aktarımının Kısıtlı Aktarım olması durumunda, Standard Contractual Clauses bu Veri Koruma Anlaşmasına dahil edilecek ve aşağıdaki şekilde uygulanacaktır:
(a) Kısıtlı Transfer bir EU Kısıtlı Transferi ise, EU SCCs Taboola (veri ihracatçısı olarak) ve Partner (veri ithalatçısı olarak) arasında aşağıdaki şekilde uygulanacaktır:
(i) Birinci Modül uygulanacaktır;
(ii) Madde 7’de, isteğe bağlı yanaşma maddesi uygulanacaktır;
(iii) Madde 11’de isteğe bağlı dil uygulanmayacaktır;
(iv) Madde 17’de, Seçenek 1 uygulanacak ve EU SCCs İrlanda yasalarına tabi olacaktır;
(v) Madde 18(b)’de, ihtilaflar İrlanda mahkemeleri önünde çözülecektir;
(vi) Ek I’de:
(A) A ve B bölümleri, bu Veri Koruma Anlaşmasının Ek A’sında belirtilen bilgilerle tamamlanmış sayılır;
(B) C Bölümü, EU SCCs 13(a) maddesinde belirtilen kriterlere uygun olarak tamamlanmış sayılır; ve
(vii) Ek II, bu Veri Koruma Anlaşmasının Ek B’sinde belirtilen güvenlik önlemleriyle tamamlanmış sayılır.
(b) Kısıtlı Transfer UK Kısıtlı Transferi ise, UK Addendum taraflar arasında aşağıdaki şekilde uygulanacaktır:
(i) Yukarıda belirtildiği şekilde tamamlanan EU SCCs taraflar arasında uygulanacak ve (aşağıdaki (ii) alt maddesinde belirtildiği şekilde tamamlanan) UK Addendum ile değiştirilecektir; ve
(ii) UK Addendum 1 ila 3. tabloları, yukarıda belirtildiği şekilde doldurulmuş EU SCCs ilgili bilgilerle tamamlanmış sayılacak ve 4. tabloda “İhracatçı” ve “İthalatçı” seçenekleri işaretlenmiş sayılacaktır. Tablo 1’de belirtilen UK Addendum başlangıç tarihi, bu Veri Koruma Anlaşmasının yürürlüğe giriş tarihi olacaktır.
İş ortağı, paylaşılan verilerin üçüncü bir tarafa kısıtlı aktarımını, kısıtlı aktarımın geçerli veri koruma yasalarına ve Taboola ile imzaladığı Standard Contractual Clauses uygun olmasını sağlamak için gerekli tüm işlemleri ve adımları atmadıkça gerçekleştirmeyecektir.
Yukarıdakilere rağmen, Ortak DPF kapsamında sertifika almış ve DPF’ye uymuşsa, DPF kapsamında Ortağa yapılan Paylaşılan Veri aktarımları Kısıtlı Aktarım olarak kabul edilmeyecektir. Bu durumda, İş Ortağı, DPF sertifikasyonuna uymaması veya DPF sertifikasyonunun süresinin dolması ya da başka bir şekilde geçersiz hale gelmesi halinde Taboola derhal bilgilendirecektir; bu durumda:
(a) Taboola İş Ortağına Paylaşılan Verilerin herhangi bir aktarımı derhal Kısıtlı Aktarım olarak kabul edilecek ve yukarıdaki Kısıtlı Aktarım hükümleri uygulanacaktır; ve
(b) Taboola , tamamen kendi takdirine bağlı olarak, Ortaklara Paylaşılan Verilerin aktarımını herhangi bir ceza uygulamadan askıya alabilir veya sonlandırabilir.
9. Tazminat
İş Ortağı, Taboola ve yöneticilerini, yetkililerini, çalışanlarını, temsilcilerini ve müşterilerini (“Taboola Tazmin Edilenler“) bu Veri Koruma Sözleşmesini veya Geçerli Veri Koruma Yasalarını ihlal ettiği iddiasıyla ilgili olarak üçüncü bir tarafça ileri sürülen her türlü iddia, talep, dava, yargılama ve eyleme karşı savunacak ve Taboola Tazmin Edilenleri, bu tür bir iddiadan kaynaklanan veya bunun sonucunda ortaya çıkan tüm zararlar, kayıplar, maliyetler ve giderler (makul avukatlık ücretleri dahil) için Taboola edecektir.
10. Çeşitli
İş ortağı, paylaşılan verilerin işlenmesinde geçerli veri koruma yasalarına uyumluluğundan tamamen sorumludur.
Yürürlükteki Veri Koruma Yasalarında herhangi bir değişiklik olması durumunda, Taboola, bu Veri Koruma Sözleşmesini, Yürürlükteki Veri Koruma Yasalarındaki bu değişikliklere uyum sağlamak için gerekli olduğu ölçüde ve yerlerde değiştirebilir ve güncelleyebilir.
Bu Veri Koruma Anlaşmasının yürürlüğe girdiği tarihten itibaren, bu Veri Koruma Anlaşmasında veya Temel Anlaşmada yer alan “Anlaşma” ifadeleri, bu Veri Koruma Anlaşması ile tamamlanan Temel Anlaşma anlamına gelecektir.
EK I
Veri Paylaşımı Açıklaması
A. PARTİLER LİSTESİ
| Taboola - Data exporter(s) | |
|---|---|
| Name: | See Taboola’s details set out in the Underlying Agreement. |
| Address: | See Taboola’s details set out in the Underlying Agreement. |
| Contact person’s name, position and contact details: | privacy@taboola.com |
| Activities relevant to the data transferred under these Clauses: | Disclosure of Shared Data for the Permitted Purpose. |
| Signature and date: | This DPA shall automatically be deemed executed upon execution of the Underlying Agreement. |
| Role (controller/processor): | Controller. |
| Partner - Data importer: | |
|---|---|
| Name: | See Partner’s details set out in the Underlying Agreement. |
| Address: | See Partner’s details set out in the Underlying Agreement. |
| Contact person’s name, position and contact details: | See Partner’s details set out in the Underlying Agreement. |
| Activities relevant to the data transferred under these Clauses: | Receipt and processing of Shared Data for the Permitted Purpose. |
| Signature and date: | This DPA shall automatically be deemed executed upon execution of the Underlying Agreement. |
| Role (controller/processor): | Controller. |
B. TRANSFERİN AÇIKLAMASI
| Description of Transfer | |
|---|---|
| Categories of data subjects whose personal data is transferred | Visitors to digital properties (such as websites and mobile applications) owned by customers of Taboola and who have integrated Taboola’s advertising technologies on those properties. |
| Categories of personal data transferred | Pre-partnership Integration: Unique User IDs from RTB partners Cookie match / sync / table (either Taboola or Partner can host and the non-hosting party must share data points) Bid request includes: Unique ID of the bid request (provided by the exchange) IMP object representing the impression offered Publisher site or app represented App Device Auction Type Maximum Time Currency Blocked Categories Device ID Taboola User ID Calling Tag Partners: URL |
| Sensitive data transferred (if applicable) and applied restrictions or safeguards that fully take into consideration the nature of the data and the risks involved, such as for instance strict purpose limitation, access restrictions (including access only for staff having followed specialised training), keeping a record of access to the data, restrictions for onward transfers or additional security measures | Not applicable. |
| The frequency of the transfer (e.g. whether the data is transferred on a one-off or continuous basis) | Continuous for the duration of the Underlying Agreement. |
| Nature of the processing | Processing of Shared Data by Partner for the purposes of real-time bidding in order to buy and sell advertising inventory on digital properties of Taboola’s customers. |
| Purpose(s) of the data transfer and further processing | Partner processes Shared Data, for the following purposes: Serve personalized and behavioral recommendations. Determine whether to bid on a placement and serve personalized recommendations. |
| The period for which the personal data will be retained, or, if that is not possible, the criteria used to determine that period | For the duration of the Underlying Agreement and as otherwise required by applicable law. |
| For transfers to (sub-) processors, also specify subject matter, nature and duration of the processing | Not applicable. |
C. YETKİLİ DENETİM MAKAMLARI
| Competent Supervisory Authority | |
|---|---|
| Competent supervisory authority where the EU GDPR applies | The competent supervisory authority shall be determined in accordance with Clause 13 of Module 1 of the EU Standard Contractual Clauses. |
| Competent supervisory authority where the UK GDPR applies | The Information Commissioner’s Office |
EK II
Güvenlik Önlemleri
Her bir tarafın, veri işlemenin niteliği, kapsamı, bağlamı ve amacı ile gerçek kişilerin hak ve özgürlüklerine yönelik riskleri dikkate alarak, uygun bir güvenlik düzeyini sağlamak için uyguladığı teknik ve organizasyonel önlemlerin (ilgili sertifikalar dahil) açıklaması. İş ortağı, Taboola’nın aşağıda belirtilen güvenlik önlemlerine büyük ölçüde benzer uygun teknik ve organizasyonel önlemlere sahip olduğunu beyan ve garanti eder.
Kişisel verilerin takma isimlendirilmesi ve şifrelenmesine yönelik önlemler: Taboola yalnızca takma adla gizlenmiş veriler toplar; bu da sizin kim olduğunuzu bilmediğimiz anlamına gelir, çünkü kullanıcının adını, e-posta adresini veya diğer tanımlanabilir verilerini bilmiyor veya işlemiyoruz. Topladığımız kullanıcı bilgileri, bunlarla sınırlı olmamak üzere, kullanıcının cihazı ve işletim sistemi, IP adresi, kullanıcıların müşterilerimizin web sitelerinde eriştiği web sayfaları, kullanıcıyı müşterinin web sitesine yönlendiren bağlantı, kullanıcının müşterinin web sitesine eriştiği tarih ve saatler ve diğer web tarama verileri hakkındaki bilgileri içerir. CookieID, Bcrypt kullanılarak anonimleştirilir ve IP adresi kısaltılır.
İşleme sistemlerinin ve hizmetlerinin sürekli gizliliğini, bütünlüğünü, kullanılabilirliğini ve dayanıklılığını sağlamaya yönelik önlemler: Taboola, çok katmanlı elektronik güvenlik önlemleri kullanır (örneğin: uç nokta güvenliği, sunucu tarafı güvenliği, tespit takibi, periyodik sızma testleri ve olay sonrası inceleme için derinlemesine istihbarat toplama).
Fiziksel veya teknik bir olay durumunda kişisel verilere erişimin ve kullanılabilirliğin zamanında geri yüklenmesini sağlamaya yönelik önlemler: Taboola dünya çapında faaliyet gösteren 9 veri merkezi bulunmaktadır. Her veri merkezi diğerlerinin birer kopyası olarak kullanılır, bu nedenle bir tanesi devre dışı kalırsa veriler diğer veri merkezinden alınabilir.
Veri işleme güvenliğini sağlamak amacıyla teknik ve organizasyonel önlemlerin düzenli olarak test edilmesi, değerlendirilmesi ve etkinliğinin ölçülmesine yönelik süreçler: Taboola, kontrollerinin (hem teknik hem de organizasyonel) etkinliğini test etmek için sıkı süreçler uygulamaktadır. Sistemde günlük kaydı ve izleme, aylık (en az) felaket kurtarma testleri, üç aylık sızma testleri, web sitesini koruyan güvenlik duvarları ve kötü amaçlı faaliyetleri tespit etmek için ağ genelinde yayılmış tuzak sistemleri (honeypot) bulunmaktadır. Ayrıca, ağımızı sürekli olarak izlememize yardımcı olan bir ödül programımız da mevcut.
Kullanıcı kimlik tespiti ve yetkilendirme önlemleri: Taboola her kullanıcıya özel bir kullanıcı adı ve şifre atanmıştır. Taboola’nın iç ağına yapılan her erişim, Google kimlik doğrulaması kullanılarak 2FA ile gerçekleştirilir. Kullanıcılar yalnızca BT departmanı tarafından, işe alım sürecinde ve İK departmanından tüm detaylar alındıktan ve sözleşme imzalandıktan sonra oluşturulur.
Veri iletimi sırasında veri korumasına yönelik önlemler: Taboola, güvenli iletim protokolleri (en az HTTPS ve TLS v1.2) aracılığıyla her türlü veri iletimini destekler. Ayrıca, kişisel veriler içerebilecek sistemler güvence altına alınır ve veriler şifrelenerek anonimleştirilir.
Verilerin depolanması sırasında korunmasına yönelik önlemler: Veritabanlarımızda saklanan veriler, Bcrypt kullanılarak anonimleştirilir ve şifrelenir. Veritabanına erişim en aza indirilmiş olup, ‘işletme gereksinimlerine göre bilgi edinme’ ilkesine dayanmaktadır.
Kişisel verilerin işlendiği yerlerin fiziksel güvenliğinin sağlanmasına yönelik önlemler: Taboola’nın dünya genelindeki veri merkezlerinin (ABD, Avrupa ve Asya’da) her birinde, sunucuların tamamı yalnızca Taboola’nın kullanımına ayrılmış kilitli dolaplarda bulunmaktadır. Bu kabinlerin bakımı, ya SOC2-certified şirketler tarafından yapılmaktadır ya da Taboola, güvenlik önlemlerini incelemiştir. Ayrıca, sunuculara erişim için yazılı ve kayıt altına alınmış izin gereklidir. Taboola tüm ofisleri de güvenlik kontrolünden geçirilmekte olup, çalışanların giriş için erişim kartı kullanmaları gerekmektedir. Ayrıca, Taboola’nın sunucularına yalnızca sınırlı sayıda çalışanın erişimi vardır ve her türlü erişim için yazılı, kayıt altına alınmış izin gereklidir.
Olayların kayıt altına alınmasını sağlamaya yönelik önlemler: Taboola, izleme araçlarını kullanır ve toplanan kayıtlar SIEM sistemimize iletilir; bu sistem şüpheli olaylarda bizi uyarır ve aynı zamanda NOC ekibi tarafından da izlenir.
Varsayılan yapılandırma da dahil olmak üzere sistem yapılandırmasının sağlanmasına yönelik önlemler: Sunucular hem yapılandırma sapmaları hem de yama seviyeleri açısından taranır. Raporlama ve/veya uyarı ayarları her ikisinde de yapılmış ve ilgili yama düzeyi onaylanmıştır. Yeni yamalar Puppet kullanılarak dağıtılıyor. Tüm teknik incelemeler Ar-Ge uygulaması üzerinden yönetilir ve kodlama ve CI/CD processes uygulandıktan sonra resmi bir inceleme (kalite güvence) süreciyle elde edilir.
İç BT ve BT güvenliği yönetimi ve idaresine yönelik önlemler: Taboola, ISO/IEC 27001:2013 ve ISO/IEC 27701:2019 sertifikalarına sahiptir. Taboola , yönetim kurulu ve yönetiminin kuruluş genelindeki tüm fiziksel ve elektronik bilgi varlıklarının gizliliğini, bütünlüğünü ve erişilebilirliğini korumaya kararlı olduğunu belirten bir Bilgi Güvenliği Politikası bulunmaktadır. Taboola, tüm yeni çalışanlar için güvenlik eğitimleri, dünya genelindeki tüm çalışanlar için kimlik avı eğitimleri ve tüm çalışanlar için düzenli güvenlik eğitimleri düzenlemekte olup, Ar-Ge grupları için de özel oturumlar gerçekleştirmektedir.
Süreçlerin ve ürünlerin belgelendirilmesi/güvence altına alınmasına yönelik önlemler: Taboola tanımlanmış güvenlik hedeflerine ve önlemlerine uyup uymadığını doğrulamak için birden fazla süreç ve sistem üzerinde üç aylık / altı aylık / yıllık iç denetimler gerçekleştirilir.
Veri minimizasyonunu sağlamaya yönelik önlemler: Taboola , küresel veri minimizasyon ilkelerinin bir parçası olarak, yalnızca belirli iş amaçlarımız için gerekli olan sınırlı verileri işlemek amacıyla, topladığımız verileri kasıtlı olarak sınırlandırmaktadır. Ayrıca, Taboola hizmetlerimizi sunmak için algoritmamızda kullanılan veri noktalarından herhangi birini “tersine mühendislik” yoluyla analiz etme yeteneği veya iş ihtiyacı bulunmamaktadır. Daha açık ifadeyle, Taboola topladığı veri noktaları hiçbir zaman kullanıcının kimliğini göstermez; çünkü Taboola , kullanıcının adı, telefon numarası, e-posta adresi veya fiziksel adresi gibi bilgileri toplamaz veya işlemez. Bunun yerine Taboola , yalnızca kullanıcının cihazıyla ilgili özellikleri belirten takma isimli tanımlayıcılar toplar. Bu, IP adreslerini (toplama sırasında kısaltılır ve yalnızca cihazın genel posta kodu konumunu belirleyebilir, ancak asla kesin coğrafi konumunu belirleyemez) ve bazı sınırlı durumlarda, şifrelenmiş e-posta adreslerini (doğası gereği geri döndürülemez ve orijinal e-posta adresini ortaya çıkarmak için şifresi çözülemez) içerir. Dahası, topladığımız veriler toplu halde kullanıldığında bile hiçbir zaman bir bireyin adını, telefon numarasını, e-posta adresini veya fiziksel adresini ortaya çıkaramaz ve mühendislerimiz de bu amaca ulaşmak için hiçbir şekilde çalışmazlar. Ayrıca Taboola , hizmetlerimizin, süreçlerimizin ve politikalarımızın gizlilik risklerini en aza indirmek amacıyla gizlilik etki değerlendirmeleri yapar ve bunları kaydeder.
Veri kalitesini sağlamaya yönelik önlemler: Veriler doğrudan kullanıcıdan toplanır ve kullanıcıya Taboola Kişisel Verilere Erişim Talebi Portalı aracılığıyla CookieID’siyle taboola.com verileri düzeltme fırsatı verilir: https://accessrequest.taboola.com/access
Veri saklama süresinin sınırlı olmasını sağlamaya yönelik önlemler: Reklam sunma amacıyla doğrudan toplanan kullanıcı bilgilerini, kullanıcının hizmetlerimizle son etkileşiminden itibaren en fazla on üç (13) ay süreyle (çoğu zaman daha kısa bir süre için) saklıyoruz; bu sürenin ardından benzersiz tanımlayıcıları kaldırarak veya verileri birleştirerek verileri anonimleştiriyoruz. Bu işlem otomatik olarak yapılır.
Hesap verebilirliğin sağlanmasına yönelik önlemler: Taboola, birden fazla güvenlik denetimi ve sızma testi gerçekleştirir (ancak tüm sistemler için değil). Taboola ayrıca, sunucuların fiziksel güvenliğini sağlamak için ISO sertifikalı ve bulutla ilgili diğer sertifikalara uyumlu bulut sağlayıcılarını kullanmaktadır.
Veri taşınabilirliğini sağlamaya ve verilerin silinmesini güvence altına almaya yönelik önlemler: Kişisel tanımlayıcı bilgiler içerebileceğinden, her türlü medyanın imhasıyla ilgili Taboola , medya imhasıyla ilgilidir. Herhangi bir medya, yeniden kullanılmadan veya atılmadan önce tamamen silinmelidir. Medya imhasına ilişkin tüm işlemler belgelenir. Çalışanlara, kişisel bilgiler içerebilecek herhangi bir belgeyi yazdırmamaları talimatı verilmiştir.