Bu politika, kullanıcı onayı ve yetkilendirmenin nasıl alınması, belgelenmesi ve uygulanması gerektiğini açıklayarak kurumsal ortamlarda yasal ve sorumlu erişimi sağlamayı amaçlar.
Bu politikanın amacı, sistemlere, verilere ve dijital kaynaklara erişimde kullanıcı onayı ve yetkilendirmeye ilişkin temel ilkeleri tanımlamaktır. Çalışanlar, yöneticiler, yükleniciler ve diğer tüm yetkili kullanıcılar için geçerlidir.
Onay ve yetkilendirme birbirinden ayrı kavramlardır. Yasa veya kurum içi yönetişim kuralları gerektirdiğinde her ikisinin de bulunması zorunludur.
Onay, bir kullanıcının veya ilgili kişinin erişime veya veri işleme faaliyetlerine izin vermek için bilgilendirilmiş, gönüllü ve açık rızasını ifade eder.
Yetkilendirme, kimliği doğrulanmış bir kullanıcının hangi işlemleri yapabileceğini belirleyen teknik ve idari kontrolleri ifade eder.
Kullanıcı onayı, otomatik olarak sınırsız erişim sağlamaz. Yetkilendirmeler her zaman tanımlı roller ve meşru amaçlarla sınırlandırılmalıdır.
Yönetici yetkileri, izleme fonksiyonları ve hassas sistemlere erişim ek gerekçe, belge ve sıkı denetim gerektirir.
Kuruluşlar, yasa gerektirdiği durumlarda erişim, izleme veya veri işleme faaliyetlerini başlatmadan önce kullanıcı onayını almakla yükümlüdür.
Onay açık, belgelenmiş ve kullanıcıların makul şekilde anlayabileceği bir biçimde sunulmalıdır. Açık onayın gerekli olduğu durumlarda örtük veya gizli onay yöntemleri kullanılmamalıdır.
Erişimler, tanımlı roller, sorumluluklar ve operasyonel ihtiyaçlar esas alınarak verilmelidir. Asgari yetki ilkesi her zaman uygulanmalıdır.
Yetkilendirmeler düzenli olarak gözden geçirilmeli ve roller değiştiğinde veya erişim gereksiz hale geldiğinde derhal güncellenmelidir.
Onay ve yetkilendirme kararları, iç denetimler, incelemeler ve düzenleyici talepleri destekleyecek şekilde belgelenmelidir.
Kayıtlar, onayın ne zaman alındığını, hangi erişimin yetkilendirildiğini ve kimin onayladığını açıkça göstermelidir.
Onayın alınması, yetkilendirme kurallarının belirlenmesi ve erişim kontrollerinin uygulanmasına ilişkin tüm sorumluluk kuruluşa aittir. Bu politikanın ihlali, erişimin askıya alınmasına veya kurum içi disiplin yaptırımlarına yol açabilir.