KVKK Kapsamında Alınması Gereken Teknik Ve İdari Tedbirler
6698 sayılı Kişisel Verilerin Korunması Kanununun 12. Maddesi uyarınca veri sorumlularının kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek, kişisel verilerin muhafazasını sağlamak, amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorunda oldukları hüküm altın alınmıştır. Aşağıdaki tablolar, bu teknik ve idari tedbirlerin ayrıştırılması ve veri sorumlusu için kontrol mekanizması oluşturacak nitelikte yol göstermesi için hazırlanmıştır.
TEKNİK TEDBİRLER
| Yetki Matrisi: Kişisel veri içeren sistemlere erişimin de sınırlı olması gerekmektedir. Bu kapsamda çalışanlara, yapmakta oldukları iş ve görevler ile yetki ve sorumlulukları için gerekli olduğu ölçüde erişim yetkisi tanınmalıdır. |
| Yetki Kontrol: Yetki matrisine bağlı olarak veri sorumlularının, erişim yetki ve kontrol matrisi oluşturmaları ve ayrı bir erişim politika ve prosedürleri oluşturarak veri sorumlusu organizasyonu içinde bu politika ve prosedürlerin uygulamaya alınması önerilmektedir. |
| Erişim Logları[1]: Tüm kullanıcıların işlem hareketleri kaydının düzenli olarak tutulması |
| Kullanıcı Hesap Yönetimi: Çalışanlar, kullanıcı adı ve şifre kullanılmak suretiyle ilgili sistemlere erişim sağlamalıdır. Söz konusu şifre ve parolalar oluşturulurken, kişisel bilgilerle ilişkili ve kolay tahmin edilecek rakam ya da harf dizileri yerine büyük küçük harf, rakam ve sembollerden oluşacak kombinasyonların tercih edilmesi sağlanmalıdır. |
| Ağ Güvenliği: İnternet ağ geçidi çalışanların, kişisel veri güvenliği bakımından tehdit teşkil eden internet sitelerine veya online servislere erişimini önleyebilir. Kişisel veriler elektronik ortamda ise, kişisel veri güvenliği ihlalini önlemek için ağ bileşenleri arasında erişim sınırlandırılabilir veya bileşenlerin ayrılması sağlanabilir. Örneğin kullanılmakta olan ağın sadece bu amaçla ayrılmış olan belirli bir bölümüyle sınırlandırılarak bu alanda kişisel verilerin işleniyor olması halinde, mevcut kaynaklar tüm ağ için değil de sadece bu sınırlı alanın güvenliğini sağlamak amacıyla ayrılabilecektir. |
| Uygulama Güvenliği: Uygulama sistemlerinin girdilerinin doğru ve uygun olduğuna dair kontroller yapılmalı, doğru girilmiş bilginin işlem sırasında oluşan hata sonucunda veya kasıtlı olarak bozulup bozulmadığını kontrol etmek için uygulamalara kontrol mekanizmaları yerleştirilmelidir. Uygulamalar, işlem sırasında oluşacak hataların veri bütünlüğünü bozma olasılığını asgari düzeye indirecek şekilde tasarlanmalıdır. |
| Şifreleme: Hangi şifreleme yöntemleri kullanılırsa kullanılsın kişisel verilerin tam olarak korunduğundan emin olunmalı ve bu amaçla uluslararası kabul gören şifreleme programlarının kullanımı tercih edilmelidir. Tercih edilen şifreleme yönteminin asimetrik şifreleme yöntemi olması halinde, anahtar yönetimi süreçlerine önem gösterilmelidir. |
| Sızma Testi: Bilişim sistemlerinin bilinen zaafiyetlere karşı korunması için düzenli olarak zaafiyet taramaları ve sızma testlerinin yapılması ile ortaya çıkan güvenlik açıklarına dair testlerin sonucuna göre değerlendirmeler yapılması gerekmektedir. |
| Saldırı Tespit ve Önleme Sistemleri: Kişisel veri içeren bilgi teknoloji sistemlerinin internet üzerinden gelen izinsiz erişim tehditlerine karşı korunmasında alınabilecek öncelikli tedbirler, güvenlik duvarı ve ağ geçididir. Güçlü şifre ve parola kullanımının yanı sıra, kaba kuvvet algoritması (BFA) kullanımı gibi yaygın saldırılardan korunmak için şifre girişi deneme sayısının sınırlandırılması, düzenli aralıklarla şifre ve parolaların değiştirilmesinin sağlanması, yönetici hesabı ve admin yetkisinin sadece ihtiyaç olduğu durumlarda kullanılması için açılması ve veri sorumlusuyla ilişikleri kesilen çalışanlar için zaman kaybetmeksizin hesabın silinmesi ya da girişlerin kapatılması gibi yöntemlerle erişimin sınırlandırılması gerekmektedir. |
| Log Kayıtları: Tüm kullanıcıların işlem hareketleri kaydının düzenli olarak tutulması |
| Veri Maskeleme: Veri maskeleme kurumsal network de bulunan gizli ve hassas olarak sınıflandırılmış verilere yetkisiz kişiler tarafından erişilmesini engellemek amacıyla anlaşılmaz hale getirilmesidir. Veri maskeleme statik veri maskeleme (SDM) ve dinamik veri maskeleme (DDM) ve anında veri maskeleme (on a fly) olmak üzere 3 şekilde yapılabilir. |
| Veri Kaybı Önleme Yazılımları: DLP (Data Loss/Leak Prevention – Veri Kaybı/Sızıntısı Önleme) network güvenlik alanında nispeten yeni sayılan ve gittikçe kullanımı artan bir veri koruma çeşididir. DLP yazılımları ile sisteminizden istenmeyen verinin çıkışını önleyebilir ya da belirlediğiniz dosyaların kullanım durumlarını izleyebilirsiniz. |
| Yedekleme: Yedeklenen kişisel veriler sadece sistem yöneticisi tarafından erişilebilir olmalı, veri seti yedekleri mutlaka ağ dışında tutulmalıdır. Aksi halde, veri seti yedekleri üzerinde kötü amaçlı yazılım kullanımı veya verilerin silinmesi ve yok olması durumlarıyla karşı karşıya kalınabilecektir. Bu nedenle tüm yedeklerin fiziksel güvenliğinin de sağlandığından emin olunmalıdır. |
| Güvenlik Duvarları: İyi yapılandırılmış bir güvenlik duvarı, kullanılmakta olan ağa derinlemesine nüfuz etmeden önce, gerçekleşen ihlalleri durdurabilir. İnternet ağ geçidi ise çalışanların, kişisel veri güvenliği bakımından tehdit teşkil eden internet sitelerine veya online servislere erişimini önleyebilir. |
| Güncel Anti-Virüs Sistemleri: Kötü amaçlı yazılımlardan korunmak için ayrıca, bilgi sistem ağını düzenli olarak tarayan ve tehlikeleri tespit eden antivirüs, antispam gibi ürünlerin kullanılması gerekmektedir. Ancak bu ürünlerin sadece kurulumu yeterli olmayıp güncel tutularak gereken dosyaların düzenli olarak tarandığından emin olunmalıdır. Veri sorumluları tarafından, farklı internet siteleri ve/veya mobil uygulama kanallarından kişisel veri temin edilecekse, bağlantıların SSL ya da daha güvenli bir yol ile gerçekleştirilmesi de kişisel veri güvenliğinin sağlanması için önemlidir. |
| Silme, Yok Etme veya Anonim Hale Getirme: ihtiyaç duyulmayan kişisel verilerin ise kişisel veri saklama ve imha politikası ile kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi yönetmeliğine uygun ve güvenli bir şekilde imha edilmesi gerekmektedir. |
| Anahtar Yönetimi: Anahtar yönetimi, bir kripto sisteminde şifreleme anahtarlarının yönetimidir. Bu yönetim, anahtarların yer değişimi, kullanımı, depolanması, değiş tokuşu ve üretimi ile ilgilenir. |
İDARİ TEDBİRLER
| Kişisel Veri İşleme Envanteri Hazırlanması |
| Kurumsal Politikalar (Erişim, Bilgi Güvenliği, Kullanım, Saklama ve İmha vb.) |
| Sözleşmeler (Veri Sorumlusu – Veri Sorumlusu, Veri Sorumlusu – Veri İşleyen Arasında ) |
| Gizlilik Taahhütnameleri |
| Kurum İçi Periyodik ve/veya Rastgele Denetimler |
| Risk Analizleri |
| İş Sözleşmesi, Disiplin Yönetmeliği (Kanuna Uygun Hükümler İlave Edilmesi) |
| Kurumsal İletişim (Kriz Yönetimi, Kurul ve İlgili Kişiyi Bilgilendirme Süreçleri, İtibar Yönetimi vb.) |
| Eğitim ve Farkındalık Faaliyetleri (Bilgi Güvenliği ve Kanun) |
| Veri Sorumluları Sicil Bilgi Sistemine (VERBİS) Bildirim |
Bu tedbirler kapsamında,
- Mevcut risk ve tehditlerin belirlenmesi,
- Çalışanların eğitilmesi ve farkındalık çalışmalarının yapılması,
- Kişisel veri güvenliği politikalarının ve prosedürlerinin belirlenmesi,
- Kişisel verilerin mümkün olduğunca azaltılması,
- Veri işleyenler ile ilişkilerin yönetimi gerçekleştirilmelidir.
Konuyla ilgili sorunlarınıza çözüm bulmak ve daha detaylı bilgi almak için info@yakut-yakut.av.tr adresinden bizlere ulaşabilirsiniz.
[1] “LOG” bir bilgisayarın gerçekleştirdiği etkinliğin kayıtlarının tutulması anlamında kullanılır. Örneğin yerel bilgisayarınız karşılaştığı tüm hata olaylarını tanım ve tarih bilgisi ile bir dosyada saklar. Loglar sayesinde sistemlerin hataları uzmanlar tarafından görülür ve düzeltilir. Saldırı ya da güvenlik riskleri görülür ve tedbir alınır. İşlemleri gerçekleştirenlerin yaptıklarından sorumlu olmaları sağlanır.