KVKK işin temelinde dataların değil kişisel verilerin sahibi olan ilgilileri korumayı amaçlamaktadır. Kişisel verilerin işlenmesi ve bir sistem altına alınması ile temel hak ve özgürlükleri korunmaktadır. Özellikle başkaları tarafından öğrenildiği takdirde ilgili kişinin mağdur olabilme veya farklı olumsuzluklara maruz kalabilme durumlarının önüne geçmek için kişisel verilerin korunması sağlamaktadır.
Başlıca Teknik Tedbirler Adımlarımız
Veri Koruma için Teknik Konular
KVKK İçin Teknik Tedbirler başlıklı bu yazımızda kanun uyarınca alınması gereken idari ve teknik tedbirlerden teknik tedbirlerin neler olduğu özetlenmiştir.
KVKK işin temelinde dataların değil kişisel verilerin sahibi olan ilgilileri korumayı amaçlamaktadır. Kişisel verilerin işlenmesi ve bir sistem altına alınması ile temel hak ve özgürlükleri korunmaktadır. Özellikle başkaları tarafından öğrenildiği takdirde ilgili kişinin mağdur olabilme veya farklı olumsuzluklara maruz kalabilme durumlarının önüne geçmek için kişisel verilerin korunması sağlamaktadır.
Bilgi İşlem Sistemleri Tedariği, Geliştirme ve Bakımı
Arıza ya da bakım için üçüncü kurumlara gönderilen cihazlar eğer kişisel veri içermekte ise bu cihazların üçüncü taraflara gönderilmeden önce, kişisel veri güvenliğinin sağlanması için cihazlardaki veri saklama ortamının sökülerek saklanması, sadece arızalı parçaların gönderilmesi gibi işlemler yapılması uygun olacaktır. Bakım ve onarım gibi amaçlarla dışarıdan personel gelmiş ise kişisel verilerin kopya yolu ile kurum dışına çıkmasının engellenmesi için gerekli teknik önlemlerin alınması gerekir.
Siber Güvenliği Sağlanması
Veri güvenliğinin sağlanabilmesi için tek bir siber güvenlik ürünü kullanımıyla tam güvenlik sağlanması yeterli olmamaktadır. Çünkü tehditler geçen her zaman içinde etki alanlarını arttırmaktadır. En iyi sonuç için, birçok prensip dahilinde tamamlayıcı niteliğe sahip ve düzenli olarak kontrol edilen birtakım tedbirlerin uygulanmasıdır.
Kişisel veri içeren bilgi teknoloji sistemlerinin internet üzerinden gelen izinsiz erişim tehditlerine karşı korunmasında alınabilecek öncelikli tedbirler, güvenlik duvarıdır. Bunlar, internet gibi ortamlardan gelen saldırılara karşı ilk savunma yöntemidir.
Verilerin Bulutta Depolanması
Bulut depolama hizmeti sağlayıcısı tarafından alınan güvenlik önlemlerinin yeterli ve uygun olup olmadığının veri sorumlusu tarafından değerlendirilmesi gerekmektedir. Çünkü kişisel verilerin bulut depolama hizmeti sağlayıcıları tarafından işlenmesi gibi birçok durum söz konusu olabilmektedir.
Bu kapsamda, bulutta depolanan kişisel verilerin neler olduğunun detaylı olarak bilinmesi, yedeklenmesi, senkronizasyonun sağlanması ve bu kişisel verilere gerekmesi halinde uzaktan erişim için iki kademeli kimlik doğrulama kontrolünün uygulanması önerilmektedir.
Bu kapsamda, bulutta depolanan kişisel verilerin neler olduğunun detaylı olarak bilinmesi, yedeklenmesi, senkronizasyonun sağlanması ve bu kişisel verilere gerekmesi halinde uzaktan erişim için iki kademeli kimlik doğrulama kontrolünün uygulanması önerilmektedir.
Kişisel Veri İçeren Ortamların Güvenliğinin Sağlanması
Kişisel veriler, veri sorumlularının faaliyet adresinde yer alan cihazlarda ya da kağıt ortamında saklanıyor ise, bu cihazların ve kağıtların kaybolması ya da çalınması gibi tehditlere karşı fiziksel güvenlik önlemlerinin alınması gerekmektedir. Aynı zamanda, kişisel verilerin yer aldığı fiziksel ortamların yangın, sel vb. tehditlere karşı korunması gerekmekte ve bu ortamlara giriş çıkışların kontrol altına alınması gerekmektedir.
Kişisel veriler elektronik ortamda ise, kişisel veri güvenliği ihlalini önlemek için ağ bileşenleri arasında erişim sınırlandırılabilir ya da bileşenlerin ayrılması sağlanabilir.
Kişisel veriler elektronik ortamda ise, kişisel veri güvenliği ihlalini önlemek için ağ bileşenleri arasında erişim sınırlandırılabilir ya da bileşenlerin ayrılması sağlanabilir.
Kişisel Veri Güvenliği
Veri sorumlularının sistemleri, hem içeriden hem de dışarıdan gelen saldırılara, kötü amaçlı yazılımlara ve siber suçlara maruz kalabilmekte olup, bu durum uzun süre fark edilememekte ve müdahale için geç kalınabilmektedir.
Bu durumun önüne geçebilmek için;
a) Güvenlik sorunlarının mümkün olduğunca hızlı bir şekilde raporlanması,
Bu durumun önüne geçebilmek için;
a) Güvenlik sorunlarının mümkün olduğunca hızlı bir şekilde raporlanması,
b) Çalışanların sistem ve servislerdeki güvenlik zaafiyetlerini ya da bunları kullanan
tehditleri bildirmesi için resmi bir raporlama prosedürü oluşturulması,
c) Bilişim ağlarında hangi yazılım ve servislerin çalıştığının kontrol edilmesi,
d) Bilişim ağlarında sızma veya olmaması gereken bir hareket olup olmadığının
belirlenmesi,
e) Tüm kullanıcıların işlem hareketleri kaydının (örneğin log kayıtları) düzenli olarak tutulması gerekmektedir.
| NESİL ile KVKK Teknik Tedbirler Listesi |
| Yetki Matrisi |
| Yetki Kontrol Tablosu |
| İnternet Erişim Logları, TÜBİTAK Zaman Damgası (5651 loglama kaydı) |
| Kullanıcı Hesap Yönetimi (Domain Yapısı) |
| Ağ Güvenliği / VLAN İzole Ağların Kurulması |
| Uygulama Güvenliği |
| Şifreleme / Windows Pc’ler içni Bitlocker vb. Uygulamalar |
| Sızma Testi (Penetrasyon Testi, Sistemlerde Zafiyet Taraması |
| Saldırı Tespit ve Önleme Sistemleri (IPS, IDS) |
| Log Kayıtları (Tüm sistemlerin olay yönetimi) |
| Veri Maskeleme |
| Veri Kaybı Önleme Yazılımları (DLP) |
| Yedekleme ve Felaket Kurtarma Senaryosunun Kurulması |
| Güvenlik Duvarları / Usom Entegrasyonu |
| Güncel Anti-Virüs Sistemleri Merkezi Olarak Yönetilmesi |
| Silme, Yok Etme veya Anonim Hale Getirme |
| Anahtar Yönetimi, Mali Mühür Yönetimi |