KVKK Kapsamında Alınması Gereken Teknik Ve İdari Tedbirler
6698 sayılı Kişisel Verilerin Korunması Kanununun 12. Maddesi uyarınca veri sorumlularının kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek, kişisel verilerin muhafazasını sağlamak, amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorunda oldukları hüküm altın alınmıştır. Aşağıdaki tablolar, bu teknik ve idari tedbirlerin ayrıştırılması ve veri sorumlusu için kontrol mekanizması oluşturacak nitelikte yol göstermesi için hazırlanmıştır.
Bilgi güvenliği kapsamına KVKK konusunda yapılması gereken teknik güvenlik tedbirleri listesi ve açıklamaları aşağıdaki gibidir:
Teknik Tedbirler
Yetki Matrisi
Kişisel veri içeren sistemlere erişimin de sınırlı olması gerekmektedir. Bu kapsamda çalışanlara, yapmakta oldukları iş ve görevler ile yetki ve sorumlulukları için gerekli olduğu ölçüde erişim yetkisi tanınmalıdır.
Yetki Kontrol
Yetki matrisine bağlı olarak veri sorumlularının, erişim yetki ve kontrol matrisi oluşturmaları ve ayrı bir erişim politika ve prosedürleri oluşturarak veri sorumlusu organizasyonu içinde bu politika ve prosedürlerin uygulamaya alınması önerilmektedir.
Erişim Logları
Tüm kullanıcıların işlem hareketleri kaydının düzenli olarak tutulması
Kullanıcı Hesap Yönetimi
Çalışanlar, kullanıcı adı ve şifre kullanılmak suretiyle ilgili sistemlere erişim sağlamalıdır. Söz konusu şifre ve parolalar oluşturulurken, kişisel bilgilerle ilişkili ve kolay tahmin edilecek rakam ya da harf dizileri yerine büyük küçük harf, rakam ve sembollerden oluşacak kombinasyonların tercih edilmesi sağlanmalıdır.
Ağ Güvenliği
İnternet ağ geçidi çalışanların, kişisel veri güvenliği bakımından tehdit teşkil eden internet sitelerine veya online servislere erişimini önleyebilir. Kişisel veriler elektronik ortamda ise, kişisel veri güvenliği ihlalini önlemek için ağ bileşenleri arasında erişim sınırlandırılabilir veya bileşenlerin ayrılması sağlanabilir. Örneğin kullanılmakta olan ağın sadece bu amaçla ayrılmış olan belirli bir bölümüyle sınırlandırılarak bu alanda kişisel verilerin işleniyor olması halinde, mevcut kaynaklar tüm ağ için değil de sadece bu sınırlı alanın güvenliğini sağlamak amacıyla ayrılabilecektir.
Uygulama Güvenliği
Uygulama sistemlerinin girdilerinin doğru ve uygun olduğuna dair kontroller yapılmalı, doğru girilmiş bilginin işlem sırasında oluşan hata sonucunda veya kasıtlı olarak bozulup bozulmadığını kontrol etmek için uygulamalara kontrol mekanizmaları yerleştirilmelidir. Uygulamalar, işlem sırasında oluşacak hataların veri bütünlüğünü bozma olasılığını asgari düzeye indirecek şekilde tasarlanmalıdır.
Şifreleme
Hangi şifreleme yöntemleri kullanılırsa kullanılsın kişisel verilerin tam olarak korunduğundan emin olunmalı ve bu amaçla uluslararası kabul gören şifreleme programlarının kullanımı tercih edilmelidir. Tercih edilen şifreleme yönteminin asimetrik şifreleme yöntemi olması halinde, anahtar yönetimi süreçlerine önem gösterilmelidir.
Sızma Testi
Bilişim sistemlerinin bilinen zaafiyetlere karşı korunması için düzenli olarak zaafiyet taramaları ve sızma testlerinin yapılması ile ortaya çıkan güvenlik açıklarına dair testlerin sonucuna göre değerlendirmeler yapılması gerekmektedir.
Saldırı Tespit ve Önleme Sistemleri
Uç nokta güvenliği bulunan EDR sistemlerinin varlığı istenir.
Log Kayıtları
Tüm kullanıcıların işlem hareketleri kaydının düzenli olarak tutulması
Veri Maskeleme
Veri maskeleme kurumsal network de bulunan gizli ve hassas olarak sınıflandırılmış verilere yetkisiz kişiler tarafından erişilmesini engellemek amacıyla anlaşılmaz hale getirilmesidir. Veri maskeleme statik veri maskeleme (SDM) ve dinamik veri maskeleme (DDM) ve anında veri maskeleme (on a fly) olmak üzere 3 şekilde yapılabilir.
Veri Kaybı Önleme Yazılımları
DLP (Data Loss/Leak Prevention – Veri Kaybı/Sızıntısı Önleme) network güvenlik alanında nispeten yeni sayılan ve gittikçe kullanımı artan bir veri koruma çeşididir. DLP yazılımları ile sisteminizden istenmeyen verinin çıkışını önleyebilir ya da belirlediğiniz dosyaların kullanım durumlarını izleyebilirsiniz.
Yedekleme
Yedeklenen kişisel veriler sadece sistem yöneticisi tarafından erişilebilir olmalı, veri seti yedekleri mutlaka ağ dışında tutulmalıdır. Aksi halde, veri seti yedekleri üzerinde kötü amaçlı yazılım kullanımı veya verilerin silinmesi ve yok olması durumlarıyla karşı karşıya kalınabilecektir. Bu nedenle tüm yedeklerin fiziksel güvenliğinin de sağlandığından emin olunmalıdır.
Güvenlik Duvarları
İyi yapılandırılmış bir güvenlik duvarı, kullanılmakta olan ağa derinlemesine nüfuz etmeden önce, gerçekleşen ihlalleri durdurabilir. İnternet ağ geçidi ise çalışanların, kişisel veri güvenliği bakımından tehdit teşkil eden internet sitelerine veya online servislere erişimini önleyebilir.
Güncel Anti-Virüs Sistemleri
Kötü amaçlı yazılımlardan korunmak için ayrıca, bilgi sistem ağını düzenli olarak tarayan ve tehlikeleri tespit eden antivirüs, antispam gibi ürünlerin kullanılması gerekmektedir. Ancak bu ürünlerin sadece kurulumu yeterli olmayıp güncel tutularak gereken dosyaların düzenli olarak tarandığından emin olunmalıdır. Veri sorumluları tarafından, farklı internet siteleri ve/veya mobil uygulama kanallarından kişisel veri temin edilecekse, bağlantıların SSL ya da daha güvenli bir yol ile gerçekleştirilmesi de kişisel veri güvenliğinin sağlanması için önemlidir.
Silme veya Anonim Hale Getirme
İhtiyaç duyulmayan kişisel verilerin ise kişisel veri saklama ve imha politikası ile kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi yönetmeliğine uygun ve güvenli bir şekilde imha edilmesi gerekmektedir.
Anahtar Yönetimi
Anahtar yönetimi, bir kripto sisteminde şifreleme anahtarlarının yönetimidir. Bu yönetim, anahtarların yer değişimi, kullanımı, depolanması, değiş tokuşu ve üretimi ile ilgilenir.