KVKK Kapsamında Alınması Gereken Teknik Ve İdari Tedbirler
6698 sayılı KiÅŸisel Verilerin Korunması Kanununun 12. Maddesi uyarınca veri sorumlularının kiÅŸisel verilerin hukuka aykırı olarak iÅŸlenmesini önlemek, kiÅŸisel verilere hukuka aykırı olarak eriÅŸilmesini önlemek, kiÅŸisel verilerin muhafazasını saÄŸlamak, amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorunda oldukları hüküm altın alınmıştır. AÅŸağıdaki tablolar, bu teknik ve idari tedbirlerin ayrıştırılması ve veri sorumlusu için kontrol mekanizması oluÅŸturacak nitelikte yol göstermesi için hazırlanmıştır.
Bilgi güvenliÄŸi kapsamına KVKK konusunda yapılması gereken teknik güvenlik tedbirleri listesi ve açıklamaları aÅŸağıdaki gibidir:
Teknik Tedbirler
Yetki Matrisi
KiÅŸisel veri içeren sistemlere eriÅŸimin de sınırlı olması gerekmektedir. Bu kapsamda çalışanlara, yapmakta oldukları iÅŸ ve görevler ile yetki ve sorumlulukları için gerekli olduÄŸu ölçüde eriÅŸim yetkisi tanınmalıdır.
Yetki Kontrol
Yetki matrisine baÄŸlı olarak veri sorumlularının, eriÅŸim yetki ve kontrol matrisi oluÅŸturmaları ve ayrı bir eriÅŸim politika ve prosedürleri oluÅŸturarak veri sorumlusu organizasyonu içinde bu politika ve prosedürlerin uygulamaya alınması önerilmektedir.
Erişim Logları
Tüm kullanıcıların iÅŸlem hareketleri kaydının düzenli olarak tutulması
Kullanıcı Hesap Yönetimi
Çalışanlar, kullanıcı adı ve ÅŸifre kullanılmak suretiyle ilgili sistemlere eriÅŸim saÄŸlamalıdır. Söz konusu ÅŸifre ve parolalar oluÅŸturulurken, kiÅŸisel bilgilerle iliÅŸkili ve kolay tahmin edilecek rakam ya da harf dizileri yerine büyük küçük harf, rakam ve sembollerden oluÅŸacak kombinasyonların tercih edilmesi saÄŸlanmalıdır.
AÄŸ GüvenliÄŸi
​İnternet aÄŸ geçidi çalışanların, kiÅŸisel veri güvenliÄŸi bakımından tehdit teÅŸkil eden internet sitelerine veya online servislere eriÅŸimini önleyebilir. KiÅŸisel veriler elektronik ortamda ise, kiÅŸisel veri güvenliÄŸi ihlalini önlemek için aÄŸ bileÅŸenleri arasında eriÅŸim sınırlandırılabilir veya bileÅŸenlerin ayrılması saÄŸlanabilir. ÖrneÄŸin kullanılmakta olan ağın sadece bu amaçla ayrılmış olan belirli bir bölümüyle sınırlandırılarak bu alanda kiÅŸisel verilerin iÅŸleniyor olması halinde, mevcut kaynaklar tüm aÄŸ için deÄŸil de sadece bu sınırlı alanın güvenliÄŸini saÄŸlamak amacıyla ayrılabilecektir.
Uygulama GüvenliÄŸi
Uygulama sistemlerinin girdilerinin doÄŸru ve uygun olduÄŸuna dair kontroller yapılmalı, doÄŸru girilmiÅŸ bilginin iÅŸlem sırasında oluÅŸan hata sonucunda veya kasıtlı olarak bozulup bozulmadığını kontrol etmek için uygulamalara kontrol mekanizmaları yerleÅŸtirilmelidir. Uygulamalar, iÅŸlem sırasında oluÅŸacak hataların veri bütünlüÄŸünü bozma olasılığını asgari düzeye indirecek ÅŸekilde tasarlanmalıdır.
Åžifreleme
Hangi ÅŸifreleme yöntemleri kullanılırsa kullanılsın kiÅŸisel verilerin tam olarak korunduÄŸundan emin olunmalı ve bu amaçla uluslararası kabul gören ÅŸifreleme programlarının kullanımı tercih edilmelidir. Tercih edilen ÅŸifreleme yönteminin asimetrik ÅŸifreleme yöntemi olması halinde, anahtar yönetimi süreçlerine önem gösterilmelidir.
Sızma Testi
BiliÅŸim sistemlerinin bilinen zaafiyetlere karşı korunması için düzenli olarak zaafiyet taramaları ve sızma testlerinin yapılması ile ortaya çıkan güvenlik açıklarına dair testlerin sonucuna göre deÄŸerlendirmeler yapılması gerekmektedir.
Saldırı Tespit ve Önleme Sistemleri
Uç nokta güvenliÄŸi bulunan EDR sistemlerinin varlığı istenir.
Log Kayıtları
Tüm kullanıcıların iÅŸlem hareketleri kaydının düzenli olarak tutulması
Veri Maskeleme
Veri maskeleme kurumsal network de bulunan gizli ve hassas olarak sınıflandırılmış verilere yetkisiz kiÅŸiler tarafından eriÅŸilmesini engellemek amacıyla anlaşılmaz hale getirilmesidir. Veri maskeleme statik veri maskeleme (SDM) ve dinamik veri maskeleme (DDM) ve anında veri maskeleme (on a fly) olmak üzere 3 ÅŸekilde yapılabilir.
Veri Kaybı Önleme Yazılımları
DLP (Data Loss/Leak Prevention – Veri Kaybı/Sızıntısı Önleme) network güvenlik alanında nispeten yeni sayılan ve gittikçe kullanımı artan bir veri koruma çeÅŸididir. DLP yazılımları ile sisteminizden istenmeyen verinin çıkışını önleyebilir ya da belirlediÄŸiniz dosyaların kullanım durumlarını izleyebilirsiniz.
Yedekleme
Yedeklenen kiÅŸisel veriler sadece sistem yöneticisi tarafından eriÅŸilebilir olmalı, veri seti yedekleri mutlaka aÄŸ dışında tutulmalıdır. Aksi halde, veri seti yedekleri üzerinde kötü amaçlı yazılım kullanımı veya verilerin silinmesi ve yok olması durumlarıyla karşı karşıya kalınabilecektir. Bu nedenle tüm yedeklerin fiziksel güvenliÄŸinin de saÄŸlandığından emin olunmalıdır.
Güvenlik Duvarları
Ä°yi yapılandırılmış bir güvenlik duvarı, kullanılmakta olan aÄŸa derinlemesine nüfuz etmeden önce, gerçekleÅŸen ihlalleri durdurabilir. Ä°nternet aÄŸ geçidi ise çalışanların, kiÅŸisel veri güvenliÄŸi bakımından tehdit teÅŸkil eden internet sitelerine veya online servislere eriÅŸimini önleyebilir.
Güncel Anti-Virüs Sistemleri
Kötü amaçlı yazılımlardan korunmak için ayrıca, bilgi sistem ağını düzenli olarak tarayan ve tehlikeleri tespit eden antivirüs, antispam gibi ürünlerin kullanılması gerekmektedir. Ancak bu ürünlerin sadece kurulumu yeterli olmayıp güncel tutularak gereken dosyaların düzenli olarak tarandığından emin olunmalıdır. Veri sorumluları tarafından, farklı internet siteleri ve/veya mobil uygulama kanallarından kiÅŸisel veri temin edilecekse, baÄŸlantıların SSL ya da daha güvenli bir yol ile gerçekleÅŸtirilmesi de kiÅŸisel veri güvenliÄŸinin saÄŸlanması için önemlidir.
Silme veya Anonim Hale Getirme
Ä°htiyaç duyulmayan kiÅŸisel verilerin ise kiÅŸisel veri saklama ve imha politikası ile kiÅŸisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi yönetmeliÄŸine uygun ve güvenli bir ÅŸekilde imha edilmesi gerekmektedir.
Anahtar Yönetimi
Anahtar yönetimi, bir kripto sisteminde ÅŸifreleme anahtarlarının yönetimidir. Bu yönetim, anahtarların yer deÄŸiÅŸimi, kullanımı, depolanması, deÄŸiÅŸ tokuÅŸu ve üretimi ile ilgilenir.