Hizmetlerimiz Çözümlerimiz Hakkımızda Blog İletişim Teklif Alın
Blog Listesine Dön

BT Yöneticileri İçin KVKK Teknik Tedbirler Eğitim ve Uygulama Rehberi

6698 sayılı kanun kapsamında bilişim altyapılarında kurulması gereken 17 teknik tedbir, 5651 yasal loglama mimarisi, güvenli uzak erişim protokolleri ve BT uyum denetim listesi.

KVKK Veri Güvenliği Rehberliği

Türkiye'de 6698 Sayılı Kişisel Verilerin Korunması Kanunu (KVKK), kişisel veri işleyen tüm kurumların bu verileri korumak amacıyla gerekli idari ve teknik önlemleri almasını zorunlu kılmaktadır. Kurul tarafından yayınlanan rehberlerde uyum süreci iki ana bacağa ayrılır: Hukuki düzenlemeleri içeren İdari Tedbirler ve bilişim sistemlerini koruyan Teknik Tedbirler.

Şirketlerin aldıkları hukuki önlemler (aydınlatma metinleri, açık rızalar) ne kadar güçlü olursa olsun, bilişim altyapısında teknik tedbirler eksikse ciddi veri sızıntıları yaşanabilir. Veri sızıntısı durumunda Kişisel Verileri Koruma Kurulu (KVKK) milyonlarca liraya ulaşabilen idari para cezaları uygulamaktadır. Bu eğitim rehberinde, şirketinizin bilişim sistemlerini kanuna tam uyumlu hale getirmek için yapılması gereken teknik adımları ele alacağız.

1. KVKK Kurulunun Belirlediği 17 Teknik Tedbir ve BT Karşılıkları

Kişisel Verileri Koruma Kurumu (KVKK) teknik tedbirler kılavuzunda yer alan 17 ana başlık ve bunların BT departmanı tarafından nasıl hayata geçirilmesi gerektiği aşağıda detaylandırılmıştır:

  1. Yetki Matrisi: Hangi çalışanın hangi sunucuya, klasöre ve programa erişebileceği yazılı olarak listelenmeli ve sistemde tanımlanmalıdır.
  2. Erişim Logları: Kullanıcıların veritabanlarına veya dosya sunucularına yaptığı erişim, silme, okuma ve güncelleme hareketleri loglanmalıdır.
  3. Kullanıcı Hesap Yönetimi: Şirketten ayrılan personelin tüm mail, VPN ve sunucu hesapları anında kapatılmalıdır.
  4. Ağ Güvenliği: Ağ sınırında web filtreleme, antivirüs ve IPS modülleri açık bir UTM Firewall bulunmalıdır.
  5. Uç Nokta (Cihaz) Güvenliği: Tüm bilgisayar ve mobil cihazlar merkezi bir EDR/Antivirüs yazılımıyla korunmalıdır.
  6. Sızma Testi: Yılda en az bir kez dış ve iç ağdan profesyonel sızma (penetrasyon) testi yaptırılarak zafiyetler raporlanmalıdır.
  7. Yedekleme: Verilerin en az bir kopyası felaket riskine karşı bulut veya farklı bir fiziksel konumda saklanmalıdır.
  8. Veri Kaybı Önleme (DLP): Excel, PDF gibi hassas verilerin USB bellek, mail veya bulut yoluyla dışarı sızması yazılımsal olarak engellenmelidir.
  9. Şifreleme (Encryption): Kişisel veri barındıran tüm diskler, sunucu depolama alanları ve veri transfer hatları (SSL/TLS) şifrelenmelidir.

2. 5651 Sayılı Yasa Uyumlu Log Yönetimi Eğitimi

5651 Sayılı Kanun gereğince, işletmelerin çalışanlarına veya müşterilerine sağladığı internet erişiminin log kayıtlarını yasalara uygun tutması zorunludur. KVKK teknik tedbirleri de bu kuralı destekler. Doğru bir loglama mimarisi şu adımlardan oluşur:

Yasal Loglama Mimari Gereksinimleri

  • Zaman Senkronizasyonu (NTP): Log tutan tüm cihazların (Firewall, Active Directory, Log Sunucusu) saati tek bir merkezden (örn: TÜBİTAK NTP sunucusu) senkronize olmalıdır. Saniyeler bile tutarsız olursa log yasal delil niteliğini yitirir.
  • Zaman Damgası (Time Stamping): Oluşturulan log dosyaları her gün sonunda TÜBİTAK KamuSM zaman damgası veya eşdeğer bir mekanizmayla şifrelenip imzalanmalıdır. Bu imza, log dosyasının sonradan değiştirilmediğini ispatlar.
  • Saklama Süresi: Yasal loglar en az 2 yıl boyunca silinmeyecek ve değiştirilemeyecek şekilde güvenli bir yedekleme ünitesinde saklanmalıdır.
"KVKK teknik tedbirleri arasında yer alan kullanıcı erişim loglarının tutulması, olası bir veri sızıntısının kaynağını tespit etmek için yasal delil niteliğindedir."

3. Güvenli Uzaktan Çalışma (Remote Work) Protokolü

Pandemi sonrasında yaygınlaşan uzaktan çalışma bilişim risklerini katlamıştır. Güvenli bir uzak erişim altyapısı kurmak için şu kurallar uygulanmalıdır:

  • RDP Portlarını Kapatın: Windows Uzaktan Masaüstü (Remote Desktop - Port 3389) bağlantısını doğrudan internete kesinlikle açmayın. İnternete açık RDP portları kaba kuvvet (brute-force) saldırılarıyla saatler içinde ele geçirilir.
  • MFA ve SSL VPN Kullanın: Şirket dışındaki bilgisayarların şirkete bağlanması için önce bir SSL VPN tüneli kurulmalı, bu tünel kurulurken şifrenin yanında Çok Faktörlü Kimlik Doğrulama (MFA) kodu istenmelidir.
  • Ev Bilgisayarlarına Erişim Verme: Şirket verilerine sadece siber güvenlik kontrolleri şirket tarafından yapılan, diski şifrelenmiş ve antivirüsü kurulu kurumsal bilgisayarların VPN yapmasına izin verilmelidir.

4. Veritabanı Şifreleme ve Maskeleme Yöntemleri

Kişisel veriler, veritabanlarında (SQL vb.) düz metin olarak saklanmamalıdır. Veritabanı güvenliği için şu teknik yöntemler uygulanmalıdır:

  • Durağan Veri Şifreleme (TDE - Transparent Data Encryption): SQL Server veya PostgreSQL gibi sistemlerde durağan verilerin (data files) disk seviyesinde şifrelenmesi sağlanmalıdır. Sunucu diski çalınsa bile veriler okunamaz.
  • Veri Maskeleme (Data Masking): Müşteri temsilcisi veya destek personelinin ekranında, TC Kimlik numaraları veya kredi kartı bilgilerinin sadece son 4 hanesi görünecek şekilde (örn: 1234*****90) maskeleme yapılmalıdır.
  • SSL/TLS Aktarımı: Yazılım ile veritabanı sunucusu arasındaki tüm ağ trafiği SSL/TLS sertifikaları ile şifrelenerek havadan veri dinleme (sniffing) saldırıları engellenmelidir.

5. BT Yöneticileri İçin 25 Maddelik KVKK Uyum Denetim Listesi

Şirketinizin teknik olarak KVKK'ya ne kadar uyumlu olduğunu ölçmek için hazırladığımız hızlı kontrol listesi:

Kontrol Maddesi BT Uygulama Durumu
Active Directory şifreleri minimum 12 karakter ve karmaşık mı? Evet / Gerekli
Çalışanların paylaşımlı ortak klasörlerdeki yetki sınırları tanımlandı mı? Evet / Gerekli
İşten ayrılan kişilerin e-posta ve AD hesapları derhal kapatılıyor mu? Evet / Gerekli
Şirket girişinde 5651 uyumlu zaman damgalı log tutan bir firewall var mı? Evet / Gerekli
Taşınabilir bilgisayarların diskleri BitLocker ile şifrelendi mi? Evet / Gerekli
Sistemlerimize yönelik son 12 ay içerisinde sızma testi yaptırıldı mı? Evet / Gerekli
Verilerimizin ağ dışı (çevrimdışı/bulut) yedekleri düzenli alınıyor mu? Evet / Gerekli

Sonuç

KVKK uyumluluğu, sadece sözleşmeler imzalamaktan ibaret değildir; verileri koruyan dijital kaleler inşa etmektir. Hukuki olarak ne kadar haklı olursanız olun, teknik olarak veriyi koruyamadığınızda kanun karşısında kusurlu duruma düşersiniz. Selfkey Bilişim olarak, KVKK Danışmanlığı, BT altyapı danışmanlığı ve teknik tedbirler uyumluluk hizmetlerimizle şirketinizin bilişim sistemlerini kanuna tam uyumlu hale getiriyoruz. Altyapı analizi ve teknik tedbirler yol haritası için bizimle iletişime geçin.