Türkiye'de 6698 Sayılı Kişisel Verilerin Korunması Kanunu (KVKK), kişisel veri işleyen tüm kurumların bu verileri korumak amacıyla gerekli idari ve teknik önlemleri almasını zorunlu kılmaktadır. Kurul tarafından yayınlanan rehberlerde uyum süreci iki ana bacağa ayrılır: Hukuki düzenlemeleri içeren İdari Tedbirler ve bilişim sistemlerini koruyan Teknik Tedbirler.
Şirketlerin aldıkları hukuki önlemler (aydınlatma metinleri, açık rızalar) ne kadar güçlü olursa olsun, bilişim altyapısında teknik tedbirler eksikse ciddi veri sızıntıları yaşanabilir. Veri sızıntısı durumunda Kişisel Verileri Koruma Kurulu (KVKK) milyonlarca liraya ulaşabilen idari para cezaları uygulamaktadır. Bu eğitim rehberinde, şirketinizin bilişim sistemlerini kanuna tam uyumlu hale getirmek için yapılması gereken teknik adımları ele alacağız.
1. KVKK Kurulunun Belirlediği 17 Teknik Tedbir ve BT Karşılıkları
Kişisel Verileri Koruma Kurumu (KVKK) teknik tedbirler kılavuzunda yer alan 17 ana başlık ve bunların BT departmanı tarafından nasıl hayata geçirilmesi gerektiği aşağıda detaylandırılmıştır:
- Yetki Matrisi: Hangi çalışanın hangi sunucuya, klasöre ve programa erişebileceği yazılı olarak listelenmeli ve sistemde tanımlanmalıdır.
- Erişim Logları: Kullanıcıların veritabanlarına veya dosya sunucularına yaptığı erişim, silme, okuma ve güncelleme hareketleri loglanmalıdır.
- Kullanıcı Hesap Yönetimi: Şirketten ayrılan personelin tüm mail, VPN ve sunucu hesapları anında kapatılmalıdır.
- Ağ Güvenliği: Ağ sınırında web filtreleme, antivirüs ve IPS modülleri açık bir UTM Firewall bulunmalıdır.
- Uç Nokta (Cihaz) Güvenliği: Tüm bilgisayar ve mobil cihazlar merkezi bir EDR/Antivirüs yazılımıyla korunmalıdır.
- Sızma Testi: Yılda en az bir kez dış ve iç ağdan profesyonel sızma (penetrasyon) testi yaptırılarak zafiyetler raporlanmalıdır.
- Yedekleme: Verilerin en az bir kopyası felaket riskine karşı bulut veya farklı bir fiziksel konumda saklanmalıdır.
- Veri Kaybı Önleme (DLP): Excel, PDF gibi hassas verilerin USB bellek, mail veya bulut yoluyla dışarı sızması yazılımsal olarak engellenmelidir.
- Şifreleme (Encryption): Kişisel veri barındıran tüm diskler, sunucu depolama alanları ve veri transfer hatları (SSL/TLS) şifrelenmelidir.
2. 5651 Sayılı Yasa Uyumlu Log Yönetimi Eğitimi
5651 Sayılı Kanun gereğince, işletmelerin çalışanlarına veya müşterilerine sağladığı internet erişiminin log kayıtlarını yasalara uygun tutması zorunludur. KVKK teknik tedbirleri de bu kuralı destekler. Doğru bir loglama mimarisi şu adımlardan oluşur:
Yasal Loglama Mimari Gereksinimleri
- Zaman Senkronizasyonu (NTP): Log tutan tüm cihazların (Firewall, Active Directory, Log Sunucusu) saati tek bir merkezden (örn: TÜBİTAK NTP sunucusu) senkronize olmalıdır. Saniyeler bile tutarsız olursa log yasal delil niteliğini yitirir.
- Zaman Damgası (Time Stamping): Oluşturulan log dosyaları her gün sonunda TÜBİTAK KamuSM zaman damgası veya eşdeğer bir mekanizmayla şifrelenip imzalanmalıdır. Bu imza, log dosyasının sonradan değiştirilmediğini ispatlar.
- Saklama Süresi: Yasal loglar en az 2 yıl boyunca silinmeyecek ve değiştirilemeyecek şekilde güvenli bir yedekleme ünitesinde saklanmalıdır.
"KVKK teknik tedbirleri arasında yer alan kullanıcı erişim loglarının tutulması, olası bir veri sızıntısının kaynağını tespit etmek için yasal delil niteliğindedir."
3. Güvenli Uzaktan Çalışma (Remote Work) Protokolü
Pandemi sonrasında yaygınlaşan uzaktan çalışma bilişim risklerini katlamıştır. Güvenli bir uzak erişim altyapısı kurmak için şu kurallar uygulanmalıdır:
- RDP Portlarını Kapatın: Windows Uzaktan Masaüstü (Remote Desktop - Port 3389) bağlantısını doğrudan internete kesinlikle açmayın. İnternete açık RDP portları kaba kuvvet (brute-force) saldırılarıyla saatler içinde ele geçirilir.
- MFA ve SSL VPN Kullanın: Şirket dışındaki bilgisayarların şirkete bağlanması için önce bir SSL VPN tüneli kurulmalı, bu tünel kurulurken şifrenin yanında Çok Faktörlü Kimlik Doğrulama (MFA) kodu istenmelidir.
- Ev Bilgisayarlarına Erişim Verme: Şirket verilerine sadece siber güvenlik kontrolleri şirket tarafından yapılan, diski şifrelenmiş ve antivirüsü kurulu kurumsal bilgisayarların VPN yapmasına izin verilmelidir.
4. Veritabanı Şifreleme ve Maskeleme Yöntemleri
Kişisel veriler, veritabanlarında (SQL vb.) düz metin olarak saklanmamalıdır. Veritabanı güvenliği için şu teknik yöntemler uygulanmalıdır:
- Durağan Veri Şifreleme (TDE - Transparent Data Encryption): SQL Server veya PostgreSQL gibi sistemlerde durağan verilerin (data files) disk seviyesinde şifrelenmesi sağlanmalıdır. Sunucu diski çalınsa bile veriler okunamaz.
- Veri Maskeleme (Data Masking): Müşteri temsilcisi veya destek personelinin ekranında, TC Kimlik numaraları veya kredi kartı bilgilerinin sadece son 4 hanesi görünecek şekilde (örn: 1234*****90) maskeleme yapılmalıdır.
- SSL/TLS Aktarımı: Yazılım ile veritabanı sunucusu arasındaki tüm ağ trafiği SSL/TLS sertifikaları ile şifrelenerek havadan veri dinleme (sniffing) saldırıları engellenmelidir.
5. BT Yöneticileri İçin 25 Maddelik KVKK Uyum Denetim Listesi
Şirketinizin teknik olarak KVKK'ya ne kadar uyumlu olduğunu ölçmek için hazırladığımız hızlı kontrol listesi:
| Kontrol Maddesi | BT Uygulama Durumu |
|---|---|
| Active Directory şifreleri minimum 12 karakter ve karmaşık mı? | Evet / Gerekli |
| Çalışanların paylaşımlı ortak klasörlerdeki yetki sınırları tanımlandı mı? | Evet / Gerekli |
| İşten ayrılan kişilerin e-posta ve AD hesapları derhal kapatılıyor mu? | Evet / Gerekli |
| Şirket girişinde 5651 uyumlu zaman damgalı log tutan bir firewall var mı? | Evet / Gerekli |
| Taşınabilir bilgisayarların diskleri BitLocker ile şifrelendi mi? | Evet / Gerekli |
| Sistemlerimize yönelik son 12 ay içerisinde sızma testi yaptırıldı mı? | Evet / Gerekli |
| Verilerimizin ağ dışı (çevrimdışı/bulut) yedekleri düzenli alınıyor mu? | Evet / Gerekli |
Sonuç
KVKK uyumluluğu, sadece sözleşmeler imzalamaktan ibaret değildir; verileri koruyan dijital kaleler inşa etmektir. Hukuki olarak ne kadar haklı olursanız olun, teknik olarak veriyi koruyamadığınızda kanun karşısında kusurlu duruma düşersiniz. Selfkey Bilişim olarak, KVKK Danışmanlığı, BT altyapı danışmanlığı ve teknik tedbirler uyumluluk hizmetlerimizle şirketinizin bilişim sistemlerini kanuna tam uyumlu hale getiriyoruz. Altyapı analizi ve teknik tedbirler yol haritası için bizimle iletişime geçin.