Sistem Güvenliği ve Erişim Kontrolü
- Yetki Kontrolü ve Kimlik Yöntemi
- Yetkilendirme Matrisi:Verilere kimin, hangi amaçla ve hangi düzeyde (okuma, yazma, silme) erişebileceği net bir şekilde tanımlanmalıdır.
- Erişim Kontrolü:Tüm kullanıcılar için en az yetki ilkesi (Principle of Least Privilege) uygulanmalı; kullanıcıların yalnızca görevlerini yerine getirmek için gerekli verilere erişimi sağlanmalıdır.
- Güçlü Parola Politikaları:Parolaların düzenli olarak değiştirilmesi, karmaşık olması ve asla paylaşılmaması sağlanmalıdır. Mümkünse Çok Faktörlü Kimlik Doğrulama (MFA) zorunlu kılınmalıdır.
- Ağ Güvenliği
Güvenlik Duvarları (Firewall) ve Saldırı Tespit Sistemleri (IDS/IPS): Bilişim ağlarına yetkisiz erişimi engellemek ve sızma girişimlerini anında tespit etmek için modern ağ güvenliği çözümleri kullanılmalıdır.
Periyodik Sızma Testleri (Pentest): Veri sorumlusu, dijital altyapısındaki zafiyetleri saldırgan bakış açısıyla tespit etmek için düzenli olarak (genellikle yılda en az bir kez) sızma testi yaptırmalı ve çıkan sonuçlara göre iyileştirmeler yapmalıdır.
Verilerin Kriptografik Korunması (Şifreleme)
- Özel nitelikli kişisel veriler (sağlık, ceza mahkûmiyeti, biyometrik veriler vb.) başta olmak üzere, tüm kişisel verilerin güvenliği için şifreleme kritik bir teknik tedbirdir.
- Veri Maskeleme ve Anonimleştirme: Verilerin işleme amacına uygun, ancak kimliği belirlenemez hale getirilmesi için gerektiğinde veri maskeleme, takma ad verme (pseudonymization) ve anonimleştirme teknikleri uygulanmalıdır.
- Depolama ve Aktarım Şifrelemesi:
- Hareket Halindeki Veri (Data in Transit): Verilerin ağ üzerinden (özellikle açık ağlarda veya e-posta yoluyla) aktarılması sırasında, bu veriler SSL/TLS gibi güvenli protokollerle şifrelenmelidir.
- Durmakta Olan Veri (Data at Rest): Verilerin tutulduğu veri tabanları ve depolama birimleri (diskler, yedekler) güçlü algoritmalarla şifrelenmeli ve şifreleme anahtarları farklı birimlerce yönetilmelidir.
Olay Yönetimi ve Kayıt Tutma (Loglama)
- Bir güvenlik ihlali veya saldırı durumunda hızlıca müdahale edebilmek ve olayın kök nedenini tespit etmek, veri sorumlusunun sorumluluğundadır.
- Erişim Logları: Sisteme kimin, ne zaman, hangi cihazdan ve hangi verilere eriştiğine dair tüm işlem hareketleri (erişim logları) düzenli olarak, değiştirilemez bir şekilde tutulmalıdır. KVKK, log kayıtlarının yasal sürelere uygun olarak saklanmasını zorunlu kılar.
- Saldırı Tespit ve Müdahale: Güvenlik olaylarını (yetkisiz erişim denemeleri, şüpheli hareketler) izleyen ve analiz eden SIEM (Security Information and Event Management) gibi çözümler kullanılmalı; güvenlik sorunları hızlı bir şekilde raporlanarak müdahale planı işletilmelidir.
- İhlal Bildirimi: Kanuni olmayan yollarla kişisel verilerin başkaları tarafından elde edilmesi durumunda, veri sorumlusu bu durumu öğrendiği andan itibaren gecikmeksizin Kurula ve ilgili kişilere bildirmekle yükümlüdür.
Yedekleme ve Kurtarma Sistemleri
Veri sorumlusu, kişisel verilerin işlendiği tüm bilişim sistemlerinde yetkisiz erişimi ve veri ihlallerini önlemek için en temel güvenlik kontrollerini uygulamakla yükümlüdür.
Kişisel verilerin sistem arızası, doğal afet veya siber saldırı (örneğin fidye yazılımı) nedeniyle kaybolması veya kullanılamaz hale gelmesi durumunda, verilerin kurtarılabilir olması gerekir.
Felaket Kurtarma Planı (Disaster Recovery Plan): Olası bir veri kaybı senaryosuna karşı detaylı bir plan oluşturulmalıdır.
Güvenli Yedekleme: Yedeklenen kişisel verilerin de en az ana sistemdeki veriler kadar güvenliğinin sağlanması zorunludur. Yedekler, ağdan izole edilmiş (çevrimdışı/offline) veya kriptolanmış bir ortamda saklanmalıdır.
Yedekleme Testi: Yedeklerin gerçekten çalışır durumda olup olmadığı, periyodik olarak test edilerek doğrulanmalıdır.
Sonuç
KVKK kapsamında veri sorumlusunun teknik yükümlülükleri, sadece mevzuata uyum sağlamakla kalmaz, aynı zamanda bir kuruluşun itibarını, finansal sağlığını ve operasyonel devamlılığını koruyan kritik bir siber güvenlik duruşu oluşturur.
KVKK Kurulunun rehberleri ve kararları, veri sorumlularının "uygun güvenlik düzeyini" sağlamak için sürekli olarak risk analizi yapmasını, teknolojik gelişmeleri takip etmesini ve tedbirleri sürekli güncel tutmasını gerektirmektedir. Aksi takdirde, teknik tedbirlerin eksikliği, ciddi idari para cezalarıyla sonuçlanabilir.
KVKK ve siber Güvenlik: Veri Sorumlusunun Teknik Yükümlülükleri Nelerdir?