Pentest · KVKK/GDPR · Veri Gizliliği

Pentest Sırasında Kişisel Veriler İncelenir mi?

Etik ve yasal çerçeve, kapsam–izin süreçleri ve gizliliği koruma yöntemleri.

Özet: Pentest Tanımı · Amaçlar · Kişisel Veri · Kapsam & İzin · Erişim Durumları · Etik/Yasal Sorumluluklar · Gizliliği Koruma · KVKK Uyumu · Öneriler · Riskler · Nesil’in Yaklaşımı · Özet

1. Giriş

Siber güvenlik, günümüz dijital dünyasında öncelikli bir gündemdir. Bu kapsamda penetrasyon testi (pentest) kritik bir araçtır. En sık sorulan konulardan biri: “Pentest sırasında kişisel veriler incelenir mi?” Nesilteknoloji.com olarak, pentest sürecinde kişisel verilerin nasıl ele alındığını; etik, yasal ve uygulamaya dönük boyutlarıyla açıklıyoruz.

2. Penetrasyon Testi (Pentest) Nedir?

Pentest; sistem, ağ veya uygulamadaki güvenlik açıklarını tespit etmek için gerçekleştirilen kontrollü siber saldırı simülasyonudur. Suçluların kullanabileceği yolları önceden görmeyi ve açıkların kapatılmasını amaçlar. Süreç, hassas verilere (özellikle kişisel verilere) temas edebileceğinden, nasıl icra edildiği ve verilerin nasıl korunduğu kritik önemdedir.

3. Pentestin Temel Amaçları

Güvenlik açıklarını tespit etmek,
Sistemin siber saldırılara dayanıklılığını test etmek,
Veri ihlallerini önlemek,
Kurumların siber güvenlik politikalarını güçlendirmek.

Pentest yalnızca teknik değil; etik ve yasal sorumluluklar içeren bir uygulamadır.

4. Kişisel Veriler Nedir?

Kişisel veriler; bir bireyi tanımlayan veya ilişkilendirilebilen tüm bilgilerdir. KVKK kapsamında örnekler: isim, soyisim, T.C. kimlik numarası, e‑posta, telefon, adres, sağlık bilgileri vb. Pentest sırasında bu verilere erişim yasal ve etik açıdan hassastır.

5. Pentest Sırasında Kişisel Veriler İncelenir mi?

5.1 Kapsam ve İzin Süreci

Pentest öncesi sözleşme/test planı; kapsamı, test edilecek sistemleri ve kişisel verilere erişim olup olmayacağını açıkça tanımlar. Kişisel verilerin bulunduğu sistemler kapsamdaysa, bu durum sözleşmede yer alır ve veri işleme izni alınır.

5.2 Kişisel Verilere Erişim Durumu

Güvenlik açıklarını doğrulamak için veritabanı/dosya sistemlerine erişim gerekebilir ve kişisel verilerle karşılaşılabilir. Etik pentest yaklaşımında:

Veriler yalnızca test amacına yönelik ve asgari düzeyde incelenir,
Kötüye kullanım kesinlikle söz konusu değildir,
Gizlilik, NDA ve kurumsal politikalarla güvence altındadır.

5.3 Etik ve Yasal Sorumluluklar

Uzmanlar CEH, OSCP vb. etik standartlara bağlıdır. İzinsiz/amaç dışı erişim etik dışıdır ve yasal yaptırıma tabidir. KVKK, kişisel verilerin izinsiz işlenmesini yasaklar ve ihlaller için ağır cezalar öngörür.

5.4 Veri Gizliliğinin Korunması

Gizlilik sözleşmeleri (NDA),
Asgari yetki & sınırlı erişim,
Şifreleme ve güvenli saklama,
Anonimleştirilmiş raporlama (kişisel veriyi ifşa etmeden bulgular).

6. Türkiye’de Pentest ve KVKK Uyumluluğu

6698 sayılı KVKK; kişisel verilerin işlenmesi, saklanması ve korunmasına ilişkin sıkı kurallar getirir. Pentest sırasında kişisel verilere erişilecekse:

Açık rıza (gerektiğinde) temin edilmeli,
Sözleşmede erişim durumu açıkça belirtilmeli,
Veri minimizasyonu uygulanmalı,
Teknik/idari güvenlik önlemleri işletilmelidir.

Nesilteknoloji.com, pentest hizmetlerinde KVKK’ya tam uyumla hareket eder ve veri gizliliğini en üst düzeyde korur.

7. Pentest Sırasında Kişisel Verilerin Korunması İçin Öneriler

Kapsamlı sözleşme: Kişisel veri erişimi, gizlilik ve koruma önlemleri netleştirilsin.
Ekip denetimi: Sertifikalar ve referanslar doğrulansın; etik standartlara uyum aransın.
Test/anonim veri: Mümkünse gerçek yerine anonimleştirilmiş veya sentetik veriler kullanılsın.
Güvenlik protokolleri: Şifreleme, güvenli saklama, yetkilendirme ve erişim kayıtları.

Not: Üretim verisine erişim kaçınılmazsa, asgari yetki, ayrılmış ortam ve izlenebilirlik şarttır.

8. Kişisel Verilere Erişimin Riskleri

Yasal yaptırımlar: KVKK ihlallerinde para cezaları ve hukuki sorumluluklar,
İtibar kaybı: Müşteri güveninde erozyon,
Veri ihlali riski: Uygunsuz kullanım veya sızıntı,
Müşteri güveninin kaybı: Tercih kayması ve gelir etkisi.

9. Nesilteknoloji.com’un Pentest Yaklaşımı

KVKK’ya uygun sözleşmeler ve net kapsam yönetimi,
Asgari veri erişimi prensibi (need‑to‑know),
Şifreleme + güvenli saklama ve erişim kontrolü,
Anonimleştirilmiş raporlama ve veri ifşasından kaçınma.

10. Özetle…

Pentest vazgeçilmezdir; ancak kişisel verilerin korunması yüksek sorumluluk gerektirir. “Pentest sırasında kişisel veriler incelenir mi?” sorusunun cevabı; kapsam ve izin süreçlerine bağlıdır. Nesilteknoloji.com, KVKK’ya uygun, etik ve güvenli pentest hizmetleriyle müşteri verilerini korur. Siber güvenlik stratejinizi güçlendirmek için bize ulaşabilirsiniz.