Gayrimenkul Sektöründe KVKK
Gayrimenkul sektörü artık sadece beton ve tuğladan ibaret değil; devasa bir veri üretim merkezine dönüştü. Emlak portallarından kiracı yönetim yazılımlarına kadar her adımda paylaşılan kişisel veriler, siber saldırganlar için iştah kabartan birer hazine niteliğindedir. Bu verilerin kaybı, sadece yasal cezalar değil, aynı zamanda telafisi zor bir itibar kaybı anlamına gelir.
Nesil Teknoloji olarak, TSE A Sınıfı uzmanlığımızla gayrimenkul veri ekosistemini koruyoruz. Bu rehberde, gayrimenkul sektöründeki veri işleme dinamiklerini, teknik protokolleri ve siber saldırı senaryolarını bir uzman gözüyle detaylandırıyoruz.
Müşteri veritabanlarının AES-256 ile şifrelenmesi, ağ segmentasyonu ve mobil saha ekipleri için güvenli VPN erişim modelleri incelenmektedir.
1. Gayrimenkul Sektöründe Hukuki Veri İşleme Dinamikleri
KVKK uyarınca gayrimenkul şirketleri “veri sorumlusu” sıfatıyla hareket eder. Bir gayrimenkul danışmanı kiracıdan kimlik fotokopisi, gelir belgesi veya tapu kaydı aldığı anda yasal sorumluluklar başlar. Kanun’un 5. maddesi uyarınca, bir sözleşmenin kurulması için bu verilerin işlenmesi hukuka uygun kabul edilse de, toplanan verilerin işlenme amacı bittiğinde silinmesi zorunludur.
Sektörde sıkça yapılan en büyük hata, “ileride lazım olur” düşüncesiyle saklanan eski müşteri verileridir. Veri minimizasyonu ilkesi gereği, sadece o anki işlem için gerekli olan veriyi toplamalı ve saklama sürelerine titizlikle uymalısınız. Gereksiz saklanan her veri, siber saldırı anında kurumun ödeyeceği tazminat miktarını artıran bir yüktür.
Özellikle engelli erişimine uygun konut taleplerinde alınan sağlık verileri gibi “özel nitelikli kişisel veriler” için Kurul’un yayınladığı ek güvenlik tedbirleri uygulanmalıdır. Bu veriler standart verilerden daha yüksek seviyeli şifreleme yöntemleriyle korunmalıdır.
2. Akıllı Bina Otomasyonu ve Ağ Güvenliği
Modern gayrimenkul projelerinde kullanılan akıllı bina sistemleri (asansörler, ısıtma-soğutma, güvenlik kameraları) genellikle internete bağlıdır. Ancak bu sistemlerin kullandığı Modbus veya DNP3 gibi protokoller, doğuştan gelen güvenlik mekanizmalarına sahip değildir. Bu durum, bir saldırganın ağa sızarak tüm binanın yönetimini ele geçirmesine yol açabilir.
Nesil Teknoloji uzmanları, bu tür sistemlerin kurumsal ağdan tamamen izole edilmesini (segmentasyon) önerir. Müşteri veritabanına erişen bilgisayarlar ile asansör sistemini yöneten ağların birbirinden bağımsız olması şarttır.
| Protokol Türü | Güvenlik Riski | Önerilen Savunma |
|---|---|---|
| Modbus TCP | Şifreleme yok, müdahale edilebilir. | VLAN İzolasyonu ve Firewall |
| BACnet | Yetkisiz komut gönderimi mümkün. | VPN ve Şifreli Tünelleme |
| HTTP/HTTPS | Kayıtsız yönetim panelleri açığı. | WAF ve Çift Faktörlü Doğrulama |
3. Mobil Saha Ekipleri ve Uç Nokta Güvenliği
Gayrimenkul danışmanları sürekli hareket halindedir. Müşteri verilerine genellikle tabletlerden veya cep telefonlarından, kafe veya kamuya açık Wi-Fi ağları üzerinden erişirler. Bu durum, “Ortadaki Adam” (MitM) saldırıları için büyük bir risk oluşturur. Nesil Teknoloji olarak, saha ekipleri için kurumsal VPN kullanımı ve EDR (Uç Nokta Tespit ve Yanıt) sistemlerini zorunlu görüyoruz.
Cihazların çalınması veya kaybolması durumunda verilerin korunması için “Uzaktan Silme” (Remote Wipe) ve tam disk şifreleme özellikleri aktif edilmelidir. Müşteri portföyünün yer aldığı CRM sistemine erişim mutlaka çok faktörlü doğrulama (2FA) ile korunmalıdır.
4. Red Team Perspektifiyle Saldırı Senaryoları
Bir siber saldırgan, gayrimenkul firmasını hedef aldığında önce dijital ayak izlerini takip eder. Nmap gibi araçlarla açık portları tarar, ardından kimlik avı (phishing) e-postalarıyla danışmanların şifrelerini ele geçirmeye çalışır. Nesil Teknoloji Red Team ekipleri, bu saldırıları sizin için simüle ederek zayıf noktalarınızı saptar.
Gerçek bir senaryoda, bir emlak portalının yönetici paneline sızan saldırgan, sadece verileri çalmakla kalmaz, aynı zamanda ilanları manipüle ederek sahte satışlar üzerinden dolandırıcılık yapabilir. Bu nedenle periyodik sızma testleri sadece bir KVKK zorunluluğu değil, iş sürekliliği için de hayati bir yatırımdır.
Sık Sorulan Sorular
Emlak danışmanları kendi telefonlarından müşteri kaydı tutabilir mi?
Hukuken mümkün olsa da güvenlik açısından risklidir. Kurumsal bir CRM uygulaması üzerinden, verinin telefona değil merkezi bir sunucuya kaydedilmesi sağlanmalıdır.
KVKK kapsamında sızma testi yaptırmak şart mı?
Evet. KVKK Teknik Tedbirler Rehberi, veri sorumlularının sistemlerindeki güvenlik açıklarını tespit etmek için düzenli olarak sızma testi yaptırmasını bir gereklilik olarak sunar.
Eski kiracıların verilerini ne kadar süre saklamalıyım?
Genel kural olarak sözleşme bitiminden sonra yasal zamanaşımı süreleri (genellikle 10 yıl) boyunca saklanabilir. Süre dolduğunda veriler geri döndürülemez şekilde imha edilmelidir.
