Web sitesinde kişisel veri ile özel nitelikli kişisel veri neden ayrılmalıdır?

Özel nitelikli kişisel veriler, ilgili kişi üzerinde daha yüksek risk doğurabileceğinden artırılmış güvenlik önlemleriyle korunmalıdır. Bu nedenle veri sınıflandırması yapılarak erişim, şifreleme ve yetkilendirme seviyeleri farklılaştırılmalıdır.

KVKK açısından web panellerine erişimde en kritik kontroller nelerdir?

Güçlü parola ve mümkünse çok faktörlü doğrulama (MFA), sınırlı deneme hakkı sonrası hesap kilitleme, rol tabanlı yetkilendirme (least privilege/need-to-know), kayıt (log) tutma ve ağ üzerinden güvenli erişim (VPN gibi tünelleme) temel kontroller arasındadır.

VPN/RDP ile uzaktan erişimde hangi riskler öne çıkar?

Zayıf parolalar, açık portlar, tek faktörlü erişim ve yetersiz erişim kontrolü uzaktan erişimi kritik risk haline getirir. Güvenli tünelleme, MFA, IP kısıtları, erişim kayıtları ve düzenli gözden geçirme bu riski azaltır.

KVKK Uyumlu Web Sitesi Güvenliği: Kişisel Veri, Özel Nitelikli Veri, Şifre Politikası ve Erişim Kontrolü

KVKK · Web Güvenliği · Şifre · Yetki

KVKK Uyumlu Web Sitesi Güvenliği Kişisel Veri ve Özel Nitelikli Veriler İçin Şifreleme, Yetkilendirme ve Uzaktan Erişim

Kişisel veri barındıran işletmenize ait web sayfaları için güvenlik düzenlemelerini periyodik olarak gözden geçirmek, KVKK uyumunun en pratik adımlarından biridir. Unutulmamalıdır ki web uygulamalarında işlenen veriler çoğu zaman hem kişisel veri hem de özel nitelikli kişisel veri içerebilir. Bu ayrım yapılmadan tasarlanan güvenlik mimarileri, “tek tip koruma” yaklaşımı nedeniyle riskleri büyütebilir.

Özel nitelikli kişisel veriler, doğası gereği daha yüksek risk doğurabildiğinden; erişim kontrolü, kayıt (log) tutma, şifreleme ve veri aktarımı gibi süreçlerde artırılmış güvenlik önlemleri ile korunmalıdır. Bu rehber; şifre politikaları, hesap kilitleme, “need-to-know / least privilege” yetkilendirme, şifreleme ve VPN/RDP gibi uzaktan erişim yöntemleri üzerinden uygulanabilir kontrol önerileri sunar.

Sınıflandırma & Hukuki Çerçeve Uygulama Checklist (Hızlı)

İçindekiler 1. Veri Sınıflandırması: Kişisel Veri & Özel Nitelikli Veri 2. Parola Güvenliği: Güçlü Şifre, Kilitleme, MFA 3. Yetkilendirme: “İzin Verilmedikçe Yasak” ve Need-to-Know 4. Şifreleme ve Veri Tabanı Güvenliği: Anahtar Yönetimi 5. Uzaktan Erişim (VPN/RDP) ve Transfer Güvenliği 6. Sık Sorulan Sorular

Hızlı Özet

1) Veriyi sınıflandır: kişisel / özel nitelikli.
2) Erişimi daralt: “need-to-know”, rol tabanlı yetki, varsayılan kapalı (deny by default).
3) Kimliği güçlendir: güçlü parola + mümkünse MFA + deneme sonrası kilitleme.
4) Şifrele: aktarımda ve saklamada; özel nitelikli veride artırılmış tedbir + anahtar yönetimi.
5) Uzaktan erişimi güvenli tünelle (VPN) ve kayıtla; RDP/benzeri erişimleri kısıtla.

Least Privilege Account Lockout Encryption VPN / RDP

Hatırlatma: Bilgi güvenliğinde zincirin en zayıf halkası çoğu zaman insandır. Bu yüzden teknoloji kadar süreç ve eğitim de (parola, erişim, phishing farkındalığı) kritik bir savunma katmanıdır.

1. Veri Sınıflandırması: Kişisel Veri & Özel Nitelikli Kişisel Veri

Web sitenizde işlenen veriler, KVKK kapsamında risk seviyesine göre sınıflandırılmalıdır. En pratik yaklaşım: kişisel veriler ile özel nitelikli kişisel verileri ayrı kategorilerde ele almak, bu kategorilere farklı erişim, şifreleme ve saklama kuralları uygulamaktır.

Kategori	Örnek	Koruma Prensibi (Özet)
Kişisel Veri	İsim, e-posta, telefon, IP adresi, kullanıcı işlem kayıtları	Yetkili erişim + amaçla sınırlılık + güvenli aktarım + log
Özel Nitelikli Kişisel Veri	Sağlık bilgisi, biyometrik veriler, hassas bilgiler	Artırılmış tedbir + daha sıkı erişim + güçlü şifreleme + anahtar yönetimi

Bu ayrım, sadece “etiketleme” değildir: Veritabanı tablolarından uygulama ekranlarına, API yetkilerinden yedekleme süreçlerine kadar her noktada kontrol tasarımını belirler.

Kaynak notu: Teknik ve idari tedbirler konusunda KVKK’nın yayımladığı veri güvenliği rehberlerinden yararlanmanız tavsiye edilir. (Resmi yayınlar: KVKK “Kişisel Veri Güvenliği Rehberi” ve özel nitelikli veriler için alınacak önlemler karar metinleri.)

2. Parola Güvenliği: Güçlü Şifre, Deneme Sınırı, Kilitleme ve MFA

Şirket içinden veya dışından (VPN, RDP vb.) kişisel verilere erişen kullanıcıların hesapları, en yüksek saldırı yüzeylerinden biridir. İnsanlar çoğu zaman hatırlaması kolay, tahmini mümkün parolalar seçer. Sosyal medya ve gündelik paylaşımlar; çocuk isimleri, takım, doğum tarihi gibi örüntüler üzerinden saldırganlara “parola tahmini” için ipucu verir.

2.1. Uygulanabilir Parola Politikası

Minimum uzunluk ve zorluk (kolay tahmin edilebilir kalıpları engelle).
Yasaklı parola listesi (123456, qwerty, şirketadı123, adsoyad vb.).
Tekrar kullanımını engelle (son X parola tekrar edilmesin).
Mümkünse MFA (özellikle admin, panel ve uzaktan erişim hesapları).

2.2. Hesap Kilitleme ve Deneme Hakkı

Kişisel verilere erişebilen hesaplar için, 3–4 kez yanlış giriş sonrasında hesap kilitleme veya artan gecikme (rate limit) gibi kontroller kritik önemdedir. Amaç; brute-force / parola deneme saldırılarını erken aşamada kırmaktır.

İpucu: Kilitleme kontrolü tek başına yeterli değildir. Kilitleme olayları mutlaka loglanmalı, güvenlik ekibine uyarı üretmeli ve anomali tespitine bağlanmalıdır.

3. Yetkilendirme: “İzin Verilmedikçe Yasak” ve Need-to-Know (Least Privilege)

“Yasaklı olmadıkça her şey serbesttir” yaklaşımı, veri güvenliğinde genellikle risk doğurur. Bunun yerine, izin verilmedikçe her şey yasaktır (deny by default) anlayışıyla need-to-know / least privilege prensibini uygulamak; yani bir veriye yalnızca bilmesi gereken kişinin, gerektiği kadar erişmesi hedeflenmelidir.

3.1. Rol Tabanlı Yetki ve Ekran Bazlı Erişim

Rol tabanlı yetkilendirme (RBAC): Kullanıcıya iş rolü kadar yetki ver.
Alan/ekran bazlı kısıt: Admin panelinde “herkes her şeyi görmesin”.
Özel nitelikli veri segmentasyonu: Hassas ekranlar ayrı rol + ekstra doğrulama ile açılsın.

3.2. Veri Minimizasyonu ve “Gerektiği Kadar Bilgi”

Web formlarında ve panel ekranlarında, sadece gerekli alanları toplayıp göstermeye odaklanın. Gereksiz alanlar hem risk hem de operasyonel yük yaratır. “Gerektiği kadar bilgi – gerektiği kadar yetki” mantığı; iş süreçlerini aksatmadan risk azaltmanın en hızlı yoludur.

Kontrol fikri: Panel aramalarında varsayılan olarak maskeleme (ör. e-posta/telefonun bir kısmı), tam görüntüleme için ek yetki veya ek doğrulama.

4. Şifreleme ve Veri Tabanı Güvenliği: Özel Nitelikli Verilerde Anahtar Yönetimi

Özetle, web sitesi veri alanlarına erişim kimlik doğrulama ile korunmalı; özellikle özel nitelikli kişisel veriler, veri tabanında güçlü şifreleme yöntemleriyle saklanmalı ve anahtar yönetimi süreçleri doğru tasarlanmalıdır.

4.1. “Aktarımda” ve “Saklamada” Şifreleme

Aktarımda şifreleme: Web trafiği ve API iletişimi HTTPS/TLS ile güvence altına alınmalı.
Saklamada şifreleme: Disk/DB seviyesinde veya uygulama seviyesinde şifreleme; özel nitelikli veride artırılmış yaklaşım.
Yedekler: Yedek dosyaları da veri kadar kritiktir; şifrelenmeli ve erişimi kısıtlanmalı.

4.2. Anahtar (Key) Yönetimi

Şifreleme “tek başına” çözüm değildir. Anahtarların nerede tutulduğu, kimlerin erişebildiği, anahtarların dönüştürülmesi (rotasyon), ayrı ortamlarda saklama gibi süreçler belirlenmelidir.

Pratik öneri: Özel nitelikli veriler için ayrı anahtar kullanımı, ayrı erişim rolü ve ayrı log politikası (daha sıkı denetim) uygulanması güvenlik seviyesini ciddi şekilde artırır.

5. Uzaktan Erişim (VPN/RDP) ve Transfer Güvenliği

Eğer kişisel veriler başka bir lokasyona aktarılacaksa ya da başka bir lokasyondan kişisel verilerin bulunduğu merkez lokasyona erişilecekse; VPN, RDP benzeri yöntemlerde tünel güvenliği, erişim kısıtları ve kayıt (log) mekanizmaları birlikte kurgulanmalıdır.

5.1. VPN/RDP İçin Temel Kontroller

MFA zorunluluğu: Uzaktan erişimde tek faktör yüksek risktir.
IP/ülke/cihaz kısıtları: Sadece izinli ağlardan ve yönetilen cihazlardan erişim.
RDP maruziyetini azalt: İnternete açık RDP yerine VPN üzerinden erişim, mümkünse bastion/jump host.
Oturum yönetimi: Zaman aşımı, eş zamanlı oturum limiti, ayrıcalıklı oturum kaydı.
Log & izleme: Başarısız girişler, anormal saatlerde erişim, yüksek hacimli veri çekimi uyarıları.

5.2. Web Uygulaması Tarafında Ek Önlemler

Admin paneli kısıtları: URL saklama (security by obscurity değil), IP allowlist, ek doğrulama.
Rate limit: Giriş, şifre sıfırlama ve kritik API’lerde hız sınırı.
Yetkisiz erişim denemesi senaryoları: Deneme/sızma testleri ve düzenli kontroller.

Okuma önerisi:
https://www.nesilteknoloji.com/kisisel-verilerin-korunmasi-kanunu-kvkk-nedir/
Resmi yayınlar (KVKK): Kişisel Veri Güvenliği Rehberi ve özel nitelikli veriler için yeterli önlemler dokümanları

KVKK Web Güvenliği Özel Nitelikli Veri Şifre Politikası Hesap Kilitleme Need-to-Know VPN RDP Şifreleme

6. Sık Sorulan Sorular

3–4 deneme sonrası hesap kilitleme kullanıcı deneyimini bozmaz mı?

Kilitleme kontrolü doğru tasarlanırsa (kısa süreli kilit, artan gecikme, self-service doğrulama, MFA), hem kullanıcı deneyimi korunur hem de brute-force riski ciddi ölçüde azalır. Kritik hesaplarda güvenlik önceliklidir.

Özel nitelikli verileri “daha güçlü şifreleme” ile saklamak ne demek?

Asıl fark çoğu zaman algoritmadan ziyade anahtar yönetimi, erişim kısıtları, loglama ve segmentasyondadır. Özel nitelikli veriler için ayrı anahtar, ayrı rol ve daha sıkı denetim yaklaşımı uygulanır.

Need-to-know yaklaşımını web panelinde nasıl uygularım?

Rol tabanlı yetkilendirme (RBAC), ekran/alan bazlı kısıtlar, maskeleme, özel nitelikli veride “ek doğrulama” ve ayrı log politikası ile uygulanabilir. Amaç: herkesin her veriyi görmesini engellemek.

VPN/RDP erişiminde “olmazsa olmaz” ilk 2 kontrol nedir?

MFA ve erişim kısıtları (VPN üzerinden erişim, IP allowlist/jump host, loglama) en kritik iki adımdır. Ardından izleme ve periyodik gözden geçirme gelir.

KVKK Teknik Tedbir KVKK İdari Tedbir Erişim Kontrolü Parola Güvenliği Web Uygulama Güvenliği