Bankacılıkta Veri İmhası

1. Veri İmhasının Temeli: KVKK Madde 7 ve Bankacılık Bağlamı

KVKK’nın 7. maddesi, kişisel verilerin işlenme sebepleri ortadan kalktığında imha edilmesini zorunlu kılar. Bankacılık sektöründe bu, milyonlarca müşteri verisi (ad, TCKN, finansal geçmiş, iletişim bilgileri) ile çalışıldığı için kritik öneme sahiptir. Bankalar, KVKK yanında 5411 sayılı Bankacılık Kanunu, MASAK yükümlülükleri ve BDDK düzenlemeleriyle de uyumlu olmalıdır.

• Neden Önemli? Veri imhası, gizlilik ihlallerini önler, depolama maliyetlerini düşürür ve siber tehditlere karşı savunmayı güçlendirir. Uyumsuzluk, 2023 itibarıyla 15 milyon TL’ye varan KVKK cezalarına yol açabilir.
• Bankacılık Bağlamı: Müşteri başvuruları, kredi işlemleri, hesap hareketleri gibi veriler, yasal saklama süreleri (ör. 10 yıl) dolduğunda imha edilmelidir. Bu süreç, bankaların veri merkezlerini daha verimli kılar.
• Zorluklar: Veri hacmi büyük olduğundan, manuel imha sürdürülemez; otomasyon şarttır.
• Hedef: İmha politikası, veriyi “koruma” kadar “bırakma” disiplinini de içerir, sessiz bir güvenlik katmanı yaratır.

2. Veri Yaşam Döngüsü: Etiketleme ve Yönetimi

2.1. Verinin doğuşu ve etiketleme

• Süreç: Veri, kaynaklarda (müşteri formları, mobil uygulamalar, çağrı merkezleri, kredi talepleri) etiketlenir. Etiketler: veri türü (hassas/kamuya açık), işleme amacı (kredi analizi, pazarlama), saklama süresi.
• Yöntem: Microsoft Purview, BigID gibi araçlarla otomatik etiketleme. Örnek: Kredi başvuru formunda TCKN “hassas, 5 yıl saklama” etiketi alır.
• Faydalar: İmha zamanını önceden belirler, manuel hataları önler. Örnek: Müşteri hesabı kapandığında veriler otomatik “imha adayı” olur.
• Zorluklar: Geriye dönük etiketleme zaman alıcı; başlangıç maliyeti yüksek (≈ 50.000 TL’nden başlar).

2.2. DLM sistemleri: Otomatik yaşam döngüsü

• DLM: IBM Spectrum Protect, Commvault gibi araçlar veriyi doğuş, kullanım, arşivleme ve imha aşamalarında yönetir.
• Entegrasyon: AWS S3, Azure Storage ile çalışır. Saklama süresi dolan veri otomatik arşivlenir/silinir.
• Faydalar: Verimliliği artırır, depolama maliyetlerini %20–30 düşürür.
• Örnek: Çağrı kayıtlarının 1 yıl sonra otomatik silinmesi.

3. Saklama Süreleri: Mevzuat Çapraz Kontrolü

3.1. KVKK ve Bankacılık Kanunu entegrasyonu

• Süreler: KVKK “amaç bitince imha”; Bankacılık Kanunu hesap kayıtları 10 yıl; MASAK işlem verileri 8 yıl.
• Çapraz Kontrol: Hukuk ekibi saklama sürelerini tablolarla belirler. Örnek: Kredi verileri BDDK için 5 yıl, ardından KVKK ile imha.
• Zorluklar: Mevzuatlar çakışabilir; düzenli güncelleme gerekir.

3.2. Retention policy engine: Otomatik denetim

• Araçlar: OneTrust, IBM InfoSphere gibi motorlar verileri tarar, “imha edilebilir” olarak işaretler.
• Uygulama: Süresi dolan veriler için onay süreci başlatılır.
• Faydalar: Manuel denetim azalır, uyum oranı ≈ %90’a çıkar. (Yıllık lisans ≈ 100.000 TL+)
• Örnek: Haftalık eski müşteri verisi taramaları.

4. İmha Yöntemleri: Teknik Yaklaşımlar

4.1. Mantıksal silme: Erişim kaldırma ve secure erase

• Standartlar: DoD 5220.22-M (çok geçişli), NIST 800-88 (rehber).
• Araçlar: Eraser, kurumsal disk erase çözümleri; DB’de fiziksel & mantıksal silme + boş alan overwrite.
• Artılar: Hızlı, maliyet-etkin; geri kazanımı zorlaştırır.

4.2. Fiziksel yok etme: Degausser ve shredder

• Süreç: Disk/tape fiziksel imhası; degausser (manyetik), shredder (parçalama).
• Uygulama: HSM dışı cihazlar; imha sertifikası oluşturma.
• Maliyet: Cihaz başına ≈ 20.000 TL.

4.3. Anonimleştirme: K-anonymity ve differential privacy

• Teknikler: K-anonymity, differential privacy (gürültü), hashing + noise injection.
• Araçlar: ARX, Python (Pandas) ile süreçler.
• Fayda: Analitik amaçlı veri korunur; KVKK 7 ile uyumlu.
• Zorluk: Uygun anonimlik seviyesini ayarlamak uzmanlık ister.

5. Kayıt ve İzlenebilirlik: Loglama Gereklilikleri

5.1. İmha loglarının içeriği ve depolaması

• İçerik: Tarih, kullanıcı, yöntem, etkilenen veri kümesi, sebep.
• Depolama: Değiştirilemez (immutable) depolar: örn. S3 Glacier, append-only veri yapıları veya dağıtık defterler.
• Fayda: Denetimde ispat kolaylığı.

5.2. Denetimlerde ispat mekanizmaları

• Görselleştirme: Splunk vb. panolarla izleme ve raporlama.
• Uygulama: Yıllık KVKK denetimlerinde imha raporları sunulur.
• Zorluk: Log hacmi büyür; sıkıştırma & arşiv gerekli.

6. Otomatikleştirme: Entegrasyon ve Orchestration

6.1. DLP, SIEM ve DLM entegrasyonu

• DLP: Sızıntıyı önler, imha adaylarını tespit eder.
• SIEM: Olayları ve imha loglarını bütünleştirir.
• Fayda: Birleşik mimari ile imha otomatik tetiklenir.

6.2. Data Destruction Orchestration sistemleri

• Araçlar: Kurumsal orkestrasyon platformları veya özelleştirilmiş iş akışları.
• Uygulama: Süresi dolan veri için periyodik imha görevleri.
• Fayda/Maliyet: Hata azalır, verim artar; kurulum ≈ 200.000 TL+.

7. Kurumsal Dönüşüm: Operasyonel ve Kültürel Etkiler

7.1. Ekipler arası koordinasyon

• Roller: BT imha eder, hukuk denetler, uyum raporlar.
• Eğitim: Yıllık KVKK atölyeleri ve rol bazlı eğitimler.
• Model: Merkezi veri uyum ekibi ile koordinasyon.

7.2. Güvenlik ve etik faydalar

• Güvenlik: Veri minimizasyonu siber riskleri düşürür.
• Etik: İmha, müşteri güvenini artırır (sadakatte %10–15 artış örneklenebilir).

8. Sonuç: Veri İmhasıyla Güven İnşa Etmek

8.1. Maliyet ve ROI analizi

• Maliyet: DLM + orkestrasyon ≈ 300.000 TL başlangıç; yıllık bakım ≈ 50.000 TL.
• ROI: Cezaların önlenmesi, depolama maliyetlerinde ~%25 düşüş, itibar kazanımı.

8.2. Gelecek vizyonu: AI destekli imha

• AI entegrasyonu: Makine öğrenimi ile imha adaylarının otomatik belirlenmesi, yanlış-pozitiflerin azaltılması.
• Vizyon: Veri imhası bankaların sessiz güvenlik disiplini; “veriyi yok ederek bile güven inşa etmek”.