Kişisel Verilerin Korunması İçin Teknik Güvenlik Kontrolleri
Kişisel Verileri Koruma Kurumu (KVKK); veri sorumlularına, işledikleri kişisel verilerin güvenliğini sağlamak için hem teknik hem de idari tedbirler alma sorumluluğu yükler. Bu rehberde; siber güvenlikten log yönetimine, ortam güvenliğinden bulut depolamaya, BT sistem geliştirmeden yedeklemeye kadar temel teknik tedbirleri KVKK perspektifiyle ve Türkiye’deki kurumların gerçek ihtiyaçlarına uygun bir dille özetliyoruz.
Amaç; “sadece antivirüs kurmak” ya da “tek bir güvenlik ürünü satın almak” değil, İstanbul, Ankara, İzmir gibi büyük şehirlerde ya da Anadolu’da faaliyet gösteren KOBİ ve büyük ölçekli şirketler için katmanlı ve sürdürülebilir bir kişisel veri güvenliği mimarisi kurmaya yardımcı olmaktır.
Odak: KVKK kapsamında kişisel verilerin güvenliğini sağlamak için uygulanması gereken
teknik tedbirler.
Başlıklar: Ağ güvenliği, sertleştirme, erişim yönetimi, loglama, zafiyet taraması,
ortam güvenliği, bulut, güvenli yazılım geliştirme, yedekleme.
Kimin için? Türkiye’de müşteri, çalışan, tedarikçi, ziyaretçi verisi işleyen ve KVKK
uyumunu teknik açıdan güçlendirmek isteyen tüm kurumlar.
Hedef: Teknik kontrolleri; politika, süreç ve eğitimlerle uyumlu, katmanlı bir
KVKK bilgi güvenliği programına dönüştürmek.
2. Siber Güvenliğin Sağlanması
Kişisel veri güvenliği için tek bir güvenlik ürünü kullanmak yeterli değildir. Tehditler giderek karmaşık hâle geldiği için katmanlı güvenlik yaklaşımı benimsenmeli ve birbirini tamamlayan birden fazla kontrol birlikte uygulanmalıdır.
2.1. Ağ Sınırı Güvenliği: Güvenlik Duvarı ve Ağ Geçitleri
İnternet üzerinden gelen izinsiz erişimlere karşı ilk savunma hattı; doğru yapılandırılmış güvenlik duvarı ve ağ geçitleridir. Bu bileşenler:
- Saldırı trafiğini iç ağa ulaşmadan önce durdurmaya,
- Kişisel veri güvenliği açısından riskli web siteleri ve servislerin engellenmesine,
- Şüpheli bağlantıların merkezi olarak izlenmesine
imkân tanır.
2.2. Sistemlerin Sertleştirilmesi ve Yama Yönetimi
Her yazılım ve donanım için kurulum ve yapılandırma adımlarının güvenlik odaklı yapılması gerekir. Özellikle yaygın kullanılan yazılımların eski sürümlerinde bilinen açıklar bulunduğundan:
- Kullanılmayan program ve servisler kaldırılmalı,
- Yama yönetimi süreci işletilmeli ve kritik güncellemeler gecikmeden uygulanmalı,
- Alınan güvenlik tedbirlerinin yeterliliği düzenli olarak gözden geçirilmelidir.
2.3. Erişim Yetkileri ve Parola Güvenliği
Kişisel veri içeren sistemlere erişim yetkisi; çalışanların görev tanımı, sorumluluğu ve ihtiyaç duyduğu bilgiyle sınırlı olmalıdır. Bu bağlamda:
- En az ayrıcalık prensibi uygulanmalı,
- Kullanıcı adı ve parola ile kimlik doğrulama zorunlu olmalı,
- Parolalar; kişisel bilgilerden türetilmemeli, büyük/küçük harf, rakam ve sembol içeren güçlü yapıda olmalı,
- Parola deneme sayısı sınırlandırılmalı ve parolaların periyodik değişimi sağlanmalıdır.
Erişimlerin tutarlı yönetilebilmesi için; veri sorumluları bünyesinde bir erişim yetki ve kontrol matrisi ile bunu destekleyen erişim politikası ve prosedürleri oluşturulmalıdır. Yönetici ve “admin” hesapları yalnızca ihtiyaç olduğunda kullanılmalı; çalışanla ilişik kesildiğinde ilgili hesaplar gecikmeden kapatılmalıdır.
2.4. Kötü Amaçlı Yazılımlara Karşı Korunma
Antivirüs, antispam ve benzeri güvenlik yazılımları; ağın düzenli taranması ve zararlıların tespiti için kullanılmalıdır. Ancak bu ürünlerin sadece kurulması yeterli değildir:
- İmza/veritabanları güncel tutulmalı,
- Düzenli tam ve hedefli taramalar planlanmalı,
- Uyarı ve alarmlara karşı aksiyon süreçleri tanımlanmalıdır.
Farklı internet siteleri veya mobil uygulamalardan kişisel veri temin ediliyorsa bağlantıların SSL/TLS gibi güvenli iletişim protokolleri üzerinden gerçekleştirilmesi de temel bir teknik tedbirdir.
| Kontrol Alanı | Örnek Teknik Tedbirler | KVKK İlgisi |
|---|---|---|
| Ağ güvenliği | Güvenlik duvarı, IDS/IPS, web filtreleme | Madde 12 kapsamındaki “hukuka aykırı erişimi önleme” yükümlülüğü |
| Sistem sertleştirme | Gereksiz servislerin kapatılması, temel yapılandırma denetimleri | Zafiyetleri azaltarak kişisel verilerin korunmasına katkı |
| Erişim yönetimi | Rol bazlı yetki matrisi, MFA, güçlü parola politikaları | Veriye sadece “bilmesi gereken” kişilerin erişmesini sağlama |
3. Kişisel Veri Güvenliğinin Takibi
Bilgi sistemleri hem iç kaynaklı hem de dış kaynaklı saldırılara maruz kalabilir. Bu saldırılar, belirti vermelerine rağmen uzun süre fark edilmeyebilir. Bu nedenle sistemlerin izlenmesi ve kayıt altına alınması kritik öneme sahiptir.
3.1. İzleme, Loglama ve Raporlama
Aşağıdaki kontroller, olası ihlallerin erken tespiti için temel bir çerçeve sunar:
- Bilişim ağlarında hangi program ve servislerin çalıştığının düzenli kontrolü,
- Şüpheli hareket veya yetkisiz erişim girişimlerinin tespiti,
- Tüm kullanıcı işlemlerinin (log kayıtları gibi) kaydedilmesi ve yasal mevzuata uygun sürelerle saklanması,
- Güvenlik sorunlarının mümkün olduğunca hızlı raporlanması,
- Çalışanların tespit ettikleri zafiyet ve tehditleri iletebileceği resmi bir raporlama prosedürünün oluşturulması.
Güvenlik yazılımı mesajları, erişim kontrol kayıtları ve benzeri raporların düzenli kontrolü ve bu sistemlerden gelen uyarılar üzerine hızlı aksiyon alınması gerekir.
3.2. Zafiyet Taramaları ve Sızma Testleri
Bilinen zafiyetlere karşı koruma sağlamak için periyodik zafiyet taramaları ve sızma testleri yapılmalıdır. Bu çalışmalar sonucu elde edilen bulgular:
- Risk önceliklendirmesi,
- Düzeltici/önleyici faaliyet planlaması,
- Alınan tedbirlerin etkinliğinin gözden geçirilmesi
için kullanılmalıdır.
3.3. Olay Yönetimi ve Delil Koruma
Bilişim sisteminin çökmesi, kötü amaçlı yazılım bulaşması, servis dışı bırakma saldırıları, veri bütünlüğü ve gizliliğini bozan ihlaller gibi istenmeyen olaylarda; olayla ilgili delillerin toplanması ve güvenli şekilde saklanması önemlidir. Bu deliller:
- Olayın analiz edilmesi,
- Tekrarının önlenmesi,
- Gerekli durumlarda hukuki süreçlerin desteklenmesi
amacıyla kullanılacaktır.
4. Kişisel Veri İçeren Ortamların Güvenliğinin Sağlanması
Kişisel veriler; elektronik ortamda, kâğıt üzerinde veya taşınabilir cihazlarda tutulabilir. Bu nedenle hem fiziksel güvenlik hem de dijital güvenlik birlikte ele alınmalıdır.
4.1. Fiziksel Güvenlik Önlemleri
Veri sorumlusu yerleşkesinde bulunan sunucular, yedekleme cihazları, kişisel veri içeren evraklar ve taşınabilir medyalar; çalınma, kaybolma ve doğal afet gibi risklere karşı korunmalıdır. Bunun için:
- Ortam giriş-çıkışlarının kontrol altına alınması,
- Daha yüksek güvenlik gerektiren alanlar için erişim kayıtlarının tutulması,
- Kullanılmadığında kişisel veri içeren evrak ve cihazların kilit altında tutulması ve yetkili kişilerle sınırlandırılması
4.2. Ağ Segmentasyonu ve Erişim Sınırlandırma
Kişisel verilerin işlendiği sistemler için ağ segmentasyonu uygulanması; riskli ortamlarla olan etkileşimi sınırlayarak saldırı yüzeyini daraltır. Örneğin:
- Kişisel veri içeren sistemlerin ayrı bir ağ segmentinde tutulması,
- Bu segmentlere erişimin yalnızca yetkili kullanıcılara açılması,
- Uygun güvenlik duvarı ve erişim kontrol listelerinin kullanılması
operasyonel güvenliği güçlendirir.
4.3. Taşınabilir Cihazlar ve Şifreleme
Veri ihlallerinin önemli bir kısmı; laptop, taşınabilir disk, USB bellek gibi cihazların kaybolması veya çalınması sonucu ortaya çıkmaktadır. Bu riski azaltmak için:
- Kişisel veri içeren cihazlarda erişim kontrol mekanizmalarının devreye alınması,
- Tam disk şifrelemesi veya dosya/dizin bazlı şifreleme kullanılarak verilerin yetkisiz kişilerce okunamaz hâle getirilmesi,
- Şifre anahtarlarının yalnızca yetkili kişilerin erişebileceği ortamlarda saklanması,
- Kişisel veri içeren evrakların kapalı dolaplarda ve kontrollü alanlarda tutulması
kritik öneme sahiptir.
4.4. Şifreleme Yöntemlerinin Seçimi
Şifreleme; tam disk şifrelemesi, dosya şifrelemesi veya bütünlük kontrolü gibi farklı amaçlarla kullanılabilir. Ancak:
- Uluslararası kabul gören şifreleme programları tercih edilmeli,
- Kullanılan yöntem gerçekten yetkisiz erişimi engelleyecek düzeyde olmalı; sadece “değişiklik yapmayı engelleyen” parola korumaları yeterli kabul edilmemelidir,
- Asimetrik şifreleme kullanılıyorsa anahtar yönetimi süreçleri titizlikle tasarlanmalıdır.
5. Kişisel Verilerin Bulutta Depolanması
Kişisel verilerin bulut ortamlarında depolanması; veri sorumlusunun kendi ağından ayrılan veriler üzerinde de hukuka uygun işleme, erişim kontrolü ve güvenli muhafaza yükümlülüğünün devam ettiği anlamına gelir.
5.1. Bulut Hizmeti Sağlayıcısının Değerlendirilmesi
Bulut depolama hizmeti; veri sorumlusunun yerine teknik ve organizasyonel önlemler almayı gerektirdiğinden, hizmet sağlayıcının:
- Güvenlik sertifikaları ve standartları (ör. ISO 27001),
- Veri merkezi konumu ve yurt dışı aktarım şartları,
- Şifreleme, erişim kontrolü ve log yönetimi uygulamaları
açısından dikkatle değerlendirilmesi gerekir.
5.2. Bulut Ortamında Erişim ve Şifreleme
Teknik tedbir olarak aşağıdaki uygulamalar önerilir:
- Bulutta tutulan kişisel verilerin envanterinin çıkarılması ve hangi verilerin nerede bulunduğunun netleştirilmesi,
- Uzak erişim için iki kademeli kimlik doğrulama (MFA) kullanılması,
- Verilerin bulut ortamına aktarılmadan önce ve bulutta depolanırken kriptografik yöntemlerle şifrelenmesi,
- Mümkün olan yerlerde her bir bulut çözümü için ayrı şifreleme anahtarlarının kullanılması ve anahtar yönetimi süreçlerinin dokümante edilmesi.
5.3. Hizmet İlişkisinin Sona Ermesi
Bulut bilişim hizmet ilişkisi sona erdiğinde; yalnızca verilerin silinmesi değil, bu verileri tekrar kullanılabilir hâle getirebilecek şifreleme anahtarlarının tüm kopyalarının da yok edilmesi sağlanmalıdır.
6. Bilgi Teknolojileri Sistemleri Tedariği, Geliştirme ve Bakımı
Yeni sistemlerin tedariği veya mevcut sistemlerin geliştirilmesinde bilgi güvenliği gereksinimlerinin baştan itibaren dikkate alınması; KVKK uyumunun sürdürülebilirliği için zorunludur.
6.1. Güvenlik Gereksinimleri ve Uygulama Kontrolleri
Uygulama sistemleri; girdilerin doğruluğu, veri bütünlüğü ve hata toleransı açısından tasarlanmalıdır. Özellikle:
- Girdi doğrulama (validation) mekanizmaları,
- İşlem sırasında oluşabilecek hataların veri bütünlüğünü bozmamasını sağlayan kontroller,
- Yetkisiz erişimi ve veri sızıntısını engelleyen rol bazlı yetkilendirme yapıları
uygulamalara entegre edilmelidir.
6.2. Bakım, Onarım ve Dış Kaynak Personel
Arızalanan veya bakıma gönderilecek cihazlar kişisel veri içeriyorsa; bakım/onarım sürecinden önce verilerin güvenliğinin sağlanması gerekir. Örneğin:
- Veri saklama ortamının (disk vb.) sökülerek kurum içinde tutulması,
- Sadece arızalı parçanın üretici veya servise gönderilmesi,
- Dışarıdan bakım personeli geldiğinde veri kopyalama ve dışarı çıkarma riskine karşı ek tedbir alınması
gibi uygulamalar tercih edilmelidir.
7. Kişisel Verilerin Yedeklenmesi
Kişisel verilerin zarar görmesi, yok olması, çalınması veya kaybolması gibi durumlarda; veri sorumlusunun yedekler üzerinden en kısa sürede faaliyete dönebilmesi gerekir. Bu nedenle planlı bir yedekleme stratejisi hayati önem taşır.
7.1. Yedekleme Stratejisi ve Fidye Yazılımlar
Fidye yazılımları (ransomware) gibi kötü amaçlı yazılımlar; kişisel veri içeren dosyaları kilitleyerek erişilemez hâle getirebilir. Bu riske karşı:
- Periyodik yedekleme planları oluşturulmalı,
- Yedekler test edilerek geri yüklenebilirliği doğrulanmalı,
- Yedeklerin bir kısmı ağ dışı veya değiştirilemez (immutable) ortamlarda tutulmalıdır.
7.2. Yedeklere Erişim ve Fiziksel Güvenlik
Yedeklenen kişisel verilere erişim sadece yetkili sistem yöneticileriyle sınırlı olmalıdır. Ayrıca:
- Yedekleme ortamlarının fiziksel güvenliği sağlanmalı,
- Yedeklerin bulunduğu cihazlar kilitli ve kontrollü alanlarda saklanmalı,
- Yedeklerin aynı anda hem üretim sistemiyle hem de internetle doğrudan bağlantılı olmamasına dikkat edilmelidir.
| Alan | Önerilen Uygulama | KVKK Açısından Önemi |
|---|---|---|
| Yedekleme sıklığı | Günlük/haftalık planlanmış yedekleme | İhlal veya arıza sonrasında hizmet sürekliliğini korur |
| Yedek güvenliği | Şifreleme, fiziksel koruma, erişim sınırlandırma | Kişisel verilerin yetkisiz erişimine karşı koruma sağlar |
| İmha | Yedeklerin de saklama süresi sonunda güvenli imhası | Madde 7 kapsamındaki silme/yok etme/anonimleştirme yükümlülüğü |
8. Sık Sorulan Sorular
Teknik tedbirlerle idari tedbirler arasındaki fark nedir?
Teknik tedbirler; güvenlik duvarı, şifreleme, loglama, erişim kontrolü, yedekleme gibi bilgi teknolojileri odaklı kontrollerdir. İdari tedbirler ise politika, prosedür, sözleşme, eğitim ve denetim gibi organizasyon ve süreç temelli uygulamalardır. KVKK uyumunda her iki tedbir seti de birlikte ele alınmalıdır.
Sadece antivirüs kullanmak KVKK için yeterli midir?
Hayır. Antivirüs tek başına yeterli değildir. Katmanlı güvenlik yaklaşımıyla; güvenlik duvarı, yama yönetimi, erişim kontrolü, loglama, zafiyet taraması ve yedekleme gibi kontroller birlikte uygulanmalıdır. Aksi hâlde teknik tedbir seti, KVKK’nın öngördüğü uygun güvenlik seviyesini sağlamaz.
Bulutta tutulan kişisel veriler için ek olarak ne yapmalıyım?
Bulut sağlayıcısının güvenlik seviyesini değerlendirmeli, verileri mümkün olduğunca şifreli tutmalı, uzak erişim için çok faktörlü kimlik doğrulama kullanmalı ve hizmet sona erdiğinde şifreleme anahtarlarının da yok edildiğinden emin olmalısınız. Ayrıca yurt dışı veri aktarımı söz konusuysa KVKK ve ikincil mevzuat hükümlerini dikkate almalısınız.
Yedekler de KVKK kapsamında mıdır?
Evet. Yedekler de kişisel veri içerdiği için KVKK’ya tabidir. Yedeklerin güvenli saklanması, erişim yetkilerinin sınırlandırılması ve gerekli süre sonunda güvenli şekilde imha edilmesi gerekir. Yedek stratejisi, Saklama ve İmha Politikası ile uyumlu olmalıdır.
Log kayıtlarını ne kadar süre saklamalıyım?
Saklama süresi; KVKK, sektörel mevzuat ve ihtiyaç duyulan ispat/değerlendirme süreçleri birlikte dikkate alınarak belirlenmelidir. Çok kısa süreler güvenlik analizini zorlaştırırken, gereğinden uzun süreler ise veri minimizasyonu ilkesine aykırılık riski doğurabilir. Bu nedenle log saklama süreleri, hem hukuki gereklilikleri hem de teknik ihtiyaçları karşılayacak şekilde tasarlanmalıdır.
