KVKK Teknik Uyum Mimarisi ve IT Yol Haritası
Holding ölçeğinde; yönetişim, erişim yönetimi, loglama, ağ ve uygulama güvenliği, şifreleme, DLP, DR/BCP, imha & saklama, güvenlik testleri ve idari tedbir entegrasyonu.
Bölüm 1 – KVKK ve IT’nin Rolü
1) Amaç ve İş Hedefi
- Amaç: 6698 sayılı KVKK kapsamında kalıcı ve denetlenebilir teknik uyum mimarisi kurmak.
- İhlal riskini ölçülebilir biçimde düşürmek (yılda %X).
- Denetimde kanıta dayalı uyum (log/rapor/imha kayıtları).
- Kişisel verinin yaşam döngüsünü standartlaştırmak.
2) Kapsam
- Veri: Kimlik, iletişim, finans, özlük, lokasyon, işlem logları; özel nitelikli (sağlık, biyometrik).
- Sistem: SAP modülleri, AD/LDAP, e-posta, dosya, DLP, SIEM, EDR, yedekleme, web/app, OT/SCADA.
- Süreç: Erişim, loglama, şifreleme, maskeleme, imha, yedek/DR, yamalama, tedarikçi erişimleri.
3) Yasal Dayanak ve İlkeler
- KVKK md.12: Teknik ve idari tedbirler zorunlu.
- Privacy by Design/Default · Veri minimizasyonu.
- Amaçla sınırlılık & saklama süresi.
- İzlenebilirlik & hesap verebilirlik (tam log/kanıt seti).
4) Yönetişim ve Organizasyon
- Sponsor: İcra Kurulu/Üst Yönetim.
- Sahiplik: İş birimi (veri sahibi) · BT (işleyen).
- Komiteler: KVKK Uyum Kurulu · Bilgi Güvenliği Komitesi.
- Standartlar: ISO/IEC 27001/27002/27701 · NIST CSF · COBIT · OWASP ASVS.
5) RACI – Örnek Sorumluluk Matrisi
| Faaliyet | R | A | C | I |
|---|---|---|---|---|
| Yetki matrisi tasarımı | BT Güvenlik | CISO | İş Birimleri, HR | Hukuk |
| SIEM & log korelasyonu | SOC | CISO | Uygulama/Altyapı | İç Denetim |
| Şifreleme/KMS | BT Güvenlik | CISO | Altyapı, Uygulama | Hukuk |
| DLP politikaları | BT Güvenlik | CISO | Hukuk, HR | İş Birimleri |
| İmha/saklama süreleri | Hukuk | KVKK Kurulu | BT, İş Birimleri | İç Denetim |
6) BT’ye Özgü Sorumluluklar
- IAM: RBAC/ABAC, PAM, MFA, off-boarding otomasyonu.
- İzleme: SIEM kuralları, tehdit avcılığı.
- Koruma: At-rest/in-transit şifreleme, maskeleme, tokenization.
- Yaşam döngüsü: Arşiv, imha (NIST 800-88), SAP ILM.
- Süreklilik: 3-2-1, immutable yedek, DR testleri.
- Güvence: Zafiyet yönetimi, pentest, yama SLA.
7) CSF & 8) KPI’lar
- Üst yönetim desteği, kanıt üretimi, otomasyon önceliği.
- Tedarikçi uyumu ve sözleşmesel teknik kontroller.
Yetkisiz erişim uyarısı
Aylık %X düşüş
P1 kapanma
≤ 7 gün
DLP yanlış pozitif
≤ %Y
DR test
%100 (RTO/RPO)
Log kapsama
Kritik %100 · Genel ≥ %95
9) Denetim İzleri / Kanıt Seti
- Yetki: Matris, SoD, IAM/PAM export’ları.
- SIEM: Kaynak listesi, kurallar, olay biletleri.
- Şifreleme: Sertifika/KMS rotasyon kayıtları.
- DLP: Politika, olay, istisna gerekçeleri.
- İmha: Log/tutanak, SAP ILM çıktıları.
- DR: Geri dönüş raporu, RTO/RPO sonuçları.
10) Riskler & Azaltım
- Yetki sızıntısı → SoD + recertification + otomatik off-boarding
- Log bütünlüğü → WORM/immutable + zaman damgası
- DLP yanlış pozitif → kademeli devreye alma, fingerprint
- Yama gecikmesi → risk-bazlı SLA, fast-track CAB
- Tedarikçi riski → sözleşmesel teknik şartlar + izolasyon
11) Bağımlılıklar & Varsayımlar
- Hukuk: Saklama & rıza “kaynak politika”.
- İK: Personel yaşam döngüsü entegrasyonu.
- BT Bütçesi: SIEM/DLP/KMS/EDR kapasite.
- Entegrasyon: SAP, AD, e-posta, DLP, SIEM, KMS.
12) Uygulama Yol Haritası
- Q1: Yönetişim, envanter, KPI baz ölçüm.
- Q2: IAM/PAM, SIEM, KMS standardizasyonu.
- Q3: DLP, maskeleme, ILM/imha, DR testleri.
- Q4: İç denetim, boşluk kapatma, sürekli iyileştirme.
Bölüm 2 – Erişim Yönetimi ve Yetkilendirme
1) Amaç & Önemi
Kişisel verilere yalnızca iş gerekçesiyle, yetkili kişilerce erişim.
Yanlış yetki tasarımı = KVKK ihlallerinin ana kaynağı.
2) Yetki Matrisi
- RBAC: rol/görev bazlı.
- ABAC: rol + lokasyon + cihaz + zaman.
- SoD: çakışan görevler engellenir.
3) Yetki Kontrol
- 6 ayda bir recertification.
- İK tetiklemeli görev değişikliği revizyonu.
- Off-boarding: aynı gün kapanış.
4) Hesap Yönetimi
- Identity lifecycle otomasyonu.
- ≥ 12 karakter parola · 90 gün ömür.
- MFA: SAP, VPN, e-posta, admin panelleri.
5) PAM
- Vault: CyberArk/Thycotic/Vault.
- JIT erişim · Session recording.
6) Teknik İzleme
- Log: SAP STAD/SM20 · AD login/lockout.
- SIEM korelasyonu · anlık SOC alarmı.
7) KPI’lar & 8) Riskler
- Orphan/dormant hesap: %0 hedef.
- Off-boarding SLA: ≤ 24 saat.
- Riskler: yetki şişmesi, admin şifre paylaşımı → PAM + recertification
Bölüm 3 – Loglama, İzleme ve Denetim
1) Amaç
KVKK gereği erişimlerin izlenmesi ve kanıt üretimi; merkezi log mimarisi.
2) Kapsam
SAP, AD/LDAP, e-posta, FW/IDS/IPS/VPN, OS, DB.
3) Bütünlük & Güvenlik
- SHA-256 + RFC3161 zaman damgası.
- WORM/immutable storage.
- Saklama: ≥ 2 yıl (ihtiyaca göre 5+).
4) SIEM
Splunk/ELK/QRadar/Sentinel · korelasyon & playbook.
5) SOC
7/24 · kritik olay ≤ 15 dk alarm.
6) Denetim İzleri
SAP STAD/SM20, DB audit trail, AD 4624/4625…
7) KPI
Kapsam ≥ %95 · kapanış SLA ≤ 4 saat.
Bölüm 4 – Ağ Güvenliği
NGFW & Politika
- Deny-all, allow-necessary.
- SSL inspection, app-aware kurallar.
- Tüm geçişler log→SIEM.
Segmentasyon
- Ofis · SAP · DMZ · Misafir · OT/SCADA.
- Mikrosegmentasyon (NSX/ACI).
- Zero Trust Network.
IDS/IPS
Güncel imza + davranışsal analiz.
VPN
MFA, cihaz sertifikası, split-tunneling kapalı.
Wi-Fi
WPA3, 802.1X, rogue AP tespiti.
Bölüm 5 – Uygulama Güvenliği
Secure SDLC
- DevSecOps · SAST/DAST/SCA · Peer review.
- Standartlar: OWASP ASVS, SEI CERT.
SAP Güvenliği
SoD analizi · SM20/STAD · HotNews ≤ 30 gün · masked transport.
Web/Mobil & API
- OWASP Top10 / MASVS / API Top10.
- WAF · TLS+HSTS · Rate limit.
Veri Katmanı
Maskeleme, anonimleştirme, tokenization.
Bölüm 6 – Şifreleme ve Anahtar Yönetimi
At-Rest
HANA Native, Oracle TDE, SQL Always Encrypted · BitLocker/LUKS · AES-256 yedek.
In-Transit
TLS 1.3 · zayıf şifre kümeleri yasak · S/MIME/PGP · IPSec/SSL VPN + MFA.
KMS/PKI
Vault/HSM · rotasyon ≤ 12 ay · erişim kısıtı · CA & otomatik yenileme.
Parola/Hash
≥12 · bcrypt/Argon2 · MFA kritik sistemlerde %100.
KPI
Kritik DB şifreleme %100 · zayıf cipher %0.
Risk
Anahtar sızıntısı → HSM + erişim log + acil rotasyon.
Bölüm 7 – Veri Maskeleme ve DLP
Maskeleme
- Dinamik: ekran kısıtlama (******1234).
- Statik: Test/Dev’te kalıcı maske.
- Anonimleştirme: k-anonimity, l-diversity.
DLP
- Network · Endpoint · Cloud DLP.
- Regex (TCKN/kart) + fingerprint.
- USB whitelist · e-posta otomatik şifreleme.
Bölüm 8 – Yedekleme ve Felaket Kurtarma (DR/BCP)
3-2-1
Immutable kopya · coğrafi off-site.
DR Hedefleri
RTO ≤ 4s · RPO ≤ 15dk (SAP/HANA).
Tatbikat
6 ayda geri dönüş · yılda DR tatbikatı.
Bölüm 9 – İmha ve Saklama Politikaları
Politika
- Envanter bazlı süreler (ör. iş başvuru 2 yıl, finans 10 yıl).
- IT: sistemsel süre tanımı & otomatik imha.
- SAP ILM: arşiv + otomatik silme.
Yöntemler
- Silme / Secure wipe (NIST 800-88).
- Yok etme (shredding/degauss).
- Anonimleştirme doğrulaması.
Bölüm 10 – Güvenlik Testleri ve Zafiyet Yönetimi
Zafiyet Süreci
Varlık envanteri → tarama (Nessus/Qualys/OpenVAS) → CVSS → SLA kapanış.
SLA: Critical ≤ 7g · High ≤ 30g · Medium ≤ 60g.
Pentest
Yılda ≥ 2: ağ/web/mobil/SAP/OT. OWASP & NIST metodolojileri.
Rapor: yönetici özeti + teknik detay + öneri.
Bölüm 11 – İdari Tedbirlerle Entegrasyon
Politika & Envanter
- Hukuk veri kategorisi/süre/amaçları tanımlar.
- IT akışları sisteme işler; log/backup/imha raporlar.
Sözleşmeler
Tedarikçi KVKK hükümleri + teknik kısıt: VPN/IP whitelist, DLP.
Kriz & Eğitim
- 72 saat içinde ihlal bildirimi (Hukuk liderliğinde, IT teknik kanıt sağlar).
- KVKK & phishing farkındalık eğitimleri · e-learning raporları.
KPI
Envanter eşleşmesi %100 · ihlal raporu ≤ 72s · ortak denetim ≥ 2/yıl.
