Kişisel Veriler için Teknik Tedbirler

KVKK işin temelinde dataların değil kişisel verilerin sahibi olan ilgilileri korumayı amaçlamaktadır. Kişisel verilerin işlenmesi ve bir sistem altına alınması ile temel hak ve özgürlükleri korunmaktadır. Özellikle başkaları tarafından öğrenildiği takdirde ilgili kişinin mağdur olabilme veya farklı olumsuzluklara maruz kalabilme durumlarının önüne geçmek için kişisel verilerin korunması sağlamaktadır.

Veri Koruma için Teknik Konular

KVKK İçin Teknik Tedbirler başlıklı bu yazımızda kanun uyarınca alınması gereken idari ve teknik tedbirlerden teknik tedbirlerin neler olduğu özetlenmiştir.

  1. Kişisel Verilerin Korunması Kanunu (KVKK) 12. maddesinin birinci fıkrasında;
  2. “Veri sorumlusu;
  3. Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,
  4. Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,
  5. Kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır.” ifadesi yer almaktadır.

Kişisel Verilerin Korunması İçin Teknik Tedbirler aşağıdaki şekilde açıklanmıştır.

1. Siber Güvenliği Sağlanması

Veri güvenliğinin sağlanabilmesi için tek bir siber güvenlik ürünü kullanımıyla tam güvenlik sağlanması yeterli olmamaktadır. Çünkü tehditler geçen her zaman içinde etki alanlarını arttırmaktadır. En iyi sonuç için, birçok prensip dahilinde tamamlayıcı niteliğe sahip ve düzenli olarak kontrol edilen birtakım tedbirlerin uygulanmasıdır.

Kişisel veri içeren bilgi teknoloji sistemlerinin internet üzerinden gelen izinsiz erişim tehditlerine karşı korunmasında alınabilecek öncelikli tedbirler, güvenlik duvarıdır. Bunlar, internet gibi ortamlardan gelen saldırılara karşı ilk savunma yöntemidir.

2. Kişisel Veri Güvenliği

Veri sorumlularının sistemleri, hem içeriden hem de dışarıdan gelen saldırılara, kötü amaçlı yazılımlara ve siber suçlara maruz kalabilmekte olup, bu durum uzun süre fark edilememekte ve müdahale için geç kalınabilmektedir.
Bu durumun önüne geçebilmek için;
a) Güvenlik sorunlarının mümkün olduğunca hızlı bir şekilde raporlanması,

b) Çalışanların sistem ve servislerdeki güvenlik zaafiyetlerini ya da bunları kullanan
tehditleri bildirmesi için resmi bir raporlama prosedürü oluşturulması,

c) Bilişim ağlarında hangi yazılım ve servislerin çalıştığının kontrol edilmesi,

d) Bilişim ağlarında sızma veya olmaması gereken bir hareket olup olmadığının
belirlenmesi,

e) Tüm kullanıcıların işlem hareketleri kaydının (örneğin log kayıtları) düzenli olarak tutulması gerekmektedir.

3. Kişisel Veri İçeren Ortamların Güvenliğinin Sağlanması

Kişisel veriler, veri sorumlularının faaliyet adresinde yer alan cihazlarda ya da kağıt ortamında saklanıyor ise, bu cihazların ve kağıtların kaybolması ya da çalınması gibi tehditlere karşı fiziksel güvenlik önlemlerinin alınması gerekmektedir. Aynı zamanda, kişisel verilerin yer aldığı fiziksel ortamların yangın, sel vb. tehditlere karşı korunması gerekmekte ve bu ortamlara giriş çıkışların kontrol altına alınması gerekmektedir.
Kişisel veriler elektronik ortamda ise, kişisel veri güvenliği ihlalini önlemek için ağ bileşenleri arasında erişim sınırlandırılabilir ya da bileşenlerin ayrılması sağlanabilir.

4. Verilerin Bulutta Depolanması

Bulut depolama hizmeti sağlayıcısı tarafından alınan güvenlik önlemlerinin yeterli ve uygun olup olmadığının veri sorumlusu tarafından değerlendirilmesi gerekmektedir. Çünkü kişisel verilerin bulut depolama hizmeti sağlayıcıları tarafından işlenmesi gibi birçok durum söz konusu olabilmektedir.
Bu kapsamda, bulutta depolanan kişisel verilerin neler olduğunun detaylı olarak bilinmesi, yedeklenmesi, senkronizasyonun sağlanması ve bu kişisel verilere gerekmesi halinde uzaktan erişim için iki kademeli kimlik doğrulama kontrolünün uygulanması önerilmektedir.

5. Bilgi İşlem Sistemleri Tedariği, Geliştirme ve Bakımı

Arıza ya da bakım için üçüncü kurumlara gönderilen cihazlar eğer kişisel veri içermekte ise bu cihazların üçüncü taraflara gönderilmeden önce, kişisel veri güvenliğinin sağlanması için cihazlardaki veri saklama ortamının sökülerek saklanması, sadece arızalı parçaların gönderilmesi gibi işlemler yapılması uygun olacaktır. Bakım ve onarım gibi amaçlarla dışarıdan personel gelmiş ise kişisel verilerin kopya yolu ile kurum dışına çıkmasının engellenmesi için gerekli teknik önlemlerin alınması gerekir.

6. Kişisel Verilerin Yedeklenmesi

Kişisel verilerin herhangi bir sebeple zarar görmesi, yok olması, çalınması veya kaybolması gibi hallerde veri sorumlularının yedeklenen verileri kullanarak en kısa sürede faaliyete geçmesi gerekmektedir. Yedeklenen kişisel veriler sadece sistem yöneticisi tarafından erişilebilir olmalı, veri seti yedekleri mutlaka ağ dışında tutulmalıdır.

Aşağıda özet olarak Veri Sorumlusu tarafından Kişisel Verilerin Korunması İçin Teknik Tedbirler yer almaktadır.

NESİL ile KVKK Teknik Tedbirler Listesi
Yetki Matrisi
Yetki Kontrol Tablosu
İnternet Erişim Logları, TÜBİTAK Zaman Damgası (5651 loglama kaydı)
Kullanıcı Hesap Yönetimi (Domain Yapısı)
Ağ Güvenliği / VLAN İzole Ağların Kurulması
Uygulama Güvenliği
Şifreleme / Windows Pc’ler içni Bitlocker vb. Uygulamalar
Sızma Testi (Penetrasyon Testi, Sistemlerde Zafiyet Taraması
Saldırı Tespit ve Önleme Sistemleri (IPS, IDS)
Log Kayıtları (Tüm sistemlerin olay yönetimi)
Veri Maskeleme
Veri Kaybı Önleme Yazılımları (DLP)
Yedekleme ve Felaket Kurtarma Senaryosunun Kurulması
Güvenlik Duvarları / Usom Entegrasyonu
Güncel Anti-Virüs Sistemleri Merkezi Olarak Yönetilmesi
Silme, Yok Etme veya Anonim Hale Getirme
Anahtar Yönetimi, Mali Mühür Yönetimi
KVKK Teknik Tedbirler Danışmanlığı

  •  Kişisel veri içeren bilgi teknoloji sistemlerinin internet üzerinden gelen izinsiz erişim tehditlerine karşı korunması için güvenlik duvarı ve ağ geçidi tedbiri alınmalıdır.
  • Kullanılmayan yazılım ve servisler cihazlardan kaldırılmalıdır.
  •  Ağ ortamında kullanılan cihazların ve/veya programların yama yönetimi-yazılım güncellemelerinin olup olmadığı, düzgün bir şekilde çalıştığının kontrolü ve sistemler için alınan güvenlik tedbirlerinin yeterli olup olmadığının düzenli olarak kontrol edilmesi gerekir.
  • Kişisel verileri içeren sistemlere erişimin sınırlı olması gerekmektedir. Çalışanlara işi ve görevleri ile yetki ve sorumlulukları için gerekli olduğu ölçüde erişim yetkisi tanınmalı, kullanıcı adı ve parola kullanılmak suretiyle ilgili sistemlere erişim sağlanmalıdır.
  •  Erişim yetki ve kontrol matrisi oluşturulmalıdır. Erişim politika ve prosedürü oluşturarak veri sorumlusu organizasyonu içinde uygulamaya alınmalıdır.
  • Güçlü şifre ve parola kullanılmalıdır. Kaba kuvvet saldırılarından korunmak için parola girişi deneme sayısının sınırlandırılması ve düzenli aralıklarla şifre ve parola değişimi sağlanmalıdır.
  • Yönetici ve admin yetkisinin sadece ihtiyaç olduğu durumlarda kullanmak için açılmalıdır.
  • Veri sorumlularının kurum veya veri ile ilişikleri kesildiği anda zaman kaybetmeden hesaplarının silinmesi ve girişlerinin kapatılması gerekmektedir.
  • Kötü amaçlı yazılımlardan korunmak amaçlı, bilgi sistem ağını düzenli olarak tarayan ve tehlikeleri tespit eden antivirüs, antispam ürünlerin kullanılması gerekmektedir. Kurulan ürünler güncel tutularak gereken dosyaların düzenli olarak tarandığından emin olunmalıdır.
  • Veri sorumluları farklı internet siteleri ve/veya mobil uygulama kanallarından kişisel veri temin edecekse, bağlantılarının SSL ya da daha güvenli bir yol ile gerçekleştirilmesi gerekmektedir.
  • Bilişim ağında hangi yazılım ve servislerin çalıştığı kontrol edilmelidir.
  • Bilişim ağında sızma veya olmaması gereken bir hareket olup olmadığının belirlenmesi gerekmektedir.
  • Sistemdeki tüm kullanıcıların işlem hareketleri kaydının düzenli olarak tutulması gerekmektedir. (Log kayıtları)
  • Güvenlik sorunları hızlı bir şekilde raporlanmalıdır.
  • Kurumda çalışanların sistem ve servislerdeki güvenlik zafiyetlerini ya da bunları kullanan tehditleri bildirmesi için resmi bir raporlama prosedürü oluşturulmalıdır.
  • Oluşturulan raporlar sistem yöneticisi tarafından en kısa zamanda veri sorumlusuna sunulmalıdır.
  • Güvenlik yazılımı mesajları, erişim kontrolü kayıtları ve diğer raporlama araçlarının düzenli olarak kontrol edilmesi gerekir. Sistemlerden gelen uyarılar üzerine harekete geçilmeli, bilişim sistemlerinin bilinen zafiyetlere karşı korunması için düzenli olarak zafiyet taramaları ve sızma testlerinin yapılması ile ortaya çıkan güvenlik açıklarına dair testlerinin sonucuna göre değerlendirme yapılmalıdır.
  • Bilişim sistemlerinin çökmesi, kötü niyetli yazılım, servis dışı bırakma saldırısı, eksik veya hatalı veri girişi, gizlilik ve bütünlüğü bozan ihlaller, bilişim sisteminin kötüye kullanılması gibi istenmeyen olaylarda deliller toplanmalı ve güvenli bir şekilde saklanmalıdır.
  • Kişisel veriler, veri sorumlularının yerleşkesinde yer alan cihazlarda ya da kâğıt ortamında saklanıyor ise, bu cihazların ve kâğıtların çalınması veya kaybolması gibi tehditlere karşı fiziksel güvenlik önlemlerinin alınarak korunması gerekmektedir.
  • Kişisel verilerin yer aldığı fiziksel ortamların dış risklere (yangın, sel vb.) karşı uygun yöntemlerle korunması ve bu ortamlara giriş/çıkışların kontrol altına alınması gerekmektedir.
  •  Kişisel veriler elektronik ortamda ise, kişisel veri güvenliği ihlalini önlemek için ağ bileşenleri arasında erişim sınırlandırılır veya bu bileşenlerin ayrılması sağlanır.
  •  Çalışanların şahsi elektronik cihazlarının bilgi sistem ağına erişim sağlamaması gerekir. Erişim sağlanması gerekiyor ise, güvenlik ihlali risklerini arttırdığı için güvenlik tedbirleri alınmalıdır.
  •  Kişisel veri içeren kâğıt ortamındaki evraklar, sunucular, yedekleme cihazları, CD, DVD ve USB gibi cihazların ek güvenlik önlemlerinin olduğu farklı bir odaya alınması gerekir. Kullanılmadığı zaman kilit altında tutulmalı, giriş-çıkış kayıtlarının tutulması gibi fiziksel güvenlik önlemleri alınmalıdır.
  •  Kişisel veri içeren cihazların kaybolması veya çalınması gibi durumlara karşı erişim kontrol yetkilendirmesi veya şifreleme yöntemlerinin kullanılması gerekir. Şifre anahtarı sadece yetkili kişilerin erişebileceği ortamda saklanmalı ve yetkisiz erişim önlenmelidir.
  •  Cihazlar içerisinde bulunan kişisel veriler disk şifreleme yöntemi ile şifrelenmeli veya cihazda bulunan önemli veriler dosya halinde şifrelenmelidir.
  • Şifreleme programı olarak uluslararası kabul gören şifreleme programları tercih edilmelidir. Tercih edilen şifreleme yöntemi asimetrik şifreleme yöntemi olması halinde, anahtar yönetimi süreçlerine önem gösterilmelidir.
  •  Kişisel verilerin bulut ortamında depolanması halinde, bulut depolama hizmeti sağlayıcısı tarafından alınan güvenlik önlemlerinin yeterli olup olmadığının veri sorumlusunca değerlendirilmesi gerekmektedir.
  •  Bulut ortamında depolanan kişisel verilerin neler olduğunun detaylıca bilinmesi, yedeklenmesi, senkronizasyonun sağlanması ve bu kişisel verilere ihtiyaç olması durumunda uzaktan erişim için iki kademeli kimlik doğrulama kontrolünün uygulanması gerekmektedir.
  •  Bulut ortamında bulunan kişisel verilerin depolanması ve kullanımı sırasında, kriptografik yöntemlerle şifrelenmesi, bulut ortamlarına şifrelenerek atılması gerekmektedir.
  •  Kişisel veriler için mümkün olan her yerde ayrı ayrı şifreleme anahtarı kullanılması gerekmektedir.
  •  Uygulama sistem girdilerinin doğru ve uygun olduğuna dair kontroller yapılmalı, yapılan işlemler sırasında bilginin kasıtlı olarak bozulup bozulmadığını kontrol etmek için uygulamalara kontrol mekanizmaları yerleştirilmelidir.
  •  Uygulamalar işlem sırasında oluşabilecek hatalarda veri bütünlüğünü bozma olasılığını asgari düzeye indirecek şekilde tasarlanmalıdır.
  •  Arızalandığı ya da bakım süresi geldiği için üretici, satıcı, servis gibi üçüncü kurumlara gönderilen cihazlarda kişisel veri barındırıyor ise bu cihazların bakım ve onarım işlemi için gönderilmesinden önce kişisel verilerin güvenliğinin sağlanması gerekmektedir. Bu cihazlardaki veri saklama ortamının sökülerek saklanması, sadece arızalı parçaların gönderilmesi, içerisinde bulunan verilerin şifrelenmesi gibi işlemler yapılması gerekmektedir.
  •  Bakım ve onarım gibi amaçlarla dışarıdan personel gelmiş ise kişisel verileri kopyalayarak kurum dışına çıkartmasının engellenmesi ve gerekli güvenlik önlemlerinin alınması gerekmektedir.
  •  Kişisel verilerin herhangi bir sebeple zarar görmesi, yok olması, çalınması veya kaybolması gibi durumlarda veri sorumluları yedeklenen verileri kullanarak sistemin en kısa sürede yeniden faaliyete geçmesi gerekmektedir.
  • Kötü amaçlı yazımların verilere erişimde engel olması ihtimaline karşı veri yedekleme stratejileri geliştirilmelidir.
  • Yedeklenen veriler sadece sistem yöneticisi tarafından erişilebilir olmalıdır.
  • Veri seti yedekleri mutlaka ağ dışında tutulmalıdır.
  • Veri yedeklerinin fiziksel güvenliğinin sağlandığından emin olunmalıdır.

Daha fazla bilgi için: https://www.nesilteknoloji.com/contact/