KVKK Uyumlu Web Sitesi Checklist: 30 Teknik ve Hukuki Kontrol Noktası
Bilgi güvenliği yönetimi ve kişisel verilerin korunması, dijital ekosistemdeki her veri sorumlusunun asli ödevidir. 6698 sayılı Kanun kapsamında web tabanlı arayüzlerin, yalnızca hukuki metinlerle değil, çekirdek düzeyde siber güvenlik protokolleriyle zırhlandırılması gerekmektedir.
Nesil Teknoloji uzmanlığıyla hazırlanan bu master rehber; web mimarisinden veri yaşam döngüsüne kadar olan tüm süreçleri 30 kritik metrik üzerinden inceleyerek, kurumsal uyumluluğu teknik bir zorunluluk olarak analiz eder.
Rehberimiz, NIST (National Institute of Standards and Technology) Siber Güvenlik Çerçevesi ile tam uyumlu olup, veri gizliliğini (Confidentiality) ve bütünlüğünü (Integrity) en üst seviyede tutmayı amaçlamaktadır.
Katman 01
Hukuki Şeffaflık ve Veri Yönetişimi Standartları
Web sitenizin hukuki uyum katmanı, verinin toplandığı ilk temas noktasında meşruiyet sağlamalıdır. Bu aşamada şeffaflık ilkelerine aykırı her uygulama, KVKK'nın 10. maddesi uyarınca aydınlatma yükümlülüğünün ihlali anlamına gelir.
1.1 Dinamik Aydınlatma ve Katmanlı Bilgilendirme
Aydınlatma yükümlülüğü; veri sorumlusunun kimliği, verilerin işleme amaçları, kimlere ve hangi amaçla aktarılabileceği, toplama yöntemi ve hukuki sebebini içermelidir. Web sitesinde sadece genel bir metin sunmak yerine, her formun altında o işleme özgü (Örn: Kariyer başvurusu, e-ticaret satışı) katmanlı bilgilendirme yapılmalıdır. Kullanıcının dikkati dağıtılmadan, en kritik bilgiler (Verinin ne kadar süre saklanacağı ve 11. madde hakları) ön plana çıkarılmalıdır.
1.2 Granüler Açık Rıza ve Özgür İrade Mekanizması
Kanun uyarınca açık rıza; belirli bir konuya ilişkin, bilgilendirmeye dayanan ve özgür iradeyle açıklanan onaydır. "Üyeliği ve tüm pazarlama faaliyetlerini kabul ediyorum" şeklindeki paket onaylar (Bundling) hukuken geçersizdir. Hizmetin ifası için zorunlu olan üyelik sözleşmesi ile pazarlama odaklı ticari ileti izinleri ayrıştırılmalıdır. Onay kutucukları (Checkbox) varsayılan olarak boş bırakılmalı ve kullanıcının aktif hareketiyle doldurulmalıdır.
1.3 İleri Düzey Çerez (Cookie) Yönetimi
Çerezler üzerinden toplanan IP ve davranışsal veriler kişisel veri niteliğindedir. Web sitesinde; zorunlu, analitik, performans ve pazarlama çerezlerini kategorize eden interaktif bir Çerez Yönetim Paneli (CMP) bulunmalıdır. Kullanıcı onay vermeden önce pazarlama scriptlerinin (Örn: Facebook Pixel) tetiklenmesi teknik bir ihlaldir. Çerezlerin kullanım amaçları ve üçüncü taraf sağlayıcılar politikada detaylandırılmalıdır.
Teknik Standart: Onay Loglama Protokolü
Açık rızanın alındığına dair ispat yükümlülüğü veri sorumlusundadır. Backend sistemlerinizde şu veriler değişmez şekilde saklanmalıdır:
- - Kullanıcının Maskelenmiş IP Adresi ve User-Agent bilgisi
- - Onay anında yürürlükte olan Aydınlatma Metni'nin Versiyon ID'si
- - İşlemin gerçekleştiği milisaniye düzeyinde Zaman Damgası (ISO 8601)
- - Onayın hangi kanal (Web/Mobil/SMS) üzerinden tetiklendiği
1.4 Veri Minimizasyonu ve Ölçülülük İlkesi
Veri toplama formlarında sadece ilgili amaç için zorunlu olan veriler talep edilmelidir. Örneğin, bir haber bülteni kaydı için TC Kimlik No veya cinsiyet bilgisi talep edilmesi "Ölçülülük" ilkesine aykırıdır. Gereksiz toplanan her veri alanı, olası bir siber sızıntı durumunda risk puanınızı ve idari ceza miktarını katlayacaktır.
Katman 02
Teknik Tedbirler ve Sistem Güvenliği Mimarisi
Teknik tedbirler, KVKK uyumunun siber güvenlik omurgasını oluşturur. Kurul, veri ihlallerini incelerken "Savunma Derinliği" (Defense in Depth) prensibinin uygulanıp uygulanmadığını denetler.
2.1 Aktarım Güvenliği: TLS 1.3 ve Şifreleme Protokolleri
Web sitesi trafiği tamamen HTTPS üzerinden akmalı, sunucularda TLS 1.2 ve altı güvensiz protokoller devre dışı bırakılmalıdır. Güncel standart olan TLS 1.3 zorunlu kılınmalı ve HSTS (HTTP Strict Transport Security) başlıkları ile "sadece güvenli kanal" erişimi dayatılmalıdır. SSL sertifikalarının geçerliliği ve cipher suite yapılandırmaları düzenli taranmalıdır.
2.2 Veritabanı Güvenliği (Encryption at Rest)
Kişisel veriler veritabanında "plain text" olarak tutulmamalıdır. AES-256 gibi endüstri standardı şifreleme yöntemleri ile veri tabanı dosyaları ve diskler şifrelenmelidir. Kullanıcı parolaları, asla geri döndürülebilir yöntemlerle değil, Argon2 veya BCrypt gibi tuzlanmış (salted) hash algoritmaları ile saklanmalıdır. Tuz (salt) değerleri her kullanıcı için benzersiz olmalıdır.
| Kontrol Alanı | Teknik Gereksinim | Risk Matrisi |
|---|---|---|
| Kimlik Doğrulama | Multi-Factor Authentication (MFA) | Kritik |
| API Güvenliği | JWT / OAuth2 / Rate Limiting | Yüksek |
| Log Yönetimi | SIEM / Zaman Damgası (RFC 3161) | Yüksek |
| Zafiyet Taraması | Pentest / SAST / DAST | Orta |
2.3 Erişim Yönetimi ve Yetki Matrisi
Web sitesinin yönetim paneline erişim, "En Az Yetki" (Least Privilege) prensibiyle sınırlandırılmalıdır. Her personel, sadece görevi için gereken verilere erişebilmeli ve tüm admin işlemleri bireysel kullanıcı hesapları üzerinden izlenebilir şekilde kayıt altına alınmalıdır. Paylaşımlı admin hesapları ve varsayılan şifre kullanımı teknik bir kusur kabul edilmektedir.
2.4 Güvenli Yazılım Geliştirme Yaşam Döngüsü (S-SDLC)
Kod geliştirme süreçlerinde OWASP Top 10 listesinde yer alan SQL Injection, Cross-Site Scripting (XSS) ve CSRF gibi açıklar sistematik olarak taranmalıdır. Parametrik sorgular kullanılmalı, hata mesajlarında sistem mimarisini ifşa eden "stack trace" bilgileri dış dünyaya kapatılmalıdır. Tüm giriş verileri (Sanitization) ve çıkış verileri (Encoding) filtrelenmelidir.
Katman 03
Veri Yaşam Döngüsü ve Aktarım Rejimleri
Verinin toplanmasından imha edilmesine kadar geçen her adım, yasal sınırlar içerisinde yönetilmelidir. Verinin "gereksiz yere tutulması" başlı başına bir KVKK ihlali olarak tanımlanır.
3.1 Periyodik İmha ve Veri Arındırma Politikası
İşleme amacı ortadan kalkan veriler; silme, yok etme veya anonim hale getirme yöntemlerinden biriyle imha edilmelidir. Bu süreç manuel takipten ziyade, sistem tarafında kurgulanan otomatik "Retention Policy" algoritmalarıyla yürütülmelidir. Anonimleştirme işleminde, verinin başka verilerle eşleşse dahi kimliği belirlenebilir bir kişiyle ilişkilendirilemeyeceği matematiksel modellere sadık kalınmalıdır.
3.2 Yurt Dışı Aktarımı ve Bulut Servis Güvenliği
Web sitenizde kullanılan yurt dışı menşeli servisler (Örn: Google Analytics, AWS, SendGrid) "Yurt Dışı Aktarımı" teşkil eder. 2024 sonrası yeni mevzuat uyarınca; bu aktarımlar için Standart Sözleşmeler (SCC) imzalanmalı ve Kurul'a bildirimler yapılmalıdır. Mümkünse veriler Türkiye lokasyonlu, Tier-3 standartlarındaki veri merkezlerinde tutulmalıdır.
3.3 Tedarikçi Denetimi ve Veri İşleyen Sözleşmeleri
Yazılım desteği aldığınız ajanslar veya sunucu hizmeti veren firmalarla imzalanan sözleşmelere KVKK ek protokolleri eklenmelidir. Tedarikçinin güvenlik açığı, sizin doğrudan sorumluluğunuzdur. Bu nedenle alt işverenlerin siber güvenlik olgunluğu, düzenli sızma testleri ve denetim raporları ile teyit edilmelidir.
3.4 Veri Envanteri ve Sınıflandırma
Sistemde tutulan her veri alanı "Genel" veya "Özel Nitelikli" olarak sınıflandırılmalıdır. Özel nitelikli kişisel veriler (Sağlık, biyometri, inanç), Kurul kararları uyarınca ek şifreleme katmanları, maskeleme teknikleri ve çok daha kısıtlı erişim yetkileri ile korunmalıdır.
Katman 04
Kurumsal Dayanıklılık ve Olay Müdahale
Siber saldırıların kaçınılmaz olduğu bir dünyada, farkı yaratan "Olay Müdahale Kapasitesi"dir. Kurul, ihlal anında alınan aksiyonların hızını ve niteliğini değerlendirir.
4.1 Veri İhlal Bildirim Planı (72 Saat Kuralı)
İhlal tespit edildiği andan itibaren 72 saat içerisinde Kurul'a raporlama yapılmalıdır. Bu süre zarfında ihlalin kaynağı, etkilenen veri kategorileri ve alınacak teknik önlemler netleştirilmelidir. İhlal müdahale ekibi (CSIRT) önceden tanımlanmış olmalı ve her bir üyenin rolü senaryo bazlı testlerle (Desktop Exercise) belirlenmelidir.
4.2 Periyodik Sızma Testleri (Pentest) ve Denetim
Web sistemi üzerinde yılda en az bir kez bağımsız profesyonellerce sızma testi yaptırılmalıdır. Kritik kod güncellemeleri sonrası otomatik zafiyet tarama araçları (DAST/SAST) çalıştırılmalı ve bulunan bulgular risk matrisine göre kapatılmalıdır. Kurul denetimlerinde sızma testi raporları, özen yükümlülüğünün en güçlü kanıtıdır.
4.3 İlgili Kişi Başvuru Yönetimi (DSAR)
Kullanıcıların Kanun'un 11. maddesindeki haklarını (Veri silme, bilgi alma, düzeltme) kullanabilmeleri için web sitesinde kolay erişilebilir bir başvuru kanalı sunulmalıdır. Gelen taleplerin en geç 30 gün içinde ücretsiz yanıtlanması için kurumsal bir iş akışı oluşturulmalı ve tüm iletişim süreçleri kayıt altına alınmalıdır.
Mevzuat ve Uygulama Sık Sorulan Sorular
Web sitemizde sadece iletişim formu olması KVKK kapsamına girmek için yeterli mi?
Evet. İsim, soyisim ve e-posta topladığınız anda "Veri Sorumlusu" olursunuz ve kanun kapsamındaki 30 maddelik teknik ve idari yükümlülükler başlar.
Google Analytics kullanmak yurt dışı aktarımı sayılır mı?
Evet. Google sunucularının yurt dışı merkezli olması sebebiyle, kullanıcının IP ve davranış verileri yurt dışına aktarılmaktadır. Bu durum 2024 mevzuatına göre açık rıza ve bildirim yükümlülüğü getirir.
Verileri şifrelemek yasal sorumluluğu tamamen kaldırır mı?
Şifreleme, veri güvenliği yükümlülüğünün yerine getirildiğinin bir göstergesidir ancak sorumluluğu tamamen kaldırmaz. Şifreleme anahtarlarının (Key Management) güvenliği ve erişim yetkileri de aynı derecede kritiktir.
