KİŞİSEL VERİLERİN KORUNMASI İÇİN TEKNİK TEDBİRLER
KİŞİSEL VERİLERİN KORUNMASI İÇİN TEKNİK TEDBİRLER
Kişisel Verilerin Korunması İçin Teknik Tedbirler başlıklı bu yazımızda kanun uyarınca alınması gereken idari ve teknik tedbirlerden teknik tedbirlerin neler olduğu özetlenmiştir.
Kişisel Verilerin Korunması Kanunu (KVKK) 12. maddesinin birinci fıkrasında;
“Veri sorumlusu;
a) Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,
b) Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,
c) Kişisel verilerin muhafazasını sağlamak
amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari
tedbirleri almak zorundadır.” ifadesi yer almaktadır.
Kişisel Verilerin Korunması İçin Teknik Tedbirler aşağıdaki şekilde açıklanmıştır.
1. Siber Güvenliğin Sağlanması
Kişisel veri güvenliğinin sağlanabilmesi için tek bir siber güvenlik ürünü kullanımıyla tam güvenlik sağlanması yeterli olmamaktadır. Çünkü tehditler geçen her zaman içinde etki alanlarını arttırmaktadır. Bu nedenle en iyi sonuç için, birçok prensip dahilinde tamamlayıcı niteliğe sahip ve düzenli olarak kontrol edilen birtakım tedbirlerin uygulanmasıdır.
Kişisel veri içeren bilgi teknoloji sistemlerinin internet üzerinden gelen izinsiz erişim tehditlerine karşı korunmasında alınabilecek öncelikli tedbirler, güvenlik duvarı ve ağ geçididir. Bunlar, internet gibi ortamlardan gelen saldırılara karşı ilk savunma yöntemidir.
2. Kişisel Veri Güvenliğinin Takibi
Veri sorumlularının sistemleri, hem içeriden hem de dışarıdan gelen saldırılara, kötü amaçlı yazılımlara ve siber suçlara maruz kalabilmekte olup, bu durum uzun süre fark edilememekte ve müdahale için geç kalınabilmektedir.
Bu durumun önüne geçebilmek için;
a) Güvenlik sorunlarının mümkün olduğunca hızlı bir şekilde raporlanması,
b) Çalışanların sistem ve servislerdeki güvenlik zaafiyetlerini ya da bunları kullanan
tehditleri bildirmesi için resmi bir raporlama prosedürü oluşturulması,
c) Bilişim ağlarında hangi yazılım ve servislerin çalıştığının kontrol edilmesi,
d) Bilişim ağlarında sızma veya olmaması gereken bir hareket olup olmadığının
belirlenmesi,
e) Tüm kullanıcıların işlem hareketleri kaydının (örneğin log kayıtları) düzenli olarak tutulması gerekmektedir.
3. Kişisel Veri İçeren Ortamların Güvenliğinin Sağlanması
Kişisel veriler, veri sorumlularının faaliyet adresinde yer alan cihazlarda ya da kağıt ortamında saklanıyor ise, bu cihazların ve kağıtların kaybolması ya da çalınması gibi tehditlere karşı fiziksel güvenlik önlemlerinin alınması gerekmektedir. Aynı zamanda, kişisel verilerin yer aldığı fiziksel ortamların yangın, sel vb. tehditlere karşı korunması gerekmekte ve bu ortamlara giriş çıkışların kontrol altına alınması gerekmektedir.
Kişisel veriler elektronik ortamda ise, kişisel veri güvenliği ihlalini önlemek için ağ bileşenleri arasında erişim sınırlandırılabilir ya da bileşenlerin ayrılması sağlanabilir.
4. Kişisel Verilerin Bulutta Depolanması
Bulut depolama hizmeti sağlayıcısı tarafından alınan güvenlik önlemlerinin yeterli ve uygun olup olmadığının veri sorumlusu tarafından değerlendirilmesi gerekmektedir. Çünkü kişisel verilerin bulut depolama hizmeti sağlayıcıları tarafından işlenmesi gibi birçok durum söz konusu olabilmektedir.
Bu kapsamda, bulutta depolanan kişisel verilerin neler olduğunun detaylı olarak bilinmesi, yedeklenmesi, senkronizasyonun sağlanması ve bu kişisel verilere gerekmesi halinde uzaktan erişim için iki kademeli kimlik doğrulama kontrolünün uygulanması önerilmektedir.
5. Bilgi Teknolojileri Sistemleri Tedariği, Geliştirme ve Bakımı
Arıza ya da bakım için üçüncü kurumlara gönderilen cihazlar eğer kişisel veri içermekte ise bu cihazların üçüncü taraflara gönderilmeden önce, kişisel veri güvenliğinin sağlanması için cihazlardaki veri saklama ortamının sökülerek saklanması, sadece arızalı parçaların gönderilmesi gibi işlemler yapılması uygun olacaktır. Bakım ve onarım gibi amaçlarla dışarıdan personel gelmiş ise kişisel verilerin kopya yolu ile kurum dışına çıkmasının engellenmesi için gerekli teknik önlemlerin alınması gerekir.
6. Kişisel Verilerin Yedeklenmesi
Kişisel verilerin herhangi bir sebeple zarar görmesi, yok olması, çalınması veya kaybolması gibi hallerde veri sorumlularının yedeklenen verileri kullanarak en kısa sürede faaliyete geçmesi gerekmektedir. Yedeklenen kişisel veriler sadece sistem yöneticisi tarafından erişilebilir olmalı, veri seti yedekleri mutlaka ağ dışında tutulmalıdır.
Aşağıda özet olarak Veri Sorumlusu tarafından Kişisel Verilerin Korunması İçin Teknik Tedbirler yer almaktadır.
Teknik Tedbirler |
Yetki Matrisi |
Yetki Kontrol |
Erişim Logları |
Kullanıcı Hesap Yönetimi |
Ağ Güvenliği |
Uygulama Güvenliği |
Şifreleme |
Sızma Testi |
Saldırı Tespit ve Önleme Sistemleri |
Log Kayıtları |
Veri Maskeleme |
Veri Kaybı Önleme Yazılımları |
Yedekleme |
Güvenlik Duvarları |
Güncel Anti-Virüs Sistemleri |
Silme, Yok Etme veya Anonim Hale Getirme |
Anahtar Yönetimi |
Tüm bu süreci en doğru şekilde ve başarıyla yöneten uzman kadromuzdan yardım almak için hemen bizimle iletişime geçin!