Home Yönetmelikler KİŞİSEL VERİLERİN KORUNMASI İÇİN TEKNİK TEDBİRLER
kvkk kapsamında sizmatesti

KİŞİSEL VERİLERİN KORUNMASI İÇİN TEKNİK TEDBİRLER

KİŞİSEL VERİLERİN KORUNMASI İÇİN TEKNİK TEDBİRLER

Kişisel Verilerin Korunması İçin Teknik Tedbirler başlıklı bu yazımızda kanun uyarınca alınması gereken idari ve teknik tedbirlerden teknik tedbirlerin neler olduğu özetlenmiştir.

Kişisel Verilerin Korunması Kanunu (KVKK) 12. maddesinin birinci fıkrasında;
“Veri sorumlusu;
a) Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,
b) Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,
c) Kişisel verilerin muhafazasını sağlamak
amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari
tedbirleri almak zorundadır.” ifadesi yer almaktadır.

Kişisel Verilerin Korunması İçin Teknik Tedbirler aşağıdaki şekilde açıklanmıştır.

1. Siber Güvenliğin Sağlanması

Kişisel veri güvenliğinin sağlanabilmesi için tek bir siber güvenlik ürünü kullanımıyla tam güvenlik sağlanması yeterli olmamaktadır. Çünkü tehditler geçen her zaman içinde etki alanlarını arttırmaktadır. Bu nedenle en iyi sonuç için, birçok prensip dahilinde tamamlayıcı niteliğe sahip ve düzenli olarak kontrol edilen birtakım tedbirlerin uygulanmasıdır.

Kişisel veri içeren bilgi teknoloji sistemlerinin internet üzerinden gelen izinsiz erişim tehditlerine karşı korunmasında alınabilecek öncelikli tedbirler, güvenlik duvarı ve ağ geçididir. Bunlar, internet gibi ortamlardan gelen saldırılara karşı ilk savunma yöntemidir.

2. Kişisel Veri Güvenliğinin Takibi

Veri sorumlularının sistemleri, hem içeriden hem de dışarıdan gelen saldırılara, kötü amaçlı yazılımlara ve siber suçlara maruz kalabilmekte olup, bu durum uzun süre fark edilememekte ve müdahale için geç kalınabilmektedir.
Bu durumun önüne geçebilmek için;
a) Güvenlik sorunlarının mümkün olduğunca hızlı bir şekilde raporlanması,

b) Çalışanların sistem ve servislerdeki güvenlik zaafiyetlerini ya da bunları kullanan
tehditleri bildirmesi için resmi bir raporlama prosedürü oluşturulması,

c) Bilişim ağlarında hangi yazılım ve servislerin çalıştığının kontrol edilmesi,

d) Bilişim ağlarında sızma veya olmaması gereken bir hareket olup olmadığının
belirlenmesi,

e) Tüm kullanıcıların işlem hareketleri kaydının (örneğin log kayıtları) düzenli olarak tutulması gerekmektedir.

3. Kişisel Veri İçeren Ortamların Güvenliğinin Sağlanması

Kişisel veriler, veri sorumlularının faaliyet adresinde yer alan cihazlarda ya da kağıt ortamında saklanıyor ise, bu cihazların ve kağıtların kaybolması ya da çalınması gibi tehditlere karşı fiziksel güvenlik önlemlerinin alınması gerekmektedir. Aynı zamanda, kişisel verilerin yer aldığı fiziksel ortamların yangın, sel vb. tehditlere karşı korunması gerekmekte ve bu ortamlara giriş çıkışların kontrol altına alınması gerekmektedir.
Kişisel veriler elektronik ortamda ise, kişisel veri güvenliği ihlalini önlemek için ağ bileşenleri arasında erişim sınırlandırılabilir ya da bileşenlerin ayrılması sağlanabilir.

4. Kişisel Verilerin Bulutta Depolanması

Bulut depolama hizmeti sağlayıcısı tarafından alınan güvenlik önlemlerinin yeterli ve uygun olup olmadığının veri sorumlusu tarafından değerlendirilmesi gerekmektedir. Çünkü kişisel verilerin bulut depolama hizmeti sağlayıcıları tarafından işlenmesi gibi birçok durum söz konusu olabilmektedir.
Bu kapsamda, bulutta depolanan kişisel verilerin neler olduğunun detaylı olarak bilinmesi, yedeklenmesi, senkronizasyonun sağlanması ve bu kişisel verilere gerekmesi halinde uzaktan erişim için iki kademeli kimlik doğrulama kontrolünün uygulanması önerilmektedir.

5. Bilgi Teknolojileri Sistemleri Tedariği, Geliştirme ve Bakımı

Arıza ya da bakım için üçüncü kurumlara gönderilen cihazlar eğer kişisel veri içermekte ise bu cihazların üçüncü taraflara gönderilmeden önce, kişisel veri güvenliğinin sağlanması için cihazlardaki veri saklama ortamının sökülerek saklanması, sadece arızalı parçaların gönderilmesi gibi işlemler yapılması uygun olacaktır. Bakım ve onarım gibi amaçlarla dışarıdan personel gelmiş ise kişisel verilerin kopya yolu ile kurum dışına çıkmasının engellenmesi için gerekli teknik önlemlerin alınması gerekir.

6. Kişisel Verilerin Yedeklenmesi

Kişisel verilerin herhangi bir sebeple zarar görmesi, yok olması, çalınması veya kaybolması gibi hallerde veri sorumlularının yedeklenen verileri kullanarak en kısa sürede faaliyete geçmesi gerekmektedir. Yedeklenen kişisel veriler sadece sistem yöneticisi tarafından erişilebilir olmalı, veri seti yedekleri mutlaka ağ dışında tutulmalıdır.

Aşağıda özet olarak Veri Sorumlusu tarafından Kişisel Verilerin Korunması İçin Teknik Tedbirler yer almaktadır.

Teknik Tedbirler
Yetki Matrisi
Yetki Kontrol
Erişim Logları
Kullanıcı Hesap Yönetimi
Ağ Güvenliği
Uygulama Güvenliği
Şifreleme
Sızma Testi
Saldırı Tespit ve Önleme Sistemleri
Log Kayıtları
Veri Maskeleme
Veri Kaybı Önleme Yazılımları
Yedekleme
Güvenlik Duvarları
Güncel Anti-Virüs Sistemleri
Silme, Yok Etme veya Anonim Hale Getirme
Anahtar Yönetimi

Tüm bu  süreci en doğru şekilde ve başarıyla yöneten uzman kadromuzdan yardım almak için hemen bizimle iletişime geçin!

Related Posts

Detay Danışmanlık, birlikte çalıştığı kuruluşlara değer katmayı amaçlar. Bu amaç, danışmanlık anlayışımızın mihenk taşıdır. Kattığı değeri, kurulan sistemin sürdürülebilir olmasına göre değerlendirir.

İletişim Bilgileri

E-Bülten Üyeliği

    Detay Danışmanlık 2007-2024 © Tüm Hakları Saklıdır.