EN

KVKK’ya Neden İhtiyaç Duyulmuştur?

13 Mayıs 2019

6698 sayılı Kişisel Verilerin Korunması Kanunu(KVKK) 7 Nisan 2016 tarih ve 29677 sayılı karar ile yürürlüğe girmiştir. Bu kanun ile kişisel verilerin işlenmesi, sınırları belirlenmiş ölçüde ve uluslararası standartlara tabi olacak şekilde düzenlenmiştir. Kişisel verilerin korunması ise Anayasa Mahkemesi’nin “Kişisel verilerin korunması hakkı, kişinin insan onurunun korunmasının ve kişiliğini serbestçe geliştirebilmesi hakkının özel bir biçimi olarak, bireyin hak ve özgürlüklerini kişisel verilerin işlenmesi sırasında korumayı […]” kararında belirtildiği gibi kişilerin en temel hakkı olduğu belirtilerek ele alınmıştır.

Kişisel veri, elde edildiği takdirde belirli veya belirlenebilir bir kişiyle ilgili tüm bilgilerdir. Kişisel verilerin işlenmesi, kişisel verilerin elde edilmesi, saklanması, üzerinde herhangi bir değişiklik yapılması, sınıflandırılması, başkalarına aktarılması ve başkaları tarafından erişilebilir hâle getirilmesi, ya da kullanılması ve ait olduğu kişi tarafından kullanımının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi ifade eder. Yani çeşitli yerlerde depolanmış, daha önce birbiri ile ilişkisi olmayan pek çok verinin merkezi olarak bir araya getirilebilmesi bunun sonucu olarak anlamlandırılmasıdır. 

Veri erişim ve aktarım hızının teknoloji ile en üst seviyelere çıkması ve her alanda yaygınlaşmış bir biçimde verilerin kullanılmasından doğan koruma ihtiyacı da bu kanunun çıkmasının en temel nedenidir. KVKK, kişisel verilerin amaç dışı işlenmesini ya da kötüye kullanımının engellenmesini, kişisel hakların ihlal edilmesinin önüne geçilmesini, verinin güvenliğinin sağlanmasını amaç edinmiştir. KVKK, tüm bu gereksinimlerin neticesinde ortaya çıkan yasal düzenleme ihtiyacını karşılamaktadır. Kanun, kişisel verilerin korunmasında aşağıda yer alan temel ilkeleri benimsemiştir.

a) Hukuka ve dürüstlük kurallarına uygun olmak.
b) Doğru ve güncel olmak.
c) Belirli, açık ve meşru amaçlar için işlenmek.
ç) Toplandıkları ve işlendikleri amaç ile bağlantılı, sınırlı ve ölçülü olmak.
d) İşlendikleri amaç için gerekli olan süre kadar muhafaza edilmek.

Hangi teknolojik gereksinimlerden faydalanılmalıdır?

KVKK kapsamında, kurumların mevzuata uygunluğu ve yükümlülüklerini sağlaması, verilerinin bulunduğu ortamlarının fiziksel güvenliğini sağlaması, personel bilinçlendirmesi ve danışmanlık hizmetlerinin yanında teknolojik çözümlerden de yararlanması gerekmektedir. Verilerin işlenmesinin amaç dışı kullanımının önüne geçmek adına KVKK uyumluluk çözümleri geliştirilmiştir. Verinin şifrelenmesi, verinin sınıflandırılması, verinin maskelemesi ve veri kaybının engellenmesi gibi çözümler değerlendirilmelidir.

Verinin Şifrelenmesi;

Veri güvenliğinin temelini oluşturur. Kötü amaçlı kişilerce kullanılmak istenen veriye, yetkisiz erişimlerde elde edilememesini sağlamanın en basit yöntemidir. Şifreleme sadece erişimi yetkilendirmekle kalmayıp verinin ve kaynağının doğruluğunu ve bütünlüğünü de korumayı sağlar. Bu açıdan kişilerin ya da kurumların, hassas veri olarak nitelendirdiği verilerini şifreli olarak sunucularında muhafaza etmeleri gerekir.

Verinin Yedeklenmesi;

Hasar, kayıp, doğal felaket gibi veri bütünlüğüne zarar verebilecek herhangi bir olumsuz durumdan minimum seviyede etkilenmek amacıyla yapılan bir kopyalama işlemidir. İş sürekliliğini sağlamak için riski en aza indirerek verileri geri döndürebilir hale getirmektir. Veri kaybı olması durumunda önlem niteliği taşır. Bu işlem sanal yedekleme, doküman yedekleme, veritabanı yedekleme, mail sunucu yedekleme, bulut yedekleme olarak gerçekleştirilebilir. Bulut(Cloud) teknolojilerinden, RAID(Redundant Array of Independent Disks) yapılarından, NAS(Network-Attached Storage) sistemleri, SAN (Storage Area Network) yapısı, DAS(Direct-Attached Storage) gibi depolama çözümlerinden yararlanılabilir.

Veri Sızıntısını Engelleme;

Kurumun hassas verilerinin sistem dışına çıkışı denetim altına alınmalıdır. Bunun için DLP(Data Leak/Loss Prevention) çözümlerinin kullanılması gerekir. Bu çözümler verinin sistemden çıkışının engellemekle beraber verinin kurum içinde kullanım durumlarını gözlemleyebilmek adına da faydalı olur. DLP sistemleri sistem içerisindeki yazılımsal ve donanımsal kaynaklar tarafından verinin kullanım durumunu kontrol altına alır. Amaç dışı kullanımı, paylaşımı, veri aktarımını engeller. Aynı zamanda yeni bir teknoloji olan UEBA(User and Entity Behavior Analytics) teknolojisinden de yararlanılmalıdır. UEBA kullanıcı davranışını analiz ederek veri ihlaline karşı olabilecek tehditleri belirleyip bunların raporlanmasını sağlayan bir çözümdür. Anormal davranışların ve bunları gerçekleştiren kullanıcıların profillerinin tespiti makine öğrenmesi ile gerçekleştirilir. Sezgisel güvenlik analizi; içeriden gelebilecek tehditlere ve hedeflenen saldırılara karşın önleyici savunma açısından büyük önem taşır.

Sızma Testleri (Penetration Tests);

Güvenlik açıkları nedeniyle oluşabilecek bilgi kayıplarına engel olabilmek için yapılan testlerdir. Sistemin hatalarının ve zafiyetlerinin kötü niyetli kişiler tarafından istismar edilmesini engellemek ve sistemi daha güvenilir bir hale getirmek amacıyla yapılır. Sistemin veri sızıntısına yol açabilecek noktalarının önceden bir saldırgan bakış açısıyla tespit edilebilmesi güvenliğin artırılması açısından önem taşır. Bu testlerin düzenli ve sürekli olarak yapılması ardından test raporları baz alınarak gereken güvenlik önlemlerinin zaman kaybetmeden alınması gerekmektedir. Tehdit ve riskler en aza indirilerek ve siber güvenlik sağlanmalıdır.






İlgili İçerikler:

Penetrasyon Testi

Sızma testlerinde siber suçluların gerçek dünyada kullandığı yöntemler kullanılarak bir kurumun bilişim altyapısına sızılmaya ve ele geçirilmeye çalışılır.

Penetrasyon Testi Paketlerimiz
Penetrasyon Testi Paketlerimiz
Dışarıdan Penetrasyon Testi Pentest RemoteShell, BeyazNet Pentest Standart Pentest Exploit One, BeyazNet Pentest Pro Pentest Injection Plus, BeyazNet Pentest Pro Plus Pentest ZeroDay Enterprise
Farklılıklarımız
Farklılıklarımız
Alanında lider lisanslı test araçları (Acunetix, NetSparker, Nexpose, BurpSuite, Nessus vb.), DB Vulnerability Scanner ürünü ile veri tabanlarının içerden taranması, DNS Firewall ile DNS trafiği izlenerek zararlı yazılım bulaşmış makinaların tespiti
BeyazNet Pentest Hizmetimiz
BeyazNet Pentest Hizmetimiz
Firmamızın uzman ve sertifikalı ekibi detaylı incelemeler yaparak ağ, sistem ve yazılım katmanındaki zayıflıkları maksimum seviyede tespit etmektedir
Penetrasyon Testi
Göç'e Hazır mısınız?

Tüm alışkanlıklarımızdan, tüm bağımlılıklarımızdan, tüm sıkıntılarımızdan, daha güvenli özgür yazılımlara göç etmek için yanınızdayız.

Planlama neden çok önemli?
Planlama neden çok önemli?
Linux sistemler, Windows'tan çok farklı olduğu için ancak sağlıklı bir planlama ile göç mümkündür.
Güncelleme ve Şifre Sunucusu
Güncelleme ve Şifre Sunucusu
Göç için kurduğumuz sunucular sayesinde işletim sistemleri güncel ve güvenli kalıyor.
Linux Göç
Geçmişe dair kuşkularınız mı var?

TaliaStamp kullanarak, geçmişte edindiğiniz belgeleri damgalayabilir, böylece varlıklarını hukuki olarak garanti altına alabilirsiniz. Damgalayarak sunduğunuz belgenin inkar edilmesi halinde, bu belgenin en azından damgalandığı zamanda var olması sebebiyle belgenin geçmiş zamanda varlığını kanıtlayabilirsiniz.

TaliaStamp
TaliaBee ile cihazlarınıza hükmedin

Kullanıcı dostu bir arayüz ve diğer uygulamalarla iletişim kurabilme desteği sağlayan TaliaBee, sizin olmadığınız ortamlarda uzaktan kontrol edilebilir çıkışları sayesinde elleriniz, sensör bağlayabileceğiniz girişleri sayesinde duyularınız olur.

TaliaBee
İnternet Kontrol Altında

TaliaLog kullanarak, internet paylaşımına dair yasanın gerektirdiği kayıtları tutabilir ve internet erişiminizi istediğiniz kişilerle rahatça paylaşabilirsiniz. İnternetinizi paylaştığınız kişiler, erişim bilgileri ile kayıt altına alınır.

TaliaLog