KVKK tarafında dokümantasyon ve yapılması gerekenleri anlatan çok sayıda yazı bulunuyor internette. Mümkün olduğu kadar yalın bir kaynak oluşturmaya çalıştım, umarım işinize yarar. Öncelikle küçük işletmeler (bakkal, manav, kuaför vb.) kanun kapsamının dışında kalmakta.
Özetle;
- Kişisel verilerin hukuka aykırı işlenmesini önlemek
- Kişisel verilere hukuka aykırı erişilmesini önlemek
- Kişisel verilerin güvenli şekilde saklanmasını sağlamak
Gereksinimler
- Verilerin nitelikli kişisel olup olmadığına, gizlilik seviyesi gerektirip gerektirmediğine, ihlal halinde doğacak zararın niteliği-niceliğine sınıflandırılarak mevcut risk ve tehditler analiz edilmeli. Bu risklerin azaltılmasına ya da önlenmesine ilişkin uygulanabilir idari tedbirler planlanıp uygulamaya konmalı.
- Çalışanlara kişisel verilerin güvenliğini tehlikeye düşürecek durumlardan kaçınmalarını sağlayacak eğitimler verilmeli. “İzin verilmedikçe her şey yasaktır” prensibinin kurum kültürü olarak benimsenmesi sağlanmalı.
- Kişisel veri güvenliği politikası hazırlanmalı, bu kapsamda düzenli kontroller yapılmalı, belgelenmeli, iyileştirilmesi gereken durumlar belirlenmeli ve gereklilikler sürekli olarak giderilmeli.
- Kişisel veriler mümkün olduğunca az olmalı ve tutulması için gerekli süre geçtikten sonra imha politikaları doğrultusunda yok edilmeli. Bu veriler sorumlusu olunan kişiler dışında erişilememeli.
- Veri işleyenlerden hizmet alınması durumunda, kişisel veriler konusunda en az kendileri kadar güvenliğe sahip olduklarından emin olunmalı ve yazılı sözleşme imzalatılmalıdır.
- Kişisel veri güvenliğinin sağlanabilmesi için bilgi sistemleri güvenlik duvarı, siber güvenlik yazılımları, yama yönetimi vs. önlemlerin tam ve güncel olmalı, kişisel verilere erişim noktaları denetlenmeli, güvenli bağlantı metodları (SSL, TLS vb) kullanılmalı ve kayıt altında olmalı, kullanılan şifreler karmaşık ve erişimler brute force saldırılarına karşı sınırlanmış olmalıdır.
- Bilgi sistemleri çoğunlukla içeriden ve dışarıdan saldırılara maruz kalmakta ve çoğu zaman müdahale için geç kalınmaktadır. Bu durumun önüne geçilmek için yazılım ve servislerin kontrolü, güvenlik takiplerinin yapılması, kullanıcı işlem hareketlerinin tutulması, yaşanan sorunlarda hızlı aksiyon alınarak tehtidler resmi raporlama prosedürü ile bildirilmeli.
- Kişisel verilerin fiziksel güvenliği sağlanmalı (yangın, sel, hırsızlık), dijital veri içeren cihazların çalınması kaybolması durumunda ortaya çıkan kişisel verilere karşı önlem alınmalıdır. (Disk şifreleme, mobil cihaz yönetimi)
- Bilgi sistemlerine uzaktan bağlanacak cihazların güvenli olduklarından emin olunmalı. (VPN, mobil cihaz yönetimi, antivirüs yazılımı)
- Kişisel veriler bulut ortamında saklanıyorsa, hizmet sağlayıcının güvenli olduğundan emin olunmalı, mümkünse kişisel veriler şifreli olarak saklanmalı, hizmet sözleşmesi sona erdiğinde şifreleme anahtarları yok edilmelidir.
- Arızalı cihazların tamire-değişime gönderildiğinde kişisel veri içermediğinden ya da içerdiği verilerin üçüncü şahıslar tarafından erişilemeyeceğinden emin olunmalıdır.
- Kişisel verilerin herhangi bir sebeple zarar görmesi, yok olması, çalınması, fidye saldırıları gibi durumlarda en kısa sürede yedeklerden geri dönülebilmesi gerekmektedir. Yedeklenen veri sadece sistem yöneticisi tarafından erişilebilmeli, mümkünse şifrelenmeli, yedekler mutlaka ağ dışında tutulmalıdır. Aksi taktirde yedekler de saldırılara maruz kalabilmektedir.
Kaynak : https://www.kvkk.gov.tr/yayinlar/veri_guvenligi_rehberi.pdf
Yorum yapılmamış
You can leave the first : )