Kvkk Uyumlu Veri Saklama

Hukuki Riskleri Yönetin: KVKK Uyumlu Veri Saklama ve İmha Süreçleri İçin BT Çözümleri

Dijital çağda veri, işletmelerin en değerli sermayesi olduğu kadar, doğru yönetilmediğinde ve korunmadığında en büyük risk kaynağıdır. 2016 yılında hayatımıza giren ve iş dünyasında deprem etkisi yaratan 6698 Sayılı Kişisel Verilerin Korunması Kanunu (KVKK), Türkiye’deki iş yapış şekillerini kökten değiştirdi. Artık bir müşterinin telefon numarasını CRM sistemine kaydetmekten, personelin özlük dosyasını sunucuda saklamaya kadar atılan her adım, katı bir yasal prosedüre tabidir.

Ancak ne yazık ki birçok işletme yöneticisi, kvkk uyumlu veri saklama sürecini sadece hukukçularla hazırlanan “Aydınlatma Metinleri”, “Çerez Politikaları” ve “Açık Rıza Beyanları”ndan ibaret sanıyor. Oysa kanun koyucu, sadece kağıt üzerinde izin almanızı değil, o veriyi “teknik olarak” ve “fiziksel olarak” korumanızı emreder. İşte bu noktada, hukuk biter ve teknoloji başlar. Eğer veri tabanınız şifreli değilse, firewall cihazınız güncel tehditlere karşı yapılandırılmamışsa veya verileriniz yetkisiz kişilerin erişimine açıksa, imzalattığınız kağıtların sizi milyonlarca liralık cezalardan koruması mümkün değildir. İşletmelerin ticari hayatına güvenle devam edebilmesi için kvkk uyumlu veri saklama standartlarını bir kurum kültürü ve teknik altyapı standardı haline getirmesi şarttır.

Everest Teknoloji olarak, 15 yılı aşkın süredir Tuzla, Gebze ve İstanbul genelindeki yüzlerce işletmenin dijital dönüşümüne ve IT altyapılarına rehberlik ediyoruz. Sahada yaptığımız analizlerde gördüğümüz en büyük eksiklik, “Hukuk Departmanı” ile “Bilgi İşlem (IT) Departmanı” arasındaki kopukluktur. Hukuk departmanı “Veriyi koru ve kanuna uy” der, ancak IT departmanına gerekli bütçe, donanım veya yazılım araçları sağlanmazsa, o veri teknik olarak korunamaz. Veri ihlalleri genellikle filmlerdeki gibi kötü niyetli bir hacker saldırısından değil, basit bir “yetki karmaşasından”, şifrelenmemiş bir USB bellekten veya “imha edilmeyen eski bir hard diskten” kaynaklanır. Başarılı bir kvkk uyumlu veri saklama stratejisi, hukuk ve teknolojinin entegrasyonunu gerektirir.

Bu kapsamlı ve teknik rehberde, KVKK’nın teknik veçhesini, kvkk uyumlu veri saklama süreçlerinin nasıl yapılandırılması gerektiğini, şifreleme, maskeleme, loglama ve güvenli imha gibi teknik tedbirleri en ince detayına kadar inceleyeceğiz. Amacımız, işletmenizi Kurul (KVKK) cezalarından, itibar kaybından ve veri sızıntısı krizlerinden koruyacak “Teknolojik Zırhı” nasıl kuşatacağınızı ve kvkk uyumlu veri saklama altyapısını nasıl kuracağınızı anlatmaktır.

Kvkk Uyumlu Veri Saklama

KVKK Nedir ve IT Departmanını Neden İlgilendirir?

Kişisel Verilerin Korunması Kanunu, temel hak ve özgürlükleri korumak amacıyla kişisel verilerin işlenmesini disiplin altına alan bir yasadır. Ancak yasanın “Veri Güvenliğine İlişkin Yükümlülükler” başlıklı 12. maddesi, veri sorumlusuna (yani şirketinize) şu görevi verir:

  1. Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek.

  2. Kişisel verilere hukuka aykırı olarak erişilmesini önlemek.

  3. Kişisel verilerin muhafazasını sağlamak.

Bu üç madde, doğrudan IT altyapısını ve kvkk uyumlu veri saklama prosedürlerini işaret eder. Bir veriye “hukuka aykırı erişilmesini önlemek” demek; sadece kapıyı kilitlemek değil, Firewall kurmak, güncel antivirüs yazılımları kullanmak, yetki matrisleri oluşturmak ve saldırı tespit sistemleri (IDS/IPS) kullanmak demektir. Yani kvkk uyumlu veri saklama, hukuki bir zorunluluk olsa da, %80 oranında teknik bir süreçtir. Everest Teknoloji olarak biz, hukukçuların çizdiği sınırları, teknolojik duvarlarla koruyan sistem mühendisleriyiz.

Teknik Tedbirler Kılavuzu: Nereden Başlamalı?

Kişisel Verileri Koruma Kurumu, “Kişisel Veri Güvenliği Rehberi (Teknik ve İdari Tedbirler)” adında bir kılavuz yayınlamıştır. Bu kılavuzda belirtilen teknik tedbirleri almayan firmalar, bir sızıntı durumunda “gerekli özeni göstermemekle” suçlanır ve ciddi idari para cezalarına çarptırılır. KVKK uyumlu veri saklama başarısı, bu kılavuza ne kadar uyduğunuzla ölçülür.

KVKK uyumlu veri saklama süreci için almanız gereken temel teknik tedbirler şunlardır:

  1. Yetki Matrisi ve Erişim Logları

  2. Ağ Güvenliği ve Firewall Yönetimi

  3. Şifreleme (Kriptografik Önlemler)

  4. Veri Kaybı Önleme (DLP) Yazılımları

  5. Sızma Testleri ve Denetim

  6. Veri Maskeleme ve Silme/Yok Etme/Anonim Hale Getirme

Şimdi bu maddeleri, Everest Teknoloji’nin sahadaki uygulama pratikleriyle detaylandıralım ve kvkk uyumlu veri saklama için neden elzem olduklarını görelim.

1. Yetki Matrisi: Kim, Neyi, Neden Görüyor?

Bir şirketteki en büyük ve en yaygın güvenlik açığı, “Herkesin her şeye erişebilmesidir”. Muhasebe departmanındaki bir stajyerin, İnsan Kaynakları klasöründeki personel maaşlarını, sağlık raporlarını veya yönetim kurulu kararlarını görmesi, açık ve net bir KVKK ihlalidir. KVKK uyumlu veri saklama prensibi, “Need to Know” (Bilmesi Gereken) ilkesine dayanır.

KVKK uyumlu veri saklama sürecinin ilk adımı, detaylı bir “Yetki Matrisi” oluşturmaktır.

  • Active Directory Yapılandırması: Everest Teknoloji olarak sunucularınızda kullanıcı grupları oluştururuz. İK personeli sadece İK klasörüne, Satış personeli sadece Müşteri klasörüne erişebilir.

  • En Az Yetki Prensibi: Bir personel işini yapabilmek için en az ne kadar veriye ihtiyaç duyuyorsa, ona sadece o kadar yetki verilir. Bu, kvkk uyumlu veri saklama güvenliğini artırır.

  • Erişim Logları: Kimin hangi dosyayı açtığı, değiştirdiği veya sildiği saniye saniye kayıt altına alınır. Bu loglar, olası bir veri hırsızlığında delil niteliğindedir.

2. Siber Güvenlik Duvarları: Firewall ve Saldırı Önleme

Verileriniz ofisinizdeki bir sunucuda, NAS cihazında veya bilgisayarda duruyor. Peki, bu sunucuya internet üzerinden dışarıdan birileri erişebilir mi? Eğer profesyonel bir Firewall (Güvenlik Duvarı) cihazınız yoksa veya doğru yapılandırılmamışsa, cevap maalesef “Evet”tir. KVKK uyumlu veri saklama, güçlü bir çevre güvenliği gerektirir.

KVKK uyumlu veri saklama için ağ güvenliği şarttır ve Everest Teknoloji bu konuda uzmanlaşmıştır.

  • Fortinet / Sophos Çözümleri: Everest Teknoloji olarak, işletmenizin ölçeğine ve veri trafiğine uygun Firewall cihazlarını kurar ve yapılandırırız.

  • VPN ile Güvenli Erişim: Uzaktan çalışan personeliniz, şirket ağına şifreli bir tünel (VPN) üzerinden bağlanmalıdır. Açık internet üzerinden RDP ile sunucuya bağlanmak, verileri tepside sunmaktır ve kvkk uyumlu veri saklama ilkelerine aykırıdır.

  • IPS (Saldırı Önleme): Hackerların sisteminize sızma girişimlerini otomatik algılayan ve engelleyen sistemlerdir.

3. Kriptografik Önlemler: Veriyi Şifrelemek

Diyelim ki bir personelin laptopu çalındı veya sunucunuzdaki hard disk kötü niyetli biri tarafından sökülüp götürüldü. Eğer diskleriniz şifreli değilse, hırsız o diski başka bir bilgisayara takıp içindeki tüm müşteri listelerini, finansal verileri ve personel bilgilerini rahatça okuyabilir. Bu, KVKK kapsamında çok ağır cezası olan bir “Veri İhlali”dir. Ancak kvkk uyumlu veri saklama standartlarında şifreleme yapılmışsa risk minimize edilir.

KVKK uyumlu veri saklama standartlarında “Şifreleme” (Encryption) kullanırsanız, hırsız o diski ele geçirse bile içindeki veriler anlamsız karakter yığınları olarak görünür.

  • Disk Şifreleme (BitLocker vb.): Tüm kurumsal bilgisayarların ve taşınabilir disklerin şifrelenmesi, kvkk uyumlu veri saklama için temel şarttır.

  • Veritabanı Şifreleme: SQL sunucularındaki hassas sütunlar (TC Kimlik No, Kredi Kartı vb.) şifreli tutulmalıdır.

  • İletişim Şifreleme: Veriler transfer edilirken (E-posta, Web) SSL/TLS protokolleri kullanılmalıdır.

4. Veri Kaybı Önleme (DLP) Sistemleri

İç tehditler, bazen dış tehditlerden daha tehlikelidir ve tespiti daha zordur. İşten ayrılmaya hazırlanan bir satış müdürünün, tüm müşteri listesini USB belleğe atıp rakip firmaya götürmesini nasıl engellersiniz? Veya bir personelin yanlışlıkla binlerce müşterinin kredi kartı bilgisini e-posta ile dışarı göndermesini? KVKK uyumlu veri saklama sadece dışarıdan gelen saldırıyı değil, içeriden dışarıya sızmayı da engellemeyi gerektirir.

İşte burada DLP (Data Loss Prevention) teknolojisi devreye girer. KVKK uyumlu veri saklama altyapısının en gelişmiş ve akıllı katmanıdır. Everest Teknoloji’nin kurduğu DLP sistemleri:

  • İçerik Analizi Yapar: “İçinde TC Kimlik Numarası veya Kredi Kartı deseni geçen dosyalar dışarıya mail atılamaz” kuralını uygular.

  • USB Engelleyici: Şirket bilgisayarlarına izinsiz USB bellek takılmasını engeller veya sadece “Okuma” izni verir, dosya kopyalamayı yasaklar. Bu, kvkk uyumlu veri saklama disiplininin olmazsa olmazıdır.

  • Ekran Görüntüsü Yasağı: Hassas verilerin ekran görüntüsünün (Screenshot) alınmasını engeller.

DLP, verinin şirket dışına sızmasını “teknik olarak” imkansız hale getirir ve kvkk uyumlu veri saklama seviyenizi zirveye taşır.

5. Loglama ve İzlenebilirlik (5651 Sayılı Kanun)

KVKK uyumu, 5651 Sayılı İnternet Yasası ile de kardeştir. Şirketinizde kimin, hangi saatte, hangi IP adresinden sisteme girdiği ve hangi işlemleri yaptığı yasal olarak kayıt altına alınmalıdır. KVKK uyumlu veri saklama sadece veriyi tutmak değil, verinin hareketlerini de izlemektir.

Bir siber saldırı olduğunda veya veri sızdığında, KVKK Kurumu size şunu sorar: “Bu ihlalin ne zaman ve nasıl olduğunu ispatla.” Eğer elinizde zaman damgalı, değiştirilemez ve imzalı log kayıtları yoksa, suçsuzluğunuzu ispatlayamazsınız. KVKK uyumlu veri saklama hizmetimiz kapsamında:

  • Merkezi Log Yönetimi (SIEM): Firewall, sunucu, veritabanı ve antivirüs loglarını tek bir merkezde toplar, anlamlandırır ve zaman damgasıyla imzalar.

  • Anormallik Tespiti: Gece saat 03:00’te Muhasebe Müdürü sisteme girip 10 GB veri indirmeye çalışıyorsa, sistem bunu bir “anormallik” olarak algılar ve IT yöneticisine alarm gönderir. Bu proaktif yaklaşım, kvkk uyumlu veri saklama güvenliğini artırır.

6. Veri İmha Politikası: Silmek Yetmez, Yok Etmek Gerekir

KVKK’nın en çok ihmal edilen ve yanlış anlaşılan maddelerinden biri “Veri İmha” süreçleridir. Kanun der ki: “İşleme şartları ortadan kalkan kişisel veriler, resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silinir, yok edilir veya anonim hale getirilir.” KVKK uyumlu veri saklama döngüsü, güvenli imha ile tamamlanır.

Yani, bir müşteriyle çalışmayı bıraktınız veya bir personel işten ayrıldı. Yasal saklama süreleri (Örn: SGK için 10 yıl) dolduktan sonra, o verileri saklamaya devam edemezsiniz. Saklarsanız suç işlersiniz. Peki, bilgisayardan “Delete” tuşuna basmak veya “Geri Dönüşüm Kutusunu Boşaltmak” veriyi yok eder mi? Hayır. Basit bir veri kurtarma yazılımıyla o veriler saniyeler içinde geri getirilebilir. Bu da kvkk uyumlu veri saklama ve imha sürecinin başarısız olduğu anlamına gelir.

Everest Teknoloji olarak kvkk uyumlu veri saklama ve imha süreçlerinde şu profesyonel yöntemleri uygularız:

  • Güvenli Silme (Wiping): Özel yazılımlarla diskin üzerine defalarca anlamsız veri yazılarak (7 pass, 35 pass DoD standardı) eski verinin kurtarılamaz hale getirilmesi.

  • Fiziksel Yok Etme (Degaussing / Shredding): Hard disklerin manyetik alanla bozulması veya fiziksel olarak parçalanması.

  • Anonimleştirme: Verinin, başka verilerle eşleştirilse dahi kimliği belirli bir kişiyle ilişkilendirilemeyecek hale getirilmesi (Örn: İsimlerin silinip sadece istatistiksel veri olarak “İstanbul’da yaşayan 30 yaş erkek” şeklinde tutulması).

Kvkk Uyumlu Veri Saklama

Bulut Bilişim ve Veri Yerelleştirme (Data Residency)

KVKK’nın en hassas ve teknik konularından biri de verilerin yurt dışına aktarılmasıdır. Eğer verilerinizi (Müşteri listeleri, e-postalar, yedekler) sunucuları yurt dışında olan bir bulut sağlayıcısında (Örn: Dropbox, Google Drive’ın bazı versiyonları veya yurt dışı hosting) tutuyorsanız, veriyi “yurt dışına aktarmış” sayılırsınız. Bunun için ya kuruldan izin almalı ya da kişilerden açık rıza almalısınız ki bu operasyonel olarak çok zordur. KVKK uyumlu veri saklama için verinin nerede durduğu kritiktir.

KVKK uyumlu veri saklama için en güvenli ve pratik yol, verilerin Türkiye sınırları içinde saklanmasıdır. Everest Teknoloji olarak:

  • Yerel Sunucu Kurulumu: İşletmenizin kendi bünyesinde (On-Premise) güvenli ve iklimlendirilmiş sunucu odaları kurarak verinin evinizde kalmasını sağlarız. Bu, kvkk uyumlu veri saklama kontrolünü %100 size verir.

  • Yerli Veri Merkezleri: Verilerinizi Türkiye’deki Tier-3 sertifikalı ve KVKK uyumlu veri merkezlerinde barındıran yerli bulut çözümleri sunarız.

VERBİS Kaydı ve BT Envanteri

Veri Sorumluları Sicili’ne (VERBİS) kayıt yükümlülüğü olan firmalar, hangi verileri işlediklerini, ne kadar süre saklayacaklarını ve hangi teknik tedbirleri aldıklarını devlete beyan etmek zorundadır. Bu beyanı doğru ve eksiksiz yapabilmek için, işletmenizin detaylı bir “Veri Envanteri” ve “BT Varlık Envanteri” olması gerekir. Hangi bilgisayarda hangi veri var? Hangi sunucuda kimin bilgisi tutuluyor? Everest Teknoloji, kvkk uyumlu veri saklama danışmanlığı kapsamında, IT altyapınızın röntgenini çeker ve VERBİS kaydı için gerekli teknik envanter raporlarını eksiksiz hazırlar.

Kişisel Veri ve Özel Nitelikli Kişisel Veri Ayrımı

Teknik tedbirler alırken verinin niteliği çok önemlidir ve kvkk uyumlu veri saklama stratejisini belirler.

  • Kişisel Veri: Ad, Soyad, Telefon, E-posta.

  • Özel Nitelikli Kişisel Veri: Sağlık verileri, biyometrik veriler (parmak izi, yüz tanıma), din, mezhep, sendika üyeliği, ceza mahkumiyeti, cinsel hayat.

Özel nitelikli verilerin güvenliği için Kurul “ekstra” ve daha sıkı tedbirler ister. Örneğin, sağlık verilerinin tutulduğu sunucuya erişim için “İki Aşamalı Doğrulama” (2FA) zorunludur. Sadece şifre yetmez, cep telefonuna gelen kodla girilmelidir. Everest Teknoloji, hassas verileriniz için bu ileri güvenlik katmanlarını kurgulayarak kvkk uyumlu veri saklama sağlar.

Eğitim ve Farkındalık: En Zayıf Halka İnsandır

Dünyanın en iyi, en pahalı kvkk uyumlu veri saklama sistemini de kursak, en güçlü şifrelemeyi de yapsak; eğer personeliniz “Müşteri Listesi.xlsx” dosyasını şifresiz bir USB belleğe atıp kaybederse veya “Şifreniz süresi doldu” diyen sahte bir maile (Phishing) tıklayıp şifresini kaptırırsa, veri ihlali gerçekleşir.

Bu yüzden teknik tedbirlerin yanında “İnsan Güvenlik Duvarı”nı da güçlendiriyoruz. Personelinize siber güvenlik farkındalık eğitimleri vererek, oltalama saldırılarına ve sosyal mühendislik tuzaklarına karşı uyanık olmalarını sağlıyoruz. Bilinçli personel, kvkk uyumlu veri saklama sürecinin en önemli parçasıdır.

Neden Everest Teknoloji?

KVKK uyum süreci, bir defaya mahsus yapılan bir işlem değil, yaşayan, sürekli güncellenen bir döngüdür. Yeni bir yazılım aldığınızda, yeni bir departman açtığınızda veya yeni bir personel işe başladığında kvkk uyumlu veri saklama sisteminin güncellenmesi gerekir.

Everest Teknoloji, Tuzla ve Gebze bölgesindeki KOBİ’lerin ve fabrikaların dilinden anlayan bir teknoloji ortağıdır.

  • Hukuk ve Teknoloji Köprüsü: Hukuk departmanınızla/danışmanınızla aynı dili konuşur, onların taleplerini teknik çözümlere dönüştürürüz.

  • Maliyet Etkin Çözümler: KVKK uyumlu veri saklama için milyon dolarlık yazılımlar şart değildir. İşletmenizin bütçesine uygun, ölçeklenebilir ve yasalara tam uyumlu çözümler üretiriz.

  • 7/24 İzleme ve Destek: Kurduğumuz güvenlik sistemlerini Kurumsal Bakım Anlaşması kapsamında 7/24 izler, olası ihlalleri anında raporlarız.

Veri İhlalinin Maliyeti: Cezalar ve İtibar

KVKK cezaları, yıllık ciro üzerinden hesaplanan çok ciddi rakamlara ulaşabilir. Ancak işletmeler için daha da kötüsü “İtibar Kaybı”dır. “Müşteri verilerini çaldıran firma” damgası yemek, ticari hayatın sonu olabilir. KVKK uyumlu veri saklama yatırımı, bir masraf kalemi değil, işletmenizin geleceğini, markasını ve itibarını koruyan bir sigorta poliçesidir.

Sıkça Sorulan Sorular

Soru: Sadece antivirüs programı kurmak KVKK için yeterli mi? Cevap: Kesinlikle hayır. Antivirüs sadece temel bir korumadır. Firewall, loglama, yetki yönetimi, şifreleme ve DLP gibi katmanlı bir yapı olmadan tam anlamıyla kvkk uyumlu veri saklama sağlanamaz.

Soru: Excel dosyalarına şifre koysak yeterli olur mu? Cevap: Excel şifreleri basit araçlarla kırılabilir. Ayrıca dosya bazlı şifreleme, merkezi bir yönetim sağlamaz. Disk şifreleme (BitLocker) ve DLP çözümleri, kvkk uyumlu veri saklama için daha güvenli ve yönetilebilirdir.

Soru: Eski hard diskleri çöpe atabilir miyiz? Cevap: Hayır. Çöpe atılan disklerden veri kurtarılabilir. Bu disklerin ya “Secure Wipe” yöntemiyle temizlenmesi ya da fiziksel olarak parçalanarak (kırılarak/delinerek) imha edilmesi gerekir. Bu, kvkk uyumlu veri saklama prosedürünün son adımıdır.

Sonuç: Teknolojiyle Uyum, Hukukla Güven

6698 Sayılı Kanun, işletmelere “Veriye sahip çık” diyor. Bu sahiplenme, kilitli kapılar ardında, şifreli disklerde ve güvenlik duvarlarının arkasında mümkündür. Gerçek bir kvkk uyumlu veri saklama ancak bu vizyonla mümkündür.

Everest Teknoloji olarak, işletmenizin KVKK uyum yolculuğunda teknik kaptanınız olmaya hazırız. Verilerinizi şifreleyelim, erişimleri denetleyelim, sızıntıları önleyelim ve yasal riskleri sıfıra indirelim.

KVKK uyumlu veri saklama çözümlerimiz, ücretsiz teknik analiz ve size özel yol haritası için bizimle iletişime geçin. Hukuki riskleri teknolojiyle yönetin, işinize güvenle devam edin.

Etiketler: , , , , , , , , ,