KVKK İçin Teknik Önlemler
Kişisel Verileri Korunması Kanunu, çok kapsamlı ve detaylı çalışmalar gerektirmektedir. Esasen yasal çerçevesi kanun ile belirlenmiş, başlı başına hukuki bir konudur. Kişisel verilerin korunması bir proje değil bir süreç olarak görülmelidir.Kurumlardaki veri sorumlusu, 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 12’nci maddesinin (1) numaralı fıkrasında bulunan, Amaca dayalı teknik tedbirleri almak zorundadır. Teknik önemler ise;
1- Kişisel verilerinizi içeren sistemlerinize izinsiz girişleri engellemek istiyorsanız güvenlik duvarı kullanın.
2-Kullanılmayan yazılımlar ve servislerinizi cihazdan kaldırın.
3-Verilerinizi içeren sistemlere erişimin sınırlı olması gerekmektedir.
4-Ağ ortamlarında kullanılan cihazların güncellenmesi, çalışıp çalışmadığı sistemler için alınan güvenlik tedbirlerine uyup uymadığını ya da olup olmadığını kontrol ediniz.
5-Dışarıdan gelen saldırılara karşı güvende olmak için güçlü parolalar oluşturmak gerekir.
6-İhtiyaç duyulmadığı sürece yönetici ya da admin kısmını kullanmamak gerekir.
7-Veri sorumlularının kurum veya veri ile ilişikleri kesildiği anda hesaplarının silinmesi ve girişlerini kapatmanız gerekmektedir.
8-Kötü amaçlı yazılımlardan kurtulmak ve sisteminizin düzenli bir şekilde çalışması için anti-virüs programı kullanın ve tarayıp taramadığını kontrol ediniz.
9-Sistemdeki tüm kullanıcıların tüm hareketlerini düzenli bir şekilde tutulması gerekmektedir.
10-Eğer güvenlik sorunları varsa hızlı bir şekilde raporlanmalıdır
11-Oluşturulan sorunlarda en kısa zamanda veri sorumlusuna sunulmalıdır.
12-Cihazda bulunan verilerinizi şifrelemeyi ve yedeklemeyi unutmayınız
13-Sistemleriniz bakımı ya da arızası için üçüncü kişiler tarafına verildiğinde öncelikle içindeki önemli verileri almanız gerekmektedir.
14-kişisel verileriniz çalınması alınması gibi durumlarda yedeklediğiniz verilerinizi kullanarak yeniden faaliyete geçirebilirsiniz.
15-Yedeklediğiniz verilerinizi sadece yönetici tarafından erişilmesi gerekmektedir.
16-Uygulama sistem girdilerinin doğru ve uygun olduğuna dair kontroller yapılmalı, yapılan işlemler sırasında bilginin kasıtlı olarak bozulup bozulmadığını kontrol etmek için uygulamalara kontrol mekanizmaları yerleştirilmelidir.
17-Kişisel veriler için mümkün olan her yerde ayrı ayrı şifreleme anahtarı kullanılması gerekmektedir.
18-Verilerinizin güvenliği için mümkün olan yerlere ayrı ayrı aynı olmayacak şekilde şifreler kullanın.
19-Veri seti yedekleri mutlaka ağ dışında tutulmalıdır.
20-Kişisel veri içeren kâğıt ortamındaki evraklar, sunucular, yedekleme cihazları, CD, DVD ve USB gibi cihazların ek güvenlik önlemlerinin olduğu farklı bir odaya alınması gerekir. Kullanılmadığı zaman kilit altında tutulmalı, giriş-çıkış kayıtlarının tutulması gibi fiziksel güvenlik önlemleri alınmalıdır.
21-Çalışanların şahsi elektronik cihazlarının bilgi sistem ağına erişim sağlamaması gerekir. Erişim sağlanması gerekiyor ise, güvenlik ihlali risklerini arttırdığı için güvenlik tedbirleri alınmalıdır.;
22-Kişisel verilerin yer aldığı fiziksel ortamların dış risklere (yangın, sel vb.) karşı uygun yöntemlerle korunması ve bu ortamlara giriş/çıkışların kontrol altına alınması gerekmektedir.
23-Kişisel verilerin yer aldığı fiziksel ortamların dış risklere (yangın, sel vb.) karşı uygun yöntemlerle korunması ve bu ortamlara giriş/çıkışların kontrol altına alınması gerekmektedir.
24-Uygulamalar işlem sırasında oluşabilecek hatalarda veri bütünlüğünü bozma olasılığını asgari düzeye indirecek şekilde tasarlanmalıdır.
25- Kişisel veriler elektronik ortamda ise, kişisel veri güvenliği ihlalini önlemek için ağ bileşenleri arasında erişim sınırlandırılır veya bu bileşenlerin ayrılması sağlanır.
Aşağıda belirtilen başlıklar kurum içerisinde gereğiyle yapıldığında verilerin ihlali azaltılmış olur.
– Yetkilendirme matrisi oluşturulmalıdır.
– Yetki kontrolü yapılmalıdır.
– Erişim logları tutulmalıdır.
– Kullanıcı hesapları yönetilmelidir.
– Ağ ortamının güvenliği sağlanmalıdır.
– Uygulamaların güvenliği sağlanmalıdır
– Veriler şifreleme yöntemleri ile şifrelenmelidir.
– Sızma testleri yapılarak kurum güvenliği test edilmelidir.
– Saldırı tespit ve önleme sistemleri oluşturulmalıdır.
– Log kayıtları incelenmeli ve yedeklenmelidir.
– Veri maskelemeleri yapılmalıdır.
– Veri kaybı önleme yazılımları kullanılmalıdır.
– Yedekleme sistemleri kullanılmalıdır.
– Güncel anti-virüs sistemleri kullanılmalıdır.
– Verileri durumlarına göre silme, yok etme veya anonim hale getirme işlemleri yapılmalıdır.