KVK Kişisel Verileri Koruma Çözümleri

     
KVK Kişisel Verileri Koruma Çözümleri

KVKK Danışmanlığı  (Kişisel Verilerin Korunması Kanunu) nedir?

Kişisel Veri Ne demek?

Kişisel veri, bir bireye ilişkin her türlü politik düşünce, genetik bilgi,ticari ilişki, üyelik bilgileri, sağlık bilgileri, soy bağı gibi bir çok bilgiyi ifade etmektedir. Burdan yola çıkarsak sadece bireyin kimlik bilgileri yani adı, soyadı, doğum tarihi ve doğum yeri gibi onun kesin teşhisini sağlayan bilgiler değil, bunun yanında kişinin fiziki, ailevi, ekonomik, sosyal ve bunun gibi diğer özelliklerine ilişkin bilgileri de kapsar. Belirli veya belirlenebilir bir kişinin  mevcut verilerinin herhangi bir şekilde bir gerçek kişiyle ilişkilendirilmesi yoluyla, o kişinin tanımlanabilir hale getirilmesini ifade eder yani verilerin; bireyin fiziksel, ekonomik, kültürel, sosyal, psikolojik kimlik bilgilerini ifade eden somut bir içerik taşıması yada kimlik, sigorta numarası, vergi numarası gibi kişiyle ilgili bir kayıtla ilişkilendirilmesi sonucunda şahsın belirlenmesini sağlayan tüm durumları ifade eder. İsim, telefon numarası, fatura bilgileri, araç plakası, sosyal güvenlik numarası,bankahesap numarası, pasaport numarası, aile ve iş geçmişi, özel fotoğrafları ve  genetik bilgiler gibi veriler dolaylı da olsa kişiyi belirlenebilir kılabilme özellikleri nedeniyle şahsa ait kişisel bilgiler olarak adlandırılır.

 

 

Kvkk (Kişisel verilerin korunumu) ‘ na neden ihtiyaç duyuldu?

Hem kamu, hem özel kurum ve kuruluşlar, bir görevin yerine getirilmesi veya bir hizmetin sunumuyla bağlantılı olarak, kişisel veri niteliğindeki bilgileri, uzun süredir kullanılmak ve verilere hızlı erişim için bir çok nedenle veri depolarında toplamaktadır. Bu durum farklı nedenlerden kaynaklanabilmektedir, kimi zaman kanunlardan kaynaklanmakta kimi zaman kişilerin rızasına veya bazen de bir sözleşmeye dayanmakta bazen de yapılan işlemin özelliğine ve gerekliliğine bağlı olarak değişmektedir. Bu nedenledir ki , kişilerin temel hak ve hürriyetlerinin veri işleme sürecinde de korunması öncelikli konulardan biridir.

KVKK Hangi Kurumları İlgilendiriyor?

Yukarıdaki tanımdan yola çıkarak bu tanımların kapsamında bulunan gerçek bir kişi ile bağlantısı kurulabilecek, kişisel verileri alan ve saklayan her türlü kurum bu kanuna uymak durumundadır. Bundan dolayı bu kapsama giren tüm kurumların kanuna uyum için bir dizi çalışma yapmaları gerekmektedir.

KVKK Danışmanlığı  (Kişisel Verilerin Korunması Kanunu) nedir?

Kişisel Veri Ne demek?

Kişisel veri, bir bireye ilişkin her türlü politik düşünce, genetik bilgi,ticari ilişki, üyelik bilgileri, sağlık bilgileri, soy bağı gibi bir çok bilgiyi ifade etmektedir. Burdan yola çıkarsak sadece bireyin kimlik bilgileri yani adı, soyadı, doğum tarihi ve doğum yeri gibi onun kesin teşhisini sağlayan bilgiler değil, bunun yanında kişinin fiziki, ailevi, ekonomik, sosyal ve bunun gibi diğer özelliklerine ilişkin bilgileri de kapsar. Belirli veya belirlenebilir bir kişinin  mevcut verilerinin herhangi bir şekilde bir gerçek kişiyle ilişkilendirilmesi yoluyla, o kişinin tanımlanabilir hale getirilmesini ifade eder yani verilerin; bireyin fiziksel, ekonomik, kültürel, sosyal, psikolojik kimlik bilgilerini ifade eden somut bir içerik taşıması yada kimlik, sigorta numarası, vergi numarası gibi kişiyle ilgili bir kayıtla ilişkilendirilmesi sonucunda şahsın belirlenmesini sağlayan tüm durumları ifade eder. İsim, telefon numarası, fatura bilgileri, araç plakası, sosyal güvenlik numarası,bankahesap numarası, pasaport numarası, aile ve iş geçmişi, özel fotoğrafları ve  genetik bilgiler gibi veriler dolaylı da olsa kişiyi belirlenebilir kılabilme özellikleri nedeniyle şahsa ait kişisel bilgiler olarak adlandırılır.

 

 

Kvkk (Kişisel verilerin korunumu) ‘ na neden ihtiyaç duyuldu?

 

Hem kamu, hem özel kurum ve kuruluşlar, bir görevin yerine getirilmesi veya bir hizmetin sunumuyla bağlantılı olarak, kişisel veri niteliğindeki bilgileri, uzun süredir kullanılmak ve verilere hızlı erişim için bir çok nedenle veri depolarında toplamaktadır. Bu durum farklı nedenlerden kaynaklanabilmektedir, kimi zaman kanunlardan kaynaklanmakta kimi zaman kişilerin rızasına veya bazen de bir sözleşmeye dayanmakta bazen de yapılan işlemin özelliğine ve gerekliliğine bağlı olarak değişmektedir. Bu nedenledir ki , kişilerin temel hak ve hürriyetlerinin veri işleme sürecinde de korunması öncelikli konulardan biridir.

 

KVKK Hangi Kurumları İlgilendiriyor?

Yukarıdaki tanımdan yola çıkarak bu tanımların kapsamında bulunan gerçek bir kişi ile bağlantısı kurulabilecek, kişisel verileri alan ve saklayan her türlü kurum bu kanuna uymak durumundadır. Bundan dolayı bu kapsama giren tüm kurumların kanuna uyum için bir dizi çalışma yapmaları gerekmektedir.

Kaynak: https://karyabt.com/kvkk-kisisel-verilerin-korunmasi-kanunu-danismanligi-2

     
 
KVKK (Kişisel Verilerin Korunması Kanunu) son zamanlarda çok merak edilen bir konu haline geldi. Peki KVKK (Kişisel Verilerin Korunması Kanunu) nedir?

 

Son zamanlar oldukça gündeme gelmeye başlayan KVKK yani kişisel verilerin korunumu kanunu  nedir?

Gelişen teknoloji, teknolojinin hayatımızın vazgeçilmez bir parçası haline gelmeye başlamasıyla, her alanda işimizi kolaylaştırmaya ve işlerimizi daha hızlı bir şekilde yapmamıza olanak vermeye devam ediyor. Dolayısıyla da kişisel özel bilgileri de gerektiğinde kullanmak için kullanıcılardan talep etmektedir. İşte bu noktada özel hayatın gizliliği, kişisel hak ve mahrumiyetler ve şahsi özel verilerin saklanması, paylaşılmaması gibi çok önemli konuları da gayet doğal ki gündeme getirmiştir. Avrupa’da GDPR (General Data Protection Regulation) olarak karşımıza çıkmaktadır.

Uzun yıllardır tasarı halinde bekleyen ve 7 Nisan 2016 tarihinde yayımlanarak yürürlüğe giren ‘6698 Sayılı Kişisel Verilerin Korunması Kanunu (KVKK)’, kişisel verilerin kullanımında özellikle özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri kullanan, işleyen ve saklayan gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları kuralları düzenlemek için tasarlanmıştır.

Kişisel Verilerin Korunması Kanunu’nda belirtilen istisna durumlar dışında, kişisel veriler şahsın açık rızası olmadan işlenemeyecek; üçüncü kişilere ve yurtdışına verilmeyecektir. Kanun’da tek tek açıklanmış bu maddelere uyulmaması durumunda, kurumlar idari para cezasına çarptırılabileceklerdir.

Kişisel Verilerin Korunması Kanunu; kişisel veriler, asıl sahipleri tarafından kurum ve kuruluşlara verilerek bir emanet değeri görmektedir. Kurumlar verileri doğru ve gerekli durumlarda istemelidir. Bunun dışında veriyi işleyen kurumların verinin asıl sahiplerine, emanet aldıkları verilerle ilgili kişilere gerektiğinde  “hesap verebilir” olacak şekilde düzenlenmiş olan kuralları ifade etmektedir. KVKK  kişisel veriyi işleyen kurumlar için vazgeçilmez öneme sahip bir dönüşümü de beraberinde getirmektedir.

Devletin bu konuda kurum ve kuruluşlara verdiği süre iki yıl olarak belirlenmiştir. Bu tarihten önce işlenmiş tüm veriler, kanunda belirtilen hükümlere uyumlu hale getirilmek zorundadır. Kanunda belirtilen hükümlere aykırı olduğu tespit edilen kişisel veriler derhâl silinmeli, yok edilmeli veya anonimleştirilmelidir. Ancak bu tarihinden önce hukuka aykırı bir durumu olmayan verilerin sahiplerinden alınmış rızalar, bir yıl içinde veri sahibi tarafından aksi belirtilmemesi hâlinde, bu Kanuna uygun kabul edilebilecektir.

KVKK ve Kullanılan Teknolojiler

 

Kurumların sistemlerinde kullanılan verilerin gizliliğini korumak için KVKK yürürlüğe girmiştir. KVKK da amaç verilerin belli bir düzende işlenmesini ve gizliliğini sağlamaktır. Bunların sağlanması için bir çok teknoloji kullanılır.  KVKK çevresinde kullanılan teknolojiler şunlardır:

 

Kişisel Veri Tespit Testi

Bireylerin  kimlik numarası, kökeni, dini, sağlık ve öğrenim gibi kişisel verilerinin tespit edilmesidir.

Veri Sızıntısı Engelleme-DLP Testi

Kurumun veya çalışanların verilerinin dışarıya sızmaması gerekmektedir. DLP testi ile kurumda ki hassas verilerin dışarı çıkmasını engellemek amaçlanmaktadır.

Şifreleme Testi

KVKK için başki bir önemli ko da şifrelemedir. Ağa çıkan verinin şifrelenerek çıkmasını amaçlamaktadır. Veriler kötü niyetli kişiler tarafından ele geçirilse dahi veri şifreli olduğundan veriyi elde edemeyecektir ve dolayısıyla verinin dışa sızmasının önüne geçilmiş olacaktır.

E-Posta Güvenliği Testi

Kurumlarda iletişim ve haberleşme günümüzde genel olarak e-posta üzerinden gerçekleştirilmektedir. Günümüzde yapılan siber saldırılarda çoğunlukla mailleraracılııyla yapılır. Dikkatsiz bir çalışan tarafından veya yanlışlıkla üçüncü taraf kişilerden gelen zararlı mailleri açması sonucu kurum bilgisayarı ve ağı tehlikeye atılmış olur. Bu nedenle e-posta güvenliği de önem arz eden konulardandır. Kurum verilerine dikkat edilmesi gerektiği gibi içerisinde e-posta güvenliğine dikkat edilmelidir.

Web Güvenliği ve ADC Testleri

Mesela banka ve ticaret işletmelerinin web sitelerinde bulunan .nemli veriler açık kötü niyetli saldırganlarca sömürülüp kurum ve çalışan verileri elde edilebilir.  Bu nedenle web güvenliği de KVKK kapsamına girmektedir.

Log ve SIEM Teknolojileri Testi

Log ve SIEM teknolojileri kurumca gerçekleşen işlemleri kaydeder ve analizini yapmayı kapsar. KVKK açısından önemi ise yaşanan bir veri sızıntısında olayı aydınlatmak için SIEM ve Log kayıtlarına bakılır.

Veri Silme/Yok Etme Testi

Verilerin silinmesi veya yok edilmesi verinin imha edilme işlemidir. Verilerin silinmesi demek bu verilerin kullanıcılar tarafından hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesidir. Kişisel verilerin kasten ve kast dışı yok edilmesi KVKK’ya aykırı bir durum oluşturur.

Zaman Damgası Testi

Zaman damgası testi de KVKK için önemli bir yerdedir çünkü bir verinin ne zaman değiştirildiği, alındığı, gönderildiği gibi birçok önemli veriyi tutar.

Veri Tabanı Güvenliği Testi

Veri tabanı güvenliği testi hassas derecede önemlidir çünkü kurumun bütün verileri genellikle veri tabanında tutulmaktadır. Kullanılan veri tabanında bir zafiyetin bulunması durumu bu test aracığıyla tespit edilebilir.

Tokenizasyon Testi

Tokenizasyon teknolojisi hassas verilerin şifrelenmiş verilerle yer değiştirmesi yöntemiyle korunmasıdır. Tokenizasyon testi ile hassas verilerin şifrelenme durumu kontrol edilir.

Yapılandırılmamış Veri Güvenliği Ürünleri

Yapılandırılmamış güvenlik ürünleri birçok soruna sebep olmaktadır. Cihazın kurulumunu veya konfigürasyonunu tam yapmamak kötü niyetli insanlar için fırsat olup bu açıklıklardan içeri sızıp verilerin elde edilmesine neden olabilmektedir. Bu nedenle cihazların konfigürasyonunu tam yapmak çok önemlidir.

Mobil Cihaz Yönetimi (MDM) Ürünleri

Cihazların kurulumu kadar yönetilmesi de çok önemlidir. Kullanılan cihazda hangi özellikler açık, ya da cihazın dışardan erişim için açığı var mı gibi bilgilerin bilinmesi ve yönetilmesi gerekir.

Yetki ve Erişim Denetim Ürünleri

Yetki ve erişim denetim ürünleri de KVKK kapsamında önemli bir yere sahiptir. Örneğin, NAC ürünü sayesinde ağa kimin bağlandığı, şu an ağda ne oluyor gibi hareketleri görebiliriz. Ağ izlenimin olmadığı bir durumda kötü niyetli biri kurum ağına bağlanıp içerden verileri alabilir. Bu yüzden bu gibi ürünler kurum ve çalışanların verilerinin korunması için önemli cihazlardır.

Görüldüğü gibi KVKK kapsamında kullanılan birçok teknoloji bulunmaktadır. KVKK çok önemli bir kanundur anlatılan teknolojilerle beraber kullanıldığında daha faydalı ve efektif olur. Bu saydığımız bütün teknolojiler KVKK için büyük önem taşımaktadır. KVKK kapsamında verileri bu teknolojilerle beraber daha iyi koruyabiliriz.

KVKK İçin Üç Ana Başlık :

Hukuk, Bilişim ve Süreç 

 

Kurumlar KVKK Süreçlerini en doğru ve en iyi sekilde verebilmeleri için üç ana başlık altında toplayabiliriz. Hukuk, bilişim ve süreç disiplinlerinde danışmanlık desteğği alırlar. Birbirleriyle bağlantılı ve ortak bir halde ilerlemesi gereken bu üç disiplin, biri bile eksik olmadan çalışılmalıdır.DLP ve SIEM çözümlerimizle Karya Teknoloji olarak destek verebilmekteyiz.

KVKK sadece bir kanuni zorunluluk olarak düşünülmemelidir. Kişisel verilerin korunmasında kurumlar verilerin orunmasına dikkat etmelidirler. Zorunluluk olarak düşünüldüğünde teknoloji ve süreçkonularında danışmanlık gibi unsurlarınanaliz edilmesini daha zor bir hal alacaktır.. KVKK’nın teknoloji olmadan korunmayaolanak sağlayamayacaktır. Kişisel verilerin korunması için çok büyük öneme sahip olan şifreleme, tokenizasyon, veri sızıntısı engelleme, veri tabanı güvenliği, zaman damgası ve verileri güvenli silme(yok etme) gibi işlemlerin gözden kaçmasına neden olacaktır.

KVKK’nın bilişim yönünden bakıldğında alınacak hizmetler DLP, şifreleme, maskeleme gibi güvenlik ürünleridir.

VERBİS'e kayıt, sözleşmelerin revizyonu, sistem altyapısındaki düzenlemeler gibi çalışmaları kapsayan süreç danışmanlığı ise tanımından da anlaşıldığı üzere hem teknik hem de hukuki alanla birlikte çalışmayı gerektirmektedir.

 

VERBİS' e kayıt olmak için son tarih 30 Aralık 2019

Karya Teknoloji olarak DLP, şifreleme, maskeleme gibi güvenlik ürünlerinde hizmet vermekteyiz.

 

 

KVKK Kurumunun Tavsiye Ettiği Teknik Önlemleri

Kurumlarda ki veri sorumlusu, 6698 sayılı Kişisel Verilerin Korunması Kanununun 12 nci maddesinin (1) numaralı fıkrasında bulunan;

a.Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,
b.Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,
c.Kişisel verilerin muhafazasını sağlamak

Amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır.

Teknik önlemler olarak aşağıdaki maddeler belirlenmiştir.

1- Kişisel veri içeren bilgi teknoloji sistemlerinin internet üzerinden gelen izinsiz erişim tehditlerine karşı korunması için güvenlik duvarı ve ağ geçidi tedbiri alınmalıdır.
2- Kullanılmayan yazılım ve servisler cihazlardan kaldırılmalıdır.
3- Ağ ortamında kullanılan cihazların ve/veya programların yama yönetimi-yazılım güncellemelerinin olup olmadığı, düzgün bir şekilde çalıştığının kontrolü ve sistemler için alınan güvenlik tedbirlerinin yeterli olup olmadığının düzenli olarak kontrol edilmesi gerekir.
4- Kişisel verileri içeren sistemlere erişimin sınırlı olması gerekmektedir. Çalışanlara işi ve görevleri ile yetki ve sorumlulukları için gerekli olduğu ölçüde erişim yetkisi tanınmalı, kullanıcı adı ve parola kullanılmak suretiyle ilgili sistemlere erişim sağlanmalıdır.
5- Erişim yetki ve kontrol matrisi oluşturulmalıdır. Erişim politika ve prosedürü oluşturarak veri sorumlusu organizasyonu içinde uygulamaya alınmalıdır.
6- Güçlü şifre ve parola kullanılmalıdır. Kaba kuvvet saldırılarından korunmak için parola girişi deneme sayısının sınırlandırılması ve düzenli aralıklarla şifre ve parola değişimi sağlanmalıdır.
7- Yönetici ve admin yetkisinin sadece ihtiyaç olduğu durumlarda kullanmak için açılmalıdır.
8- Veri sorumlularının kurum veya veri ile ilişikleri kesildiği anda zaman kaybetmeden hesaplarının silinmesi ve girişlerinin kapatılması gerekmektedir.
9- Kötü amaçlı yazılımlardan korunmak amaçlı, bilgi sistem ağını düzenli olarak tarayan ve tehlikeleri tespit eden antivirüs, antispam ürünlerin kullanılması gerekmektedir. Kurulan ürünler güncel tutularak gereken dosyaların düzenli olarak tarandığından emin olunmalıdır.
10- Veri sorumluları farklı internet siteleri ve/veya mobil uygulama kanallarından kişisel veri temin edecekse, bağlantılarının SSL ya da daha güvenli bir yol ile gerçekleştirilmesi gerekmektedir.
11- Bilişim ağında hangi yazılım ve servislerin çalıştığı kontrol edilmelidir.
12- Bilişim ağında sızma veya olmaması gereken bir hareket olup olmadığının belirlenmesi gerekmektedir.
13- Sistemdeki tüm kullanıcıların işlem hareketleri kaydının düzenli olarak tutulması gerekmektedir. (Log kayıtları)
14- Güvenlik sorunları hızlı bir şekilde raporlanmalıdır.
15- Kurumda çalışanların sistem ve servislerdeki güvenlik zafiyetlerini ya da bunları kullanan tehditleri bildirmesi için resmi bir raporlama prosedürü oluşturulmalıdır.
16- Oluşturulan raporlar sistem yöneticisi tarafından en kısa zamanda veri sorumlusuna sunulmalıdır.
17- Güvenlik yazılımı mesajları, erişim kontrolü kayıtları ve diğer raporlama araçlarının düzenli olarak kontrol edilmesi gerekir. Sistemlerden gelen uyarılar üzerine harekete geçilmeli, bilişim sistemlerinin bilinen zafiyetlere karşı korunması için düzenli olarak zafiyet taramaları ve sızma testlerinin yapılması ile ortaya çıkan güvenlik açıklarına dair testlerinin sonucuna göre değerlendirme yapılmalıdır.
18- Bilişim sistemlerinin çökmesi, kötü niyetli yazılım, servis dışı bırakma saldırısı, eksik veya hatalı veri girişi, gizlilik ve bütünlüğü bozan ihlaller, bilişim sisteminin kötüye kullanılması gibi istenmeyen olaylarda deliller toplanmalı ve güvenli bir şekilde saklanmalıdır.
19- Kişisel veriler, veri sorumlularının yerleşkesinde yer alan cihazlarda ya da kâğıt ortamında saklanıyor ise, bu cihazların ve kâğıtların çalınması veya kaybolması gibi tehditlere karşı fiziksel güvenlik önlemlerinin alınarak korunması gerekmektedir.
20- Kişisel verilerin yer aldığı fiziksel ortamların dış risklere (yangın, sel vb.) karşı uygun yöntemlerle korunması ve bu ortamlara giriş/çıkışların kontrol altına alınması gerekmektedir.
21- Kişisel veriler elektronik ortamda ise, kişisel veri güvenliği ihlalini önlemek için ağ bileşenleri arasında erişim sınırlandırılır veya bu bileşenlerin ayrılması sağlanır.
22- Çalışanların şahsi elektronik cihazlarının bilgi sistem ağına erişim sağlamaması gerekir. Erişim sağlanması gerekiyor ise, güvenlik ihlali risklerini arttırdığı için güvenlik tedbirleri alınmalıdır.
23- Kişisel veri içeren kâğıt ortamındaki evraklar, sunucular, yedekleme cihazları, CD, DVD ve USB gibi cihazların ek güvenlik önlemlerinin olduğu farklı bir odaya alınması gerekir. Kullanılmadığı zaman kilit altında tutulmalı, giriş-çıkış kayıtlarının tutulması gibi fiziksel güvenlik önlemleri alınmalıdır.
24- Kişisel veri içeren cihazların kaybolması veya çalınması gibi durumlara karşı erişim kontrol yetkilendirmesi veya şifreleme yöntemlerinin kullanılması gerekir. Şifre anahtarı sadece yetkili kişilerin erişebileceği ortamda saklanmalı ve yetkisiz erişim önlenmelidir.
25- Cihazlar içerisinde bulunan kişisel veriler disk şifreleme yöntemi ile şifrelenmeli veya cihazda bulunan önemli veriler dosya halinde şifrelenmelidir.
26- Şifreleme programı olarak uluslararası kabul gören şifreleme programları tercih edilmelidir. Tercih edilen şifreleme yöntemi asimetrik şifreleme yöntemi olması halinde, anahtar yönetimi süreçlerine önem gösterilmelidir.
27- Kişisel verilerin bulut ortamında depolanması halinde, bulut depolama hizmeti sağlayıcısı tarafından alınan güvenlik önlemlerinin yeterli olup olmadığının veri sorumlusunca değerlendirilmesi gerekmektedir.
28- Bulut ortamında depolanan kişisel verilerin neler olduğunun detaylıca bilinmesi, yedeklenmesi, senkronizasyonun sağlanması ve bu kişisel verilere ihtiyaç olması durumunda uzaktan erişim için iki kademeli kimlik doğrulama kontrolünün uygulanması gerekmektedir.
29- Bulut ortamında bulunan kişisel verilerin depolanması ve kullanımı sırasında, kriptografik yöntemlerle şifrelenmesi, bulut ortamlarına şifrelenerek atılması gerekmektedir.
30- Kişisel veriler için mümkün olan her yerde ayrı ayrı şifreleme anahtarı kullanılması gerekmektedir.
31- Uygulama sistem girdilerinin doğru ve uygun olduğuna dair kontroller yapılmalı, yapılan işlemler sırasında bilginin kasıtlı olarak bozulup bozulmadığını kontrol etmek için uygulamalara kontrol mekanizmaları yerleştirilmelidir.
32- Uygulamalar işlem sırasında oluşabilecek hatalarda veri bütünlüğünü bozma olasılığını asgari düzeye indirecek şekilde tasarlanmalıdır.
33- Arızalandığı ya da bakım süresi geldiği için üretici, satıcı, servis gibi üçüncü kurumlara gönderilen cihazlarda kişisel veri barındırıyor ise bu cihazların bakım ve onarım işlemi için gönderilmesinden önce kişisel verilerin güvenliğinin sağlanması gerekmektedir. Bu cihazlardaki veri saklama ortamının sökülerek saklanması, sadece arızalı parçaların gönderilmesi, içerisinde bulunan verilerin şifrelenmesi gibi işlemler yapılması gerekmektedir.
34- Bakım ve onarım gibi amaçlarla dışarıdan personel gelmiş ise kişisel verileri kopyalayarak kurum dışına çıkartmasının engellenmesi ve gerekli güvenlik önlemlerinin alınması gerekmektedir.
35- Kişisel verilerin herhangi bir sebeple zarar görmesi, yok olması, çalınması veya kaybolması gibi durumlarda veri sorumluları yedeklenen verileri kullanarak sistemin en kısa sürede yeniden faaliyete geçmesi gerekmektedir.
36- Kötü amaçlı yazımların verilere erişimde engel olması ihtimaline karşı veri yedekleme stratejileri geliştirilmelidir.
37- Yedeklenen veriler sadece sistem yöneticisi tarafından erişilebilir olmalıdır.
38- Veri seti yedekleri mutlaka ağ dışında tutulmalıdır.
39- Veri yedeklerinin fiziksel güvenliğinin sağlandığından emin olunmalıdır.

Özet olarak;

Aşağıda belirtilen başlıklar kurum içerisinde gereğiyle yapıldığında verilerin ihlali azaltılmış olur.

– Yetkilendirme matrisi oluşturulmalıdır.
– Yetki kontrolü yapılmalıdır.
– Erişim loğları tutulmalıdır.
– Kullanıcı hesapları yönetilmelidir.
– Ağ ortamının güvenliği sağlanmalıdır.
– Uygulamaların güvenliği sağlanmalıdır
– Veriler şifreleme yöntemleri ile şifrelenmelidir.
– Sızma testleri yapılarak kurum güvenliği test edilmelidir.
– Saldırı tespit ve önleme sistemleri oluşturulmalıdır.
– Log kayıtları incelenmeli ve yedeklenmelidir.
– Veri maskelemeleri yapılmalıdır.
– Veri kaybı önleme yazılımları kullanılmalıdır.
– Yedekleme sistemleri kullanılmalıdır.
– Güncel anti-virüs sistemleri kullanılmalıdır.
– Verileri durumlarına göre silme, yok etme veya anonim hale getirme işlemleri yapılmalıdır.

Kaynak

 

 
 
 

KVKK (Kişisel Verilerin Korunumu Kanunu) -GDPR Danışmanlığı  nedir?

KVKK danışmanlığı, kişisel verilerin korunması amacıyla kişisel verilerimizin saklanması, gizliliği, aktarılmasının engellenmesi, muhafaza edilmesini sağlamayı amaçlayan kurum veya kuruluşlara KVKK uyumluluk ve güvenliğini sağlamak ve arttırmak amacıyla yapılan danışmanlıktır. Akıllı telefon, bilgisayar, tabletlerin hayatımıza girmesiyle alışveriş yaparken ,üye olurken  ve daha birçok işlemde kişisel verilerimizi kendi rızamızla kabul ediyor veya red ediyoruz. Avrupada General Data Protection Regulation (GDPR) olarak başlayıp bizde KVKK olarak kişisel verileri koruma latına alınması için tasarlanmasıyla, kurumlar uyum sağlamak için gün saymaya başladılar.

 

KVKK nedir?

KVKK Uyum için neler yapmalı?

KVKK (Kişisel Verilerin Korunumu Kanunu) ile ilgili merak edilen sorularınız için;

https://karyabt.com/kvkk-kisisel-verilerin-korunumu-kanunu-danismanligi

Karya Teknoloji olarak Kişisel Verileri Koruma Danışmanlığı alanında DLP, SIEM gibi teknolojilerle çözüm ortağınız olmamız için bizi arayınız.

General Data Protection Regulation (GDPR) olarak yasalaşan ve ülkemizde de KVKK (Kişisel Verileri Koruma Kanunu) olarak yasalaşan ve yakın gelecekte Kurumlar Tarafından sistemlerin uyumluluğu zorunlu hale gelecektir. Yani her kurum sistemlerini Kişisel Verileri Korunma Kanununa uyumlu hale getirmelidir. Uyum için son süreçlerde olmamızdan dolayı bu konuda KVK danışmanı olarak Görec Yapan Karya Teknoloji gibi Teknolojik Firmaların hizmetine ihtiyaç duyulmaktadır. Bizimle iletişime geçerek sistemlerini incelememizi yada DLIP, SIEM gibi KVKK nın en öneml parçalarından uyum ve süreç yolunda bizden hizmet alabilirsiniz.

İstanbul'da hizmet vermekte olan şirketimiz. Ankara, İzmir, İstanbul ve Türkiye'nin tümüne Kişilse Verileri Koruma danışmanı olarak hizmet vermektedir.

20 yılı aşkın tecrübemiz, sayısız referans ve güçlü İş ortaklarımızla İstanbul ve tüm Türkiye'ye KVK ( Kişisel Verileri  Koruma) alanında hizmet vermeye devam etmekteyiz.

 

Kurumlar KVKK (Kişisel Verilen Korunması Kanunu) için neler yapmalıdır?

 
Kurumlar KVKK (Kişisel Verilen Korunması Kanunu) için neler yapmalıdır?
     
Kurumlar KVKK (Kişisel Verilen Korunması Kanunu) için neler yapmalıdır?
 

Yani kurumların bu emanet aldıkları verilerin gerektiği zaman hesap verebilecekleri hale gelmelidirler. Bunun cevabı:

Kişisel verilerin güvene almak,

Kişisel verilerle ilgili veri politikası belirlemek,

Kişisel verilerle ilgili olabilecek riskleri öngörmek ve hazırlanmak,

Kişisel verilerin korunması kanunun kapsamını ve hedeflerini belirlemek,

Kişisel verilerin korunması ile ilgili sorumluluk ve hesap verebilirlik ilkelerini belirlemek,

Kişisel veri envanteri oluşturulmalı,

Kişisel verilerle ilgili oluşabilecek riskli durumlara hazırlık yapmalı,

Kişisel veri toplama, işleme ve paylaşma ile ilgili yeni yöntemler belirlemeli,

Kişisel veri koruma temsilcileri belirlemeli,

Kişisel verilerin kanuna uygun şekilde işlenmesini sağlayacak yapıyı hazırlamak için kaynak sağlamalı,

Kişisel verilerle ilgili şikâyetleri geldiği zamanlarda ne yapılacağını belilemeliyiz.

 


 

Daha ayrıntılı bilgi için Lütfen Bizi Arayın.

Arama yapmak için tıklayınız...