TR
EN
DE
6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK), Türkiye de faaliyet gösteren tüm işletmelerin kişisel verileri koruma altına almasını zorunlu kılıyor. KVKK uyumluluğu sadece hukuki bir süreç değil, aynı zamanda güçlü bir IT altyapısı gerektiriyor.
KVKK İçin Teknik Tedbirler
1. Ağ Segmentasyonu: Kişisel veri barındıran sistemler ayrı VLAN segmentlerinde tutulmalı. Üretim ağı, misafir ağı ve veri tabanı sunucuları birbirinden izole edilmeli.
2. Erişim Kontrolü: Kişisel verilere sadece yetkili personel erişebilmeli. Active Directory grup politikaları, NAC (802.1X) ve çok faktörlü kimlik doğrulama (MFA) uygulanmalı.
3. Şifreleme: Kişisel veriler hem aktarım sırasında (TLS/SSL) hem de depolamada (AES-256) şifrelenmiş olmalı. Disk şifreleme (BitLocker) ve veritabanı şifreleme aktif edilmeli.
4. Log Yönetimi: Kişisel verilere yapılan tüm erişimler loglanmalı. SIEM çözümü ile loglar merkezi olarak toplanmalı ve en az 2 yıl saklanmalı.
5. Yedekleme: 3-2-1 kuralına uygun yedekleme stratejisi uygulanmalı. Yedekler de şifrelenmiş olmalı ve düzenli geri yükleme testleri yapılmalı.
6. Güvenli Silme: Kullanım dışı kalan diskler ve cihazlardaki kişisel veriler, geri kurtarılamayacak şekilde silinmeli (NIST 800-88 standardı).
KVKK İdari Tedbirler
Teknik tedbirlerin yanı sıra aydınlatma metni, açık rıza formları, veri işleme envanteri, VERBİS kaydı ve çalışan farkındalık eğitimleri de zorunludur.
KVKK Cezaları
Aydınlatma yükümlülüğünü yerine getirmemek 100.000 - 1.000.000 TL, veri güvenliğini sağlamamak 250.000 - 10.000.000 TL arasında idari para cezası gerektirebilir.
IT altyapınızın KVKK uyumluluğu için KVKK danışmanlık hizmetlerimizi inceleyin.