Hizmetlerimiz > Danışmanlık Hizmetleri > KVKK Uyumluluğu
KVKK/GDPR DANIŞMANLIK HİZMETLERİ
24 Mart 2016 tarihinde yürürlüğe giren 6698 nolu kanuna göre her türlü kişisel veriyi işleyen gerçek ve tüzel kişiler kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumalıdır. Sibertis olarak KVKK kapsamında müşterilerimizi kanun hükümlerinden doğabilecek risklerden haberdar ederek ilgili kanuna hem legal olarak hem de teknoloji bakımından tam olarak uymalarını sağlıyoruz.
Bu bakımdan işletmelerin kişisel verileri işlenmesinde uyması gereken zorunluluklar aşağıdaki gibidir:
- Veri işleme yöntemlerinin hukuka ve dürüstlük kurallarına uygun olması
- Verilerin doğru ve gerektiğinde güncel olması
- Verilerin belirli, açık ve meşru amaçlar için işlenmesi
- verilerin sadece işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olması
- Verilerin ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar saklanması
Kanunun en önemli noktası kişisel verilerin işlenmesi için ilgili açık rızanın alınması ve bu onayın kayıt altına alınmasıdır. Diğer bir önemli nokta ise kişisel verilerin işlemek için işletme tarafından yetkilinin atanması ve tüm işlemlerin ilgili yetkilinin sorumluluğunda olmasıdır. Başka bir deyişle herhangi bir kişisel veri ilgili yetkilinin yazılı onayı olmadan herhangi bir başka kişiye ya da kuruluşa aktarılamaz. İlgili yetkili, kanun hükümleri çerçevesinde verileri saklamaktan ve verilerin barındırıldığı sistemlerin güvenliğinden ‘tam’ olarak sorumludur.
Burada dikkate alınması gereken diğer bir konu ise ülkemizde düzenlenen KVK kanununun Avrupa Birliği tarafındaki karşılığı olan General Data Protection Regulation (GDPR)‘ın da paralel olarak uygulanmasıdır. Bu kanun kapsamında örneğin bir AB vatandaşının kişisel bilgileri izinsiz olarak saklanamaz ve işlenemez.
UYUM SÜRECİ
KVK Kanunu Uyum Sürecinin 3 temel tarafı bulunuyor:
Hukuk
Mevzuatların, Sözleşmelerin, Politikaların belirlenmesi
Süreç
İşlenecek verilerin tespiti ve iş süreçlerinin, prosedürlerin belirlenmesi
Teknoloji
Veri tabanı kayıt kurallarının denetlenmesi, kayıtların saklanması, ilgili çözümlerin tedarik edilmesi
Uyum sürecindeki belki de en önemli konu yapısal ve yapısal olmayan veri envanterlerinin tespiti ve işlenmesidir. Yapısal veri belirli bir formatta saklanabilen veri türüdür. Örnek olarak İK özlük dosyalarında yer alan isimler, doğum tarihleri, TC kimlik numaraları gibi veriler gösterilebilir. Yapısal olmayan yani belli düzende olmayan veriler ise özgeçmişler, Word, Excel gibi elektronik dokümanlar, mesajlaşma uygulamaları, taranmış dokümanlar, her türlü ses ve video kayıtları olarak gösterilebilir.
Bu bağlamda ilgili verilerin çok gizli, gizli veya halka açık gibi sınıflandırılması önemlidir. Sınıflandırılan verilen şirket içerisinde dolaşımı ya da şirket dışına çıkartılması belli kuralları içermelidir.
UYUM SÜRECİNİN HUKUKİ ve BT UYGULAMALARI
| Hukuki Süreç - Karar | BT Uygulaması |
|---|---|
| Beyan Yükümlülüğü | Beyan verisinin toplanması, kayıtların saklanması (örn: web sitesi, giriş uyarı sayfası, çerez kullanımı) |
| Açık Rıza Alınması | Açık rıza verisinin toplanması, kayıtların saklanması (örn: kullanım sözleşmesi, gizlilik sözleşmesi) |
| Onay Alınmayan Kişisel Verilerin Yok Edilmesi | Veritabanından ilgili bilgilerin kaldırılması, kullanıcı uyarıları |
| Veri Aktarımı | Güvenli aktarım, kriptolama, sınıflandırma, yetkilendirme |
| Veri Aktarımı Kuralları | Bilgi güvenliği, ağa erişimin sınırlandırılması, buluta veri aktarılması kurallarının düzenlenmesi |
| Veri Güvenliği, Koruma | Erişim kontrolleri, kimlik doğrulama, yetkilendirme, hesap tutma |
| Kişisel Veri Sorgulama | Kayıtlar (log) işleme, yönetme |
KANUN KAPSAMINDA DEĞERLENDİRİLEBİLECEK ÇÖZÜMLER
Kanun kapsamında gerekli olan çözümler açıkça belirtilmemiş olsa da hukuki süreçlerin ve kararların karşılanması için işletmelerde aşağıdaki çözümlerin bulunmasını öneriyoruz:
Bilgi Güvenliği
İlgili sunucuların ve son kullanıcıların zararlı yazılımlara karşı korunması
Zafiyet Yönetimi
Güvenlik açıklarının belirlenmesi, analizi ve raporlanması
Sızma Testleri (Pentest)
Periyodik olarak sızma testlerinin yapılması, ilgili açıkların düzeltilmesi
Ağ Erişimi Kontrolü
Çalışanların, misafirlerin ya da iş ortaklarının şirket ağına katılım kuralları, yetkilendirme, doğrulama, güvenli katılım
Veri Sınıflandırma
İlgili sunucuların ve son kullanıcıların zararlı yazılımlara karşı korunması
Veri Kaybı Önleme
Verilerin şirket dışına çıkarılmaması ya da çıkarılması durumunda uygulanması gereken kurallar
Veri Maskeleme
Veri tabanları içindeki hassas veya gizli verilerin yetkisi olmayan ya da kısıtlı olan kişilerce görülmesinin engellenmesi (yıldızlama gibi)
Veri Saklama
İlgili sunucuların ve son kullanıcıların zararlı yazılımlara karşı korunması
SİBERTİS OLARAK KATKILARIMIZ
Sibertis olarak gerekmesi durumunda tüm legal ve iş süreçleri de dahil olmak legal taraftaki iş ortaklarımızla birlikte tüm uyumluluk sürecini baştan sona sağlayabiliriz. Bu kapsamda aşağıda sıralanan hizmetleri sağlayabiliriz:
- KVKK yükümlülüklerinin uygulanması ve yönetilmesi
- İş süreçlerinin belirlenmesi ve yönetilmesi
- Legal danışmanlık (iş ortaklarımız aracılığıyla)
- Teknolojik çözümlerinin belirlenmesi ve uygulanması
İletişim Formu
İstanbul Genel Merkez
Saray Mah. Dr. Adnan Büyükdeniz Cad. Cessas Plaza Blok 4/21 Ümraniye İstanbul
Tel: 0 216 386 6888
Ataşehir Operasyon Merkezi
Vedat Günyol Cad. Flora Plaza 23. Kat Ofis No: 2302 Ataşehir/İstanbul
Tel: 0 216 359 7943
Ortadoğu Bölge Ofisi - Dubai
Boulaverd Plaza Tower 1 Sheikh Mohammed Bin Rashid Boulevard, Downtown, Dubai, Dubai United Arab Emirates
Tel: +971 (4) 401 8553
info@sibertis.com.tr
Son Kullanıcı Güvenliği ve Denetimi
• Uç-Nokta Koruması
• Tam Disk/Dosya Şifrelemesi
• Veri Kaybı/Sızıntısı Önleme
• Veri Sınıflandırma
• Son Kullanıcı Denetimi ve Takibi
• Mobil Cihaz Denetimi ve Koruması
Sistem Altyapı Güvenliği
• Sunucu Güvenliği
• Veri Depolama Güvenliği
Veritabanı Güvenliği
• Veritabanı Güvenlik Duvarı
• Veri Maskeleme
• Veri Keşfi
Ağ Güvenliği
• Yeni Nesil Güvenlik Duvarı
• WEB Koruması ve Filtreleme
• E-posta Koruması
• Ağ Erişim Kontrolü (Network Access Control - NAC)
Uygulama Güvenliği
• WEB Uygulama Güvenlik Duvarı (WAF)
• Kod Analizi ( Application Inpection - AI)
Siber Olaylara Müdahale
• Güvenlik Bilgisi ve Olay Yönetimi (SIEM)
• Zafiyet (Güvenlik Açığı) Yönetimi
• Siber İstihbarat ve Hedefli Saldırıları Önleme (Anti_APT)
Kritik Altyapı Güvenliği
• Endüstriyel Kontrol Sistemleri Güvenliği
• Telekom Altyapı Güvenliği
Temel Altyapı Çözümleri
• Sunucular
• Veri Depolama Çözümleri
• Depolama Alan Ağları
Ağ Altyapı Çözümleri
• Anahtarlar
• Yönlendiriciler
• Erişim Noktaları
• Yük Dengeleyiciler
Bilgi Güvenliği Danışmanlık Hizmetleri
- Güvenlik Testleri (Zafiyet Yönetimi, Penetrasyon/Sızma Testleri)
- Risk Yönetimi
- Telekom Altyapısı Güvenlik Değerlendirmesi
- Endüstriyel Sistemler Güvenlik Değerlendirmesi
- Çevrimiçi Bankacılık ve ATM Şebekeleri Güvenlik Değerlendirmesi
- WEB ve Mobil Uygulama Güvenlik Değerlendirmesi