KVKK Uyumu İçin IT Altyapınızda Yapmanız Gereken 8 Adım

6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK), tüm işletmelerin kişisel verileri koruma yükümlülüğü getirmektedir. KVKK uyumu sadece hukuki bir süreç değildir; aynı zamanda teknik altyapınızda da önemli düzenlemeler yapmanızı gerektirir. Bu yazıda, IT altyapınızı KVKK’ya uyumlu hale getirmek için atmanız gereken 8 adımı ele alıyoruz.

1. Veri Envanteri ve Sınıflandırma

Hangi kişisel verileri, nerede ve nasıl sakladığınızı belirleyin. Veri envanteri oluşturarak verileri sınıflandırın: kimlik bilgileri, iletişim bilgileri, finansal veriler, sağlık verileri vb. Microsoft Information Protection ile otomatik veri sınıflandırma yapabilirsiniz.

2. Erişim Kontrolü ve Yetkilendirme

“En az yetki” (least privilege) ilkesini uygulayın. Active Directory grup politikaları ile kullanıcıların yalnızca görevleri için gerekli verilere erişmesini sağlayın. Dosya sunucularında NTFS izinlerini gözden geçirin. Kritik verilere erişim için MFA (Multi-Factor Authentication) zorunlu kılın.

3. Veri Şifreleme

Hem hareketsiz (at-rest) hem de hareket halindeki (in-transit) verileri şifreleyin:

• BitLocker: Disk şifreleme ile fiziksel hırsızlığa karşı koruma
• SSL/TLS: Web trafiği ve e-posta iletişimi için şifreleme
• VPN: Uzaktan erişimde güvenli tünel
• Azure Information Protection: Dosya düzeyinde şifreleme ve yetkilendirme

4. Log Yönetimi ve İzleme

KVKK, kişisel verilere erişim loglarının tutulmasını gerektirir. Windows Event Log, firewall logları ve uygulama loglarını merkezi bir SIEM (Security Information and Event Management) çözümüne yönlendirin. Log saklama süresini minimum 2 yıl olarak belirleyin.

5. Veri Yedekleme ve İmha

Kişisel verilerin güvenli yedeklenmesi ve saklama süreleri sonunda güvenli şekilde imha edilmesi gerekir. Yedekleme verilerini de şifreleyin. Veri imha süreçlerinde NIST 800-88 standardına uygun silme yöntemleri kullanın. Fiziksel medya için degaussing veya fiziksel imha uygulayın.

6. E-posta Güvenliği ve DLP

Data Loss Prevention (DLP) politikaları ile kişisel verilerin e-posta yoluyla yetkisiz paylaşımını önleyin. Microsoft 365 DLP ile TC kimlik numarası, IBAN, kredi kartı numarası gibi hassas verilerin dışarıya gönderilmesini otomatik engelleyebilirsiniz.

7. Endpoint Güvenliği

Tüm uç noktalarda (bilgisayar, tablet, telefon) güvenlik yazılımı kullanın. MDM (Mobile Device Management) ile şirket cihazlarını merkezi yönetin. Kayıp veya çalıntı cihazlarda uzaktan veri silme (remote wipe) özelliğini aktifleştirin.

8. İhlal Bildirim Sürecini Hazırlayın

Veri ihlali durumunda 72 saat içinde VERBİS üzerinden Kişisel Verileri Koruma Kurulu’na bildirimde bulunmanız gerekir. Olay müdahale planınızda ihlal tespit, analiz, bildirim ve düzeltici faaliyet süreçlerini tanımlayın.

Smyrna Teknoloji KVKK Desteği

IT altyapınızın KVKK uyumluluğunu değerlendirmek ve gerekli teknik düzenlemeleri yapmak için uzman ekibimize danışın. Ücretsiz KVKK IT değerlendirmesi için bize ulaşın.