📋 KVKK Teknik ve İdari Tedbirler Kontrol Listesi
6698 Sayılı Kişisel Verilerin Korunması Kanunu Uyum Kontrol Listesi
0%
0
Tamamlanan
0
Toplam Tedbir
0%
Uyum Oranı
🔐 1. Yönetimsel Tedbirler
12 Tedbir
Veri sorumlusu, kişisel verileri işleme amacını belirlemiş ve dokümante etmiş mi?
?
Açıklama: Her veri işleme faaliyeti için açık ve meşru amaçlar belirlenmelidir. Bu amaçlar, gizlilik bildirimi ve VERBIS kayıtlarında yer almalıdır.
Örnek: “İnsan kaynakları yönetimi”, “Müşteri ilişkileri yönetimi”, “Finans ve muhasebe işlemleri” gibi spesifik amaçlar tanımlanmalı ve bu amaçlarla sınırlı veri işlenmelidir.
Örnek: “İnsan kaynakları yönetimi”, “Müşteri ilişkileri yönetimi”, “Finans ve muhasebe işlemleri” gibi spesifik amaçlar tanımlanmalı ve bu amaçlarla sınırlı veri işlenmelidir.
KVKK kapsamında bir Veri Sorumlusu Temsilcisi atanmış mı?
?
Açıklama: Kamu kurum ve kuruluşları ile özel hukuk tüzel kişileri bir veri sorumlusu temsilcisi atamak zorundadır.
Örnek: Şirket içinden veya dışından bir kişi, Yönetim Kurulu kararı ile atanmalı ve bu kişinin iletişim bilgileri VERBIS’e kaydedilmelidir.
Örnek: Şirket içinden veya dışından bir kişi, Yönetim Kurulu kararı ile atanmalı ve bu kişinin iletişim bilgileri VERBIS’e kaydedilmelidir.
Kişisel veri işleme envanteri (VERBIS kaydı) güncel tutuluyor mu?
?
Açıklama: İşlenen kişisel verilerin kategorileri, işleme amaçları, veri kategorileri ve aktarımlar VERBIS’e kaydedilmeli ve güncel tutulmalıdır.
Örnek: Yeni bir veri işleme faaliyeti başlatıldığında veya mevcut bir faaliyet sona erdiğinde VERBIS kaydı en geç 30 gün içinde güncellenmelidir.
Örnek: Yeni bir veri işleme faaliyeti başlatıldığında veya mevcut bir faaliyet sona erdiğinde VERBIS kaydı en geç 30 gün içinde güncellenmelidir.
KVKK Politika ve Prosedürleri oluşturulmuş ve yayınlanmış mı?
?
Açıklama: Kişisel Verilerin Korunması ve İşlenmesi Politikası, veri güvenliği politikası gibi dokümanlar hazırlanmalı ve çalışanlara duyurulmalıdır.
Örnek: Web sitesinde yayınlanan gizlilik politikası, çalışan bilgilendirme metinleri, veri işleme sözleşmeleri şablonları hazırlanmalıdır.
Örnek: Web sitesinde yayınlanan gizlilik politikası, çalışan bilgilendirme metinleri, veri işleme sözleşmeleri şablonları hazırlanmalıdır.
Çalışanlara KVKK konusunda düzenli eğitimler veriliyor mu?
?
Açıklama: Tüm personel, KVKK’nın gereklilikleri ve kişisel veri güvenliği konusunda yılda en az bir kez eğitilmelidir.
Örnek: Yeni işe başlayan çalışanlara oryantasyon eğitimi, tüm personele yıllık bilgilendirme eğitimi, IT ekibine teknik güvenlik eğitimi verilmelidir.
Örnek: Yeni işe başlayan çalışanlara oryantasyon eğitimi, tüm personele yıllık bilgilendirme eğitimi, IT ekibine teknik güvenlik eğitimi verilmelidir.
Veri sorumlusuna başvuru mekanizması kurulmuş ve işliyor mu?
?
Açıklama: Kişilerin KVKK kapsamındaki haklarını kullanabilmeleri için başvuru yolları açık olmalı ve başvurular yasal sürede cevaplanmalıdır.
Örnek: Web sitesinde başvuru formu, e-posta adresi veya fiziksel başvuru adresi bulunmalı. Başvurular en geç 30 gün içinde yanıtlanmalıdır.
Örnek: Web sitesinde başvuru formu, e-posta adresi veya fiziksel başvuru adresi bulunmalı. Başvurular en geç 30 gün içinde yanıtlanmalıdır.
Veri işleyen ile yazılı sözleşme imzalanmış mı?
?
Açıklama: Kişisel veri işleyen (outsource hizmet veren) tüm firmalarla KVKK uyumlu veri işleme sözleşmesi yapılmalıdır.
Örnek: Bordro firması, bulut hizmet sağlayıcısı, call center gibi veri işleyen kuruluşlarla sözleşmelerde veri güvenliği maddeleri bulunmalıdır.
Örnek: Bordro firması, bulut hizmet sağlayıcısı, call center gibi veri işleyen kuruluşlarla sözleşmelerde veri güvenliği maddeleri bulunmalıdır.
Periyodik KVKK uyum denetimleri yapılıyor mu?
?
Açıklama: Yılda en az bir kez KVKK uyumunun kontrol edilmesi ve eksikliklerin tespit edilmesi gerekmektedir.
Örnek: İç denetim ekibi veya bağımsız bir danışman ile yıllık KVKK uyum denetimi yapılmalı, bulgular raporlanmalı ve iyileştirme planı oluşturulmalıdır.
Örnek: İç denetim ekibi veya bağımsız bir danışman ile yıllık KVKK uyum denetimi yapılmalı, bulgular raporlanmalı ve iyileştirme planı oluşturulmalıdır.
Kişisel veri saklama ve imha politikası oluşturulmuş mu?
?
Açıklama: Her veri kategorisi için saklama süreleri belirlenmeli ve süre sonunda veriler güvenli şekilde imha edilmelidir.
Örnek: İş başvuru verileri 1 yıl, çalışan verileri işten ayrılmadan sonra 10 yıl, müşteri verileri ilişki bitiminden sonra 3 yıl gibi süreler belirlenmelidir.
Örnek: İş başvuru verileri 1 yıl, çalışan verileri işten ayrılmadan sonra 10 yıl, müşteri verileri ilişki bitiminden sonra 3 yıl gibi süreler belirlenmelidir.
Açık rıza metinleri ve aydınlatma metinleri hazırlanmış mı?
?
Açıklama: Kişisel veri toplanan her noktada kişilere aydınlatma yükümlülüğü yerine getirilmeli, gerektiğinde açık rıza alınmalıdır.
Örnek: Web sitesi formları, işe giriş süreçleri, müşteri kayıt formları için ayrı ayrı aydınlatma metinleri hazırlanmalıdır.
Örnek: Web sitesi formları, işe giriş süreçleri, müşteri kayıt formları için ayrı ayrı aydınlatma metinleri hazırlanmalıdır.
Kişisel veri ihlali bildirimi prosedürü var mı?
?
Açıklama: Veri ihlali durumunda 72 saat içinde Kurul’a ve ilgili kişilere bildirim yapılması için acil eylem planı bulunmalıdır.
Örnek: Veri ihlali tespit edildiğinde kim sorumlu, nasıl değerlendirilecek, ne zaman bildirim yapılacak konularında yazılı prosedür olmalıdır.
Örnek: Veri ihlali tespit edildiğinde kim sorumlu, nasıl değerlendirilecek, ne zaman bildirim yapılacak konularında yazılı prosedür olmalıdır.
Gizlilik sözleşmeleri (NDA) çalışanlarla imzalanmış mı?
?
Açıklama: Kişisel veriye erişimi olan tüm personel ile gizlilik ve mahremiyet yükümlülüğü içeren sözleşmeler yapılmalıdır.
Örnek: İş sözleşmelerine gizlilik maddesi eklenebilir veya ayrı bir gizlilik sözleşmesi imzalatılabilir. İşten ayrılma sonrası da devam eden sorumluluklar belirtilmelidir.
Örnek: İş sözleşmelerine gizlilik maddesi eklenebilir veya ayrı bir gizlilik sözleşmesi imzalatılabilir. İşten ayrılma sonrası da devam eden sorumluluklar belirtilmelidir.
🔒 2. Teknik Güvenlik Tedbirleri
15 Tedbir
Güçlü parola politikası uygulanıyor mu?
?
Açıklama: Minimum 8 karakter, büyük-küçük harf, rakam ve özel karakter içeren parolalar zorunlu kılınmalıdır.
Örnek: Active Directory politikası ile parola karmaşıklığı ayarlanmalı, 90 günde bir parola değişimi zorunlu tutulmalı, son 5 parola tekrar kullanılamaz hale getirilmelidir.
Örnek: Active Directory politikası ile parola karmaşıklığı ayarlanmalı, 90 günde bir parola değişimi zorunlu tutulmalı, son 5 parola tekrar kullanılamaz hale getirilmelidir.
Çok faktörlü kimlik doğrulama (MFA) kullanılıyor mu?
?
Açıklama: Özellikle kritik sistemlere erişimde SMS kodu, authenticator uygulaması veya biyometrik doğrulama gibi ikinci faktör kullanılmalıdır.
Örnek: E-posta, VPN, bulut uygulamaları ve yönetici hesapları için Microsoft Authenticator, Google Authenticator gibi uygulamalarla MFA aktif edilmelidir.
Örnek: E-posta, VPN, bulut uygulamaları ve yönetici hesapları için Microsoft Authenticator, Google Authenticator gibi uygulamalarla MFA aktif edilmelidir.
Veri şifreleme (encryption) uygulanıyor mu?
?
Açıklama: Hem iletimde (SSL/TLS) hem de depolamada kişisel veriler şifrelenmelidir.
Örnek: Veritabanı encryption, disk encryption (BitLocker), e-posta şifreleme (S/MIME), HTTPS protokolü kullanımı sağlanmalıdır.
Örnek: Veritabanı encryption, disk encryption (BitLocker), e-posta şifreleme (S/MIME), HTTPS protokolü kullanımı sağlanmalıdır.
Güncel antivirüs ve anti-malware yazılımları kullanılıyor mu?
?
Açıklama: Tüm cihazlarda lisanslı, güncel ve otomatik tarama yapan güvenlik yazılımları kurulu olmalıdır.
Örnek: Kaspersky, McAfee, Symantec gibi kurumsal antivirüs çözümleri merkezi yönetimle tüm bilgisayarlara dağıtılmalı, günlük tarama yapılmalıdır.
Örnek: Kaspersky, McAfee, Symantec gibi kurumsal antivirüs çözümleri merkezi yönetimle tüm bilgisayarlara dağıtılmalı, günlük tarama yapılmalıdır.
Firewall ve IDS/IPS sistemleri aktif mi?
?
Açıklama: Ağ güvenliği için firewall, saldırı tespit ve önleme sistemleri kullanılmalıdır.
Örnek: Fortinet, Cisco ASA, Palo Alto gibi next-generation firewall’lar kurulmalı, gelen-giden trafik sürekli izlenmeli, şüpheli aktiviteler engellenmelidir.
Örnek: Fortinet, Cisco ASA, Palo Alto gibi next-generation firewall’lar kurulmalı, gelen-giden trafik sürekli izlenmeli, şüpheli aktiviteler engellenmelidir.
Düzenli yedekleme (backup) yapılıyor mu?
?
Açıklama: Kişisel veriler düzenli olarak yedeklenmeli ve yedekler farklı konumlarda güvenli saklanmalıdır.
Örnek: Günlük artımlı, haftalık tam yedekleme yapılmalı. 3-2-1 kuralı uygulanmalı (3 kopya, 2 farklı ortam, 1 off-site yedek). Yedekleme logları tutulmalıdır.
Örnek: Günlük artımlı, haftalık tam yedekleme yapılmalı. 3-2-1 kuralı uygulanmalı (3 kopya, 2 farklı ortam, 1 off-site yedek). Yedekleme logları tutulmalıdır.
Log kayıtları düzenli tutuluyor ve izleniyor mu?
?
Açıklama: Sistem erişimleri, veri işlemleri ve güvenlik olayları kaydedilmeli ve düzenli olarak gözden geçirilmelidir.
Örnek: SIEM (Security Information and Event Management) sistemi ile tüm loglar toplanmalı, şüpheli aktiviteler için alarm kurulmalı, loglar en az 1 yıl saklanmalıdır.
Örnek: SIEM (Security Information and Event Management) sistemi ile tüm loglar toplanmalı, şüpheli aktiviteler için alarm kurulmalı, loglar en az 1 yıl saklanmalıdır.
Yazılım ve sistemler düzenli olarak güncelleniyor mu?
?
Açıklama: İşletim sistemleri, uygulamalar ve güvenlik yazılımları için otomatik veya planlanmış güncellemeler yapılmalıdır.
Örnek: Windows Update otomatiği açılmalı, kritik güvenlik yamaları 48 saat içinde uygulanmalı, patch yönetim politikası oluşturulmalıdır.
Örnek: Windows Update otomatiği açılmalı, kritik güvenlik yamaları 48 saat içinde uygulanmalı, patch yönetim politikası oluşturulmalıdır.
Uzaktan erişim güvenliği sağlanmış mı (VPN)?
?
Açıklama: Evden veya dışarıdan şirket ağına erişimler şifreli VPN üzerinden sağlanmalıdır.
Örnek: Cisco AnyConnect, Fortinet VPN gibi kurumsal VPN çözümleri kullanılmalı, split tunneling kapatılmalı, MFA ile korunmalıdır.
Örnek: Cisco AnyConnect, Fortinet VPN gibi kurumsal VPN çözümleri kullanılmalı, split tunneling kapatılmalı, MFA ile korunmalıdır.
E-posta güvenliği önlemleri alınmış mı?
?
Açıklama: Phishing, spam ve zararlı yazılım içeren e-postalar filtrelenmeli, şüpheli mailler karantinaya alınmalıdır.
Örnek: SPF, DKIM, DMARC kayıtları ayarlanmalı, Advanced Threat Protection aktif edilmeli, kullanıcılar phishing konusunda eğitilmelidir.
Örnek: SPF, DKIM, DMARC kayıtları ayarlanmalı, Advanced Threat Protection aktif edilmeli, kullanıcılar phishing konusunda eğitilmelidir.
Web uygulama güvenliği (WAF) sağlanıyor mu?
?
Açıklama: Web uygulamaları SQL injection, XSS gibi saldırılara karşı korunmalıdır.
Örnek: Cloudflare, AWS WAF, ModSecurity gibi web application firewall kullanılmalı, düzenli zafiyet taraması yapılmalıdır.
Örnek: Cloudflare, AWS WAF, ModSecurity gibi web application firewall kullanılmalı, düzenli zafiyet taraması yapılmalıdır.
Mobil cihaz yönetimi (MDM) uygulanıyor mu?
?
Açıklama: Şirket verilerine erişen mobil cihazlar merkezi olarak yönetilmeli ve güvenlik politikaları uygulanmalıdır.
Örnek: Intune, MobileIron gibi MDM çözümleri ile cihaz şifreleme zorunluluğu, uzaktan silme, uygulama kısıtlamaları uygulanmalıdır.
Örnek: Intune, MobileIron gibi MDM çözümleri ile cihaz şifreleme zorunluluğu, uzaktan silme, uygulama kısıtlamaları uygulanmalıdır.
Veritabanı güvenliği önlemleri alınmış mı?
?
Açıklama: Veritabanı erişimleri kısıtlanmalı, şifrelenmeli ve denetlenmeli.
Örnek: Veritabanı kullanıcıları için en az yetki prensibi, connection encryption, database auditing, parametreli sorgular kullanılmalıdır.
Örnek: Veritabanı kullanıcıları için en az yetki prensibi, connection encryption, database auditing, parametreli sorgular kullanılmalıdır.
Ağ segmentasyonu yapılmış mı?
?
Açıklama: Farklı güvenlik seviyelerindeki sistemler ayrı ağ segmentlerinde bulunmalıdır.
Örnek: Üretim, test, yönetim ağları ayrılmalı; VLAN’lar kullanılmalı; misafir WiFi ayrı olmalı; kritik sunucular DMZ’de olmalıdır.
Örnek: Üretim, test, yönetim ağları ayrılmalı; VLAN’lar kullanılmalı; misafir WiFi ayrı olmalı; kritik sunucular DMZ’de olmalıdır.
Penetrasyon testleri düzenli yapılıyor mu?
?
Açıklama: Sistemlerin güvenlik zafiyetlerini tespit etmek için yılda en az bir kez profesyonel pentest yapılmalıdır.
Örnek: Bağımsız bir siber güvenlik firması ile black-box, gray-box veya white-box test yapılmalı, bulgular raporlanmalı ve düzeltilmelidir.
Örnek: Bağımsız bir siber güvenlik firması ile black-box, gray-box veya white-box test yapılmalı, bulgular raporlanmalı ve düzeltilmelidir.
👤 3. Erişim Yönetimi
8 Tedbir
Rol tabanlı erişim kontrolü (RBAC) uygulanıyor mu?
?
Açıklama: Kullanıcılar sadece görevleri için gerekli verilere erişebilmeli, yetkiler rol bazlı tanımlanmalıdır.
Örnek: İK personeli sadece personel verilerine, muhasebe sadece finansal verilere, satış sadece müşteri verilerine erişebilmeli. Active Directory grupları ile yetkilendirme yapılmalıdır.
Örnek: İK personeli sadece personel verilerine, muhasebe sadece finansal verilere, satış sadece müşteri verilerine erişebilmeli. Active Directory grupları ile yetkilendirme yapılmalıdır.
En az yetki prensibi (Least Privilege) uygulanıyor mu?
?
Açıklama: Kullanıcılara sadece işlerini yapmak için minimum gerekli yetkiler verilmelidir.
Örnek: Herkesin admin yetkisi olmamalı, gerektiğinde geçici yetki yükseltme (elevation) yapılmalı, varsayılan olarak okuma yetkisi verilmelidir.
Örnek: Herkesin admin yetkisi olmamalı, gerektiğinde geçici yetki yükseltme (elevation) yapılmalı, varsayılan olarak okuma yetkisi verilmelidir.
Kullanıcı hesapları periyodik olarak gözden geçiriliyor mu?
?
Açıklama: Aktif kullanıcı hesapları ve yetkileri 3-6 ayda bir kontrol edilmeli, gereksiz hesaplar kapatılmalıdır.
Örnek: Çeyrek dönemlik user access review yapılmalı, kullanılmayan hesaplar devre dışı bırakılmalı, görev değişikliğinde yetkiler güncellenmelidir.
Örnek: Çeyrek dönemlik user access review yapılmalı, kullanılmayan hesaplar devre dışı bırakılmalı, görev değişikliğinde yetkiler güncellenmelidir.
İşten ayrılan personelin erişimleri hemen kapatılıyor mu?
?
Açıklama: Çalışan ayrılış sürecinde tüm sistem erişimleri aynı gün içinde sonlandırılmalıdır.
Örnek: Off-boarding checklist kullanılmalı: AD hesabı, e-posta, VPN, CRM, ERP, fiziksel erişim kartları derhal iptal edilmeli.
Örnek: Off-boarding checklist kullanılmalı: AD hesabı, e-posta, VPN, CRM, ERP, fiziksel erişim kartları derhal iptal edilmeli.
Privileged Access Management (PAM) sistemi var mı?
?
Açıklama: Kritik sistem yönetici hesapları özel bir güvenlik katmanı ile korunmalıdır.
Örnek: CyberArk, BeyondTrust gibi PAM çözümleri ile admin şifreleri kasada saklanmalı, her kullanımda onay alınmalı, session recording yapılmalıdır.
Örnek: CyberArk, BeyondTrust gibi PAM çözümleri ile admin şifreleri kasada saklanmalı, her kullanımda onay alınmalı, session recording yapılmalıdır.
Paylaşımlı hesap (generic account) kullanımı engelleniyor mu?
?
Açıklama: Her kullanıcının kendi adına bireysel hesabı olmalı, “admin”, “satis”, “muhasebe” gibi ortak hesaplar kullanılmamalıdır.
Örnek: Database bağlantıları hariç tüm kullanıcılar için individual Active Directory hesabı oluşturulmalı, kimin ne yaptığı izlenebilmelidir.
Örnek: Database bağlantıları hariç tüm kullanıcılar için individual Active Directory hesabı oluşturulmalı, kimin ne yaptığı izlenebilmelidir.
Otomatik hesap kilitleme mekanizması aktif mi?
?
Açıklama: Belirli sayıda başarısız giriş denemesinden sonra hesap otomatik kilitlenmeli.
Örnek: 5 yanlış parola girişinden sonra hesap 30 dakika kilitlenmeli. Brute force saldırılarını önlemek için IP bazlı rate limiting uygulanmalıdır.
Örnek: 5 yanlış parola girişinden sonra hesap 30 dakika kilitlenmeli. Brute force saldırılarını önlemek için IP bazlı rate limiting uygulanmalıdır.
Oturum zaman aşımı (session timeout) ayarlanmış mı?
?
Açıklama: Belirli süre hareketsizlik sonrası kullanıcı oturumu otomatik kapatılmalıdır.
Örnek: Web uygulamalarında 15-30 dakika, kritik sistemlerde 5-10 dakika hareketsizlik sonrası oturum sonlanmalı. Ekran kilidi 5 dakika sonra devreye girmelidir.
Örnek: Web uygulamalarında 15-30 dakika, kritik sistemlerde 5-10 dakika hareketsizlik sonrası oturum sonlanmalı. Ekran kilidi 5 dakika sonra devreye girmelidir.
🏢 4. Fiziksel Güvenlik
7 Tedbir
Sunucu odası fiziksel olarak güvenli mi?
?
Açıklama: Sunucular kilitli, yetkisiz erişime kapalı, çevresel tehlikelere karşı korunan bir odada bulunmalıdır.
Örnek: Kartlı geçiş sistemi, 7/24 kamera kaydı, yangın söndürme sistemi, sıcaklık-nem kontrolü, UPS sistemi bulunmalıdır.
Örnek: Kartlı geçiş sistemi, 7/24 kamera kaydı, yangın söndürme sistemi, sıcaklık-nem kontrolü, UPS sistemi bulunmalıdır.
Kamera kayıt sistemleri kurulu mu?
?
Açıklama: Kritik alanlar kamera ile izlenmeli, kayıtlar belirli süre saklanmalıdır.
Örnek: Giriş-çıkışlar, sunucu odası, arşiv odası kameralarla izlenmeli. Kayıtlar en az 30 gün saklanmalı. NOT: Kamera kayıtları da kişisel veridir, KVKK’ya uygun işlenmelidir.
Örnek: Giriş-çıkışlar, sunucu odası, arşiv odası kameralarla izlenmeli. Kayıtlar en az 30 gün saklanmalı. NOT: Kamera kayıtları da kişisel veridir, KVKK’ya uygun işlenmelidir.
Ziyaretçi yönetim sistemi var mı?
?
Açıklama: Ziyaretçiler kayıt altına alınmalı, refakat edilmeli, geçici erişim kartı verilmelidir.
Örnek: Resepsiyon defteri, misafir kartı, refakatçi zorunluluğu, hassas alanlara giriş yasağı uygulanmalıdır.
Örnek: Resepsiyon defteri, misafir kartı, refakatçi zorunluluğu, hassas alanlara giriş yasağı uygulanmalıdır.
Kağıt doküman imha prosedürü var mı?
?
Açıklama: Kişisel veri içeren kağıtlar güvenli şekilde (parçalayıcı ile) imha edilmelidir.
Örnek: Cross-cut shredder kullanımı zorunlu, atık kağıtlar kilitli konteynerde biriktirilmeli, imha kayıtları tutulmalıdır.
Örnek: Cross-cut shredder kullanımı zorunlu, atık kağıtlar kilitli konteynerde biriktirilmeli, imha kayıtları tutulmalıdır.
Clean desk politikası uygulanıyor mu?
?
Açıklama: Çalışanlar ayrılırken masalarında hassas bilgi bırakmamalı, dokümanlar kilitli dolaplarda saklanmalıdır.
Örnek: Mesai bitiminde masalar temizlenmeli, kağıtlar çekmecelere kilitlenmeli, bilgisayar ekranları kapatılmalıdır.
Örnek: Mesai bitiminde masalar temizlenmeli, kağıtlar çekmecelere kilitlenmeli, bilgisayar ekranları kapatılmalıdır.
Harici medya (USB, disk) kullanımı kontrol ediliyor mu?
?
Açıklama: USB bellekler, harici diskler gibi taşınabilir cihazlar kısıtlanmalı veya şifrelenmelidir.
Örnek: USB portları GPO ile kapatılabilir, sadece onaylı şifreli USB’ler kullanılabilir, Device Control yazılımları (Symantec DLP) uygulanmalıdır.
Örnek: USB portları GPO ile kapatılabilir, sadece onaylı şifreli USB’ler kullanılabilir, Device Control yazılımları (Symantec DLP) uygulanmalıdır.
Eski cihazların güvenli imhası sağlanıyor mu?
?
Açıklama: Hurda bilgisayar, disk, telefon gibi cihazlar verileri tamamen silindikten sonra imha edilmelidir.
Örnek: Hard diskler DoD 5220.22-M standardına göre silinmeli veya fiziksel olarak parçalanmalı. Sertifikalı e-atık firması ile çalışılmalı, imha sertifikası alınmalıdır.
Örnek: Hard diskler DoD 5220.22-M standardına göre silinmeli veya fiziksel olarak parçalanmalı. Sertifikalı e-atık firması ile çalışılmalı, imha sertifikası alınmalıdır.
🌐 5. Veri Aktarımı ve Paylaşımı
6 Tedbir
Yurt dışına veri aktarımı için yasal dayanak var mı?
?
Açıklama: Yurt dışına kişisel veri aktarımı sadece KVKK’nın öngördüğü koşullarda ve Kurul’un izniyle yapılabilir.
Örnek: Yeterli korumaya sahip ülkeler, standart sözleşme hükümleri, açık rıza gibi mekanizmalarla aktarım yapılmalı. Bulut sunucusu yurt dışındaysa veri aktarımı var demektir.
Örnek: Yeterli korumaya sahip ülkeler, standart sözleşme hükümleri, açık rıza gibi mekanizmalarla aktarım yapılmalı. Bulut sunucusu yurt dışındaysa veri aktarımı var demektir.
Üçüncü taraflarla veri paylaşımı sözleşmelerle düzenleniyor mu?
?
Açıklama: Veri aktarılan her kuruluşla veri koruma yükümlülüklerini içeren sözleşme yapılmalıdır.
Örnek: Tedarikçiler, iş ortakları, danışmanlarla NDA ve veri işleme sözleşmesi imzalanmalı. Alt yükleniciler de kapsama dahil edilmelidir.
Örnek: Tedarikçiler, iş ortakları, danışmanlarla NDA ve veri işleme sözleşmesi imzalanmalı. Alt yükleniciler de kapsama dahil edilmelidir.
Veri transfer kanalları şifreli mi (SFTP, HTTPS)?
?
Açıklama: Kişisel veriler internet üzerinden aktarılırken mutlaka şifreli protokoller kullanılmalıdır.
Örnek: E-posta ekleri şifreli gönderilmeli, FTP yerine SFTP, HTTP yerine HTTPS kullanılmalı. Hassas veriler için VPN zorunlu olmalıdır.
Örnek: E-posta ekleri şifreli gönderilmeli, FTP yerine SFTP, HTTP yerine HTTPS kullanılmalı. Hassas veriler için VPN zorunlu olmalıdır.
Veri minimizasyonu prensibi uygulanıyor mu?
?
Açıklama: Sadece işlem için gerekli olan minimum kişisel veri toplanmalı ve paylaşılmalıdır.
Örnek: E-ticaret için müşterinin kan grubu gerekmez, işe alımda adayın medeni durumu sorulmaz. Formlardan gereksiz alanlar kaldırılmalıdır.
Örnek: E-ticaret için müşterinin kan grubu gerekmez, işe alımda adayın medeni durumu sorulmaz. Formlardan gereksiz alanlar kaldırılmalıdır.
Veri maskeleme ve anonimleştirme uygulanıyor mu?
?
Açıklama: Test ortamları ve analizlerde gerçek kişisel veri yerine maskeli/anonimleştirilmiş veri kullanılmalıdır.
Örnek: Test veritabanında TC kimlik no yerine 11111111111, mail yerine test@example.com kullanılmalı. Üretim verisi teste kopyalanmamalıdır.
Örnek: Test veritabanında TC kimlik no yerine 11111111111, mail yerine test@example.com kullanılmalı. Üretim verisi teste kopyalanmamalıdır.
API güvenliği sağlanmış mı?
?
Açıklama: Veri paylaşımı yapılan API’ler authentication, authorization ve rate limiting ile korunmalıdır.
Örnek: OAuth 2.0, JWT token kullanımı, API key rotasyonu, IP whitelisting, input validation, CORS politikası uygulanmalıdır.
Örnek: OAuth 2.0, JWT token kullanımı, API key rotasyonu, IP whitelisting, input validation, CORS politikası uygulanmalıdır.
🚨 6. Olay Müdahalesi ve İş Sürekliliği
5 Tedbir
Siber olay müdahale planı (Incident Response Plan) var mı?
?
Açıklama: Veri ihlali, siber saldırı gibi olaylarda izlenecek adımlar önceden planlanmalıdır.
Örnek: CSIRT ekibi oluşturulmalı, roller tanımlanmalı, escalation matrisi hazırlanmalı, yıllık tatbikat yapılmalıdır.
Örnek: CSIRT ekibi oluşturulmalı, roller tanımlanmalı, escalation matrisi hazırlanmalı, yıllık tatbikat yapılmalıdır.
İş sürekliliği ve afet kurtarma planı (BCP/DRP) mevcut mu?
?
Açıklama: Felaket durumlarında sistemlerin kısa sürede kurtarılması için plan ve yedek sistemler hazır olmalıdır.
Örnek: RTO (Recovery Time Objective) ve RPO (Recovery Point Objective) tanımlanmalı, disaster recovery site kurulmalı, yıllık DR testi yapılmalıdır.
Örnek: RTO (Recovery Time Objective) ve RPO (Recovery Point Objective) tanımlanmalı, disaster recovery site kurulmalı, yıllık DR testi yapılmalıdır.
Güvenlik ihlali tespit ve uyarı sistemi var mı?
?
Açıklama: Anormal aktiviteler, saldırı girişimleri gerçek zamanlı tespit edilmeli ve ilgililer anında bilgilendirilmelidir.
Örnek: SIEM alarm kuralları, IDS/IPS alertleri, failed login monitoring, data loss prevention alerts kurulmalıdır.
Örnek: SIEM alarm kuralları, IDS/IPS alertleri, failed login monitoring, data loss prevention alerts kurulmalıdır.
Yedeklerden geri yükleme testleri yapılıyor mu?
?
Açıklama: Yedeklerin gerçekten çalıştığından emin olmak için düzenli restore testleri yapılmalıdır.
Örnek: 3 ayda bir random bir backup alınıp test ortamında restore edilmeli, süre ölçülmeli, eksiklikler tespit edilmelidir.
Örnek: 3 ayda bir random bir backup alınıp test ortamında restore edilmeli, süre ölçülmeli, eksiklikler tespit edilmelidir.
Siber güvenlik sigortası var mı?
?
Açıklama: Veri ihlali durumunda oluşacak maddi zararları karşılamak için siber risk sigortası yapılabilir.
Örnek: Veri ihlali bildirim masrafları, hukuki danışmanlık, tazminat ödemeleri gibi maliyetleri kapsayan bir sigorta poliçesi temin edilmelidir.
Örnek: Veri ihlali bildirim masrafları, hukuki danışmanlık, tazminat ödemeleri gibi maliyetleri kapsayan bir sigorta poliçesi temin edilmelidir.
KVKK Uyum Değerlendirme Raporu
0%
Uyum Durumu
