Açıklama: Her veri işleme faaliyeti için açık ve meşru amaçlar belirlenmelidir. Bu amaçlar, gizlilik bildirimi ve VERBIS kayıtlarında yer almalıdır.

Örnek: “İnsan kaynakları yönetimi”, “Müşteri ilişkileri yönetimi”, “Finans ve muhasebe işlemleri” gibi spesifik amaçlar tanımlanmalı ve bu amaçlarla sınırlı veri işlenmelidir.

Açıklama: Kamu kurum ve kuruluşları ile özel hukuk tüzel kişileri bir veri sorumlusu temsilcisi atamak zorundadır.

Örnek: Şirket içinden veya dışından bir kişi, Yönetim Kurulu kararı ile atanmalı ve bu kişinin iletişim bilgileri VERBIS’e kaydedilmelidir.

Açıklama: İşlenen kişisel verilerin kategorileri, işleme amaçları, veri kategorileri ve aktarımlar VERBIS’e kaydedilmeli ve güncel tutulmalıdır.

Örnek: Yeni bir veri işleme faaliyeti başlatıldığında veya mevcut bir faaliyet sona erdiğinde VERBIS kaydı en geç 30 gün içinde güncellenmelidir.

Açıklama: Kişisel Verilerin Korunması ve İşlenmesi Politikası, veri güvenliği politikası gibi dokümanlar hazırlanmalı ve çalışanlara duyurulmalıdır.

Örnek: Web sitesinde yayınlanan gizlilik politikası, çalışan bilgilendirme metinleri, veri işleme sözleşmeleri şablonları hazırlanmalıdır.

Açıklama: Tüm personel, KVKK’nın gereklilikleri ve kişisel veri güvenliği konusunda yılda en az bir kez eğitilmelidir.

Örnek: Yeni işe başlayan çalışanlara oryantasyon eğitimi, tüm personele yıllık bilgilendirme eğitimi, IT ekibine teknik güvenlik eğitimi verilmelidir.

Açıklama: Kişilerin KVKK kapsamındaki haklarını kullanabilmeleri için başvuru yolları açık olmalı ve başvurular yasal sürede cevaplanmalıdır.

Örnek: Web sitesinde başvuru formu, e-posta adresi veya fiziksel başvuru adresi bulunmalı. Başvurular en geç 30 gün içinde yanıtlanmalıdır.

Açıklama: Kişisel veri işleyen (outsource hizmet veren) tüm firmalarla KVKK uyumlu veri işleme sözleşmesi yapılmalıdır.

Örnek: Bordro firması, bulut hizmet sağlayıcısı, call center gibi veri işleyen kuruluşlarla sözleşmelerde veri güvenliği maddeleri bulunmalıdır.

Açıklama: Yılda en az bir kez KVKK uyumunun kontrol edilmesi ve eksikliklerin tespit edilmesi gerekmektedir.

Örnek: İç denetim ekibi veya bağımsız bir danışman ile yıllık KVKK uyum denetimi yapılmalı, bulgular raporlanmalı ve iyileştirme planı oluşturulmalıdır.

Açıklama: Her veri kategorisi için saklama süreleri belirlenmeli ve süre sonunda veriler güvenli şekilde imha edilmelidir.

Örnek: İş başvuru verileri 1 yıl, çalışan verileri işten ayrılmadan sonra 10 yıl, müşteri verileri ilişki bitiminden sonra 3 yıl gibi süreler belirlenmelidir.

Açıklama: Kişisel veri toplanan her noktada kişilere aydınlatma yükümlülüğü yerine getirilmeli, gerektiğinde açık rıza alınmalıdır.

Örnek: Web sitesi formları, işe giriş süreçleri, müşteri kayıt formları için ayrı ayrı aydınlatma metinleri hazırlanmalıdır.

Açıklama: Veri ihlali durumunda 72 saat içinde Kurul’a ve ilgili kişilere bildirim yapılması için acil eylem planı bulunmalıdır.

Örnek: Veri ihlali tespit edildiğinde kim sorumlu, nasıl değerlendirilecek, ne zaman bildirim yapılacak konularında yazılı prosedür olmalıdır.

Açıklama: Kişisel veriye erişimi olan tüm personel ile gizlilik ve mahremiyet yükümlülüğü içeren sözleşmeler yapılmalıdır.

Örnek: İş sözleşmelerine gizlilik maddesi eklenebilir veya ayrı bir gizlilik sözleşmesi imzalatılabilir. İşten ayrılma sonrası da devam eden sorumluluklar belirtilmelidir.

Açıklama: Minimum 8 karakter, büyük-küçük harf, rakam ve özel karakter içeren parolalar zorunlu kılınmalıdır.

Örnek: Active Directory politikası ile parola karmaşıklığı ayarlanmalı, 90 günde bir parola değişimi zorunlu tutulmalı, son 5 parola tekrar kullanılamaz hale getirilmelidir.

Açıklama: Özellikle kritik sistemlere erişimde SMS kodu, authenticator uygulaması veya biyometrik doğrulama gibi ikinci faktör kullanılmalıdır.

Örnek: E-posta, VPN, bulut uygulamaları ve yönetici hesapları için Microsoft Authenticator, Google Authenticator gibi uygulamalarla MFA aktif edilmelidir.

Açıklama: Hem iletimde (SSL/TLS) hem de depolamada kişisel veriler şifrelenmelidir.

Örnek: Veritabanı encryption, disk encryption (BitLocker), e-posta şifreleme (S/MIME), HTTPS protokolü kullanımı sağlanmalıdır.

Açıklama: Tüm cihazlarda lisanslı, güncel ve otomatik tarama yapan güvenlik yazılımları kurulu olmalıdır.

Örnek: Kaspersky, McAfee, Symantec gibi kurumsal antivirüs çözümleri merkezi yönetimle tüm bilgisayarlara dağıtılmalı, günlük tarama yapılmalıdır.

Açıklama: Ağ güvenliği için firewall, saldırı tespit ve önleme sistemleri kullanılmalıdır.

Örnek: Fortinet, Cisco ASA, Palo Alto gibi next-generation firewall’lar kurulmalı, gelen-giden trafik sürekli izlenmeli, şüpheli aktiviteler engellenmelidir.

Açıklama: Kişisel veriler düzenli olarak yedeklenmeli ve yedekler farklı konumlarda güvenli saklanmalıdır.

Örnek: Günlük artımlı, haftalık tam yedekleme yapılmalı. 3-2-1 kuralı uygulanmalı (3 kopya, 2 farklı ortam, 1 off-site yedek). Yedekleme logları tutulmalıdır.

Açıklama: Sistem erişimleri, veri işlemleri ve güvenlik olayları kaydedilmeli ve düzenli olarak gözden geçirilmelidir.

Örnek: SIEM (Security Information and Event Management) sistemi ile tüm loglar toplanmalı, şüpheli aktiviteler için alarm kurulmalı, loglar en az 1 yıl saklanmalıdır.

Açıklama: İşletim sistemleri, uygulamalar ve güvenlik yazılımları için otomatik veya planlanmış güncellemeler yapılmalıdır.

Örnek: Windows Update otomatiği açılmalı, kritik güvenlik yamaları 48 saat içinde uygulanmalı, patch yönetim politikası oluşturulmalıdır.

Açıklama: Evden veya dışarıdan şirket ağına erişimler şifreli VPN üzerinden sağlanmalıdır.

Örnek: Cisco AnyConnect, Fortinet VPN gibi kurumsal VPN çözümleri kullanılmalı, split tunneling kapatılmalı, MFA ile korunmalıdır.

Açıklama: Phishing, spam ve zararlı yazılım içeren e-postalar filtrelenmeli, şüpheli mailler karantinaya alınmalıdır.

Örnek: SPF, DKIM, DMARC kayıtları ayarlanmalı, Advanced Threat Protection aktif edilmeli, kullanıcılar phishing konusunda eğitilmelidir.

Açıklama: Web uygulamaları SQL injection, XSS gibi saldırılara karşı korunmalıdır.

Örnek: Cloudflare, AWS WAF, ModSecurity gibi web application firewall kullanılmalı, düzenli zafiyet taraması yapılmalıdır.

Açıklama: Şirket verilerine erişen mobil cihazlar merkezi olarak yönetilmeli ve güvenlik politikaları uygulanmalıdır.

Örnek: Intune, MobileIron gibi MDM çözümleri ile cihaz şifreleme zorunluluğu, uzaktan silme, uygulama kısıtlamaları uygulanmalıdır.

Açıklama: Veritabanı erişimleri kısıtlanmalı, şifrelenmeli ve denetlenmeli.

Örnek: Veritabanı kullanıcıları için en az yetki prensibi, connection encryption, database auditing, parametreli sorgular kullanılmalıdır.

Açıklama: Farklı güvenlik seviyelerindeki sistemler ayrı ağ segmentlerinde bulunmalıdır.

Örnek: Üretim, test, yönetim ağları ayrılmalı; VLAN’lar kullanılmalı; misafir WiFi ayrı olmalı; kritik sunucular DMZ’de olmalıdır.

Açıklama: Sistemlerin güvenlik zafiyetlerini tespit etmek için yılda en az bir kez profesyonel pentest yapılmalıdır.

Örnek: Bağımsız bir siber güvenlik firması ile black-box, gray-box veya white-box test yapılmalı, bulgular raporlanmalı ve düzeltilmelidir.

Açıklama: Kullanıcılar sadece görevleri için gerekli verilere erişebilmeli, yetkiler rol bazlı tanımlanmalıdır.

Örnek: İK personeli sadece personel verilerine, muhasebe sadece finansal verilere, satış sadece müşteri verilerine erişebilmeli. Active Directory grupları ile yetkilendirme yapılmalıdır.

Açıklama: Kullanıcılara sadece işlerini yapmak için minimum gerekli yetkiler verilmelidir.

Örnek: Herkesin admin yetkisi olmamalı, gerektiğinde geçici yetki yükseltme (elevation) yapılmalı, varsayılan olarak okuma yetkisi verilmelidir.

Açıklama: Aktif kullanıcı hesapları ve yetkileri 3-6 ayda bir kontrol edilmeli, gereksiz hesaplar kapatılmalıdır.

Örnek: Çeyrek dönemlik user access review yapılmalı, kullanılmayan hesaplar devre dışı bırakılmalı, görev değişikliğinde yetkiler güncellenmelidir.

Açıklama: Çalışan ayrılış sürecinde tüm sistem erişimleri aynı gün içinde sonlandırılmalıdır.

Örnek: Off-boarding checklist kullanılmalı: AD hesabı, e-posta, VPN, CRM, ERP, fiziksel erişim kartları derhal iptal edilmeli.

Açıklama: Kritik sistem yönetici hesapları özel bir güvenlik katmanı ile korunmalıdır.

Örnek: CyberArk, BeyondTrust gibi PAM çözümleri ile admin şifreleri kasada saklanmalı, her kullanımda onay alınmalı, session recording yapılmalıdır.

Açıklama: Her kullanıcının kendi adına bireysel hesabı olmalı, “admin”, “satis”, “muhasebe” gibi ortak hesaplar kullanılmamalıdır.

Örnek: Database bağlantıları hariç tüm kullanıcılar için individual Active Directory hesabı oluşturulmalı, kimin ne yaptığı izlenebilmelidir.

Açıklama: Belirli sayıda başarısız giriş denemesinden sonra hesap otomatik kilitlenmeli.

Örnek: 5 yanlış parola girişinden sonra hesap 30 dakika kilitlenmeli. Brute force saldırılarını önlemek için IP bazlı rate limiting uygulanmalıdır.

Açıklama: Belirli süre hareketsizlik sonrası kullanıcı oturumu otomatik kapatılmalıdır.

Örnek: Web uygulamalarında 15-30 dakika, kritik sistemlerde 5-10 dakika hareketsizlik sonrası oturum sonlanmalı. Ekran kilidi 5 dakika sonra devreye girmelidir.

Açıklama: Sunucular kilitli, yetkisiz erişime kapalı, çevresel tehlikelere karşı korunan bir odada bulunmalıdır.

Örnek: Kartlı geçiş sistemi, 7/24 kamera kaydı, yangın söndürme sistemi, sıcaklık-nem kontrolü, UPS sistemi bulunmalıdır.

Açıklama: Kritik alanlar kamera ile izlenmeli, kayıtlar belirli süre saklanmalıdır.

Örnek: Giriş-çıkışlar, sunucu odası, arşiv odası kameralarla izlenmeli. Kayıtlar en az 30 gün saklanmalı. NOT: Kamera kayıtları da kişisel veridir, KVKK’ya uygun işlenmelidir.

Açıklama: Ziyaretçiler kayıt altına alınmalı, refakat edilmeli, geçici erişim kartı verilmelidir.

Örnek: Resepsiyon defteri, misafir kartı, refakatçi zorunluluğu, hassas alanlara giriş yasağı uygulanmalıdır.

Açıklama: Kişisel veri içeren kağıtlar güvenli şekilde (parçalayıcı ile) imha edilmelidir.

Örnek: Cross-cut shredder kullanımı zorunlu, atık kağıtlar kilitli konteynerde biriktirilmeli, imha kayıtları tutulmalıdır.

Açıklama: Çalışanlar ayrılırken masalarında hassas bilgi bırakmamalı, dokümanlar kilitli dolaplarda saklanmalıdır.

Örnek: Mesai bitiminde masalar temizlenmeli, kağıtlar çekmecelere kilitlenmeli, bilgisayar ekranları kapatılmalıdır.

Açıklama: USB bellekler, harici diskler gibi taşınabilir cihazlar kısıtlanmalı veya şifrelenmelidir.

Örnek: USB portları GPO ile kapatılabilir, sadece onaylı şifreli USB’ler kullanılabilir, Device Control yazılımları (Symantec DLP) uygulanmalıdır.

Açıklama: Hurda bilgisayar, disk, telefon gibi cihazlar verileri tamamen silindikten sonra imha edilmelidir.

Örnek: Hard diskler DoD 5220.22-M standardına göre silinmeli veya fiziksel olarak parçalanmalı. Sertifikalı e-atık firması ile çalışılmalı, imha sertifikası alınmalıdır.

Açıklama: Yurt dışına kişisel veri aktarımı sadece KVKK’nın öngördüğü koşullarda ve Kurul’un izniyle yapılabilir.

Örnek: Yeterli korumaya sahip ülkeler, standart sözleşme hükümleri, açık rıza gibi mekanizmalarla aktarım yapılmalı. Bulut sunucusu yurt dışındaysa veri aktarımı var demektir.

Açıklama: Veri aktarılan her kuruluşla veri koruma yükümlülüklerini içeren sözleşme yapılmalıdır.

Örnek: Tedarikçiler, iş ortakları, danışmanlarla NDA ve veri işleme sözleşmesi imzalanmalı. Alt yükleniciler de kapsama dahil edilmelidir.

Açıklama: Kişisel veriler internet üzerinden aktarılırken mutlaka şifreli protokoller kullanılmalıdır.

Örnek: E-posta ekleri şifreli gönderilmeli, FTP yerine SFTP, HTTP yerine HTTPS kullanılmalı. Hassas veriler için VPN zorunlu olmalıdır.

Açıklama: Sadece işlem için gerekli olan minimum kişisel veri toplanmalı ve paylaşılmalıdır.

Örnek: E-ticaret için müşterinin kan grubu gerekmez, işe alımda adayın medeni durumu sorulmaz. Formlardan gereksiz alanlar kaldırılmalıdır.

Açıklama: Test ortamları ve analizlerde gerçek kişisel veri yerine maskeli/anonimleştirilmiş veri kullanılmalıdır.

Örnek: Test veritabanında TC kimlik no yerine 11111111111, mail yerine test@example.com kullanılmalı. Üretim verisi teste kopyalanmamalıdır.

Açıklama: Veri paylaşımı yapılan API’ler authentication, authorization ve rate limiting ile korunmalıdır.

Örnek: OAuth 2.0, JWT token kullanımı, API key rotasyonu, IP whitelisting, input validation, CORS politikası uygulanmalıdır.

Açıklama: Veri ihlali, siber saldırı gibi olaylarda izlenecek adımlar önceden planlanmalıdır.

Örnek: CSIRT ekibi oluşturulmalı, roller tanımlanmalı, escalation matrisi hazırlanmalı, yıllık tatbikat yapılmalıdır.

Açıklama: Felaket durumlarında sistemlerin kısa sürede kurtarılması için plan ve yedek sistemler hazır olmalıdır.

Örnek: RTO (Recovery Time Objective) ve RPO (Recovery Point Objective) tanımlanmalı, disaster recovery site kurulmalı, yıllık DR testi yapılmalıdır.

Açıklama: Anormal aktiviteler, saldırı girişimleri gerçek zamanlı tespit edilmeli ve ilgililer anında bilgilendirilmelidir.

Örnek: SIEM alarm kuralları, IDS/IPS alertleri, failed login monitoring, data loss prevention alerts kurulmalıdır.

Açıklama: Yedeklerin gerçekten çalıştığından emin olmak için düzenli restore testleri yapılmalıdır.

Örnek: 3 ayda bir random bir backup alınıp test ortamında restore edilmeli, süre ölçülmeli, eksiklikler tespit edilmelidir.

Açıklama: Veri ihlali durumunda oluşacak maddi zararları karşılamak için siber risk sigortası yapılabilir.

Örnek: Veri ihlali bildirim masrafları, hukuki danışmanlık, tazminat ödemeleri gibi maliyetleri kapsayan bir sigorta poliçesi temin edilmelidir.