Türkiye’deki kurumların büyük çoğunluğu KVKK uyumunu bir belge hazırlama süreci olarak ele alıyor: aydınlatma metinleri, açık rıza formları, veri envanteri. Oysa Kanun’un 12. maddesi çok daha geniş bir yükümlülük tanımlıyor: kişisel verilerin işlendiği sistemlerin teknik güvenliği de veri sorumlusunun sorumluluğunda.

Peki bir web uygulamasında, API entegrasyonunda ya da kurumsal ağda iletilen kişisel veriler, SSL/TLS sertifikasının süresi dolmuş ya da yanlış yapılandırılmış olması nedeniyle şifresiz aktarılıyorsa ne olur? Bu durum, KVKK ihlali için yeterli bir teknik gerekçedir.

KVKK Madde 12 Ne Diyor?

Kişisel Verilerin Korunması Kanunu’nun 12. maddesi, veri sorumlularına “kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, erişilmesini engellemek ve verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak” yükümlülüğünü getiriyor.

“Her türlü teknik tedbir” ifadesi oldukça kapsamlı. Kişisel veri içeren her iletişim kanalının, her uygulama arayüzünün, her API bağlantısının şifreli ve geçerli bir SSL/TLS sertifikasıyla korunması bu yükümlülüğün doğal bir parçasıdır.

Türkiye’deki veri ihlali bildirimlerine bakıldığında, şifreli olmayan ya da sertifika hatası içeren kanallar üzerinden gerçekleşen veri sızıntılarının giderek artan bir paya sahip olduğu görülüyor. Kurum bu durumda hem Kişisel Verileri Koruma Kurulu’na bildirim yapmak hem de yeterli teknik tedbiri almadığını ispat etmek zorunda kalıyor.

Sertifika Yönetimindeki Boşluklar Nasıl KVKK Riski Yaratır?

1. Süresi Dolan Sertifikalar ve Açık İletişim Kanalları

Bir sertifikanın süresi dolduğunda tarayıcılar ve istemciler bağlantıyı reddeder ya da kullanıcıları güvenli olmayan bir bağlantıya yönlendirir. Bu süreçte kişisel veri içeren formlar, giriş sayfaları veya API çağrıları şifresiz iletim riskiyle karşı karşıya kalır. KVKK açısından bu durum, “teknik tedbir almama” kapsamında değerlendirilebilir.

2. Görünmeyen Sertifikalar: Envanter Boşluğu

Büyük kurumların alt yapısında kaç adet aktif SSL/TLS sertifikası bulunduğunu biliyor musunuz? Çoğu BT ekibi bu soruyu kesin olarak yanıtlayamıyor. Bir sunucuda ya da serviste, kimsenin haberi olmadan süresi dolmak üzere olan bir sertifika KVKK riski yaratmaya devam ediyor. “Haberdar olmamak” ise hukuki sorumluluğu ortadan kaldırmıyor.

3. Üçüncü Taraf Entegrasyonları

Kurumlar kişisel veri işlerken yalnızca kendi sistemleriyle değil, entegre oldukları üçüncü taraf sistemlerle de sorumlu tutuluyor. Bir ödeme altyapısı, muhasebe yazılımı ya da insan kaynakları platformuyla yapılan API bağlantısında sertifika geçerliliği kontrol edilmiyor ve bu kanal üzerinden kişisel veri akıyorsa, sorumluluk veri sorumlusuna ait.

4. Veri Egemenliği: Sertifika Yönetim Verisinin Nerede Tutulduğu

Bu nokta sıklıkla göz ardı ediliyor. Sertifika yönetim çözümünüzün metadata’sı — hangi sunucuda hangi sertifika var, sertifika sahipleri kimler, hangi sistemler kapsanıyor — kendi başına hassas kurumsal veri niteliği taşıyabilir. Yabancı kaynaklı bir çözüm, bu veriyi yurt dışı sunucularda saklıyorsa hem KVKK hem de 5651 sayılı Kanun kapsamında ayrı bir değerlendirme gerekebilir.

Yerli Çözümlerin Farkı: Neden Sadece Teknik Değil, Hukuki Bir Tercih?

Uluslararası sertifika yönetim platformları teknik açıdan olgun çözümler sunabilir. Ancak Türk kurumları için değerlendirme yalnızca özellik listesiyle sınırlı olmamalı.

Destek dili ve müdahale hızı: Bir sertifika kaynaklı kesinti sırasında KVKK ihlali riski de söz konusuysa, İngilizce ticket sistemi üzerinden destek almak değerli saatler kaybettirebilir. Yerli bir ekiple Türkçe, anlık iletişim; hem teknik çözüm hem de hukuki süreci doğru yönetme açısından kritik fark yaratır.

Veri işleme sözleşmesi ve KVKK uyumu: KVKK, veri sorumlularının veri işleyenlerle yazılı sözleşme yapmasını zorunlu kılıyor. Yabancı bir yazılım sağlayıcısıyla KVKK gerekliliklerine uygun bir veri işleme sözleşmesi hazırlamak, çoğu zaman uzun hukuki süreçler gerektiriyor. Yerli bir sağlayıcı bu konuda çok daha hızlı ve öngörülü bir süreç sunabiliyor.

Yerelde tutma: Sertifika yönetim verisinin Türkiye’deki sunucularda ya da kurumun kendi altyapısında tutulması, KVKK Madde 9 kapsamındaki yurt dışı veri aktarımı yükümlülüklerini devre dışı bırakıyor.

SecTrail CM Bu Tabloyu Nasıl Değiştiriyor?

SecTrail Certificate Manager, Türkiye merkezli bir geliştirme ekibi tarafından kurumsal ihtiyaçlar gözetilerek oluşturulmuş bir sertifika yaşam döngüsü yönetim platformudur. KVKK uyumu perspektifinden değerlendirildiğinde birkaç kritik özellik öne çıkıyor:

• Tam envanter ve görünürlük: SecTrail CM’in gelişmiş ağ tarama teknolojisi, kurumun tüm ağında aktif SSL/TLS sertifikalarını otomatik olarak keşfeder. “Bilmiyordum” savunmasını geçersiz kılacak düzeyde kapsam sağlar. KVKK Madde 12’nin gerektirdiği proaktif teknik tedbir bu görünürlükle başlıyor.
• Otomatik yenileme ve sıfır kesinti hedefi: Sertifika yenileme süreçlerinin otomatikleştirilmesi, insan hatasından kaynaklanan ihmal riskini ortadan kaldırıyor. Özellikle 2029 itibarıyla geçerlilik sürelerinin 47 güne düşeceği göz önüne alındığında, otomasyon artık bir tercih değil zorunluluk.
• Yerli destek: Türkçe arayüz, Türkçe teknik destek ve Türk hukuku çerçevesinde hazırlanmış veri işleme sözleşmesi imkânı sunuyor. Kurul önünde hesap verebilirlik gerektiren bir ihlal sürecinde, yerel bir sağlayıcıyla çalışmanın sağladığı avantaj somutlaşıyor.
• On-premise kurulum seçeneği: Sertifika metadata’sının kurumun kendi altyapısında kalması, yurt dışı veri aktarımı riskini tamamen bertaraf ediyor.

Kurumunuz Ne Yapmalı?

KVKK uyumunu teknik güvenlikle bütünleşik ele alan kurumlar için pratik bir başlangıç noktası şu üç sorudur:

1. Kurumunuzun ağında kaç adet aktif SSL/TLS sertifikası var ve bunların tamamına hakim misiniz?
2. Kişisel veri işleyen sistemlerinizden herhangi birinde yaklaşan sertifika süresi dolumu var mı?
3. Sertifika yönetim çözümünüz yerli mi? Veri işleme sözleşmesi KVKK’ya uygun şekilde düzenlenmiş mi?

Bu sorulara net yanıt veremiyorsanız, bir sertifika envanteri çıkarmak KVKK uyum yolculuğunuzun beklenmedik ama kritik bir adımı olabilir.

SSL/TLS sertifika yönetiminizi KVKK uyumuyla birlikte ele almak istiyorsanız SecTrail Certificate Manager’ı inceleyebilir ya da demo talep edebilirsiniz.