T\u00fcrkiye’deki kurumlar\u0131n b\u00fcy\u00fck \u00e7o\u011funlu\u011fu KVKK uyumunu bir belge haz\u0131rlama s\u00fcreci olarak ele al\u0131yor: ayd\u0131nlatma metinleri, a\u00e7\u0131k r\u0131za formlar\u0131, veri envanteri. Oysa Kanun’un 12. maddesi \u00e7ok daha geni\u015f bir y\u00fck\u00fcml\u00fcl\u00fck tan\u0131ml\u0131yor: ki\u015fisel verilerin i\u015flendi\u011fi sistemlerin teknik g\u00fcvenli\u011fi de veri sorumlusunun sorumlulu\u011funda.<\/p>\n\n\n\n
Peki bir web uygulamas\u0131nda, API entegrasyonunda ya da kurumsal a\u011fda iletilen ki\u015fisel veriler, SSL\/TLS sertifikas\u0131n\u0131n s\u00fcresi dolmu\u015f ya da yanl\u0131\u015f yap\u0131land\u0131r\u0131lm\u0131\u015f <\/a>olmas\u0131 nedeniyle \u015fifresiz aktar\u0131l\u0131yorsa ne olur? Bu durum, KVKK ihlali i\u00e7in yeterli bir teknik gerek\u00e7edir.<\/p>\n\n\n\n Ki\u015fisel Verilerin Korunmas\u0131 Kanunu’nun 12. maddesi, veri sorumlular\u0131na “ki\u015fisel verilerin hukuka ayk\u0131r\u0131 olarak i\u015flenmesini \u00f6nlemek, eri\u015filmesini engellemek ve verilerin muhafazas\u0131n\u0131 sa\u011flamak amac\u0131yla uygun g\u00fcvenlik d\u00fczeyini temin etmeye y\u00f6nelik gerekli her t\u00fcrl\u00fc teknik ve idari tedbirleri almak” y\u00fck\u00fcml\u00fcl\u00fc\u011f\u00fcn\u00fc getiriyor.<\/p>\n\n\n\n “Her t\u00fcrl\u00fc teknik tedbir” ifadesi olduk\u00e7a kapsaml\u0131. Ki\u015fisel veri i\u00e7eren her ileti\u015fim kanal\u0131n\u0131n, her uygulama aray\u00fcz\u00fcn\u00fcn, her API ba\u011flant\u0131s\u0131n\u0131n \u015fifreli ve ge\u00e7erli bir SSL\/TLS sertifikas\u0131yla korunmas\u0131 bu y\u00fck\u00fcml\u00fcl\u00fc\u011f\u00fcn do\u011fal bir par\u00e7as\u0131d\u0131r.<\/p>\n\n\n\n T\u00fcrkiye’deki veri ihlali bildirimlerine bak\u0131ld\u0131\u011f\u0131nda, \u015fifreli olmayan ya da sertifika hatas\u0131 i\u00e7eren kanallar \u00fczerinden ger\u00e7ekle\u015fen veri s\u0131z\u0131nt\u0131lar\u0131n\u0131n giderek artan bir paya sahip oldu\u011fu g\u00f6r\u00fcl\u00fcyor. Kurum bu durumda hem Ki\u015fisel Verileri Koruma Kurulu’na bildirim yapmak hem de yeterli teknik tedbiri almad\u0131\u011f\u0131n\u0131 ispat etmek zorunda kal\u0131yor.<\/p>\n\n\n\n Bir sertifikan\u0131n s\u00fcresi doldu\u011funda taray\u0131c\u0131lar ve istemciler ba\u011flant\u0131y\u0131 reddeder ya da kullan\u0131c\u0131lar\u0131 g\u00fcvenli olmayan bir ba\u011flant\u0131ya y\u00f6nlendirir. Bu s\u00fcre\u00e7te ki\u015fisel veri i\u00e7eren formlar, giri\u015f sayfalar\u0131 veya API \u00e7a\u011fr\u0131lar\u0131 \u015fifresiz iletim riskiyle kar\u015f\u0131 kar\u015f\u0131ya kal\u0131r. KVKK a\u00e7\u0131s\u0131ndan bu durum, “teknik tedbir almama” kapsam\u0131nda de\u011ferlendirilebilir.<\/p>\n\n\n\n B\u00fcy\u00fck kurumlar\u0131n alt yap\u0131s\u0131nda ka\u00e7 adet aktif SSL\/TLS sertifikas\u0131 bulundu\u011funu biliyor musunuz? \u00c7o\u011fu BT ekibi bu soruyu kesin olarak yan\u0131tlayam\u0131yor. Bir sunucuda ya da serviste, kimsenin haberi olmadan s\u00fcresi dolmak \u00fczere olan bir sertifika KVKK riski yaratmaya devam ediyor. “Haberdar olmamak” ise hukuki sorumlulu\u011fu ortadan kald\u0131rm\u0131yor.<\/p>\n\n\n\n Kurumlar ki\u015fisel veri i\u015flerken yaln\u0131zca kendi sistemleriyle de\u011fil, entegre olduklar\u0131 \u00fc\u00e7\u00fcnc\u00fc taraf sistemlerle de sorumlu tutuluyor. Bir \u00f6deme altyap\u0131s\u0131, muhasebe yaz\u0131l\u0131m\u0131 ya da insan kaynaklar\u0131 platformuyla yap\u0131lan API ba\u011flant\u0131s\u0131nda sertifika ge\u00e7erlili\u011fi kontrol edilmiyor ve bu kanal \u00fczerinden ki\u015fisel veri ak\u0131yorsa, sorumluluk veri sorumlusuna ait.<\/p>\n\n\n\n Bu nokta s\u0131kl\u0131kla g\u00f6z ard\u0131 ediliyor. Sertifika y\u00f6netim \u00e7\u00f6z\u00fcm\u00fcn\u00fcz\u00fcn metadata’s\u0131 \u2014 hangi sunucuda hangi sertifika var, sertifika sahipleri kimler, hangi sistemler kapsan\u0131yor \u2014 kendi ba\u015f\u0131na hassas kurumsal veri niteli\u011fi ta\u015f\u0131yabilir. Yabanc\u0131 kaynakl\u0131 bir \u00e7\u00f6z\u00fcm, bu veriyi yurt d\u0131\u015f\u0131 sunucularda sakl\u0131yorsa hem KVKK hem de 5651 say\u0131l\u0131 Kanun kapsam\u0131nda ayr\u0131 bir de\u011ferlendirme gerekebilir.<\/p>\n\n\n\n Uluslararas\u0131 sertifika y\u00f6netim platformlar\u0131 teknik a\u00e7\u0131dan olgun \u00e7\u00f6z\u00fcmler sunabilir. Ancak T\u00fcrk kurumlar\u0131 i\u00e7in de\u011ferlendirme yaln\u0131zca \u00f6zellik listesiyle s\u0131n\u0131rl\u0131 olmamal\u0131.<\/p>\n\n\n\n Destek dili ve m\u00fcdahale h\u0131z\u0131:<\/strong> Bir sertifika kaynakl\u0131 kesinti s\u0131ras\u0131nda KVKK ihlali riski de s\u00f6z konusuysa, \u0130ngilizce ticket sistemi \u00fczerinden destek almak de\u011ferli saatler kaybettirebilir. Yerli bir ekiple T\u00fcrk\u00e7e, anl\u0131k ileti\u015fim; hem teknik \u00e7\u00f6z\u00fcm hem de hukuki s\u00fcreci do\u011fru y\u00f6netme a\u00e7\u0131s\u0131ndan kritik fark yarat\u0131r.<\/p>\n\n\n\n Veri i\u015fleme s\u00f6zle\u015fmesi ve KVKK uyumu:<\/strong> KVKK, veri sorumlular\u0131n\u0131n veri i\u015fleyenlerle yaz\u0131l\u0131 s\u00f6zle\u015fme yapmas\u0131n\u0131 zorunlu k\u0131l\u0131yor. Yabanc\u0131 bir yaz\u0131l\u0131m sa\u011flay\u0131c\u0131s\u0131yla KVKK gerekliliklerine uygun bir veri i\u015fleme s\u00f6zle\u015fmesi haz\u0131rlamak, \u00e7o\u011fu zaman uzun hukuki s\u00fcre\u00e7ler gerektiriyor. Yerli bir sa\u011flay\u0131c\u0131 bu konuda \u00e7ok daha h\u0131zl\u0131 ve \u00f6ng\u00f6r\u00fcl\u00fc bir s\u00fcre\u00e7 sunabiliyor.<\/p>\n\n\n\n Yerelde tutma:<\/strong> Sertifika y\u00f6netim verisinin T\u00fcrkiye’deki sunucularda ya da kurumun kendi altyap\u0131s\u0131nda tutulmas\u0131, KVKK Madde 9 kapsam\u0131ndaki yurt d\u0131\u015f\u0131 veri aktar\u0131m\u0131 y\u00fck\u00fcml\u00fcl\u00fcklerini devre d\u0131\u015f\u0131 b\u0131rak\u0131yor.<\/p>\n\n\n\n SecTrail Certificate Manager, T\u00fcrkiye merkezli bir geli\u015ftirme ekibi taraf\u0131ndan kurumsal ihtiya\u00e7lar g\u00f6zetilerek olu\u015fturulmu\u015f bir sertifika ya\u015fam d\u00f6ng\u00fcs\u00fc y\u00f6netim platformudur. KVKK uyumu perspektifinden de\u011ferlendirildi\u011finde birka\u00e7 kritik \u00f6zellik \u00f6ne \u00e7\u0131k\u0131yor:<\/p>\n\n\n\n KVKK uyumunu teknik g\u00fcvenlikle b\u00fct\u00fcnle\u015fik ele alan kurumlar i\u00e7in pratik bir ba\u015flang\u0131\u00e7 noktas\u0131 \u015fu \u00fc\u00e7 sorudur:<\/p>\n\n\n\n Bu sorulara net yan\u0131t veremiyorsan\u0131z, bir sertifika envanteri \u00e7\u0131karmak KVKK uyum yolculu\u011funuzun beklenmedik ama kritik bir ad\u0131m\u0131 olabilir.<\/p>\n\n\n\nKVKK Madde 12 Ne Diyor?<\/h3>\n\n\n\n
Sertifika Y\u00f6netimindeki Bo\u015fluklar Nas\u0131l KVKK Riski Yarat\u0131r?<\/h3>\n\n\n\n
1. S\u00fcresi Dolan Sertifikalar ve A\u00e7\u0131k \u0130leti\u015fim Kanallar\u0131<\/h4>\n\n\n\n
2. G\u00f6r\u00fcnmeyen Sertifikalar: Envanter Bo\u015flu\u011fu<\/h4>\n\n\n\n
3. \u00dc\u00e7\u00fcnc\u00fc Taraf Entegrasyonlar\u0131<\/h4>\n\n\n\n
4. Veri Egemenli\u011fi: Sertifika Y\u00f6netim Verisinin Nerede Tutuldu\u011fu<\/h4>\n\n\n\n
Yerli \u00c7\u00f6z\u00fcmlerin Fark\u0131: Neden Sadece Teknik De\u011fil, Hukuki Bir Tercih?<\/h3>\n\n\n\n
SecTrail CM Bu Tabloyu Nas\u0131l De\u011fi\u015ftiriyor?<\/h3>\n\n\n\n
\n
Kurumunuz Ne Yapmal\u0131?<\/h3>\n\n\n\n
\n