Şirketimiz
Garanti KVK İle Tanışın
Güvenli KVK Danışmanlığı
Kişisel Verilerinizi Koruyun
%100 Memnuniyet
Mutlu Danışanlar
GİZLİLİK VE KULLANIM KOŞULLARI

BT Danışmanlığı (Bilişim Teknolojileri)

BT Danışmanlığı (Bilişim Teknolojileri)

KVKK (Kişisel Verileri Koruma Kanunu) teknolojiden faydalanarak yapay zekanın, internetin, blokzincirin (blockchain), büyük verinin konuşulduğu, dijital dönüşüm süreçlerinin gün geçtikçe hız kazandığı bir dünyada hem şirketinizi hem ilgili kişilerin hak ve özgürlüklerini korumayı amaçlar. Garanti KVK olarak biz de BT Danışmanlığı kapsamında şirketiniz için uygun çözümler önererek doğru stratejiler geliştirmenize destek oluyoruz.

Günümüzde siber tehditlerin artmasından ve yasal uyumluluk süreci sebebiyle iş dünyasında bilgi güvenliği çok önemli bir noktaya gelmiştir. Gelişen teknolojilere bağlı olarak Bilişim Teknolojileri alanında güvenliği arttırmak amacıyla riskli durumlar analiz edilmeli ve sürekli iyileştirmeler yapılmalıdır. Bu doğrultuda değerlendirilmesi gereken konular aşağıdaki gibidir.

BT Danışmanlığı

IT Süreçlerinin Analizi

BT (Bilgi Teknolojisi) danışmanlığı kapsamında  uzmanlar, teknik altyapı, veri güvenliği, verilerin saklanması, erişilebilirliği ve silinmesi gibi konuları sorgulama yoluyla kontrol ederler. Ayrıca, KVKK (Kişisel Verilerin Korunması Kanunu) hukuki açıdan denetimine uygunluğu incelenir.

Riskli görülen yapılarla karşılaşılırsa veri yönetimi önerisinde bulunulur. Bu teknik donanımlar hukuki açıdan da desteklenmelidir. Bu kapsamda Garanti KVK olarak hizmet verdiğimiz konular arasında;

  1. Kurum için kontrol sistemlerinin uygun bir şekilde işlemesini sağlayan sistemi oluşturmak,
  2. Kişisel veri güvenliği ile ilgili süreçlerinizde yardımcı olmak,
  3. Veri sorumlusunun iş planlarına göre bunları entegre etmek,
  4. Risk değerlendirmesi süreçlerinde danışmanlık yapmak,
  5. Kritik risklerin tespitini yapmak,
  6. Acil durum planı hazırlanma sürecinde destek olmak,
  7. Kurum içinde kişisel veri ve bilgi güvenliği eğitimlerinin düzenlemek yer alır.

VERİ İŞLEME, AKTARMA VE İMHA POLİTİKALARININ BELİRLENMESİ

KVKK kapsamında kurumların mevzuata uyarak teknik açıdan yükümlülüklerini yerine getirebilmeleri için teknolojik çözümlerden yararlanmaları gerekir. BT Danışmanlığı bu uyum sürecinde kurumunuz için olmazsa olmaz.

1 - VERİNİN SINIFLANDIRILMASI

Verilerin verimli bir şekilde kullanılabilmesi, korunabilmesi için ilgili kategorilere göre düzenlenmesi sürecidir. Veri erişimini kolaylaştırdığı gibi risk yönetimine uyumluluk veri güvenliği için önemlidir.

2 - VERİLERİN AKTARILMASI (3.ŞAHIS VEYA YURT DIŞI)

Kişisel veriler ilgili kişinin açık rızası olmaksızın 3.şahıslara, kurumlara ve yurt dışına aktarılamaz. Ancak bazı şartlarda açık rıza aranmaksızın kişisel verilerin aktarılması mümkündür:

  • 6698 sayılı Kanunun 5 inci maddesinin ikinci fıkrasında Madde-5/2 belirtilen şartlardan birinin bulunması hâlinde,
  • Yeterli önlemler alınmak kaydıyla, kanunun Madde-6/6 belirtilen şartlardan birinin bulunması hâlinde.

Yurt dışına aktarılmasında ayrıca ilgili ülkede yeterli korumanın bulunması, yeterli korumanın bulunmaması durumunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri gerekir. Kurul yeterli korumanın bulunduğu ülkeleri belirleyerek ilan eder.

3- Verinin Şifrelenmesi, Anonim Hale Getirilmesi

Kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir.

Maskeleme: Kişisel verilerin belli alanlarının yok edilmesidir. Örneğin, kişinin kimlik numarasının bir kısmının silinmesi durumunda maskeleme söz konusudur. (26******* 7 vb.)

Karartma: Kişisel verilerin bütününün, kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek şekilde üstlerinin çizilmesi, boyanması ve buzlanması gibi işlemlerdir.

4 - VERİLERİN SİLİNMESİ / İMHA EDİLMESİ

Kişisel veriler, ilgili veri kullanıcıları için kullanım amacı için gerekli olan en yüksek süre sona erdikten sonra erişilebilir ve kullanılabilir olmamalıdır. Veri sorumlusu, önlem olarak, verileri ilgili yönergeler doğrultusunda silmekle yükümlüdür.

TEKNİK TEDBİRLER KAPSAMINDA DİJİTAL STRES TESTLERİNİN ORGANİZE EDİLMESİ

Kişisel veriler günümüzde sunucular (server), ağlar (network), dijital kameralar, bilgisayarlar, veri tabanları (database), web siteleri gibi bir çok dijital ortamda kayıt altına alınmış durumdadır. Bu noktada kişisel veriler dijital kayıtlarda savunmasızdırlar. Dijital kayıtların, kurumunuzun gereksinim duyduğu sürece kullanılabilmesi ve güvence altına alınabilmesi için bazı stratejilerin belirlenmesi gerekir. BT Danışmanlığı kapsamında süreç içinde sizi bu konuda da yönlendiriyoruz.

SIZMA TESTLERİNİN ORGANİZE EDİLMESİ (PENETRATİON TESTS)

Kişisel verilerin güvenlik açığından yararlanılarak kötü amaçlar için kullanılmak üzere ele geçirilmesi durumunda (verilerin sızdırılması) şirketlerin itibarları ciddi şekilde zarar görür. Aynı zamanda bu durum cezaları da beraberinde getirebilir. Veri sızıntısı noktaları tespit edilerek, veri koruma önlemlerin alınması, testlerin belirli peryod / dönemlerde tekrarlanması ve raporlanması gerekir. Bu şekilde kurum sistemi güvenilir hale getirilir ve bu kurum için çok önemlidir.

İLGİLİ MEVZUATTA ÖNGÖRÜLEN VEYA İŞLENDİKLERİ AMAÇ İÇİN GEREKLİ OLAN SÜRE KADAR MUHAFAZA EDİLMESİNİN SAĞLANMASI

Veri Sorumluları, VERBİS’ne (Veri Sorumluları Sicil Bilgi Sistemi) kayıt için başvuru yaparken kişisel verilerin işlenme amacı için gerekli azami süreyi bildirmek zorundadır.

KİŞİSEL VERİLERİN KORUNMASI KANUNU (KVKK) TEKNİK UYUMLULUK ÇÖZÜMLERİNİN BELİRLENMESİ

Kişisel Verilerin Korunması Kanunu (KVKK) ile kişisel veri içeren tüm bilişim teknolojisi sistemlerinin online gelebilecek her türlü tehdidine karşı korunması zorunlu hale getirilmiştir. Bu kapsamda önerilen asgari teknik tedbirler arasında;

1 – Kimlik Doğrulama ve Erişim Yönetimi

Kimlik doğrulama işlemi için kullanıcının girdiği kimlik bilgilerinin kullanılan veri tabanındaki bilgilerle eşleştirilmesi ile yapılır. Eşleşme sağlanarak erişim izni alan kişi kendisine tanımlanan yetkilerle sınırlı olarak sistemi kullanabilir.

2 – Uç Nokta Yönetimi

Dizüstü, masaüstü bilgisayarlar, cep telefonları, tabletler, sunucular ve sanal ortamların tümü uç nokta olarak kabul edilebilir. Ağ bağlantısı olan her aygıt güvenlik ihlalleri için potansiyel bir risk taşır. Bu nedenle ağdaki her bir aygıtı ve iletişim ağını güvenlik sistemleri ile korumak için yöntemler kullanılmalıdır.

3 – Dosya Sunucusu Yönetimi (File Server)

Dosya sunucusu veri dosyalarının depolanmasını ve aynı ağdaki diğer bilgisayarlardan herhangi bir fiziksel ortama aktarmadan veri dosyalarına erişimi sağlayan merkezi bir bilgisayardır. Yönetiminde çeşitli uygulamalar kullanılır.

4 – Kurumsal Mail Yönetimi

Kurumlarda şirket uzantılı mail hesapları kullanmak güvenlik açısından en önemli unsurlardan biridir

5 – Yedekleme Yönetimi

Kurum içi verilerin yanlışlıkla silinmesi, uygulamaların çökmesi, sunucu aksaklıkları ve verilerin geri alınamaz sayısız diğer yollara karşı yedeklenmesi ve gerektiğinde geri yüklenmesi iş devamlılığı ve verimliliği için önemlidir. Veri kurtarma strateji belirleyerek gerekli yöntemleri içeren sistemler kullanılmalıdır.

6 – İş Sürekliliği

Kuruluşun bir felaketin ardından (sel, yangın vb.) farklı araçlar ve süreçler ile gerektiğinde başka bir yerde iş faaliyetlerini kesintisiz sürdürebilmesi için gerekli planlamanın yapılarak, test edilmesi yönetimidir.

7 – SIEM (Security Information and Event Management) ve Loglama (LOG Yönetimi)

Kişisel Verilerin Korunması Kanunu için bilgi güvenliği çok önemlidir. Bu nedenle kuruluşlar Loglama ve SIEM konularına önem vermeli, veri güvenliği ile ilgili olayları tek bir noktadan yönetmek, analizlerini gerçekleştirmek ve gerektiğinde aksiyon almayı sağlamalılar.

8 – ISO 27001 

Kuruluşların bilgi güvenliği çerçevelerini geliştirirken kullanacakları resmi bir kılavuz seti olarak görebiliriz. Amaç güvenlik hedeflerine ulaşmak için yasalara, düzenlemelere uyarak kontrolleri belirlenen süreç içinde uyarlamaktır.

Kuruluşların KVKK uyumluluğunu tamamlarken ISO 27001 Bilgi Güvenliği standardını göz ardı etmemeli. ISO 27001 in de KVKK ile entegre olması zorunludur.

KANUN KAPSAMINDA VERİLERE İLİŞKİN DİĞER GÜVENLİK TEDBİRLERİNİN BELİRLENMESİ VE ORGANİZE EDİLMESİ

Siber Güvenlik

Firewall (UTM)

Ağ Teknolojileri

Bütünleşik Güvenlik Hizmeti

Web ve Uygulama Filtreleme

Firewall Teknik Destek

GDPR