Veri güvenliği, bir veri tabanında saklanan dijital verilerin, saklanması ve taşınması esnasında, bütünlükleri bozulmadan, yetkisiz kullanıcılardan ve izinsiz erişimlerden korunması ile siber saldırı ya da veri ihlali gibi, kanunlarca da suç sayılan ve istenmeyen eylemlerin önüne geçilmesi amacına hizmet eden çabaların tümünü ifade etmektedir.

Veri Güvenliğine İlişkin Uluslararası Standartlar

Veri güvenliğinin nasıl yönetileceğine ilişkin en kapsamlı ve geçerli, güncel ve sistematik uluslararası standart olan ISO/IEC 270001, ilk olarak 2005 yılında, Uluslararası Standardizasyon Örgütü (ISO) ve Uluslararası Elektroteknik Komisyonu (IEC) tarafından bir Bilgi Güvenliği Yönetim Sistemini kurmak, uygulamak, sürdürmek ve geliştirmek için ortaklaşa hazırlanmış ve yayınlanmıştır. 2013 yılında standartlar, teknoloji alanındaki gelişmelere paralel olarak revize edilmiş; 2017 yılına gelindiğindeyse Avrupa versiyonu yayınlanmıştır. İşbu standart ile aranan güvenlik düzeyini ve şartları sağlayan kuruluşlar, denetimlerinin başarıyla tamamlanmasının ardından, standartlara uygun olduklarına ilişkin belge sahibi olurlar.

Uluslararası standartlara göre, veri güvenliğinin 5 temel unsuru aşağıdaki gibidir ve işbu unsurlardan herhangi birisinde eksiklik bulunması doğrudan veri güvenliği zafiyetine işaret etmektedir:

  • Gizlilik (confidentiality)
  • Bütünlük (integrity)
  • Kullanılabilirlik (availability)
  • Kimlik kanıtlama (authentication
  • İnkâr edememe (non-repudiation

Kişisel Veri Güvenliği

Hukuk alanında uluslararası düzenlemeler

Veri güvenliğine ilişkin hukuk alanındaki en kapsamlı ve güncel uluslararası düzenleme, 25 Mayıs 2018'de yürürlüğe giren, Avrupa Birliği'nin (AB) Genel Veri Koruma Tüzüğüdür. (GDPR) İşbu tüzük ile getirilen yükümlülüklere uymadıkları takdirde veri işleyen kuruluşlar için, 20 milyon Euro'ya veya yıllık gelirlerinin % 4'üne kadar para cezaları öngörülmektedir. GDPR'nin amacı, veri işleyen kuruluşları, veri gizliliğinin önemini anlamaya ve veri sahiplerinin özel bilgilerinin yetkisiz ifşası riskini azaltmak için uygun önlemleri almaya zorlamaktır.

Hukuk alanında yerel düzenlemeler

Ülkemizde ise Veri Sorumlusunun, Veri Güvenliğinin sağlanmasına ilişkin sorumluluğu, 6698 sayılı KVKK md. 12 ile düzenlemektedir. İşbu maddeye göre Veri Sorumlusu;

  1. Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,
  2. Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,
  3. Kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır.

Veri Sorumlusunun, uygun güvenlik düzeyini temin etmeye yönelik, gerekli idari ve teknik tedbirleri alması da tek başına yeterli olmayıp, aynı madde ile Veri Sorumlusuna denetim yapma veya yaptırma yükümlülüğü de getirilmiştir.

Ayrıca yine aynı madde ile Veri Sorumlusu, kişisel verilerin kendi adına başka bir gerçek veya tüzel kişi tarafından işlenmesi hâlinde de, işbu kişilerle beraber müştereken sorumlu tutulmaktadır. Buna göre, örneğin veri sorumlusunun şirketine ilişkin kayıtlar bir muhasebe şirketi tarafından tutuluyorsa, verilerin işlenmesine ilişkin birinci fıkrada belirtilen tedbirlerin alınması hususunda veri sorumlusu muhasebe şirketiyle birlikte müştereken sorumlu olacaktır.

Öte yandan, veri sorumluları ile veri işleyen kişiler, öğrendikleri kişisel verileri bu Kanun hükümlerine aykırı olarak başkasına açıklayamaz ve işleme amacı dışında kullanamazlar. Bu yükümlülük görevden ayrılmalarından sonra da devam eder.

Son olarak, işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kişisel Verileri Korunma Kurulu'na bildirir. Kurul, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebilir.

Bilgi ve Veri Güvenliği Nasıl Sağlanır?

Veri güvenliğine ilişkin alınacak önlemlerin her bir veri sorumlusunun yapısına, faaliyetlerine ve tabi olduğu risklere uygun olması gerekmektedir. Bu nedenle, veri güvenliğine ilişkin tek bir model öngörülememekle birlikte, IT alanındaki teknik önlemler de tek başlarına veri güvenliğinin sağlanmasına yetmemektedir. Uygun teknik ve idari önlemlerin belirlenmesinde şirketin büyüklüğü veya cirosunun yanı sıra veri sorumlusunun faaliyet alanı ve korunan kişisel verinin niteliği de önemlidir.

Kişisel Verileri Koruma Kurulunca, uluslararası standartlara da uygun olarak hazırlanan rehbere göre alınacak teknik tedbirler aşağıdaki gibidir:

  • Yetki Matrisi
  • Yetki Kontrolü
  • Erişim Logları
  • Kullanıcı Hesap Yönetimi
  • Ağ Güvenliği
  • Uygulama Güvenliği
  • Şifreleme
  • Sızma Testi
  • Saldırı Tespit ve Önleme Sistemleri
  • Log Kayıtları
  • Veri Maskeleme
  • Veri Kaybı Önleme Yazılımları
  • Yedekleme
  • Güvenlik Duvarları
  • Güncel Anti-Virüs Sistemleri Silme,
  • Yok Etme veya Anonim Hale Getirme
  • Anahtar Yönetimi

Yine aynı rehbere göre alınacak idari tedbirler ise aşağıdaki gibidir:

  • Kişisel Veri İşleme Envanteri Hazırlanması
  • Kurumsal Politikalar (Erişim, Bilgi Güvenliği, Kullanım, Saklama ve İmha vb.)
  • Sözleşmeler (Veri Sorumlusu - Veri Sorumlusu, Veri Sorumlusu - Veri İşleyen Arasında)
  • Gizlilik Taahhütnameleri
  • Kurum İçi Periyodik ve/veya Rastgele Denetimler
  • Risk Analizleri
  • İş Sözleşmesi, Disiplin Yönetmeliği (Kanuna Uygun Hükümler İlave Edilmesi)
  • Kurumsal İletişim (Kriz Yönetimi, Kurul ve İlgili Kişiyi Bilgilendirme Süreçleri, İtibar Yönetimi vb.)
  • Eğitim ve Farkındalık Faaliyetleri (Bilgi Güvenliği ve Kanun)
  • Veri Sorumluları Sicil Bilgi Sistemine (VERBİS) Bildirim

İşbu teknik ve idari önlemlere ilişkin detaylı bilgi için, Kurulun yayınlamış olduğu rehbere göz atabilirsiniz.

Veri güvenliğinin sağlanması hususunda, uluslararası organizasyonların getirmiş olduğu standartlar ve sertifikalar ile kanunlar ve devlet kurumlarınca veri sorumlularına getirilen yükümlülükler dışında, veri sahiplerinin de bizzat alabilecekleri birtakım güvenlik önlemleri mevcuttur:

  • Bilgisayara Giriş Güvenliği
  • Parola Güvenliği
  • Dosya Erişim ve Paylaşım Güvenliği
  • Zararlı Programlar
  • Sosyal Mühendislik
  • Bilgisayarlara izinsiz erişimi engellemek ve bilgi hırsızlığının önüne geçebilmek için;
  • Web Güvenliği
  • E-Posta Güvenliği
  • ADSL Modemlerde Güvenlik