Kişisel Veri Güvenliği

Kişisel Veri Güvenliği

OTELDENAL TUR. TIC. LTD. STI. KISISEL VERI GÜVENLIGI POLITIKASI

1.BÖLÜM

1.1 GIRIS

Kisisel Verilerin Korunmasi Kanunu’nun 12 nci maddesinin birinci fikrasina göre ;

Veri sorumlusu;

a) Kisisel verilerin hukuka aykiri olarak islenmesini önlemek,

b) Kisisel verilere hukuka aykiri olarak erisilmesini önlemek,

c) Kisisel verilerin muhafazasini saglamak amaciyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her

türlü teknik ve idari tedbirleri almak zorundadir.” hükmü yer almaktadir.

Bu kapsamda, kisisel verilerin islenmesi sürecinde alinmasi gereken teknik ve idari tedbirler konusunda alinmasi gereken önlemleri tanimlamak amaciyla bu politika hazirlanmistir.

1.2.KAPSAM

Sirket çalisanlari, çalisan adaylari, hizmet saglayicilari, ziyaretçiler ve diger üçüncü kisilere ait kisisel veriler bu Politika kapsaminda olup Sirket’in sahip oldugu ya da Sirketimizce yönetilen kisisel verilerin islendigi tüm kayit ortamlari ve kisisel veri islenmesine yönelik faaliyetlerde bu Politika uygulanir.

1.3. HEDEF

Sirket Kisisel Veri Güvenligi Politikasi ile Sirket bünyesinde kisisel verilerin hukuka uygun olarak islenmesi ve korunmasi konusunda farkindaligin olusmasi hedefi dogrultusunda gerekli sistemleri olusturmak ve mevzuata uyumu temin etmek için gereken düzenin kurulmasi amaçlanmaktadir.

2. BÖLÜM

2.1. TANIMLAR VE KISALTMALAR


 

SIRKET:

Oteldenal Tur. Tic. Ltd. Sti.

AÇIK RIZA:

Belirli bir konuya iliskin, bilgilendirilmeye dayanan ve özgür iradeyle açiklanan riza.

ANONIM HALE GETIRME:

Kisisel verinin, kisisel veri niteligi kaybedecek ve bu durumun geri alinamayacagi sekilde degistirilmesidir. Ör: Maskeleme, toplulastirma, veri bozma vb. tekniklerle kisisel verinin bir gerçek kisi ile iliskilendirilemeyecek hale getirilmesi.

ILGILI KISI:

Kisisel verisi islenen gerçek kisi. Ör: Müsteriler, ziyaretçiler, çalisanlar ve çalisan adaylari.

KISISEL VERI:

Kimligi belirli ve belirlenebilir gerçek kisiye iliskin her türlü bilgi. Dolayisiyla tüzel kisilere iliskin bilgilerin islenmesi Kanun kapsaminda degildir. Örn: ad-soyad, TCKN, e-posta, adres, dogum tarihi, kredi karti numarasi, banka hesap numarasi vb.

ÖZEL NITELIKLI KISISEL VERI:

Irk, etnik köken, siyasi düsünce, felsefi inanç, din, mezhep veya diger inançlar, kilik kiyafet, dernek vakif ya da sendika üyeligi, saglik, cinsel hayat, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik veriler özel nitelikli verilerdir.

KISISEL VERILERIN ISLENMESI:

Kisisel verilerin tamamen veya kismen otomatik olan ya da herhangi bir veri kayit sisteminin parçasi olmak kaydiyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanmasi, muhafaza edilmesi, degistirilmesi, yeniden düzenlenmesi, açiklanmasi, aktarilmasi, devralinmasi, elde edilebilir hâle getirilmesi, siniflandirilmasi ya da kullanilmasinin engellenmesi gibi veriler üzerinde gerçeklestirilen her türlü islem.

VERI SORUMLUSU:

Kisisel verilerin islenme amaçlarini ve vasitalarini belirleyen, verilerin sistematik bir sekilde tutuldugu yeri (veri kayit sistemi) yöneten gerçek veya tüzel kisiyi ifade eder

VERI SAHIBI BASVURU FORMU:

Ilgili Kisinin, KVK Kanunu’nun 11. maddesinde yer alan haklarina iliskin basvurularini kullanirken yararlanacaklari basvuru formu.

ANAYASA:

9 Kasim 1982 tarihli ve 17863 sayili Resmi Gazete’de yayimlanan;7 Kasim 1982 tarihli 2709 sayili Türkiye Cumhuriyeti Anayasasi

KVK KANUNU:

7 Nisan 2016 tarihli ve 29677 sayili Resmi Gazete’de yayimlanan, 24 Mart 2016 tarihli ve 6698 sayili Kisisel Verilerin Korunmasi Kanunu.

POLITIKA:

Sirket Kisisel Veri Güvenligi Politikasi

AYDINLATMA YÜKÜMLÜLÜGÜNÜN YERINE GETIRILMESINDE UYULACAK USUL VE ESASLAR HAKKINDA TEBLIG:

10 Mart 2018 tarihli ve 30356 sayili Resmi Gazete’de yayimlanarak yürürlüge giren Aydinlatma Yükümlülügünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkinda Teblig.

KISISEL VERI SAKLAMA VE IMHA POLITIKASI:

Kisisel Verilerin Silinmesi, Yok Edilmesi, Anonim Hale Getirilmesi Hakkinda Yönetmelik geregince, sirket tarafindan kisisel verilerin islendikleri amaç için gerekli olan azami süreyi belirleme islemi ile silme, yok etme ve anonim hale getirme islemi için dayanak yapilmis olan politika

PERIYODIK IMHA: 

Kanunda yer alan kisisel verilerin islenme sartlarinin tamaminin ortadan kalkmasi durumunda tekrar eden araliklarla gerçeklestirilecek silme, yok etme veya anonim hale getirme islemi.

KAYITLI ELEKTRONIK POSTA (KEP): 

Her türlü ticari, hukuki yazisma ve belge paylasimlarinizi gönderdiginiz biçimde koruyan, alicinin kim oldugunu kesin olarak tespit eden, içerigin kesinlikle degismemesini ve içerigi yasal geçerli ve güvenli, kesin delil haline getiren sistemdir.

VERI SORUMLULARI SICIL BILGI SISTEMI:

 Veri sorumlularinin Sicile basvuruda ve Sicile iliskin ilgili diger islemlerde kullanacaklari, internet üzerinden erisilebilen, Baskanlik tarafindan olusturulan ve yönetilen bilisim sistemi.

 

3.BÖLÜM

KISISEL VERI GÜVENLIGINE ILISKIN IDARI TEDBIRLER

3.1. Mevcut Risk ve Tehditlerin Belirlenmesi

Kisisel verilerin güvenliginin saglanmasi için öncelikle veri sorumlusu tarafindan islenen tüm kisisel verilerin neler oldugunun, bu verilerin korunmasina iliskin ortaya çikabilecek risklerin gerçeklesme olasiliginin ve gerçeklesmesi durumunda yol açacagi kayiplarin dogru bir sekilde belirlenerek buna uygun tedbirlerin alinmasi gerekmektedir.

Bu riskler belirlenirken;

? Kisisel verilerin özel nitelikli kisisel veri olup olmadigi,

? Mahiyeti geregi hangi derecede gizlilik seviyesi gerektirdigi,

? Güvenlik ihlali halinde ilgili kisi bakimindan ortaya çikabilecek zararin niteligi ve niceligi dikkate alinmalidir.

Bu risklerin tanimlanmasi ve önceliginin belirlenmesinden sonra; söz konusu risklerin azaltilmasi ya da ortadan kaldirilmasina yönelik kontrol ve çözüm alternatifleri; maliyet, uygulanabilirlik ve yararlilik ilkeleri dogrultusunda degerlendirilmeli, gerekli teknik ve idari tedbirler planlanarak uygulamaya konulmalidir.

3.2. Çalisanlarin Egitilmesi ve Farkindalik Çalismalari

Kisisel veri güvenligini zedeleyecek saldirilar ile siber güvenlige iliskin, çalisanlarin sinirli bilgileri olsa dahi ilk müdahaleyi yapmalari, kisisel veri güvenliginin saglanmasi konusunda büyük önem tasimaktadir.

Kisisel veri güvenligini ihlal etmeye yönelik saldirilarin yanisira, kisisel verilerin hukuka aykiri olarak açiklanmasi ya da paylasilmasi gibi konular baslica kisisel veri güvenligi ihlallerindendir. Bu ihlaller, kullanicilarin dikkatsizlik, dalginlik veya tecrübesizlik gibi zayif yönlerinin kullanilmasi suretiyle kötü amaçli yazilim içeren elektronik posta ekinin açilmasi veya elektronik postanin yanlis aliciya gönderilerek kisisel verilerin üçüncü kisilerin erisimine açilmasi seklinde de ortaya çikabilmektedir.

Bu nedenle çalisanlarin, kisisel verilerin hukuka aykiri olarak açiklanmamasi ve paylasilmamasi gibi konular hakkinda egitim almalari, çalisanlara yönelik farkindalik çalismalari yapilmasi ve güvenlik risklerinin belirlenebildigi bir ortam olusturulmasi kisisel veri güvenliginin saglanmasi bakimindan çok önemlidir.

Tüm çalisanlarin hangi konumda çalistigina bakilmaksizin kisisel veri güvenligine iliskin rol ve sorumluluklari, görev tanimlarinda belirlenmeli ve çalisanlarin bu konudaki rol ve sorumlulugunun farkinda olmasi saglanmalidir.

Ayrica kisisel veri içeren ortamlara erisim hakki verilirken veya bu konuda kurum kültürü olusturulurken “Yasaklanmadikça Her Sey Serbesttir” prensibi degil, “Izin Verilmedikçe Her Sey Yasaktir” prensibine uygun hareket edilmesine dikkat edilmelidir.

Öte yandan, çalisanlarin ise alinma süreçlerinin bir parçasi olarak gizlilik anlasmalarini imzalamalari istenebilir.Ç alisanlarin güvenlik politika ve prosedürlerine uymamasi durumunda devreye girecek bir disiplin süreci de mutlaka olmalidir.

Kisisel veri güvenligine iliskin politika ve prosedürlerde önemli degisikliklerin meydana gelmesi halinde; yapilacak yeni egitimlerle bu degisikliklerin, çalisanlarin bilgisine sunulmasi ve kisisel veri güvenligine iliskin tehditler hakkindaki bilgilerinin güncel tutulmasi saglanmalidir.

Her bir kisisel veri kategorisi için ortaya çikabilecek riskler ile güvenlik ihlallerinin nasil yönetilecegi de açikça belirlenmelidir.

3.3. Kisisel Verilerin Mümkün Oldugunca Azaltilmasi

Kanunun 4 üncü maddesinin ikinci fikrasinin (b) ve (d) bentleri uyarinca kisisel veriler, gerektiginde dogru ve güncel olmali, ilgili mevzuatta öngörülen veya islendikleri amaç için gerekli olan süre kadar muhafaza edilmelidir.

Ancak, çok fazla miktarda kisisel veri toplamakta oldugundan söz konusu kisisel verilerin bir kismi zamanla dogru olmayan, güncelligini yitirmis ve herhangi bir amaca hizmet etmeyen veriler haline gelebilmektedir. Bunun önüne geçebilmek için, isleme amaçlari bakimindan anilan kisisel verilere hala ihtiyaç olup olmadiginin degerlendirilmesi ve kisisel verilerin dogru yerde muhafaza edildiginden emin olunmasi gerekmektedir.

Bunun yaninda, yetkisiz erisimin önüne geçilebilmesi için kisisel veri isleme amaçlarina uygun olmasina ragmen, veri sorumlularinin siklikla erisimi gerekmeyen ve arsiv amaçli tutulan kisisel verilerin, daha güvenli ortamlarda muhafaza edilmesi ve ihtiyaç duyulmayan kisisel verilerin ise kisisel veri saklama ve imha politikasi ile kisisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi yönetmeligine uygun ve güvenli bir sekilde imha edilmesi gerekmektedir.

3.4. Veri Isleyenler ile Iliskilerin Yönetimi

Hizmet alinan veri isleyenlerin kisisel veriler konusunda sagladigi güvenlik seviyesinin yeterli oldugundan emin olunmalidir. Zira Kanunun 12 nci maddesinin ikinci fikrasi geregi veri isleyenler de kisisel verilerin güvenliginin saglanmasi konusunda veri sorumlusuyla müstereken sorumludur. Veri isleyen ile imzalanan sözlesmenin yazili olmasi, veri isleyenin sadece veri sorumlusunun talimatlari dogrultusunda, sözlesmede belirtilen veri isleme amaç ve kapsamina uygun ve kisisel verilerin korunmasi mevzuati ile uyumlu sekilde hareket edecegine iliskin hüküm içermesi ve Kisisel Veri Saklama ve Imha Politikasina uygun olmasi gereklidir.

Veri isleyenin, isledigi kisisel verilere iliskin olarak süresiz sir saklama yükümlülügüne tabi olacaginin da bu sözlesmede yer almasi önem tasimaktadir.

Ayrica; taraflar arasindaki sözlesmenin niteligi buna elverdigi ölçüde, veri isleyene aktarilan kisisel veri kategori ve türlerinin de ayri bir maddede belirtilmis olmasi, veri isleyenin veri güvenligini saglama yükümlügünü yerine getirmesi açisindan faydali olacaktir. Bununla birlikte kisisel veri içeren sistem üzerinde gerekli denetimler düzenli olarak yapilmali veya yaptirilmalidir, denetim sonucunda ortaya çikan raporlar ve hizmet saglayici yerinde incelenebilir.

4.BÖLÜM

KISISEL VERI GÜVENLIGINE ILISKIN TEKNIK TEDBIRLER
4.1. Siber Güvenligin Saglanmasi

Kisisel veri içeren bilgi teknoloji sistemlerinin internet üzerinden gelen izinsiz erisim tehditlerine karsi korunmasinda öncelikli olarak güvenlik duvari ve ag geçidi tedbiri alinmalidir. Güvenlik duvarinin iyi yapilandirilmasi, kullanilmakta olan aga derinlemesine nüfuz etmeden önce, gerçeklesen ihlalleri durdurmasi açisindan çok önemlidir.

Çalisanlarin kisisel veri güvenligi bakimindan tehdit teskil eden internet sitelerine veya online servislere erisimini önleyebilmek için Internet ag geçidi kullanilmalidir. Bununla birlikte hemen hemen her yazilim ve donanimin bir takim kurulum ve yapilandirma islemlerine tabi tutulmasi gerekmektedir. Ancak yaygin sekilde kullanilan bazi yazilimlarin özellikle eski sürümlerinin belgelenmis güvenlik açiklari bulunmakta olup, kullanilmayan yazilim ve servislerin cihazlardan kaldirilmasi potansiyel güvenlik açiklarinin azalmasini saglamaya yardimci olacaktir. Bu nedenle, kullanilmayan yazilim ve servislerin güncel tutulmasi yerine silinmesi, kolayligi nedeniyle öncelikli olarak tercih edilmelidir.

Diger önemli unsurlardan biri de yama yönetimi ve yazilim güncellemeleridir. Yazilim ve donanimlarin düzgün bir sekilde çalismasi ve sistemler için alinan güvenlik tedbirlerinin yeterli olup olmadiginin düzenli olarak kontrol edilmesi de olasi güvenlik açiklarinin kapatilmasi için gereklidir. Ayrica, kisisel veri içeren sistemlere erisim sinirli olmalidir.

Bu kapsamda çalisanlara, yapmakta olduklari is ve görevler ile yetki ve sorumluluklari için gerekli oldugu ölçüde erisim yetkisi taninmali ve kullanici adi ve sifre kullanilmak suretiyle ilgili sistemlere erisim saglanmalidir. Söz konusu sifre ve parolalar olusturulurken, kisisel bilgilerle iliskili ve kolay tahmin edilecek rakam ya da harf dizileri yerine büyük küçük harf, rakam ve sembollerden olusacak kombinasyonlarin tercih edilmesi saglanmalidir.

Buna bagli olarak veri sorumlularinin, erisim yetki ve kontrol matrisi olusturmalari ve ayri bir erisim politika ve prosedürleri olusturarak veri sorumlusu organizasyonu içinde bu politika ve prosedürlerin uygulamaya alinmasi önerilmektedir.

Güçlü sifre ve parola kullaniminin yanisira, kaba kuvvet algoritmasi (BFA) kullanimi gibi yaygin saldirilardan korunmak için sifre girisi deneme sayisinin sinirlandirilmasi, düzenli araliklarla sifre ve parolalarin degistirilmesinin saglanmasi, yönetici hesabi ve admin yetkisinin sadece ihtiyaç oldugu durumlarda kullanilmasi için açilmasi ve veri sorumlusuyla ilisikleri kesilen çalisanlar için zaman kaybetmeksizin hesabin silinmesi ya da girislerin kapatilmasi gibi yöntemlerle erisimin sinirlandirilmasi gerekmektedir.

Kötü amaçli yazilimlardan korunmak için ayrica, bilgi sistem agini düzenli olarak tarayan ve tehlikeleri tespit eden antivirüs, antispam gibi ürünlerin kullanilmasi gerekmektedir. Ancak bu ürünlerin sadece kurulumu yeterli olmayip güncel tutularak gereken dosyalarin düzenli olarak tarandigindan emin olunmalidir. Veri sorumlulari tarafindan, farkli internetsiteleri ve/veya mobil uygulama kanallarindan kisisel veri temin edilecekse, baglantilarin SSL ya da daha güvenlibir yol ile gerçeklestirilmesi de kisisel veri güvenliginin saglanmasi için önemlidir.

4.2. Kisisel Veri Güvenliginin Takibi

Sistemlere içeriden veya disaridan gelen saldirilar ve siber suçlar veya kötü amaçli yazilimlara maruz kalma durumunda, müdahale için geç kalmadan;

  • Bilisim aglarinda hangi yazilim ve servislerin çalistiginin kontrol edilmesi,

  • Bilisim aglarinda sizma veya olmamasi gereken bir hareket olup olmadiginin belirlenmesi,

  • Tüm kullanicilarin islem hareketleri kaydinin düzenli olarak tutulmasi (log kayitlari gibi),

  • Güvenlik sorunlarinin mümkün oldugunca hizli bir sekilde raporlanmasi,

  • Çalisanlarin sistem ve servislerdeki güvenlik zaafiyetlerini ya da bunlari kullanan tehditleri bildirmesi için resmi bir raporlama prosedürü olusturulmasi, gerekmektedir.

Söz konusu raporlama sürecinde olusturulacak raporlar, sistem tarafindan olusturulacak otomatik raporlar olabilir. Bu raporlarin sistem yöneticisi tarafindan en kisa sürede toplulastirilarak veri sorumlusuna sunulmasi gerekmektedir. Ayrica güvenlik yazilimi mesajlari, erisim kontrolü kayitlari ve diger raporlama araçlarinin düzenli olarak kontrol edilmesi, bu sistemlerden gelen uyarilar üzerine harekete geçilmesi, bilisim sistemlerinin bilinen zaafiyetlere karsi korunmasi için düzenli olarak zaafiyet taramalari ve sizma testlerinin yapilmasi ile ortaya çikan güvenlik açiklarina dair testlerin sonucuna göre degerlendirmeler yapilmasi gerekmektedir.

Bilisim sisteminin çökmesi, kötü niyetli yazilim, servis disi birakma saldirisi, eksik veya hatali veri girisi, gizlilik ve bütünlügü bozan ihlaller, bilisim sisteminin kötüye kullanilmasi gibi istenmeyen olaylarda deliller toplanmali ve güvenli bir sekilde saklanmalidir.

4.3. Kisisel Veri Içeren Ortamlarin Güvenliginin Saglanmasi

Sirket yerleskelerinde yer alan cihazlarda ya da kagit ortaminda saklanan kisisel verilerin, bu cihazlarin ve kagitlarin çalinmasi veya kaybolmasi gibi tehditlere karsi fiziksel güvenlik önlemlerinin alinmasi suretiyle korunmasi gerekmektedir.

Ayni sekilde, kisisel verilerin yer aldigi fiziksel ortamlarin dis risklere (yangin, sel vb.) karsi uygun yöntemlerle korunmasi ve bu ortamlara giris / çikislarin kontrol altina alinmasi önemlidir. Kisisel veriler elektronik ortamda ise, kisisel veri güvenligi ihlalini önlemek için ag bilesenleri arasinda erisim sinirlandirilmali veya bilesenlerin ayrilmasi saglanmalidir. Kullanilmakta olan agin sadece belirli bir bölümüyle sinirlandirilarak bu alanda kisisel verilerin isleniyor olmasi halinde, mevcut kaynaklar tüm ag için degil sadece bu sinirli alanin güvenligini saglamak amaciyla ayrilabilecektir.

Ayni seviyedeki önlemlerin sirket yerleskesi disinda yer alan kisisel veri içeren kagit ortamlari, elektronik ortam ve cihazlar için de alinmasi gerekmektedir. Kisisel veri güvenligi ihlalleri siklikla kisisel veri içeren cihazlarin (dizüstü bilgisayar, cep telefonu, flash disk vb.) çalinmasi ve kaybolmasi gibi nedenlerle ortaya çiksa da elektronik posta ya da posta ile aktarilacak kisisel verilerin de dikkatli bir sekilde ve yeterli tedbirler alinarak gönderilmesi gerekmektedir.

Ayrica çalisanlarin sahsi elektronik cihazlarinin, bilgi sistem agina erisim saglamasi da güvenlik ihlali riskini arttirdigindan bunlar için de mutlaka yeterli güvenlik tedbirleri alinmalidir. Kisisel veri güvenliginin saglanmasi için kisisel veri içeren kagit ortamindaki evraklar, sunucular, yedekleme cihazlari, CD, DVD ve USB gibi cihazlarin ek güvenlik önlemlerinin oldugu baska bir odaya alinmasi, kullanilmadigi zaman kilit altinda tutulmali, giris çikis kayitlarinin tutulmasi gibi fiziksel güvenligin arttirilmasina iliskin önlemler de alinmalidir.

Kisisel veri içeren cihazlarin kaybolmasi veya çalinmasi gibi durumlara karsi erisim kontrol yetkilendirmesi ve/veya sifreleme yöntemlerinin kullanilmasi kisisel veri güvenliginin saglanmasina yardimci olacaktir.

Bu kapsamda sifre anahtari, sadece yetkili kisilerin erisebilecegi ortamda saklanmali ve yetkisiz erisim önlenmelidir. Benzer sekilde, kisisel veri içeren kagit ortamindaki evraklar da kilitli bir sekilde ve sadece yetkili kisilerin erisebilecegi ortamlarda saklanmali, söz konusu evraklara yetkisiz erisim önlenmelidir. Bunlarla birlikte sifreleme farkli farkli formlarda kullanilan ve bu formlara göre farkli sartlar saglayan bir güvenlik saglama aracidir. Bu kapsamda, tam disk sifrelemesiyle cihazin tümü sifrelenebilir ya da cihazda bulunan bir dosya sifrelenebilir.

Bazi yazilimlar ise verilerde degisiklik yapilmasina izin vermemek için sifre korumasi sunmakla birlikte bu yazilimlar kisisel verinin yetkisiz kisiler tarafindan okunmasini durdurmaz. Bu nedenle hangi sifreleme yöntemleri kullanilirsa kullanilsin kisisel verilerin tam olarak korundugundan emin olunmali ve bu amaçla uluslararasi kabul gören sifreleme programlarinin kullanimi tercih edilmelidir. Tercih edilen sifreleme yönteminin asimetrik sifreleme yöntemi olmasi halinde, anahtar yönetimi süreçlerine önem gösterilmelidir.

4.4.Kisisel Verilerin Bulutta Depolanmasi

Kisisel verilerin bulutta depolanmasi, hukuka aykiri islemenin ve erisimin önlenmesi ile hukuka uygun muhafaza yükümlülügü kapsaminda sirkete ait bilgi teknolojileri sistemi agindan ayrilmasina ve kisisel verilerin bulut depolama hizmeti saglayicilari tarafindan islenmesine neden oldugundan, bu durum birtakim riskleri beraberinde getirmektedir. Bu nedenle, bulut depolama hizmeti saglayicisi tarafindan alinan güvenlik önlemlerinin de yeterli ve uygun olup olmadiginin degerlendirilmesi gerekmektedir. Bu kapsamda, bulutta depolanan kisisel verilerin neler oldugunun detaylica bilinmesi, yedeklenmesi, senkronizasyonun saglanmasi ve bu kisisel verilere gerekmesi halinde uzaktan erisim için iki kademeli kimlik dogrulama kontrolünün uygulanmasi gerekmektedir.

Söz konusu sistemlerde yer alan kisisel verilerin depolanmasi ve kullanimi sirasinda, kriptografik yöntemlerle sifrelenmesi, bulut ortamlarina sifrelenerek atilmasi, kisisel veriler için mümkün olan yerlerde, özellikle hizmet alinan her bir bulut çözümü için ayri ayri sifreleme anahtarlari kullanilmasi gerekmektedir.

Bulut bilisim hizmet iliskisi sona erdiginde; kisisel verileri kullanilir hale getirmeye yarayabilecek sifreleme anahtarlarinin tüm kopyalarinin da yok edilmesi gerekir.

4.5.Bilgi Teknolojileri Sistemleri Tedarigi, Gelistirme ve Bakimi

Yeni sistemlerin tedarigi, gelistirilmesi veya mevcut sistemlerin iyilestirilmesi ile ilgili ihtiyaçlar belirlenirken güvenlik gereksinimleri göz önüne alinmalidir. Uygulama sistemlerinin girdilerinin dogru ve uygun olduguna dair kontroller yapilmali, dogru girilmis bilginin islem sirasinda olusan hata sonucunda veya kasitli olarak bozulup bozulmadigini kontrol etmek için uygulamalara kontrol mekanizmalari yerlestirilmelidir.

Uygulamalar, islem sirasinda olusacak hatalarin veri bütünlügünü bozma olasiligini asgari düzeye indirecek sekilde tasarlanmalidir. Arizalandigi ya da bakim süresi geldigi için üretici, satici, servis gibi üçüncü kurumlara gönderilen cihazlar eger kisisel veri içermekte ise bu cihazlarin bakim ve onarim islemi için gönderilmesinden önce, kisisel verilerin güvenliginin saglanmasi için cihazlardaki veri saklama ortaminin sökülerek saklanmasi, sadece arizali parçalarin gönderilmesi gibi islemler yapilmasi gerekir. Bakim ve onarim gibi amaçlarla disaridan personel gelmisse kisisel verileri kopyalayarak kurum disina çikartmasinin engellenmesi için gerekli önlemlerin alinmasi gerekir.

4.6.Kisisel Verilerin Yedeklenmesi

Kisisel verilerin herhangi bir sebeple zarar görmesi, yok olmasi, çalinmasi veya kaybolmasi gibi hallerde veri sorumlularinin yedeklenen verileri kullanarak en kisa sürede faaliyete geçmesi gerekmektedir. Ayrica kötü amaçli yazilimlar da halihazirdaki verilere erisime engel olabilmektedir.

Örnegin elektronik cihazlardaki kisisel verileri içeren dosyalari kilitleyen ve bunlarin açilabilmesi için veri sorumlusunu fidye ödemeye zorlayan kötü amaçli yazilimlara karsi kisisel veri güvenligini saglamak için veri yedekleme stratejilerinin gelistirilmesi gerekir. Yedeklenen kisisel veriler sadece sistem yöneticisi tarafindan erisilebilir olmali, veri seti yedekleri mutlaka ag disinda tutulmalidir. Aksi halde, veri seti yedekleri üzerinde kötü amaçli yazilim kullanimi veya verilerin silinmesi ve yok olmasi durumlariyla karsi karsiya kalinabilecektir. Bu nedenle tüm yedeklerin fiziksel güvenliginin de saglandigindan emin olunmalidir.

5.BÖLÜM

ÖZET TABLOLAR

5.1.Teknik Tedbirler Özet Tablosu

TEKNIK TEDBIRLER
 
Yetki Matrisi
Yetki Kontrol
Erisim Loglari
Kullanici Hesap Yönetimi
Ag Güvenligi
Uygulama Güvenligi
Sifreleme
Sizma Testi
Saldin Tespit ve Önleme Sistemleri
Log Kayitlari
Veri Maskeleme
Veri Kaybi Önleme Yazilimlari
Yedekleme
Güvenlik Duvarlari
Güncel Anti-Virüs Sistemleri
Silme, Yok Etme veya Anonim Hale Getirme
Anahtar Yönetimi

 

5.2.Idari tedbirler Özet Tablosu

IDARI TEDBIRLER
Kisisel Veri Isleme Envanteri Hazirlanmasi
Kurumsal Politikalar (Erisim, Bilgi Güvenligi, Kullanim, Saklama ve Imha vb.)
Sözlesmeler (Veri Sorumlusu - Veri Sorumlusu, Veri Sorumlusu - Veri Isleyen Arasinda)
Gizlilik Taahhütnameleri
Kurum Içi Periyodik ve/veya Rastgele Denetimler
Risk Analizleri
Is Sözlesmesi, Disiplin Yönetmeligi (Kanuna Uygun Hükümler Ilave Edilmesi)
Kurumsal Iletisim (Kriz Yönetimi, Kurul ve Ilgili Kisiyi Bilgilendirme Süreçleri, Itibar Yönetimi vb.)
Egitim ve Farkindalik Faaliyetleri (Bilgi Güvenligi ve Kanun)
Veri Sorumlulari Sicil Bilgi Sistemine (VERBIS) Bildirim