KVKK Uyum Süreci

Kişisel verilerin Korunması Kanunu uyumu konusunda şirketiniz veya işletmenizin ne durumda? Uyumluluk konusunda atmanız gereken adımları biliyor musunuz? Süreçte sizleri neler bekliyor?

Kanun gerçek kişilere ait olan kişisel verilerin işlenmesini ele almakta ve bu verileri herhangi bir yolla işleyen tüm gerçek ve tüzel kişileri bağlamaktadır.

Kanuna uyumluluk kapsamında veri yönetimi, veri güvenliği, organizasyon, süreç ve hukuk alanlarını bütünsel bir yaklaşım ile değerlendirecek uzmanlığa gereksinim duyulmaktadır.

CSEXPERT bu gereksinimi, KVKK Uyum Danışmanlığı Hizmeti ile karşılamaktadır.

Hukuki Danışmanlık

Kişisel Verilerin Korunması Kanununa yönelik Hukuki Danışmanlık Hizmetimiz, işletme süreçlerinizin ayrı ayrı hukuki gözden incelenmesi ve analize tabi tutulması işlemidir. Gün içerisinde işletmenizin doğal akışında satış, servis, tahsilat, muhasebe, müşteri ilişkileri, insan kaynakları, üretim ve daha birçok birimin hukuki gözden incelenmesi ve KVKK tarafında atılacak adımların Veri Sorumlunuz ile kararlaştırılmasıdır.

İdari Danışmanlık

VERBİS Üyeliği ve İşlemleri, Kişisel Veri İşleme Envanterinin Hazırlanması, Kurumsal Politakalar, Sözleşmeler, Gizlilik Taahhütnamelerinin Hazırlanması, Web Sitesi ve Form Analizleri, Risk Analizleri, Kurumsal İletişim, İş Sözleşmelerinin ve Disiplin Yönetmeliklerinin Hazırlanması, Eğitim ve Farkındalık Hizmetleri gibi birçok faaliyetin Danışmanlığının yapılmasıdır.

Hukuki ve İdari danışmanlık süreçleri Dikey Hukuk Bürosu ve CSEXPERT tarafından yürütülecektir.

Teknik Danışmanlık

Hukuki ve İdari tedbirlerin alınmasının ardından teknik unsurların değerlendirilmesi, bilgi işlem süreçlerinin incelenmesi, yetki martisi, yetki kontrolleri, erişim logları, kullanıcı hesap yönetimleri, ağ güvenliği, uygulama güvenliği, şifreleme, sızma testleri, saldırı tespit ve önleme sistemleri, log kayıtları, veri maskeleme unsurları, veri kaybı önleme yazılımları, veri yedekleme, güvenlik duvarları, anti-virüs sistemleri, anahtar yönetimi gibi birçok teknik unsurun değerlendirmesinin ve danışmanlığının yapılmasıdır.

Eğitimler

Kuruluş içerisinde tüm çalışanlar ve gerektiği durumda 3. taraflara da Kişisel Verilerin Korunması Kanunu ile ilgili farkındalık eğitiminin verilmesidir.


Veri Envanteri ve Risk Değerlendirme

Tüm Organizasyon birimleriyle veri envanterinin oluşturulması ve risk değerlendirme işlemlerinin gerçekleştirilmesi sağlanır. (Veri Envanteri: “kişisel veri işleme amaçları, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları”, “kişisel verilerin işlendikleri amaçlar için gerekli olan azami süreyi”, “yabancı ülkelere aktarımı öngörülen kişisel verileri ve”, “veri güvenliğine ilişkin alınan tedbirler”)

Hassas Veri Keşfi

Kişisel veri envanteri oluşturulması aşamasında, kişisel verilerinin nerede tutulduğunun keşfi önemlidir. Firma içinde hassas veri keşfi yaparak kişisel ve öz nitelikli kişisel verilerin hangi ortamlarda bulunduğu tespit edilir.

Verilerin Şifrelenmesi

Veri güvenliğinin temelini oluşturur. Kötü amaçlı kişilerce kullanılmak istenen veriye, yetkisiz erişimlerde elde edilememesini sağlamanın en basit yöntemidir. Şifreleme sadece erişimi yetkilendirmekle kalmayıp verinin ve kaynağının doğruluğunu ve bütünlüğünü de korumayı sağlar.

Bu açıdan kişilerin ya da kurumların, hassas veri olarak nitelendirdiği verilerini şifreli olarak sunucularında muhafaza etmeleri gerekir.

Verilerin Yedeklenmesi

Veri kaybı olması durumunda önlem niteliği taşır. Bu işlem sanal yedekleme, doküman yedekleme, veritabanı yedekleme, mail sunucu yedekleme, bulut yedekleme olarak gerçekleştirilebilir. Bulut(Cloud) teknolojilerinden, RAID(Redundant Array of Independent Disks) yapılarından, NAS(Network-Attached Storage) sistemleri, SAN (Storage Area Network) yapısı, DAS(Direct-Attached Storage) gibi depolama çözümlerinden yararlanılabilir.

Veri Silme ve Yok Etme

Oluşturulan veri envanteri doğrultusunda silinme ve yok edilme işlemlerinin hangi teknolojik yöntemlerle yapılacağı belirlenir ve teknolojik altyapısı oluşturulur.


Veri Sızıntısını Önleme

Veri sızıntısı önleme(DLP) verilerin korunması için en önemli tedbirdir. DLP yazılımları ile kişisel veriler ile yapılan tüm işlemler loglanır ve risk analizindeki açık noktalar DLP yazılımları ile kapatılarak kişisel verilerin kurum dışına çıkarılması önlenir. Ayrıca firmanın hassas verilerinin sistem dışına çıkışı denetim altına alınmalıdır. DLP sistemleri sistem içerisindeki yazılımsal ve donanımsal kaynaklar tarafından verinin kullanım durumunu kontrol altına alır.

Amaç dışı kullanımı, paylaşımı, veri aktarımını engeller. Aynı zamanda yeni bir teknoloji olan UEBA(User and Entity Behavior Analytics) teknolojisinden de yararlanılmalıdır.

Sızma Testi

Sızma testi, penetrasyon testi veya penetration test; test edilen sistemlerdeki bilgisayarlar, sunucular, güvenlik duvarları, ağ ekipmanları ve uygulamaların siber güvenlik etkinliklerini değerlendirmek için yetkilendirilen etik hackerlar tarafından yapılan bir saldırı türüdür.

Başka bir deyişle, sızma testi ,ilgili sistemdeki güvenlik açıklarını değerlendirmek ve testten sonra güvenlik açıklarını ortadan kaldırmak için bir sistemde izin verilen bir saldırı simülasyonu gerçekleştirmek olarak da bilinir.

Dijital ortamda tutulan kişisel verilerin siber saldırı sonucu sızmasını önlemek için kurum içerisinde sızma testi yaptırmak, siber güvenlik açıklarınızı tespit etmek ve kapatmak için size yardımcı olacaktır.