Kişisel Verileri Koruma Kanunu (KVKK) - BT Uyumu
Transcript of Kişisel Verileri Koruma Kanunu (KVKK) - BT Uyumu
Murat Lostar
KVKK – BT UyumuKişisel Verilerin Korunması Kanunu’na Kurumsal Bilgi Teknolojileri Uyumu
1998 – … Privately owned
PEOPLE30+
OFFICESIstanbul HQSakarya R&D
FIRST• Security services
company in Turkey• Certification in Turkey
(CISSP, CCSP, ISSMP, CSSLP)
• ISMS (ISO 27001) consultancy in Turkey
ISO 9901 CertifiedISO 27001 Certified
Customers inEurope & Middle East
SERVICES
ConsultancyInformation Security Management System, Credit Card (PCI), IT Governance, Business Continuity, IT Privacy Alignment
TrainingSecure Software DevelopmentISO standardsSecurity Awareness
AuditingSecurity Checkups, Penetration Testing, Application Security,IoT Security, SCADA/ICS Security
SpecialSecurity Related R&D, Security outsourcing
Vendor agnostic (no reselling agreements with vendors)
GIVES BACK
• ISACA-Istanbul – Founding President
• CloudSecurityAlliance – Turkish Chapter Founding Leader
• Weekly radio show 2005-2015
Bilgi University – Joint Program / Cyber Security Academy/ appx 100 students/year
• Yearly Free Thesis & school project support contest
• Yearly Security Awareness contest
• Cyber security camps (summer & winter)
• Industry Sponsorships
Gündem• Uyum Hiyerarşisi• Kişisel Veri Envanteri• Süreç ve BT Uyumluluk Yaklaşımları• Veri Silme, İmha ve Anonimleştirme• Kalıcı Uyumun Sağlanması
Uyum Hiyerarşisi
Hukuk
• Ne• Mevzuat, Sözleşmeler, Politikalar
Süreç
• Nasıl• İş Süreçleri, Prosedürler
Teknoloji
• Altyapı• Veritabanı, Kayıtlar (log), Yazılımlar, Çözümler
Kişisel Veri EnvanteriYapısal• Veritabanları, tablolar, kolonlar• Özel uygulamalar• Seçimli alanlar
• Örn: İnsan kaynakları yazılımı, doğum günü alanı
Veri sınıflama / Uygulama sınıflama• Halka açık, şirket içi gizli, çok gizli• Kişisel olmayan, kişisel, özel nitelikli
Yapısal Olmayan• Ofis dosyaları (Word, Excel, PDF,
vb)• Epostalar• Mesajlaşma uygulamalar
(Whatsapp, vb)• Taranmış dokümanlar• Multimedya dosyaları (fotograf,
video, vb)• Ses kayıtları (çağrı merkezi, vb)• Yapısal uygulamalardaki serbest
alanlar (açıklama, vb)
Süreç ve BT Uyumluluk Yaklaşımları
Hukuk-Süreç Kararı BT Uygulama Yaklaşımı
Beyan yükümlülüğü Beyan verisinin toplanması, kayıtlarının saklanması (örn: web sitesi, giriş uyarı sayfası, çerez kullanımı)
Açık rıza alınması Açık rıza kararının toplanıp, saklanması(örn: Kullanım sözleşmesi, gizlilik sözleşmesi,
)✅Kişisel verileri toplamama, işlememe İlgili alanların kaldırılması, kullanıcı uyarıları
Eskiyen veri Veri yaratma, güncelleme tarihleriVeri paylaşımı (Üçüncü taraflara aktarma) Güvenli aktarım (kripto), erişim kontrol
listeleri vb ile politikaların uygulanmasıVerinin, işleyenlere aktarılma kuralları Güvenlik, kriptolama, bulut hizmet sağlayıcı
ilişkileriVeri güvenliği, koruma Teknik güvenlik yaklaşımları, erişim
kontrolleri, kimlik doğrulama, yetkilendirme, hesap tutma(AAA)
Kişisel veri sorgulama Kayıtlar (log)
Veri Silme, İmha, Anonimleştirme• Veri Silme/İmha
– Yerel cihazlar (silme)– Çevrimdışı yedekler
(rotasyon)– Bulut bilişim (şifreleme,
anahtar imhası)
– Silinebilir, ayrıştırılabilir teknolojilerin kullanımı
• Anonimleştirme– Veri ile kişi arasındaki bağı
kaldırma– Kurumsal hafızanın
korunması• Veriambarları • Karar destek ağaçları
– Farklı veri kaynakları kullanılarak de-anonimleştirmenin engellenmesi
Kalıcı Uyumun Sağlanması• Kurumsal Değişiklikler• Mahremiyet Etki Analizi• Veri sınıflaması/envanter
kontrolü• Veri sahipliği ve yönetimi
– Merkezi kural, merkez kontrol
– Ortak kural, dağıtık kontrol
• Denetim– Türleri:
• Birinci taraf (İç denetim)• İkinci taraf (Dış
denetim/tedarikçi denetimi)• Üçüncü taraf (Dış
denetim/sertifikasyon) - ISO, vb
– Denetim - Kontrol
Teşekkür ederimMurat Lostarlinkedin.com/in/lostar@MuratLostar
Lostar Bilgi Güvenliği A.Ş.linkedin.com/company/Lostar@Lostar
Güvenli Günler BülteniKişisel Güvenlik BilgileriHer ayın 15’inde yayımlanırHer ay farklı bir konu ve konuk yazarhttp://tiny.cc/GuvenliGunler