Kişisel veri paylaşım mecralarının (sosyal medya, forumlar vb.) günlük hayatın bir parçası olması, mobil telefonların kullanımın artması, teknolojinin hızla gelişmesi, veri hırsızlığına yönelik kötü niyetli yazılımların artması bilişim güvenliğini ve kurumları sürekli tehdit etmektedir. Bu nedenle KVKK’ya uyuma yönelik tedbirler karmaşık çözümler ve bütünsel bir yaklaşım gerektirebilmektedir.
Kişisel Veri güvenliğinizi lütfen hafife almayın! Parça parça yapılan çalışmalar güvenliği arttırmaktan ziyade eleğin delikleri gibi süreçlerde boşluklar meydana getirmektedir. Dolayısıyla 3. bir gözün firmanızdaki bütün süreçleri ince eleyip sık dokuması firmaların ihtiyaçlarının daha net ortaya çıkmasını ve tedaviyi mümkün kılmaktadır.
İdari ve teknik tedbirlerin alınmasına yönelik çalışmalar birbirinden bağımsız çalışmalar gibi gözükse de tüm uyum sürecinin tek bir proje kapsamında, hukuk danışmanları ile teknik danışmanların aktif katılımıyla, bütünleşik olarak ve tam bir uyum içerişimde yürütülmesi gerekmektedir. Böylelikle konu her aşamada değişik bakış açılarıyla ele alınabilecek, işletmenin organizasyonel yapısına özel butik, bütünsel, çalışır ve sürdürülebilir çözümler üretilebilecektir.
Öncelikle firmanızın nerede olduğunu ve neye ihtiyaç duyacağını belirlemek adına “Uyum Durumu Tespiti Çalışması” yapılmalıdır. Bu çalışma kapsamında;
- Şirketin sunduğu/sunmayı planladığı süreçlerde 6698 sayılı Kişisel Verilerin Korunması Hakkında Kanun ve diğer ilgili mevzuat kapsamındaki uyum durumunun tespit edilmesine,
- Uyumun sağlanması için gerekli olan hukuki, idari, teknik ve kalite yönüyle önlemlerin tespit edilerek yapılacaklar listesinin (To-Do List) oluşturulmasına,
- Bulguların ve yapılacaklar listesinin raporlanmasına,
yönelik danışmanlık hizmeti alınmasıdır.
Çalışma esnasında veya sonrasında diğer tamamlayıcı hizmetlerle firmanın hedeflediği noktaya en güvenli bir şekilde ulaştırmaya yönelik “Uyum Durumu Tespit Raporu Kapsamında Aksiyonlar Alınması” çalışmaları yapılmalıdır.
Bu çalışmalar aşağıdaki kalemler olarak sıralı veya ayrık olarak yürütülebilir.
- KVKK Uyum Danışmanlık Hizmeti (Hukuki ve Teknik ve Kalite)
Bu çalışmalar kurumun KVKK ihtiyacını yeni şartlara ve tabi olunan mevzuatlara uygun olarak yapılmasını sağlar. Buradaki çalışmalar ile KVKK üç dayanak üstüne oturtulur. Hukuki yükümlülükler, teknik yükümlülükler ve kalite.
- Sızma Testleri (Pentest)
Sızma testi veya pentest, kapsamı belirlenmiş bilişim sistemlerine mümkün olabilecek ve müşteri tarafından onayı verilmiş her yolun denenerek sızılmaya çalışma işlemidir. Sızma testlerinin önemli olması kadar faydalı olması içinde doğru bir şekilde ve düzenli olarak yapılması gerekmektedir.
Sahip olduğunuz bilişim sistemlerindeki güvenlik zaafiyetlerinin üçüncü bir göz tarafından kontrol edilmesi ve raporlanması koruma hattı güvenliğinin ilk adımlarındandır. Siz ne kadar güvenliğe dikkat ederseniz edin, belli bir süreden sonra bazı şeylerin gözünüzden kaçma ihtimali artmaktadır. Bu yüzden profesyonel bir ekibe yaptırılacak sızma testleri, dışarıdan işletmenize gelebilecek tehditlerin büyük bir kısmını ortaya çıkarıp kapatılmasını sağlayacaktır.
Sızma testi ve nihayetinde elde edilen rapor sayesinde firmanızın güvenlik röntgeni çekilmiş ve sisteme duyulan güven perçinlenmiş olur.
- ISO 15504 SPICE (Software Process Improvement Capability dEtermination) Hizmeti ve Güvenli Yazılım Geliştirme Eğitimleri
Yazılım Süreç İyileştirme, Yeterlilik ve Kurumsal Olgunluk Belirleme yeteneğine sahip olmanıza yarayan SPICE, GDPR tarafından önerilen “Privacy By Design” yaklaşımın yazılım geliştirme aşamasında karşılayabileceğini inandığımız standartlardan birisidir. Bu standart ile beraber Güvenli Yazılım Geliştirme metodolojilerinin kullanılması “Tasarımla Veri Korumanın” temel taşını oluşturur. ‘Privacy by Design’ ilkesine göre, yeni uygulamaya geçirilecek sistemlerin oluşturulma sürecinden başlayarak veri koruma ilkelerine (şeffaflık, veri minimizasyonu, ölçülülük vb.) uygun şekilde tasarlanması amaçlanmaktadır. İlgili ilkelere uygunluk, sistemlere sonradan eklenmemelidir.
Kişisel verilerin korunmasıyla ilgili paydaş beklentileri “güven unsurunu” daha da önemli hale getirmiştir. GDPR ve KVKK gibi küresel ve yerel çapta birçok mevzuat, kişisel verilerin korunmasında artan beklentinin önemli birer göstergesidir. Bu noktada dünya çapında kabul gören bir yaklaşım: “Privacy by Design (PbD)”.
PbD yaklaşımın 7 temel etkisi başlıklar halinde aşağıda belirtilmiştir.
- Tepkisel değil proaktif; düzeltici değil önleyici yaklaşım
- Veri mahremiyeti “standart ayar” olmalı
- Veri mahremiyeti, tasarıma entegre olmalı
- Tam işlevsellik; sıfır toplam değil, pozitif toplam mantığıyla kazan-kazan yaklaşımı
- Uçtan uca güvenlik — tüm yaşam döngüsü boyunca koruma (örnek: yazılım yaşam döngüsü)
- Şeffaflık ve görünebilirlik ve bunlara bağlı olarak izlenebilirlik
- Kullanıcı mahremiyetine saygı — kullanıcı odaklı yaklaşım
Kaynak: https://iapp.org/media/pdf/resource_center/pbd_implement_7found_principles.pdf
Bu 7 temel ilkenin ortak olarak sunduğu ve söylediği sistem ve yazılım süreçlerinde standart bir yetkinlik ve olgunlaşmadır.
- ISO 27701 Kişisel Verilerin Korunması (Gizlilik Bilgi Yönetim Sistemi Kurulum) Danışmanlık ve Belgelendirme hizmeti
Nihai olarak yapılan çalışmaların taçlandırılması ve belgelendirilmesi esastır. Bunun için en ideali ISO 27701 hazırlığı ve sonrasında belgelendirmedir. Böylelikle kurumsal güven belgelenmiş olarak her bir dış kuruma güvenilirlik verir.
Sonuç olarak aşama aşama mahremiyeti arttırıcı çalışmaların yapılması gerekmektedir. Tasarımsal Kişisel Korumanın tesis edilmesi için bu konuda uzman firmalarla çalışılmalıdır. CertBy bu hizmetlerin her alanında tecrübesi olan etkin ve yetkin bir firmadır. Hizmetlerimizin detayları için bizimle iletişime geçiniz.
