VERBİS İçin İdari ve Teknik Tedbirler
VERBİS Sicil Kayıt Sistemine bildirim yapılırken, Kişisel Verilerin Korunması Kanununa (KVKK) göre her veri kategorisi için istenen idari ve teknik tedbirler aşağıda sıralanmıştır:
İdari Tedbirler |
1) Kişisel Veri İşleme Envanteri Hazırlanması |
2) Kurumsal Politikalar (Erişim, Bilgi Güvenliği, Kullanım, Saklama ve İmha vb.) |
3) Sözleşmeler (Veri Sorumlusu – Veri Sorumlusu, Veri Sorumlusu – Veri İşleyen Arasında ) |
4) Gizlilik Taahhütnameleri |
5) Kurum İçi Periyodik ve/veya Rastgele Denetimler |
6) Risk Analizleri |
7) İş Sözleşmesi, Disiplin Yönetmeliği (Kanuna Uygun Hükümler İlave Edilmesi) |
8) Kurumsal İletişim (Kriz Yönetimi, Kurul ve İlgili Kişiyi Bilgilendirme Süreçleri, İtibar Yönetimi vb.) |
9) Eğitim ve Farkındalık Faaliyetleri (Bilgi Güvenliği ve Kanun) |
10) Veri Sorumluları Sicil Bilgi Sistemine (VERBİS) Bildirim |
Teknik Tedbirler |
1. Ağ güvenliği ve uygulama güvenliği sağlanmaktadır. |
2. Ağ yoluyla kişisel veri aktarımlarında kapalı sistem ağ kullanılmaktadır. |
3. Anahtar yönetimi uygulanmaktadır. |
4. Bilgi teknolojileri sistemleri tedarik, geliştirme ve bakımı kapsamındaki güvenlik önlemleri alınmaktadır. |
5. Bulutta depolanan kişisel verilerin güvenliği sağlanmaktadır. |
6. Çalışanlar için veri güvenliği hükümleri içeren disiplin düzenlemeleri mevcuttur. |
7. Çalışanlar için veri güvenliği konusunda belli aralıklarla eğitim ve farkındalık çalışmaları yapılmaktadır. |
8. Çalışanlar için yetki matrisi oluşturulmuştur. |
9. Erişim logları düzenli olarak tutulmaktadır. |
10. Erişim, bilgi güvenliği, kullanım, saklama ve imha konularında kurumsal politikalar |
hazırlanmış ve uygulamaya başlanmıştır. |
11. Gerektiğinde veri maskeleme önlemi uygulanmaktadır. |
12. Gizlilik taahhütnameleri yapılmaktadır. |
13. Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkileri kaldırılmaktadır. |
14. Güncel anti-virüs sistemleri kullanılmaktadır. |
15. Güvenlik duvarları kullanılmaktadır. |
16. İmzalanan sözleşmeler veri güvenliği hükümleri içermektedir. |
17. Kağıt yoluyla aktarılan kişisel veriler için ekstra güvenlik tedbirleri alınmakta ve ilgili evrak gizlilik dereceli belge formatında gönderilmektedir. |
18. Kişisel veri güvenliği politika ve prosedürleri belirlenmiştir. |
19. Kişisel veri güvenliği sorunları hızlı bir şekilde raporlanmaktadır. |
20. Kişisel veri güvenliğinin takibi yapılmaktadır. |
21. Kişisel veri içeren fiziksel ortamlara giriş çıkışlarla ilgili gerekli güvenlik önlemleri alınmaktadır. |
22. Kişisel veri içeren fiziksel ortamların dış risklere (yangın, sel vb.) karşı güvenliği sağlanmaktadır. |
23. Kişisel veri içeren ortamların güvenliği sağlanmaktadır. |
24. Kişisel veriler mümkün olduğunca azaltılmaktadır. |
25. Kişisel veriler yedeklenmekte ve yedeklenen kişisel verilerin güvenliği de sağlanmaktadır. |
26. Kullanıcı hesap yönetimi ve yetki kontrol sistemi uygulanmakta olup bunların takibi de yapılmaktadır. |
27. Kurum içi periyodik ve/veya rastgele denetimler yapılmakta ve yaptırılmaktadır. |
28. Log kayıtları kullanıcı müdahalesi olmayacak şekilde tutulmaktadır. |
29. Mevcut risk ve tehditler belirlenmiştir. |
30. Özel nitelikli kişisel veri güvenliğine yönelik protokol ve prosedürler belirlenmiş ve uygulanmaktadır. |
31. Özel nitelikli kişisel veriler elektronik posta yoluyla gönderilecekse mutlaka şifreli olarak ve KEP veya kurumsal posta hesabı kullanılarak gönderilmektedir. |
32. Özel nitelikli kişisel veriler için güvenli şifreleme / kriptografik anahtarlar kullanılmakta ve farklı birimlerce yönetilmektedir. |
33. Saldırı tespit ve önleme sistemleri kullanılmaktadır. |
34. Sızma testi uygulanmaktadır. |
35. Siber güvenlik önlemleri alınmış olup uygulanması sürekli takip edilmektedir. |
36. Şifreleme yapılmaktadır. |
37. Taşınabilir bellek, CD, DVD ortamında aktarılan özel nitelikli kişisel veriler şifrelenerek aktarılmaktadır. |
38. Veri işleyen hizmet sağlayıcılarının veri güvenliği konusunda belli aralıklarla denetimi sağlanmaktadır. |
39. Veri işleyen hizmet sağlayıcılarının, veri güvenliği konusunda farkındalığı sağlanmaktadır. |
40. Veri kaybı önleme yazılımları kullanılmaktadır. Yedekleme alınıyor mu? |
41. Diğer |