Şirketler İçin KVKK Uyumunda Yerine Getirilmesi Gereken Teknik Tedbirler
05/02/2020Kişisel verilerin güvenliğine ilişkin şirketlerin alması gereken birçok teknik tedbir bulunuyor. Özellikle teknik altyapılarını incelemeyen, geliştirmeyen ya da KVKK’nın dikkat ettiği alanlar için gerekli adımları atmayan şirketlerin cezalarla karşılaşması an meselesi.
Şirketlerin,
• Siber güvenliğin sağlanması,
• Kişisel veri güvenliğinin takibi,
• Kişisel veri içeren ortamların güvenliğinin sağlanması,
• Kişisel verilerin bulutta depolanması,
• Bilgi teknolojileri sistemleri tedariği, geliştirme ve bakımı,
• Kişisel verilerin yedeklenmesi gibi başlıklarda gerekli teknik altyapı analizlerini yaptırması gerekiyor.
Bu analizlerde aşağıda yer alan işlemleri yerine getirmesi gerekir.
1. Yetkilendirme matrisinin oluşturulmuş olması
2. Erişim loglarının tutulması
3. Yetki kontrolünün yapılması
4. Kullanıcı hesaplarının yönetilmesi
5. Ağ güvenliğinin sağlanması
6. Uygulamaların güvenliğinin sağlanması
7. Verilerin şifreleme yöntemleri ile şifrelenmesi
8. Sızma testleri yapılarak kurum güvenliğinin test edilmesi
9. Saldırı tespit ve önleme sistemlerinin oluşturulması
10. Log kayıtlarının incelenip yedeklenmesi
11. Veri maskelemelerinin yapılması
12. Veri kaybı önleme yazılımlarının kullanılması
13. Yedekleme sistemlerinin kullanılması
14. Güncel antivirüs sistemlerinin kullanılması
15. Verileri durumlarına göre silme, yok etme veya anonim hale getirme işlemlerinin yapılması
16. Güvenlik duvarlarına sahip olunması
17. Anahtar yönetiminin olması.