top of page

Veri Sorumlularınca Alınması Tavsiye Edilen Teknik ve İdari Tedbirlere İlişkin KVKK Kamuoyu Duyurusu

Kişisel Verileri Koruma Kurumu (“Kurum”), kendisine gelen çok sayıda veri ihlal bildirimi sebebiyle kullanıcı güvenliğine ilişkin veri sorumluları tarafından alınması tavsiye edilen teknik ve idari tedbirlere ilişkin 15.02.2022 tarihli bir kamuoyu duyurusu (“Duyuru”) yayınlamıştır. Kurum tarafından yayınlanan Duyuru metninde; son zamanlarda özellikle finans, e-ticaret, sosyal medya ve oyun gibi çeşitli sektörlerde faaliyet gösteren veri sorumlularının internet sitelerine giriş için kullanıcılar tarafından kullanılan kullanıcı adı, şifre vb. bilgilerin, çeşitli internet sitelerinde aleni bir şekilde yayınlandığı tespit edildiğine yer verilmiştir. Böylece kullanıcı adı ve şifreleri ele geçirilen kullanıcıların hesaplarına girilmek suretiyle, bu kişilere ait veriler üçüncü kişiler tarafından görüntülenebilmektedir. Aynı zamanda Kurum, veri sorumluları sistemlerinden veya son kullanıcı bilgisayarlarındaki güvenlik açıkları kullanılarak elde edilen kişisel verilerin, hukuka aykırı bir şekilde paylaşıldığını ve ekonomik bir değer karşılığında satışa sunulabildiğini tespit etmiştir.


Bu kapsamda Kurum, yaygın olarak yaşanan ve veri ihlallerinin oluşmasına neden olan “aynı kullanıcı adı ve parolanın farklı platformlarda kullanılması, belirli zaman aralıklarında parola değişiminin yapılmaması, iki kademeli kimlik doğrulama vb. giriş yöntemlerinin kullanılmaması” gibi teknik ve idari tedbir eksikliklerinin kişisel veri ihlallerine neden olabildiğini belirtmiştir.


Bu tespitler doğrultusunda Kurum veri sorumlularının 6698 sayılı Kişisel Verilerin Korunması Kanununun (“Kanun”) 12 nci maddesinde düzenlenen yükümlülüklerini hatırlatmış ve veri sorumluların bu ve benzeri ihlallerin önüne geçmek için gerekli tedbir ve önlemleri almakla yükümlü oldukları belirtmek suretiyle bir takım tavsiye ve önerilerde bulunmuştur.


Bu tavsiyelerden bazıları şunlardır:

  • Çift kademeli kimlik doğrulama (two-factor authentication) sistemlerini kurulması ve kullanıcılarına üyelik başvurusu aşamasından itibaren alternatif güvenlik önlemi olarak sunulması,

  • Kullanıcıların hesaplarına sık erişim sağlayan cihazlar haricinde farklı cihazlar üzerinden giriş yapılması durumunda, giriş bilgilerinin e-posta/sms vb. yöntemlerle ilgili kişilerin iletişim adreslerine iletilmesinin sağlanması,

  • Uygulamaların HTTPS (Hypertext Transfer Protocol Secure - Hiper Metin Aktarma Güvenli İletişim Kuralı) ile veya aynı güvenlik seviyesini sağlayacak bir şekilde koruma altına alınması,

  • Kullanıcı parolalarının, siber saldırı yöntemlerine karşı korunmasını teminen, güvenli ve güncel karma (hashing) algoritmaların kullanılması,

  • IP (Internet Protocol Address) adresinden yapılacak başarısız giriş denemesi sayısının sınırlandırılması,

  • İlgili kişilerin en az son 5 adet başarılı ve başarısız giriş denemeleri ile ilgili bilgilerini görüntüleyebilmelerinin sağlanması,

  • İlgili kişilere aynı parolanın birden fazla platformda kullanılmaması gerektiğinin hatırlatılması,

  • Veri sorumluları tarafından parola politikasının oluşturulması ve kullanıcılara ait parolaların belirli aralıklarla değiştirilmesinin sağlanması veya bu hususun ilgili kişilere hatırlatılması,

  • Yeni oluşturulan parolaların, eski parolalarla (en az son üç parolayla) aynı olmasının engellenmesi, kullanıcı hesaplarına girişlerde bilgisayar ile insan davranışlarını ayırt edici güvenlik kodu gibi teknolojilerin (CAPTCHA, dört işlem vb.) kullanılması, erişime izin verilen IP adreslerinin sınırlandırılması,

  • Veri sorumlularının sistemlerine giriş yapılan parolaların uzunluğunun asgari 10 karakter olması, büyük-küçük harf, rakam ve özel karakterlerin bir arada kullanılmasına yönelik güçlü parola oluşturulmasının sağlanması,

  • Veri sorumlularının sistemlerine giriş için üçüncü parti yazılımlar veya servisler kullanılıyorsa bu yazılımların ve servislerin güvenlik güncelleştirmelerinin düzenli olarak gerçekleştirilmesi ve gerekli kontrollerin yapılması

Veri sorumlularının Kanun’un 12. Maddesi dahilinde kendi risk değerlendirmelerini yaparak yukarıda belirtilen tedbir ve önlemleri kendi sistemlerine dahil etmeleri gerekmektedir.


Kararın tamamına aşağıdaki linkten ulaşabilirsiniz;


Son Yazılar

Hepsini Gör

コメント


bottom of page