B. Kişisel veri güvenliğine ilişkin teknik tedbirler
a) Siber güvenliğin sağlanması Kişisel veri içeren bilgi teknoloji sistemlerinin internet üzerinden gelen izinsiz erişim tehditlerine karşı ilk savunma hattı olarak iyi yapılandırılmış bir güvenlik duvarı, kullanılmakta olan ağa derinlemesine nüfuz etmeden önce, gerçekleşen ihlallerini durduracak önlemleri alacak ve internet ağ geçidi ile çalışanların, kişisel veri güvenliği bakımından tehdit teşkil eden internet sitelerine veya online servislere erişimini önleyici teknik tedbirleri alacaktır.. Bu çerçevede kullanılmayan yazılım ve servislerin güncel tutulması yerine silinmesi, kolaylığı nedeniyle öncelikle tercih edilebilecek yöntemi de uygulayabilecektir.

Ayrıca, yama yönetimi ve yazılım güncellemeleri olup yazılım ve donanımların düzgün bir şekilde çalışması ve sistemler için alınan güvenlik tedbirlerinin yeterli olup olmadığı düzenli olarak kontrol edilecek de olası güvenlik açıklarının kapatılması sağlanacaktır.

Çalışanlara, yapmakta oldukları iş ve görevler ile yetki ve sorumlulukları için gerekli olduğu ölçüde erişim yetkisi tanıyan ve kullanıcı adı ve şifre kullanılmak suretiyle ilgili sistemlere erişim sağlayıcı bir yapı oluşturacaktır. Söz konusu şifre ve parolalar oluşturulurken, kişisel bilgilerle ilişkili ve kolay tahmin edilecek rakam ya da harf dizileri yerine büyük küçük harf, rakam ve sembollerden oluşacak kombinasyonların tercih edilmesini sağlayacaktır.

Buna bağlı olarak Veri sorumlusu’nun, erişim yetki ve kontrol matrisi oluşturması ve ayrı bir erişim politika ve prosedürleri oluşturarak kendi organizasyonu içinde bu politika ve prosedürlerin uygulamaya alınmasını sağlayacaktır.

Güçlü şifre ve parola kullanımının yanı sıra, kaba kuvvet algoritması (BFA) kullanımı gibi yaygın saldırılardan korunmak için şifre girişi deneme sayısının sınırlandırılması, düzenli aralıklarla şifre ve parolaların değiştirilmesini sağlamalı, yönetici hesabı ve admin yetkisinin sadece ihtiyaç olduğu durumlarda kullanılması için açılması ve Veri sorumlusu’yla ilişikleri kesilen çalışanlar için zaman kaybetmeksizin hesabın silinmesi ya da girişlerin kapatılması gibi yöntemlerle erişimin sınırlandırılmasını sağlayacaktır.

Kötü amaçlı yazılımlardan korunmak için ayrıca, bilgi sistem ağını düzenli olarak tarayan ve tehlikeleri tespit eden antivirüs, antispam gibi ürünlerin kullanılmasını sağlayacaktır. Ancak bu ürünlerin kurulumu ile birlikte güncel tutularak gereken dosyaların düzenli olarak tarandığını gerçekleştiren bir yapıyı oluşturacaktır.

Veri sorumlusu tarafından, farklı internet siteleri ve/veya mobil uygulama kanallarından kişisel veri temin edildiğinde, bağlantıların SSL ya da daha güvenli bir yol ile gerçekleştirilmesi sağlanacaktır.

b) Kişisel veri güvenliğinin takibi Veri sorumlularının sistemlerine hem içeriden hem de dışarıdan gelen saldırılar ve siber suçlara veya kötü amaçlı yazılımlara maruz kalmamasının önüne geçebilmek için;
i. Bilişim ağlarında hangi yazılım ve servislerin çalıştığının kontrol edilmesi,
ii. Bilişim ağlarında sızma veya olmaması gereken bir hareket olup olmadığının belirlenmesi,
iii. Tüm kullanıcıların işlem hareketleri kaydının düzenli olarak tutulması (log kayıtları gibi),
iv. Güvenlik sorunlarının mümkün olduğunca hızlı bir şekilde raporlanması,
v.Çalışanların sistem ve servislerdeki güvenlik zaafiyetlerini ya da bunları kullanan tehditleri bildirmesi için resmi bir raporlama prosedürü oluşturacaktır. Söz konusu raporlama sürecinde oluşturulacak raporlar, sistem tarafından oluşturulacak otomatik raporlar olabilir. Bu raporların sistem yöneticisi tarafından en kısa sürede toplulaştırılarak veri sorumlusuna sunulması sağlanacaktır.

Ayrıca güvenlik yazılımı mesajları, erişim kontrolü kayıtları ve diğer raporlama araçlarının düzenli olarak kontrol edilecek, bu sistemlerden gelen uyarılar üzerine harekete geçilecek, bilişim sistemlerinin bilinen zaafiyetlere karşı korunması için düzenli olarak zaafiyet taramaları ve sızma testleri yapılacak ve ortaya çıkan güvenlik açıklarına dair testlerin sonucuna göre değerlendirmeleri gerçekleştirilecektir.

Bilişim sisteminin çökmesi, kötü niyetli yazılım, servis dışı bırakma saldırısı, eksik veya hatalı veri girişi, gizlilik ve bütünlüğü bozan ihlaller, bilişim sisteminin kötüye kullanılması gibi istenmeyen olaylarda deliller toplanacak ve güvenli bir şekilde saklanacaktır.

c) Kişisel veri içeren ortamların güvenliğinin sağlanması
Kişisel veriler, veri sorumlularının yerleşkelerinde yer alan cihazlarda ya da kağıt ortamında da saklanmakta olup, bu cihazların ve kağıtların çalınması veya kaybolması gibi tehditlere karşı fiziksel güvenlik önlemlerinin alınması suretiyle korunması için gereken tedbirler alınavcaktır. Aynı şekilde, kişisel verilerin yer aldığı fiziksel ortamların dış risklere (yangın, sel vb.) karşı uygun yöntemlerle korunması ve bu ortamlara giriş / çıkışların kontrol altına alınması sağlanacaktır. Kişisel veriler elektronik ortamda ise, kişisel veri güvenliği ihlalini önlemek için ağ bileşenleri arasında erişim sınırlandırılması veya bileşenlerin ayrılması sağlanabilecektir. Aynı seviyedeki önlemlerin Veri sorumlusu yerleşkesi dışında yer alan ve Veri sorumlusu’na ait kişisel veri içeren kağıt ortamları, elektronik ortam ve cihazlar için de alınacaktır.

Kişisel veri güvenliği ihlalleri sıklıkla kişisel veri içeren cihazların (dizüstü bilgisayar, cep telefonu, flash disk vb.) çalınması ve kaybolması gibi nedenlerle ortaya çıksa da elektronik posta ya da posta ile aktarılacak kişisel verilerin de dikkatli bir şekilde ve yeterli tedbirler alınarak gönderilmesi sağlanacaktır. Ayrıca çalışanların şahsi elektronik cihazlarının, bilgi sistem ağına erişim sağlaması da güvenlik ihlali riskini arttırdığından bunlar için de mutlaka yeterli güvenlik tedbirleri alınacaktır. Kişisel veri güvenliğinin sağlanması için kişisel veri içeren kağıt ortamındaki evraklar, sunucular, yedekleme cihazları, CD, DVD ve USB gibi cihazların ek güvenlik önlemlerinin olduğu başka bir odaya alınması, kullanılmadığı zaman kilit altında tutulması, giriş çıkış kayıtlarının tutulması gibi fiziksel güvenliğin arttırılmasına ilişkin gerekli önlemler alınacaktır.

Kişisel veri içeren cihazların kaybolması veya çalınması gibi durumlara karşı erişim kontrol yetkilendirmesi ve/veya şifreleme yöntemlerinin kullanılması kişisel veri güvenliğinin sağlanmasına yardımcı olacaktır. Bu kapsamda şifre anahtarı, sadece yetkili kişilerin erişebileceği ortamda saklanmalı ve yetkisiz erişim önlenmelidir. Benzer şekilde, kişisel veri içeren kağıt ortamındaki evraklar da kilitli bir şekilde ve sadece yetkili kişilerin erişebileceği ortamlarda saklanması, söz konusu evraklara yetkisiz erişimin önlenmesi sağlanacaktır.

Bunlarla birlikte şifreleme farklı farklı formlarda kullanılan ve bu formlara göre farklı şartlar sağlayan bir güvenlik sağlama aracı olup, hangi şifreleme yöntemleri kullanılacaksa kişisel verilerin tam olarak korunması sağlanacak ve bu amaçla uluslararası kabul gören şifreleme programlarının kullanımı tercih edilecektir. Tercih edilen şifreleme yönteminin asimetrik şifreleme yöntemi olması halinde, anahtar yönetimi süreçlerine dikkat edilecektir.

ç) Kişisel verilerin bulutta depolanması Kişisel verilerin bulutta depolanması, hukuka aykırı işlemenin ve erişimin önlenmesi ile hukuka uygun muhafaza yükümlülüğü olan Veri sorumlusu’nun kendi bilgi teknolojileri sistemi ağından ayrılmasına ve kişisel verilerin bulut depolama hizmeti sağlayıcıları tarafından işlenmesine neden olduğundan, bulut depolama hizmeti sağlayıcısı tarafından alınan güvenlik önlemlerinin de yeterli ve uygun olup olmadığının Veri sorumlusunca değerlendirilmesi gereken destek hizmeti verecektir. Bu kapsamda, bulutta depolanan kişisel verilerin neler olduğunun detaylıca bilinmesi, yedeklenmesi, senkronizasyonun sağlanması ve bu kişisel verilere gerekmesi halinde uzaktan erişim için iki kademeli kimlik doğrulama kontrolünün uygulanması gerçekleştirilecektir.

Söz konusu sistemlerde yer alan kişisel verilerin depolanması ve kullanımı sırasında, kriptografik yöntemlerle şifrelenmesi, bulut ortamlarına şifrelenerek atılması, kişisel veriler için mümkün olan yerlerde, özellikle hizmet alınan her bir bulut çözümü için ayrı ayrı şifreleme anahtarları kullanılması için gereken destek hizmeti verilecektir.

Bulut bilişim hizmet ilişkisi sona erdiğinde; kişisel verileri kullanılır hale getirmeye yarayabilecek şifreleme anahtarlarının tüm kopyalarının da yok edilmesi için gereken destek hizmeti verecektir.

d) Bilgi teknolojileri sistemleri tedariği, geliştirme ve bakımı Veri sorumlusu tarafından yeni sistemlerin tedariği, geliştirilmesi veya mevcut sistemlerin iyileştirilmesi ile ilgili ihtiyaçlar belirlenirken güvenlik gereksinimleri nedeniyle uygulama sistemlerinin girdilerinin doğru ve uygun olduğuna dair kontrolleri yapılacak, doğru girilmiş bilginin işlem sırasında oluşan hata sonucunda veya kasıtlı olarak bozulup bozulmadığını kontrol etmek için uygulamalara kontrol mekanizmaları yerleştirilecektir. Uygulamalar, işlem sırasında oluşacak hataların veri bütünlüğünü bozma olasılığını asgari düzeye indirecek şekilde tasarlanacaktır.

Arızalandığı ya da bakım süresi geldiği için üretici, satıcı, servis gibi üçüncü kurumlara gönderilen cihazlar eğer kişisel veri içermekte ise, bu cihazların bakım ve onarım işlemi için gönderilmesinden önce, kişisel verilerin güvenliğinin sağlanması için cihazlardaki veri saklama ortamının sökülerek saklanması, sadece arızalı parçaların gönderilmesi gibi işlemlerin yapılması sağlanacaktır. Bakım ve onarım gibi amaçlarla dışarıdan personel gelmişse kişisel verileri kopyalayarak dışarıya çıkartmasının engellenmesi için gerekli önlemlerin alınması sağlanacaktır.

e) Kişisel verilerin yedeklenmesi Kişisel verilerin herhangi bir sebeple zarar görmesi, yok olması, çalınması veya kaybolması gibi hallerde veri sorumlularının yedeklenen verileri kullanarak en kısa sürede faaliyete geçmesini sağlayacaktır.

Ayrıca, kötü amaçlı yazılımlara karşı kişisel veri güvenliğini sağlamak için veri yedekleme stratejilerinin geliştirilmesini sağlayacaktır.

Bu yedeklenen kişisel veriler sadece sistem yöneticisi tarafından erişilebilir olmalı ve veri seti yedeklerinin mutlaka ağ dışında tutulmaları sağlanmalıdır. Bu nedenle tüm yedeklerin fiziksel güvenliği de sağlanacaktır.