Kullanıcı Güvenliğine İlişkin Kamuoyu Duyurusu

Erkan Aytac
Şubat 24, 2022
  • 3475

Kişisel Verileri Koruma Kurulu 15.02.2022 tarihinde kullanıcı güvenliğine ilişkin alınması gereken teknik ve idari tedbirlerle ilgili bir kamuoyu duyurusu yayınladı. Veri sorumlularının kendi risk değerlendirmelerini yaparak uygun olanlarını almaları tavsiye etti.

KVKK tarafından yapılan duyuruda ; 

Bilindiği üzere, 6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) 12 nci maddesinin (1) numaralı fıkrasında “ veri sorumlusunun;

  1. Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,
  2. Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,
  3. Kişisel verilerin muhafazasını sağlamak

amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorunda olduğu” hükme bağlanmıştır.

Mezkûr Kanunun amir hükmü kapsamında Son zamanlarda Kişisel Verileri Koruma Kurumuna intikal eden veri ihlal bildirimleri değerlendirilmiştir. Bu kapsamında; finans, e-ticaret, sosyal medya ve oyun gibi muhtelif sektörlerde faaliyet gösteren veri sorumlularının internet sitelerine giriş için kullanılan kullanıcı hesap bilgilerinin (kullanıcı adı ve parolalar) bazı internet sitelerinde herkese açık şekilde yayınlandığı görülmüştür. Söz konusu kullanıcı hesaplarını elde eden üçüncü kişilerce anılan veri sorumlularının internet sitelerine kullanıcıların haberi olmadan aktif bir şekilde giriş yapıldığı ve ilgili kişilere ait verilerin bu kapsamda görüntülenebildiği tespit edilmiştir.

Ayrıca farklı zamanlarda, veri sorumluları sistemlerinden veya son kullanıcı bilgisayarlarındaki güvenlik açıkları kullanılarak elde edilen kişisel verilerin, hukuka aykırı bir şekilde paylaşıldığı ve ekonomik bir değer karşılığında satışa sunulabildiği görülmektedir. Bununla birlikte ilgili kişilere ait bu veriler elden ele dolaşarak kötü niyetli kişilerce arşivlenerek daha büyük veri setleri halinde yeniden pazarlanabilmektedir.

Veri sorumluları ve veri işleyenler tarafından veri güvenliği kapsamında alınacak teknik ve idari tedbirlerin olası veri ihlal durumlarını ve ilgili kişiler üzerinde oluşturabileceği riskleri minimize edeceği muhakkaktır. Bu kapsamda yaygın olarak yaşanan ve veri ihlallerinin oluşmasına neden olan “aynı kullanıcı adı ve parolanın farklı platformlarda kullanılması, belirli zaman aralıklarında parola değişiminin yapılmaması, iki kademeli kimlik doğrulama vb. giriş yöntemlerinin kullanılmaması” gibi teknik ve idari tedbir eksikliklerinin kişisel veri ihlallerine neden olabildiği görülmektedir.

Yukarıda belirtilen ve yaygın olarak yaşanan veri ihlallerini önlemek veya meydana gelmesi halinde ilgili kişiler üzerinde olumsuz sonuç doğurma olasılığının azaltılmasını teminen, veri sorumluları tarafından bir takım önlemlerin alınmasına ihtiyaç duyulmaktadır.

Bu kapsamda veri sorumlularının;

  • Çift kademeli kimlik doğrulama (two-factor authentication) sistemlerini kurmaları ve kullanıcılarına üyelik başvurusu aşamasından itibaren alternatif güvenlik önlemi olarak sunmaları,
  • Kullanıcıların hesaplarına sık erişim sağlayan cihazlar haricinde farklı cihazlar üzerinden giriş yapılması durumunda, giriş bilgilerinin e-posta/sms vb. yöntemlerle ilgili kişilerin iletişim adreslerine iletilmesinin sağlanması,
  • Uygulamaların HTTPS (Hypertext Transfer Protocol Secure - Hiper Metin Aktarma Güvenli İletişim Kuralı) ile veya aynı güvenlik seviyesini sağlayacak bir şekilde koruma altına alınması,
  • Kullanıcı parolalarının, siber saldırı yöntemlerine karşı korunmasını teminen, güvenli ve güncel karma (hashing) algoritmaların kullanılması,
  • IP (Internet Protocol Address) adresinden yapılacak başarısız giriş denemesi sayısının sınırlandırılması,
  • İlgili kişilerin en az son 5 adet başarılı ve başarısız giriş denemeleri ile ilgili bilgilerini görüntüleyebilmelerinin sağlanması,
  • İlgili kişilere aynı parolanın birden fazla platformda kullanılmaması gerektiğinin hatırlatılması,
  • Veri sorumluları tarafından parola politikasının oluşturulması ve kullanıcılara ait parolaların belirli aralıklarla değiştirilmesinin sağlanması veya bu hususun ilgili kişilere hatırlatılması,
  • Yeni oluşturulan parolaların, eski parolalarla (en az son üç parolayla) aynı olmasının engellenmesi, kullanıcı hesaplarına girişlerde bilgisayar ile insan davranışlarını ayırt edici güvenlik kodu gibi teknolojilerin (CAPTCHA, dört işlem vb.) kullanılması, erişime izin verilen IP adreslerinin sınırlandırılması,
  • Veri sorumlularının sistemlerine giriş yapılan parolaların uzunluğunun asgari 10 karakter olması, büyük-küçük harf, rakam ve özel karakterlerin bir arada kullanılmasına yönelik güçlü parola oluşturulmasının sağlanması,
  • Veri sorumlularının sistemlerine giriş için üçüncü parti yazılımlar veya servisler kullanılıyorsa bu yazılımların ve servislerin güvenlik güncelleştirmelerinin düzenli olarak gerçekleştirilmesi ve gerekli kontrollerin yapılması

gibi teknik ve idari tedbirlerden kendi risk değerlendirmelerini yaparak uygun olanlarını almaları tavsiye edilmektedir.




İlgili İçerik
Duyurular

Müşteri Deneyimi ve Sadakat Programları

Yeni yılın üçüncü webinarında, sadakat programlarının müşteri ilişkileri üzerindeki etkilerini ve bu programlarla nasıl başarıya ulaşılabileceğini detaylı bir şekilde ele alacağız.

selen guvenc Şubat 3

Markanızı Amazon'da ve ETSY'de Büyütmek

Yeni yılın ikinci programında, Rexven CEO’su Mehmet Tek ile Amazon ve ETSY gibi dev platformlarda markanızı nasıl büyütebileceğinizi ve e-ticaret dünyasında başarılı olmanızı sağlayacak stratejileri konuşacağız.

selen guvenc Ocak 16

2025 Sevgililer Günü Rehberi: İstatistiklerle Desteklenen Etkili Pazarlama Yöntemleri

2025 yılında, tüketici harcamalarının ve alışveriş eğilimlerinin yükselmesi beklenirken, markaların veriye dayalı ve etkili pazarlama stratejileri geliştirmesi başarıyı garantilemenin anahtarı olacaktır.

selen guvenc Ocak 15

2025 Yılı 6698 Sayılı KVKK Kapsamında İdari Para Cezası Tutarları

2025 yılı için 6698 sayılı Kişisel Verilerin Korunması Kanunu kapsamındaki idari para cezaları, belirlenen yeniden değerleme oranında arttırılmıştır. Detaylar ve cezaların güncel tutarları için yazımıza göz atabilirsiniz.

selen guvenc Ocak 15

LinkedIn, B2B Pazarlama Stratejilerini Güçlendiren Companies Hub'ı Duyurdu

LinkedIn, B2B pazarlama stratejilerini daha etkili hale getirecek yeni bir özellik olan Companies Hub’ı duyurdu. Kampanya Yöneticisi’nde yer alacak bu özellik, şirketlerin daha derinlemesine analiz yaparak, doğru hedef kitleye ulaşmalarını sağlayacak.

selen guvenc Ocak 15

Mobildev Data Quality (MDQ) ile Doğru ve Güncel Veri Yönetimi için Kapsamlı Bir Çözüm

Veri, günümüzün hızla dijitalleşen dünyasında işletmelerin başarısının temelini oluşturan en değerli varlıklardan biri haline geldi. Ancak, bu verinin gerçekten faydalı olabilmesi için doğru ve güncel olması gerekir. İşte burada MDQ devreye giriyor.

selen guvenc Ocak 15

Bültene Üye Ol

İşinizi geliştirmenize katkı sağlayacak, başarılı örnekleri, sektörel gelişmeleri ve kampanyaları kaçırmayın.