6698 sayılı Kişisel Verilerin Korunması Kanunu,
95/46/EC sayılı Veri Koruma Direktifi’nin
Türkiye’ye uyarlanmış halidir.
6698 - Kişisel Verilerin Korunması Kanunu, 7 Nisan 2016 tarihinde resmi
gazetede yayınlanarak artık yürürlüğe girmiş bulunmaktadır.
Kanunun amacı kişisel verilerin işlenmesinde başta özel hayatın gizliliği
olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel
verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları
usul ve esasları düzenlemek olarak adreslendi.
Kapsamına baktığımızda ucundan kıyısından müşteri bilgilerini ilgilendiren
herkes kapsama dahil oldu.
Özellikle bankalar ve büyük ölçekli şirketlerin çok sayıda tedarikçiyle
çalıştığını düşündüğümüzde tedarikçi yönetimi ve güvenlik konuları tekrar
değinilmesi gereken bir konu olarak görülmektedir.
VERBİS'e kayıt nasıl yapılacak? KVKK - LostarLostar
Kişisel Verilerin Korunması Kanunu (KVKK) önemli gereksinimlerinden biri de Verbis sistemine kayıt olmak ve istenen bilgileri girmekten geçiyor. Murat Lostar'ın ISACA-Istanbul'da yaptığı bu sunumda Verbis ve kayıt süreci hakkında bilgiler yer alıyor.
BlockChain, sadece Bitcoin'in temelinde yer alan bir seferlik bir teknoloji değil. Aynı zamanda, Internet'te bilgi paylaşılmasına benzer bir şekilde değer aktarımı işlemlerinin, ortada güvenilir bir üçüncü taraf olmadan da yapılmasını sağlayacak önemli bir protokol. Bu protokolle ilgili Murat Lostar'ın II. Garanti Bankası Bilgi Güvenliği Günleri'nde yaptığı sunum içeriği.
GÜVENLİ YAZILIM GELİŞTİRME YAŞAM DÖNGÜSÜ HİZMETLERİ
Güvenli yazılım geliştirme kavramının önemi günümüzde çok iyi anlaşılmış, bu kavram yazılım geliştirme maliyetini, süresini azaltan ve yazılımın kalitesini arttıran bir unsur olarak kabul görmüştür. Ayrıca yazılım kullanımı sırasında ortaya çıkabilecek pek çok güvenlik olayını da kaynağında engellemenin en etkili yoludur.
Yazılım geliştirme süreçlerinin güvenlik odaklı hale getirilmesi için aşağıda detayları verilen hizmet paketleri Biznet Bilişim tarafından sunulmaktadır.
VERBİS'e kayıt nasıl yapılacak? KVKK - LostarLostar
Kişisel Verilerin Korunması Kanunu (KVKK) önemli gereksinimlerinden biri de Verbis sistemine kayıt olmak ve istenen bilgileri girmekten geçiyor. Murat Lostar'ın ISACA-Istanbul'da yaptığı bu sunumda Verbis ve kayıt süreci hakkında bilgiler yer alıyor.
BlockChain, sadece Bitcoin'in temelinde yer alan bir seferlik bir teknoloji değil. Aynı zamanda, Internet'te bilgi paylaşılmasına benzer bir şekilde değer aktarımı işlemlerinin, ortada güvenilir bir üçüncü taraf olmadan da yapılmasını sağlayacak önemli bir protokol. Bu protokolle ilgili Murat Lostar'ın II. Garanti Bankası Bilgi Güvenliği Günleri'nde yaptığı sunum içeriği.
GÜVENLİ YAZILIM GELİŞTİRME YAŞAM DÖNGÜSÜ HİZMETLERİ
Güvenli yazılım geliştirme kavramının önemi günümüzde çok iyi anlaşılmış, bu kavram yazılım geliştirme maliyetini, süresini azaltan ve yazılımın kalitesini arttıran bir unsur olarak kabul görmüştür. Ayrıca yazılım kullanımı sırasında ortaya çıkabilecek pek çok güvenlik olayını da kaynağında engellemenin en etkili yoludur.
Yazılım geliştirme süreçlerinin güvenlik odaklı hale getirilmesi için aşağıda detayları verilen hizmet paketleri Biznet Bilişim tarafından sunulmaktadır.
KVKK kapsamında yapılan ilk çalışmaların tamamı şirket evraklarının, doküman ve sözleşmelerinin KVKK ya göre güncellenmesi şeklinde oluyor.
Veri envanteri şu sözleşmede kişisel veri var ilişkili departman satın alma, bu dokümanda kişisel veri var ilişkili departman muhasebe ve şu kanun ile ilişkisi budur demek değildir. Hangi dijital ortamda (Dosya sunucusu,sunucu, veri tabanı,bulut) kişisel veri var, ne zaman konmuş, kim koymuş ve neye istinaden tutuluyor gibi bilgilere ihtiyaç var.
Yazılım Güvenliği Yönetimi Eğitimimiz aşağıdaki konu başlıklarını içermektedir:
Güvenli Yazılım Geliştirme Modelleri
-TOUCHPOINTS
-Secure Development Lifecycle (Microsoft)
-CLASP (Comprehensive, Lightweight Application Security Process)
Risk Yönetimi
Güvenlik Gereksinim Analizi
Teknik Riskler
Sızma Testi ve Statik Kod Analizi
Güvenlik Operasyonu
Siber Güvenlik Eğitimleri | SPARTA BİLİŞİMSparta Bilişim
Siber Güvenlik Eğitimi, kurumunuza özel veya genele açık olarak düzenlenebilen bir Sparta Bilişim hizmetidir.
Yöneticiler, IT (Bilgi Teknolojileri) personeli, güvenlik uzmanları ya da kuruluş çalışanlarının tümü için tercih edilebilecek farklı kapsam, süre ve fayda sunan 22 farklı eğitim başlığımız bulunmaktadır.
Bu dokümanda Sparta Bilişim olarak vermekte olduğumuz siber güvenlik eğitimlerinin genel amacı ve eğitim içerikleri yer almaktadır.
SPARTA BİLİŞİM siber güvenlik konusunda ihtiyaç duyduğunuz profesyonel hizmetleri sunmak amacıyla 2013 yılından beri sizinle. Bugüne kadar 300’ün üzerinde kuruluşa sızma testi yaptık, olay müdahalesi gerçekleştirdik, danışmanlık yaptık. 4 kıtada, toplamda yüzlerce kişiye eğitimler verdik. İşbirliği yaptığımız kuruluşların mevcut bilgi teknolojileri ve bilgi güvenliği ekiplerinin bir uzantısı gibi çalışmaya özen gösterdik. Ve güvenliğinizi koruyabilmek için her zaman sizden biri olduk…
KoçSistem Güvenlik Çözümleri “Yolu Güvenle Geçmek”- IDC Security Roadshow KocSistem_
IDC Security Roadshow etkinliğinde “Yolu Güvenle Geçmek” sunumumuz ile güncel tehditler, 2017 öngörülerimiz ve bunlara yönelik geliştirdiğimiz KoçSistem Toplam Güvenlik Yaklaşımımız ile yer aldık.
2007 yılındaki Microsoft Zirve'sinde Murat Lostar'ın yaptığı bilgi güvenliği yönetim sistemi sunumu.
Sunumda bilgi güvenliği ile ilgili bazı terimler eski Türkçe (Osmanlıca) yazılmıştı
KVKK kapsamında yapılan ilk çalışmaların tamamı şirket evraklarının, doküman ve sözleşmelerinin KVKK ya göre güncellenmesi şeklinde oluyor.
Veri envanteri şu sözleşmede kişisel veri var ilişkili departman satın alma, bu dokümanda kişisel veri var ilişkili departman muhasebe ve şu kanun ile ilişkisi budur demek değildir. Hangi dijital ortamda (Dosya sunucusu,sunucu, veri tabanı,bulut) kişisel veri var, ne zaman konmuş, kim koymuş ve neye istinaden tutuluyor gibi bilgilere ihtiyaç var.
Yazılım Güvenliği Yönetimi Eğitimimiz aşağıdaki konu başlıklarını içermektedir:
Güvenli Yazılım Geliştirme Modelleri
-TOUCHPOINTS
-Secure Development Lifecycle (Microsoft)
-CLASP (Comprehensive, Lightweight Application Security Process)
Risk Yönetimi
Güvenlik Gereksinim Analizi
Teknik Riskler
Sızma Testi ve Statik Kod Analizi
Güvenlik Operasyonu
Siber Güvenlik Eğitimleri | SPARTA BİLİŞİMSparta Bilişim
Siber Güvenlik Eğitimi, kurumunuza özel veya genele açık olarak düzenlenebilen bir Sparta Bilişim hizmetidir.
Yöneticiler, IT (Bilgi Teknolojileri) personeli, güvenlik uzmanları ya da kuruluş çalışanlarının tümü için tercih edilebilecek farklı kapsam, süre ve fayda sunan 22 farklı eğitim başlığımız bulunmaktadır.
Bu dokümanda Sparta Bilişim olarak vermekte olduğumuz siber güvenlik eğitimlerinin genel amacı ve eğitim içerikleri yer almaktadır.
SPARTA BİLİŞİM siber güvenlik konusunda ihtiyaç duyduğunuz profesyonel hizmetleri sunmak amacıyla 2013 yılından beri sizinle. Bugüne kadar 300’ün üzerinde kuruluşa sızma testi yaptık, olay müdahalesi gerçekleştirdik, danışmanlık yaptık. 4 kıtada, toplamda yüzlerce kişiye eğitimler verdik. İşbirliği yaptığımız kuruluşların mevcut bilgi teknolojileri ve bilgi güvenliği ekiplerinin bir uzantısı gibi çalışmaya özen gösterdik. Ve güvenliğinizi koruyabilmek için her zaman sizden biri olduk…
KoçSistem Güvenlik Çözümleri “Yolu Güvenle Geçmek”- IDC Security Roadshow KocSistem_
IDC Security Roadshow etkinliğinde “Yolu Güvenle Geçmek” sunumumuz ile güncel tehditler, 2017 öngörülerimiz ve bunlara yönelik geliştirdiğimiz KoçSistem Toplam Güvenlik Yaklaşımımız ile yer aldık.
2007 yılındaki Microsoft Zirve'sinde Murat Lostar'ın yaptığı bilgi güvenliği yönetim sistemi sunumu.
Sunumda bilgi güvenliği ile ilgili bazı terimler eski Türkçe (Osmanlıca) yazılmıştı
The document outlines Murat Girgin's presentation on business intelligence corporate roadmaps and project management. It discusses the anatomy of a project, BI platform components, project milestones, and management of the project scope, time, costs, quality, risks, resources, communications, procurement, integration, security, architecture, releases, operations, and testing. The presentation provides guidance on planning, executing, and ensuring the success of BI projects.
İşiniz her geçen gün daha fazla veri üretmektedir. Veri kaydedilir, çalışanlar hareket eder, veriler unutulur ve kaybolur.
Değerli bilgiler, dosya sunucularınızda ve belge arşivlerinde korunaksız birşekilde konumlanmaktadır.
Veri sınıflandırması, yapılandırılmamış verileriniz üzerinde kontrolü ele geçirmenize ve koruma katmanı oluşturmanıza yardımcı olur.
Data Breaches Inverstigation’ın (DBI) 2017 de yayınlanmış son raporlarına göre;bilgi güvenliği ihlal olaylarının arkasındaki kişiler/gruplar/birimler bazında kategorize edildiğinde karşımıza şekildeki gibi bir tablo çıkmaktadır. Burada kurum içindeki personel/birimler’den kaynaklanan ihlal olaylarının %25 seviyelerinde olması dikkat çekmektedir.
Data Breaches Inverstigation’ın 2017 raporlarına göre;
bilgi güvenliği tehditlerinin kişiler/gruplar/birimler bazında
kategorize edildiğinde karşımıza çok daha anlamlı bir tablo
çıkmaktadır.
Rapordaki içeriden(internal) tehdit oranının %81,6 seviyelerinde
olması buraya odaklanmanın önemini göstermektedir.
Veriket ile, otomatik sınıflandırma, kullanıcı odaklı sınıflandırma ya da sınıflandırma tekniklerinin bir karışımı olsun, işletmeniz için doğru veri sınıflandırma yaklaşımını seçebilirsiniz, böylece kullanıcılar yazılım tarafından sınıflandırma kararlarıyla desteklenir.
Kullanıcılarınızı veri sınıflandırmasına dahil ederek, politikalarınızı ve kuruluşunuzun verisinin değerini daha iyi anlayarak farkındalığı arttırır.
Pahalı veri ihlali riskini azaltır.
Verilerinizi koruma konusunda çalışanların katılımını arttırır.
Kuruluşunuzun veri politikasının kullanıcı bilincini artırır.
Endüstri düzenlemelerine ve standartlarına uyumu sağlar.
Verilerinizi kontrol altında tutarak veri yönetimi ve depolama maliyetlerini azaltır.
Regülasyonlara uyum sağlar.
Veri kaybını önler
Kurumsal Riskleri düşürür.
DLP ve Diğer güvenlik çözümlerinin etkinliğini arttırır.
Detaylı raporlama yapısı ile her türlü veriyi ve kullanıcı işlemlerini raporlama imkanı tanır.
Loglama yapısı ile ihlal olaylarını raporlar.
Sistemlerin Yetkisiz Erişimden Korunması
Yetkili Personelin Sistemlere Erişiminin Yönetilmesi
Sistem Tedarik, Geliştirme Ve Bakımının Yönetilmesi
İş Sürekliliği Önlemleri
Bilişim Sistemleri Güvenliği Yöneticisi ve Personel İstihdamı
Dokümantasyon
Bilgi Güvenliği Olaylarına Müdahale
Kişisel Verilerin Korunması Kanunu hakkında merak edilen, tartışılan konuları yalın ve net bir dille açıklayan bir SSS (Sıkça Sorulan Sorular) dokümanı.
MARMARA ÜNİVERSİTESİ - FIRAT BİŞKİN - Data Leakage Prevention - Sunum.pptxF1R4T default
Technology, which is in almost every place we use in our daily life, also creates new problems. We record our identity information, credit card information, documents and even our money with technology. The rapid exchange and reproduction of data makes it inevitable for institutions that produce information directly and that have risky information to take precautions. Therefore, the security of data has been of great importance.
Big data kavramı hakkında en temel bilgiler ve örnek big data senaryolarının yer aldığı bir sunumdur. Büyük verinin hangi sektörlerde ve nasıl kullanılabileceğine dair ipuçları da yer alan sunumda 4 adet dikkat çekici video da yer almaktadır.
Yazılarıma göz atmak için: velibahceci.com 'u ziyaret edebilirsiniz.
Cumhurbaşkanlığı Bilgi ve İletişim Güvenliği RehberiSparta Bilişim
Cumhurbaşkanlığı Bilgi ve İletişim Güvenliği Rehberi konulu webinara ait sunumdur.
Sunum içerisinde aşağıdaki konuları bulabilirsiniz;
Rehberde neler var?
- Nmap kullanımı: Nmap ile sistem tespiti ve siber hijyen
- Masscan: Hızlı tarama için Nmap'e alternatif
- Zenmap: Windows ile tarama yapmak
- Nmap ile zafiyet tespiti
- Sanallaştırma güvenliği
- Bulut bilişim güvenliği
- Saas güvenliği: Software as a Service güvenliği
- IaaS güvenliği: Infrastructure as a Service güvenliği
- PaaS güvenliği: Platform as a Service
- Uygulama güvenliği
- Veri güvenliği ve Kişisel Verilerin Korunması Kanunu
2. Danışmanlık
Hizmetleri
E-imza
PCI-DSS
Entegrasyon
KEP
Ağ ve Bilgi
Güvenliği
E-fatura
Denetim
Hizmetleri
Özgün
Yenilikçi
Yazılımlar
Sızma
Testleri
Kimlik ve Erişim
Yönetimi
ISO27001
Bilgi Güvenliği
Yönetim
Platformu
• Sadece ağ ve bilgi güvenliği üzerine
entegrasyon, danışmanlık, test ve denetim
hizmetleri sunmaktadır.
• Kimlik ve Erişim Yönetimi alanında önde gelen
kurumlarda çok fazla sayıda kimliği yöneten
başarılı projelere imza atmıştır.
• Hizmetlerini zenginleştiren ve farklılaştıran
özgün yazılımlar geliştirir.
• PCI Komitesi tarafından PCI ASV ve QSA
sertifikasyonuna sahip tek yerel firmadır.
• Faruk Eczacıbaşı, 2011 yılında Biznet Bilişim’e
çoğunluk hissedar olarak ortak olmuştur.
• Ankara ve Istanbul’da toplam 50’nin üzerinde
çalışanı bulunmaktadır.
2000 yılından bu yana...
6. 6698 sayılı Kişisel Verilerin Korunması Kanunu, 95/46/EC sayılı Veri Koruma Direktifi’nin
Türkiye’ye uyarlanmış halidir
• 6698 - Kişisel Verilerin Korunması Kanunu, 7 Nisan 2016
tarihinde resmi gazetede yayınlanarak artık yürürlüğe girmiş
bulunmaktadır.
• Kanunun amacı kişisel verilerin işlenmesinde başta özel
hayatın gizliliği olmak üzere kişilerin temel hak ve
özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve
tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları
düzenlemek olarak adreslendi.
• Kapsamına baktığımızda ucundan kıyısından müşteri
bilgilerini ilgilendiren herkes kapsama dahil oldu.
• Özellikle bankalar ve büyük ölçekli şirketlerin çok sayıda
tedarikçiyle çalıştığını düşündüğümüzde tedarikçi yönetimi ve
güvenlik konuları tekrar değinilmesi gereken bir konu olarak
görülmektedir.
7. Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi kişisel bilgi sayılır !
Her Türlü Bilgi
• Bilginin niteliğine ilişkin hiçbir sınırlama yok - İsim, kimlik
bilgisi, alışkanlıklar, görüntü, ses, biometrik bilgiler vs.
Kişiye İlişkin
• İçerik veya amaç veya sonuç bakımından kişi ile ilgili olması
yeterlidir
Kimliği
Belli/Belirlenebilir
• Doğrudan veya dolaylı olarak kişinin tanımlanmasında
kullanılabilmesi yeterlidir.
Takma Ad Kullanımı
(Pseudonymisation)
• Teknik olarak kişinin gerçek kimliği hakkında bilgi edinmek
mümkün olduğu için kişisel veri sayılır - Ancak çok etkili bir
koruma yöntemi olması dolayısıyla önemlidir.
Verinin anonim hale getirilmesi ile kişinin gerçek kimliği hakkında bilgi edinmek mümkün
olmayacağından bunlar kişisel veri sayılmaz..
8. Tamamen veya kısmen otomatik olan ya da veri kayıt
sisteminin parçası olmak kaydıyla otomatik olmayan
yollarla yapılan işlemlerdir.
Elde edilmesi, kaydedilmesi, depolanması, muhafaza
edilmesi, değiştirilmesi, yeniden düzenlenmesi,
açıklanması, aktarılması, devralınması, elde edilebilir
hâle getirilmesi, sınıflandırılması ya da kullanılmasının
engellenmesi vs.
9. Veri İşleyen
• Veri sorumlusunun
verdiği yetkiye
dayanarak onun adına
kişisel verileri
işleyendir.
Veri Sorumlusu
• Kişisel verilerin işleme
amaçlarını ve
vasıtalarını belirleyen,
veri kayıt sisteminin
kurulmasından ve
yönetilmesinden
sorumludur.
Veri sorumlularının kurulacak sicile kaydı zorunludur !
10. Temel İlkeler
İşlenme amacı
ile sınırlı olma
(purpose
limitation)
Hukuka
uygunluk (lawful
processing)
Gereğinden uzun süre saklamama
Doğruluk ve
güncellik
(quality of data)
Belirli açık ve
meşru amaçlar
için işlenme
(proportionality)
Kişisel veri işlenirken daima bu kurallara uyulacak istisnası yok!
13. Açık ve bilinçli rıza ya da
açık kanun hükmü
olmadan işlenemez
Sağlık ve cinsel hayata
ilişkin verilerde özel
düzenleme
Bu verilerin işlenmesi
bakımından Kurul ilave
güvenlik önlemleri alacak
Kişilerin ırkı, etnik kökeni,
siyasi düşüncesi, felsefi inancı,
dini, mezhebi veya diğer
inançları, kılık ve kıyafeti,
dernek, vakıf ya da sendika
üyeliği, sağlığı, cinsel hayatı,
ceza mahkûmiyeti ve güvenlik
tedbirleriyle ilgili verileri ile
biyometrik ve genetik verileri
14. Bu iki şartın içinin nasıl doldurulacağı kritik !
Açık ve bilinçli rıza
Veri sorumlusunun meşru
menfaati
Veri sahibinin…
• Herhangi baskı altında olmadan
• İşleme amacı ve sonuçlar
hakkında detaylı olarak
bilgilendirilerek
• Kapsamı açıkça anlaşılabilecek
biçimde
işlemeye razı olması gerekir
• Türkiye’de kural açık rıza
• Bazı durumlarda açık rıza alınması
çok zor
• AB’de veri sahibine opt-out imkanı
verilmesi yoluyla veri işlenebiliyor
• Ancak bu uygulamada açık rıza söz
konusu değil
• Veri sorumlusunun meşru menfaatlerinin
kapsamı çok geniş…
• Hakkın kullanılması (ör: basın
özgürlüğü)
• Satış ve pazarlama için reklam
yapılması
• Çalışanların takip edilmesi
• Kamu menfaati
• Veri güvenliğinin sağlanması
• Araştırma ya da istatistik oluşturma
amacı
• Meşru menfaatin varlığı yeterli değil,
önemli olan menfaatler dengesinin
sağlanması
15. Koşulsuz olarak kolayca kullanılabilecek opt-out hakkı
Veri sahibi için kanunen gerekli olandan daha fazla şeffaflık
(işlemeye ilişkin)
Kanunen gerekli olandan daha sıkı veri güvenliği tedbirleri
Verinin toptanlaştırılması (aggregation) anonimleştirilmesi ya da
takma ad kullanımı
Elde edilen verinin farklı departmanlarca kullanılmasını
engelleyecek fonksiyonel ayrım
Veri taşıma imkanı ve veri sahibini güçlendirecek diğer tedbirler
Veri sorumlusunun işlemeye
başlamadan önce bir test
gerçekleştirmesi ve bunu
ileride yetkili kurumlara
sunması öneriliyor
16. Hukuka Aykırı
Güvenli
Birlikte Sorumlu
• İşlemeyi Engelleyecek
• Erişimi Engelleyecek
• Muhafazayı Sağlayacak
• Veri İşleyicisi
• Veri Sorumlusu
Güvenliğe ilişkin kurallar Kurul tarafından belirlenecek
17. Kanun’da kişisel verilerin yurt dışına aktarılmasına ilişkin özel
düzenlemeler var
Kural olarak açık rıza varsa aktarım mümkün
Açık rıza olmazsa aktarılacak ülkede de koruma olması lazım
Aktarılacak ülkenin hukuku
yeterli korumayı
sağlayacak
Aktarılacak kişi yeterli
koruma sağlayacağını
taahhüt edecek
Hangi ülkelerde yeterli koruma olduğuna Kurul
karar verecek
Korumanın yeterli olmadığı ülkelerde verilecek
taahhütlere dair örnekler hazırlanabilir
18. Veri işlenip işlenmediğini
öğrenme
Verinin nasıl işlendiği
hakkında bilgi talep etme
İşlenme amacını ve
amaca uygun kullanım
olup olmadığını öğrenme
Kime aktarıldığını
öğrenme
Yanlış bilginin
düzeltilmesini isteme
Silinmeyi talep etme
Otomatik sistemlerle
işleme sonucu oluşan
aleyhe sonuca itiraz etme
Zararın tazminini isteme
19. Önce veri
sorumlusuna
başvuru zorunlu
30 gün içinde
cevap verilmesi
zorunlu
Cevaptan 30 gün
ya da başvurudan
60 gün sonra
Kurul’a şikayet
• Aydınlatma yükümlülüğüne aykırılık - 5.000 / 100.000 TL
• Güvenlik yükümlülüğüne aykırılık - 15.000 / 1.000.000 TL
• Kurul kararını yerine getirmeme - 25.000 / 1.000.000 TL
• Sicile kaydolmama - 20.000 / 1.000.000 TL
• Her ihlal için ayrı bir ceza
• İhlalin etkisi ve ihlal sayısı arttıkça ceza miktarı artar
• TCK madde 135 – 140 arası hükümlerine aykırılıklar sonucunda
hapis cezaları.
20. Veri sınıflandırması ve haritalandırmasını yaparak kişisel bilgilerinizi belirleyin.
Tokenization sistem ve yöntemlerinin veri sınıflandırmayı desteklediğini ve güvenliğinizi
arttırdığını unutmayın.
Erişim yönetimi kontrollerini tekrar gözden geçirerek gerekli güvenlik önlemlerini
uygulayın.
Bilgi paylaşımında bulunduğunuz dış kaynak tedarikçilerinize ve güvenlik kontrollerine
dikkat edin, unutmayın güvenlik sorumluluğu öncelikle veri sorumlusundadır.
Şirketinizden ayrılan veri sorumlularına dikkat, hala yükümlülükleri devam ediyor. İşten
ayrılış süreçlerinizdeki güvenlik adımlarına dikkat edin.
Veri güvenliği için denetim ve güvenlik testleri yaptırın.
Veri sızmalarına karşı veri sınıflandırmasıyla uyumlu olarak ek güvenlik kontrollerini
değerlendirin.
21. Veri Çıkış Kanalları
Veri Paylaşılan
Tedarikçiler
Süreç Tasarım Yeterlilik
Güvenlik Önlemleri
BT Sistemleri
Veri Sınıfları ve Lokasyonları
Müşteri Bilgileri Sözleşmeler
Hukuksal Yaklaşımlar
22. Aşama 1
Farklılık Analiz ve Ön Hazırlıklar
Aşama 2
İyileştirme Aktiviteleri ve
Düzenli Kontrol
Aşama 3
Devamlılık Kontrolleri ve
Farkındalık
Veri sınıflandırma teknik kontrollerinin sistemlere
uygulanması
Denetim ve kontrol adımlarının belirlenmesiVeri sınıflandırması ve kontrolleri
Ağ ayrımlarının gerçekleştirilmesi
Yasal uyum süreçlerini destekleyen yapıların
oluşturulması
Müşteri verisinin sisteme hangi noktalardan girdiği ve
nerelerde sistem dışına çıkarıldığı
Sunucu ve veri tabanlarına erişim standartlarının
değiştirilmesi
Farkındalık Eğitimi
Girdi & Çıktı kanallarından emin olmak ve bu kanalları
listelemek
Görevler Ayrılığı (SOD) Matrisinin KVK özelinde
geliştirilmesi
Süreç farklılıklarının ve gelişim noktalarının tespit
edilmesi
Düzenli gözden geçirme ve denetim uygulanarak
gelişim durumunun raporlanması
Veri iletim güvenliği kontrol süreçlerinin tanımlanması
ve istisnaların belirlenmesi
Gelişim Yol Haritasının oluşturulması
Aktiviteler
HUKUK