SAP KVKK Personal Data Protector (PDP)

PUBLİC
Burcu Kutlu, Yusuf Çetin
6 Aralık 2018
SAP Müşterileri KVKK’ya Hazır !
Personal Data Protector
NOTE: Delete the yellow stickers when finished.
See the SAP Image Library for other available images.

PUBLİC
Konuşmacılar
Burcu Kutlu Ün
SAP Finansal Çözümler Yöneticisi
https://www.linkedin.com/in/burcu-kutlu-%C3%BCn-b9139739/burcu.kutlu@sap.com
M.Yusuf Çetin
MBIS AR-GE Genel Müdürü
https://www.linkedin.com/in/yusuf-cetin-8876645/yusuf.cetin@mbis.com.tr

3PUBLİC© 2018 SAP SE or an SAP affiliate company. All rights reserved. ǀ
Gündem
KVKK Teknik ve İdari Tedbirler
Nasıl Bir Sisteme İhtiyaç Var?
SAP KVKK Yaklaşımı
SAP PDP Çözüm Detayları
Demo
Q&A

Alınması Gereken Tedbirler Nelerdir ?
 Kullanıcı Hesap Yönetimi
 Yetki Matrisi
 Yetki Kontrol
 Erişim Logları
 Uygulama Güvenliği
 Şifreleme
 Açık Rıza Kayıtları
 Veri Erişim Loglama
 Veri Maskeleme
 Silme & Yok Etme & Anonimleştirme
 Veri Kaybı Önleme Yazılımları
 Yedekleme
 Güvenlik Duvarları
 Güncel Anti-Virüs Sistemleri
 Ağ Güvenliği
 Anahtar Yönetimi
 Sızma Testi
 Saldırı Tespit ve Önleme Sistemleri
 Kişisel Veri İşleme Envanteri
Hazırlanması
 Kurumsal Politikalar (Erişim, Bilgi
Güvenliği, Kullanım, Saklama ve İmha
vb.)
 Sözleşmeler (Veri Sorumlusu - Veri
Sorumlusu, Veri Sorumlusu - Veri
İşleyen Arasında )
 Gizlilik Taahhütnameleri
 Kurum İçi Periyodik ve/veya Rastgele
Denetimler
 Risk Analizleri
 İş Sözleşmesi, Disiplin Yönetmeliği (Kanun’a
Uygun Hükümler İlave Edilmesi)
 Kurumsal İletişim (Kriz Yönetimi, Kurul ve
İlgili Kişiyi Bilgilendirme Süreçleri, İtibar
Yönetimi
 Eğitim ve Farkındalık Faaliyetleri (Bilgi
Güvenliği ve Kanun)
 Veri Sorumluları Sicil Bilgi Sistemine
(VERBİS) Bildirim
İdari Tedbirler
Teknik Tedbirler

 Yetki Matrisi
 Yetki Kontrol
 Şifreleme
 Veri Maskeleme
 Yedekleme
 Ağ Güvenliği
 Sızma Testi
Hazırlanması
vb.)
Denetimler
 Risk Analizleri
 Kurumsal İletişim (Kriz Yönetimi, Kurul
ve İlgili Kişiyi Bilgilendirme Süreçleri,
İtibar Yönetimi
(VERBİS) Bildirim
İdari Tedbirler
Teknik Tedbirler

 Yetki Matrisi
 Yetki Kontrol
 Şifreleme
 Veri Maskeleme
 Yedekleme
 Ağ Güvenliği
 Sızma Testi
Hazırlanması
vb.)
Denetimler
 Risk Analizleri
 Kurumsal İletişim (Kriz Yönetimi, Kurul
ve İlgili Kişiyi Bilgilendirme Süreçleri,
İtibar Yönetimi
(VERBİS) Bildirim
İdari Tedbirler
Teknik TedbirlerSAP Personal Data Protector
 Kişisel Veri İşleme Envanteri Hazırlanması
 Açık Rıza Kayıtları Takibi
 Veri Maskeleme
 Kurul ve İlgili Kişiyi Bilgilendirme Süreçleri Takibi
 VERBİS Bildirimleri Yönetimi

Nasıl Bir Sisteme İhtiyaç Var ?

MÜŞTERİ TEDARİKÇİ
ÇALIŞAN DİĞER
KİŞİLER
AYDINLATMA
YÜKÜMLÜLÜĞÜ
ANONİMLEŞTİRME
SİLME
TALEP
YÖNETİMİ
VERİYE ERİŞİM
DÜZELTME
KONTROL ve
DENETİM
AÇIK RIZA
YÖNETİMİ

• Aydınlatma
• Açık Rıza Yönetimi
• Verbis Bildirim Yönetimi
• KVKK İlişkili Raporlar
Yönetimsel Süreçler
• Maskeleme
• Erişim LoglamaUygulama Önyüzü
• Yetkilendirme
• Erişim Talep Yönetimi
• KVKK Süreç uyumluluğu
Süreç Katmanı
• Veri Keşfi
• Veri Envanteri YönetimiVeri Katmanı
 Veri Keşfi
 Veri Envanteri Yönetimi
 Veri Yaşam Döngüsü Yönetimi
SAP
Sistemleri
SAP Dışı
Sistemler
B
e
l
g
e
Y
ö
n
e
t
i
m
i
SAP PDP
SAP KVKK YAKLAŞIMI

Information
Lifecycle
Management
PowerDesigner
Ernterprise
Architect
Information
Steward
SAP
Opentext
SAP Data Services
KVKK
Personal Data
Protector
UI Masking
Business
Transactions

12INTERNAL© 2017 SAP SE or an SAP affiliate company. All rights reserved. ǀ
KVKK ve Veri Yaşam Döngüsü
PowerDesigner / Information Steward / Opentext
KVKK için yetkinlikleri
 Verileri SAP ve SAP dışı yazılım ortamlarında
profilleme ve etiketleme yoluyla veri koruma etki
değerlendirmesi için veri kapsamının bütünlüğünün
sağlanması
 Databaselerin veri türleri için analiz edilmesi (IS)
 Dökümanların kişisel veriler için analiz edilmesi
(Opentext)
 Sistemler arası veri akışlarının görüntülenmesinin
sağlanması
 Kişisel verilerin doğruluğunun ve tutarlılığının
yönetilmesi
Veri kaynaklarının anlaşılması, veri
kaynakları arasındaki ilişkinin
görüntülenmesi. DB veya içeriklerin
profillenebilmesi
Veri akışının anlaşılması
Veri envanterinin , kurumsal mimari
bileşenleriyle ilişkilendirilerilerek uçtan
uca veri yönetimi ve etki analizi
yapılabilmesi
Veri yönetimi eforu
Kişisel verilerin fiziksel sistemlerde
nerede bulunduğunu anlamak ve kaydını
tutmak için kullanılır
Veri bilgisi
KVKK
Veri
Yönetimi

KVKK ve Veri Silme
SAP Information Lifecycle Management
KVKK için Yetkinlikleri
SAP sistemleri için :
 Kurumdaki tüm arşivleme, saklama ve silme
politikalarını yönetme
 İlkelere göre veritabanından verilerin otomatik
silinmesi
 Diğer regülasyonlara göre, verilerin tutulma
politikalarını yönetmek
 E-keşif ile yasal düzenlemeleri yönetin
Hazır içerikler ile SAP sistemlerinde kural bazlı
olarak tutarlı bir şekilde veri silme
Karmaşıklık
Azalan donanım talepleri ve yazılım
bakımları
Maliyet
Verinin SAP sisteminden silinmesini sağlar
Düzenleyici uyum
* Information lifecycle management
KVKK
Veri
Yönetimi

KVKK ve Veri Silme
SAP Data Services
KVKK için Yetkinlikleri
 Veri silme işlemlerini bir akış olarak geliştirebilme.
 Birden fazla sisteme bağlanarak tutarlı veri silme
 Veri silme akışlarının izlenebilmesi ve
raporlanabilmesiTutarlı veri silmek için gerekli
karmaşık veri silme akışlarının
yazılması
Karmaşıklık
Veri silme işlemlerinin
merkezileştirilerek donanımsal ve iş
gücü maliyetinin azaltılmasını sağlar
Maliyet
Non-SAP sistemlerde veri silme işlemlerini
otomatize etme ve takip etmeyi sağlar
Düzenleyici uyum
* Information lifecycle management
KVKK
Veri
Yönetimi

SAP KVKK Personal Data Protector (PDP)

TEMEL FAALİYETLER
YÖNETİM
SİLME :
Anonimleştirme
RIZA : Açık Rıza Takibi
SÜREÇ : Amaç ve
Prosedürlerin Belirlenmesi
MİNİMİZASYON : Veri ve yetki
minimizasyonu
KEŞİF : Kişisel veri envanterinin çıkarılması
2
3
4
5
6
1

 Add-on aktifleştirme
 Parametrelerin girişi
 Risk Yöneticisi rolünün belirlenmesi
 Yasal sürelerin bakımı
 İş akışı uyarlamaları
 Mail içeriklerinin tanımlanması
PDP Aktifleştirme

Keşif1
YÖNETİM
SİLME :
Anonimleştirme
SÜREÇ : Amaç ve
minimizasyonu
2
3
4
5
6
1

Katalog Oluşturma
 Kişisel veri taramasının yapılması
 Kişisel veri bulunan noktaların tespiti
 PDP Veri kataloğunun güncellenmesi
 Tekilleşme için gerekli iş planının
çıkarılması
Keşif1

Minimizasyon2
YÖNETİM
SİLME :
Anonimleştirme
SÜREÇ : Amaç ve
minimizasyonu
2
3
4
5
6
1

Veri Minimizasyonu
 İşlenen fazla verilerin sistemden temizlenmesi
 Veri saklama noktalarının tekilleştirilmesi
Yetki Minimizasyonu
 Kişisel verilere erişim yetkisi olan kullanıcıların
belirlenmesi
 Fazla yetkiye sahip kullanıcıların
değerlendirilmesi
Minimizasyon2

SÜREÇ3
YÖNETİM
SİLME :
Anonimleştirme
SÜREÇ : Amaç ve
minimizasyonu
2
3
4
5
6
1

SÜREÇ3
Tarama ve Veri
Keşfi
Diğer Ortam
Taramaları
Veri
Minimizasyonu
Yetki
Minimizasyonu
Ham Veri Envanteri
Karar, Politika,
Prosedür Çalışmaları
Final Veri Envanteri
Amaçlar
PDP Uyarlamaları
Vazgeçilen Verinin Silinmesi

SÜREÇ3
AMAÇ Belirleme
 Veri işleme amaçların belirlenmesi
 Özel nitelikli alanların seçilmesi
 Periyodik imha süreleri bakımı
 Entegrasyon ilişkili amaçları belirlenmesi,
Entegrasyon ID lerin türetilmesi
 Amaç bazlı rollerin oluşturulması
Verbis Parametreleri Girişi
 Verbis – Veri kategorilerinin tanımlanması
 Verbis parametrelerinin girişi (Yurt dışı aktarım,
Alıcı grupları vb)
Veri Güvenlik Tedbirleri
 Veri kategorisi bazında alınması gereken tedbirlere
karar verilmesi
 Tedbir alım süreçlerinin yürütülmesi (DLP, kasa vb)

AMAÇ Belirleme
karar verilmesi
SÜREÇ3

SÜREÇ3
AMAÇ Belirleme
karar verilmesi

Sistem Kontrolü
 Veri tipleri ile amaçlar eşleşmiş mi ?
 Hangi veri tipleri veri barındırıyor ?
 Veri barındırmasına rağmen amaca
atanmamış veri tipi var mı ?
SÜREÇ3

RIZA YÖNETİMİ4
YÖNETİM
SİLME :
Anonimleştirme
SÜREÇ : Amaç ve
minimizasyonu
2
3
4
5
6
1

 Aydınlatma metinlerinin oluşturulması
 Metin versiyonlarının takibi
 Metinlerin paylaşımı
 Metin paylaşım raporlaması
Rıza Yönetimi - Aydınlatma4

 Açık rıza ilişkili amaçlar için toplam süreci
başlatma
 E-posta ile açık rıza alımı
 Manüel açık rıza kaydı girişi
 Açık rıza durum takip ve raporlaması
Rıza Yönetimi4
4

başlatma
Rıza Yönetimi4

başlatma
Rıza Yönetimi4
4

 Açık rıza ilişkili amaçlar için
toplama süreci başlatma
 Açık rıza durum takip ve
raporlaması
Rıza Yönetimi4

Anonimleştirme5
YÖNETİM
SİLME :
Anonimleştirme
SÜREÇ : Amaç ve
minimizasyonu
2
3
4
5
6
1

başlatma
Anonimleştirme5
4

 Periyodik imha programı
 Hatırlatma ve uyarı sistemi
Anonimleştirme - İmha5

Yönetim6
YÖNETİM
SİLME :
Anonimleştirme
SÜREÇ : Amaç ve
minimizasyonu
2
3
4
5
6
1

 İlgili kişi veya kurumdan gelen taleplerin
kaydedilmesi
 Talep işleme süreci
– Risk yöneticisi bilgilendirme
– Onay & Red
– Talep durum takibi
– Talep kapatma
 Talep hatırlatma sistemi
 Kişisel veri raporu
Bilgi İstek6

 İlgili kişi veya kurumdan gelen
taleplerin kaydedilmesi
 Talep işleme süreci
– Risk yöneticisi bilgilendirme
– Onay & Red
– Talep durum takibi
– Talep kapatma
 Talep hatırlatma sistemi
 Kişisel veri raporu
Bilgi İstek6

 Kişisel veri erişim kayıtları (Erişen bazlı)
 Kişisel veri erişim kayıtları (İlgili kişi bazlı)
Log Takibi6

 Veri kategorisi – Amaç eşleştirme
 Veri kategorisi – Güvenlik tedbirleri
Verbis Raporlaması6

Teknik Özellikler - Entegrasyon
SAP
PDPEntegrasyonWebServisi
Dış Sistemler
Analitik sistemler
Şirket içi diğer
uygulamalar
PDP Log Veri Tabanı
Kargo Entegrasyonu
Satış Raporu
Şirket içi Portaller
SAP GRC ACCESS CONTROL İLE UÇTAN UCA KİŞİSEL VERİ YETKİLERİNİN İZLENMESİ
PDP Uygulama Katmanı
(Uyarlama, Rıza,
Anonimleşme)

Teknik Özellikler – UI Masking
 Alan maskeleme
 İş ve teknik ekranlarda (SE16 vb) çalışma
 Download, Export ve Print fonksiyonlarında
çalışma

Teknik Özellikler – Kural Motoru
 Kural tanımlama (gruplama, tanım, rol)
 SAP UI Masking – Maskeleme kuralı girilmiş
alanların kopyalanması
 Önkoşulların tanımlanması
– Ekrandaki diğer verilere göre dinamik ön koşullar
 Entegre yetkilendirme (rol yönetimi)

Teknik Özellikler – Doğru ve Güvenli bir Sistem
SAP ECC
SAP GRCFonksiyonel Roller
Organizasyonel Roller
Alan Bazlı Roller
YETKİ MİMARİSİ
SAP HR
SAP CRM

Kısaca
Günümüzde yetkilendirme yapılarının karmaşıklaşması ile beraber ortaya çıkan alan bazlı yetkilendirme ihtiyacı
SAP Personal Data Protector ile yönetilebilmektedir. PDP, ön koşul ve kural tanımlama fonksiyonları ile dinamik
yetkilendirme yapabilmektedir.
Alan bazlı yetkilendirme ihtiyacını karşılamaktadır.
Tanımlanan kişisel verileri koruma altına almakta ve bu verilere erişimi de kaydetmektedir. Aydınlatma
yükümlülüğü, açık rıza takibi, anonimleştirme, periyodik imha, talep yönetimi gibi süreçleri yönetebilmektedir.
Yükümlülüklerin yerine getirilmesindeki süreçlerin takibine yardımcıdır.
Kişisel Verinin Korunumu Kanununa süreçlerini yürütmeye yardımcıdır.
SAP sisteminde geliştirilen tüm program ve raporlar için alan bazlı yetkilendirme, teknik bir bilgi gerekmeksizin
PDP Yönetici Paneli ile konfigüre edilebilmektedir.
Z'li uygulamalar için de uygulanabilir.
En doğru yetki ve rol yönetimi için oluşturulan tüm kurallar roller aracılığı ile SAP GRC sistemine aktarılabilir ve
bu roller GRC ile yönetilebilir.
SAP GRCAccess Control ile entegre çalışmaktadır

KVKK Uyumu için
Teknoloji
İhtiyaçları
Ümit Yalçın Şen,
Siber Güvenlik Hizmetleri Lideri
EY Türkiye
06 Aralık 2018

KVKK Uyum
Sürecinde
Teknoloji
İhtiyacı
Veri yaşam
Döngüsü
Yönetimi
Silme / İmha
Loglama ve
Raporlama
Müşteri Talep
Yönetimi
Aydınlatma
Açık Rıza
Yönetimi
Keşif
(Yapısal / Dağınık)
Envanter /
Katalog
Yönetimi
Veri Güvenliği
Teknoloji Gereksinimi
• Birçok firma KVKK uyum sürecinde teknoloji desteğine ihtiyaç duymaktadır.
• Özellikle veri ağırlıklı finans, telekom, enerji, perakende gibi sektörlerde ve büyük
firmalarda, sistem sayısının fazlalığı, süreç ve kanal entegrasyonlarının karmaşıklığı ve
veri büyüklüğü uyum sürecini zorlaştırmakta ve teknoloji desteğini gerekli kılmaktadır.

Sayfa | 3 KVKK Teknoloji İhtiyaçları
KVKK Teknoloji Uygulamaları – Aydınlatma & Açık Rıza
Veri yaşam
Döngüsü
Yönetimi
Silme / İmha
Loglama ve
Raporlama
Müşteri
Talep
Yönetimi
Aydınlatma
Açık Rıza
Yönetimi
Keşif
Envanter /
Katalog
Yönetimi
Veri
Güvenliği
Kanallar
Aydınlatma & Açık Rıza Yönetimi
Hangi
amaçla?
Hangi
kanaldan
?
Kime?
Ne
zaman?
Kişisel Veri Yönetimi (Envanter)
Açık Rızaya tabi veri kategorileri

KVKK Teknoloji Uygulamaları – Kişisel veri yönetimi
Veri yaşam
Döngüsü
Yönetimi
Silme / İmha
Loglama ve
Raporlama
Müşteri
Talep
Yönetimi
Aydınlatma
Açık Rıza
Yönetimi
Keşif
(Yapısal /
Dağınık)
Envanter /
Katalog
Yönetimi
Veri
Güvenliği
Kişisel verilerin tanımlanması ve kaynaklarının
belirlenmesi
Veri modelinde kişisel verilerin tanımlanması
Yapısal veriler arasındaki kişisel verilerin tespiti
Dağıtık ortamlardaki kişisel verilerin tespiti
Kişisel veri tanımlama, güncelleme ve yönetimi süreçleri
Veri sözlüklerinde gerekli güncellemeler
Kişisel verilerin paylaşılma noktalarının tespiti
Kişisel veri paylaşım yöntemleri (email, web servisi, FTP)
Kişisel veri silme, anonimleştirme yöntemleri /
algoritmaları
Kişisel veri silme, anonimleştirme entegrasyonları

KVKK Teknoloji Uygulamaları – Kişisel veri yönetimi

KVKK Teknoloji Uygulamaları – Kişisel veri yönetimi / süreç

KVKK Teknoloji Uygulamaları – Kişisel veri güvenliği
Veri yaşam
Döngüsü
Yönetimi
Silme / İmha
Loglama ve
Raporlama
Müşteri
Talep
Yönetimi
Aydınlatma
Açık Rıza
Yönetimi
Keşif
Envanter /
Katalog
Yönetimi
Veri
Güvenliği
1
2
3
4
• Gerekli güvenlik önlemlerinin ve erişim
politikalarının değerlendirilmesi
• Şirket politika ve prosedürlerinde
güncellemeler yapılması, bunların
mevcut sistemler üzerindeki
uygulamalarına dair değişikliklerin
yapılması
• Veri kaçaklarını engelleyen çözümler ya
da daha teknik eklentiler yapılması
• Network, sunucu ya da uç noktalar için
ek veri kaçağı engelleme kurallarının
geliştirilmesi
• Sınıflandırma uyarınca erişim ve
yetkilendirme kurallarının gözden
geçirilmesi
• Erişim ve yetkilendirme için ek teknoloji
ihtiyaçlarının belirlenmesi (SSO, GRC, vb.)
• Sınıflandırma, erişim, yetkilendirme ve veri
kaçaklarıyla ilgili ek kontrol ve alarm
noktalarının oluşturulması, ilgili SIEM vb.
araçlarındaki konfigürasyonu
• İhlal olduğunda müdahale ve ilgili iletişim
süreçlerinin takibi
Veri sınıflandırma
Veri kaçaklarını
engelleme
Erişim /
yetkilendirme
İhlal yönetimi

KVKK Teknoloji Uygulamaları – Loglama ve raporlama
Veri yaşam
Döngüsü
Yönetimi
Silme / İmha
Loglama ve
Raporlama
Müşteri
Talep
Yönetimi
Aydınlatma
Açık Rıza
Yönetimi
Keşif
Envanter /
Katalog
Yönetimi
Veri Güvenliği
Kişisel veri hareketlerinin loglanması (envanter uyarınca)
Talep, şikayet ya da incelemelerde tarihçeye erişim
Logların konsolidasyonu / yönetimi
Açık Rıza ve Aydınlatma tarihçesi
Düzenli ya da ihtiyaç halinde raporlama yetenekleri

SAP KVKK Personal Data Protector (PDP)

Recommended

Recommended

More Related Content

What's hot

What's hot (14)

Similar to SAP KVKK Personal Data Protector (PDP)

Similar to SAP KVKK Personal Data Protector (PDP) (20)

More from MBIS

More from MBIS (8)

SAP KVKK Personal Data Protector (PDP)