KVKK kapsamında yapılan ilk çalışmaların tamamı şirket evraklarının, doküman ve sözleşmelerinin KVKK ya göre güncellenmesi şeklinde oluyor.
Veri envanteri şu sözleşmede kişisel veri var ilişkili departman satın alma, bu dokümanda kişisel veri var ilişkili departman muhasebe ve şu kanun ile ilişkisi budur demek değildir. Hangi dijital ortamda (Dosya sunucusu,sunucu, veri tabanı,bulut) kişisel veri var, ne zaman konmuş, kim koymuş ve neye istinaden tutuluyor gibi bilgilere ihtiyaç var.
KVKK kapsamında yapılan ilk çalışmaların tamamı şirket evraklarının, doküman ve sözleşmelerinin KVKK ya göre güncellenmesi şeklinde oluyor.
Veri envanteri şu sözleşmede kişisel veri var ilişkili departman satın alma, bu dokümanda kişisel veri var ilişkili departman muhasebe ve şu kanun ile ilişkisi budur demek değildir. Hangi dijital ortamda (Dosya sunucusu,sunucu, veri tabanı,bulut) kişisel veri var, ne zaman konmuş, kim koymuş ve neye istinaden tutuluyor gibi bilgilere ihtiyaç var.
Kişisel Verilerin Korunması Kanunu (KVKK)MGC Legal
Kanunun amacı kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemektir.
Kişisel veri, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgidir. Kişisel verilere örnek olarak; ad, soyad, T.C. kimlik no, IP bilgisi, video kayıtları, parmak izi, göz retinası, avuç içi izi, telefon numarası verilebilir.
Veri kaybını önleme (DLP), hassas verilerin kaybolmamasını, kötüye kullanılmamasını veya yetkisiz kullanıcılar tarafından erişilmemesini sağlamak için kullanılan bir dizi araç ve süreçtir. DLP yazılımı, düzenlenmiş, gizli ve iş açısından kritik verileri sınıflandırır ve genellikle HIPAA, PCI-DSS veya GDPR gibi yasal uyumluluk tarafından yönlendirilen, kuruluşlar tarafından veya önceden tanımlanmış bir ilke paketi içinde tanımlanan ilkelerin ihlallerini tanımlar. Bu ihlaller belirlendikten sonra, DLP, son kullanıcıların kurumu riske atabilecek verileri yanlışlıkla veya kötü niyetle paylaşmasını önlemek için uyarılar, şifreleme ve diğer koruyucu eylemlerle düzeltmeyi zorunlu kılar. Veri kaybını önleme yazılımı ve araçları, uç nokta etkinliklerini izler ve kontrol eder, kurumsal ağlardaki veri akışlarını filtreler ve verileri korumak için buluttaki verileri izler. DLP aynı zamanda uyumluluk ve denetim gereksinimlerini karşılamak ve adli tıp ve olay müdahalesi için zayıflık ve anormallik alanlarını belirlemek için raporlama sağlar.
6698 sayılı Kişisel Verilerin Korunması Kanunu,
95/46/EC sayılı Veri Koruma Direktifi’nin
Türkiye’ye uyarlanmış halidir.
6698 - Kişisel Verilerin Korunması Kanunu, 7 Nisan 2016 tarihinde resmi
gazetede yayınlanarak artık yürürlüğe girmiş bulunmaktadır.
Kanunun amacı kişisel verilerin işlenmesinde başta özel hayatın gizliliği
olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel
verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları
usul ve esasları düzenlemek olarak adreslendi.
Kapsamına baktığımızda ucundan kıyısından müşteri bilgilerini ilgilendiren
herkes kapsama dahil oldu.
Özellikle bankalar ve büyük ölçekli şirketlerin çok sayıda tedarikçiyle
çalıştığını düşündüğümüzde tedarikçi yönetimi ve güvenlik konuları tekrar
değinilmesi gereken bir konu olarak görülmektedir.
VERBİS'e kayıt nasıl yapılacak? KVKK - LostarLostar
Kişisel Verilerin Korunması Kanunu (KVKK) önemli gereksinimlerinden biri de Verbis sistemine kayıt olmak ve istenen bilgileri girmekten geçiyor. Murat Lostar'ın ISACA-Istanbul'da yaptığı bu sunumda Verbis ve kayıt süreci hakkında bilgiler yer alıyor.
BlockChain, sadece Bitcoin'in temelinde yer alan bir seferlik bir teknoloji değil. Aynı zamanda, Internet'te bilgi paylaşılmasına benzer bir şekilde değer aktarımı işlemlerinin, ortada güvenilir bir üçüncü taraf olmadan da yapılmasını sağlayacak önemli bir protokol. Bu protokolle ilgili Murat Lostar'ın II. Garanti Bankası Bilgi Güvenliği Günleri'nde yaptığı sunum içeriği.
Kişisel Verilerin Korunması Kanunu hakkında merak edilen, tartışılan konuları yalın ve net bir dille açıklayan bir SSS (Sıkça Sorulan Sorular) dokümanı.
Kişisel Verilerin Korunması Kanunu (KVKK)MGC Legal
Kanunun amacı kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemektir.
Kişisel veri, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgidir. Kişisel verilere örnek olarak; ad, soyad, T.C. kimlik no, IP bilgisi, video kayıtları, parmak izi, göz retinası, avuç içi izi, telefon numarası verilebilir.
Veri kaybını önleme (DLP), hassas verilerin kaybolmamasını, kötüye kullanılmamasını veya yetkisiz kullanıcılar tarafından erişilmemesini sağlamak için kullanılan bir dizi araç ve süreçtir. DLP yazılımı, düzenlenmiş, gizli ve iş açısından kritik verileri sınıflandırır ve genellikle HIPAA, PCI-DSS veya GDPR gibi yasal uyumluluk tarafından yönlendirilen, kuruluşlar tarafından veya önceden tanımlanmış bir ilke paketi içinde tanımlanan ilkelerin ihlallerini tanımlar. Bu ihlaller belirlendikten sonra, DLP, son kullanıcıların kurumu riske atabilecek verileri yanlışlıkla veya kötü niyetle paylaşmasını önlemek için uyarılar, şifreleme ve diğer koruyucu eylemlerle düzeltmeyi zorunlu kılar. Veri kaybını önleme yazılımı ve araçları, uç nokta etkinliklerini izler ve kontrol eder, kurumsal ağlardaki veri akışlarını filtreler ve verileri korumak için buluttaki verileri izler. DLP aynı zamanda uyumluluk ve denetim gereksinimlerini karşılamak ve adli tıp ve olay müdahalesi için zayıflık ve anormallik alanlarını belirlemek için raporlama sağlar.
6698 sayılı Kişisel Verilerin Korunması Kanunu,
95/46/EC sayılı Veri Koruma Direktifi’nin
Türkiye’ye uyarlanmış halidir.
6698 - Kişisel Verilerin Korunması Kanunu, 7 Nisan 2016 tarihinde resmi
gazetede yayınlanarak artık yürürlüğe girmiş bulunmaktadır.
Kanunun amacı kişisel verilerin işlenmesinde başta özel hayatın gizliliği
olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel
verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları
usul ve esasları düzenlemek olarak adreslendi.
Kapsamına baktığımızda ucundan kıyısından müşteri bilgilerini ilgilendiren
herkes kapsama dahil oldu.
Özellikle bankalar ve büyük ölçekli şirketlerin çok sayıda tedarikçiyle
çalıştığını düşündüğümüzde tedarikçi yönetimi ve güvenlik konuları tekrar
değinilmesi gereken bir konu olarak görülmektedir.
VERBİS'e kayıt nasıl yapılacak? KVKK - LostarLostar
Kişisel Verilerin Korunması Kanunu (KVKK) önemli gereksinimlerinden biri de Verbis sistemine kayıt olmak ve istenen bilgileri girmekten geçiyor. Murat Lostar'ın ISACA-Istanbul'da yaptığı bu sunumda Verbis ve kayıt süreci hakkında bilgiler yer alıyor.
BlockChain, sadece Bitcoin'in temelinde yer alan bir seferlik bir teknoloji değil. Aynı zamanda, Internet'te bilgi paylaşılmasına benzer bir şekilde değer aktarımı işlemlerinin, ortada güvenilir bir üçüncü taraf olmadan da yapılmasını sağlayacak önemli bir protokol. Bu protokolle ilgili Murat Lostar'ın II. Garanti Bankası Bilgi Güvenliği Günleri'nde yaptığı sunum içeriği.
Kişisel Verilerin Korunması Kanunu hakkında merak edilen, tartışılan konuları yalın ve net bir dille açıklayan bir SSS (Sıkça Sorulan Sorular) dokümanı.
İşiniz her geçen gün daha fazla veri üretmektedir. Veri kaydedilir, çalışanlar hareket eder, veriler unutulur ve kaybolur.
Değerli bilgiler, dosya sunucularınızda ve belge arşivlerinde korunaksız birşekilde konumlanmaktadır.
Veri sınıflandırması, yapılandırılmamış verileriniz üzerinde kontrolü ele geçirmenize ve koruma katmanı oluşturmanıza yardımcı olur.
Data Breaches Inverstigation’ın (DBI) 2017 de yayınlanmış son raporlarına göre;bilgi güvenliği ihlal olaylarının arkasındaki kişiler/gruplar/birimler bazında kategorize edildiğinde karşımıza şekildeki gibi bir tablo çıkmaktadır. Burada kurum içindeki personel/birimler’den kaynaklanan ihlal olaylarının %25 seviyelerinde olması dikkat çekmektedir.
Data Breaches Inverstigation’ın 2017 raporlarına göre;
bilgi güvenliği tehditlerinin kişiler/gruplar/birimler bazında
kategorize edildiğinde karşımıza çok daha anlamlı bir tablo
çıkmaktadır.
Rapordaki içeriden(internal) tehdit oranının %81,6 seviyelerinde
olması buraya odaklanmanın önemini göstermektedir.
Veriket ile, otomatik sınıflandırma, kullanıcı odaklı sınıflandırma ya da sınıflandırma tekniklerinin bir karışımı olsun, işletmeniz için doğru veri sınıflandırma yaklaşımını seçebilirsiniz, böylece kullanıcılar yazılım tarafından sınıflandırma kararlarıyla desteklenir.
Kullanıcılarınızı veri sınıflandırmasına dahil ederek, politikalarınızı ve kuruluşunuzun verisinin değerini daha iyi anlayarak farkındalığı arttırır.
Pahalı veri ihlali riskini azaltır.
Verilerinizi koruma konusunda çalışanların katılımını arttırır.
Kuruluşunuzun veri politikasının kullanıcı bilincini artırır.
Endüstri düzenlemelerine ve standartlarına uyumu sağlar.
Verilerinizi kontrol altında tutarak veri yönetimi ve depolama maliyetlerini azaltır.
Regülasyonlara uyum sağlar.
Veri kaybını önler
Kurumsal Riskleri düşürür.
DLP ve Diğer güvenlik çözümlerinin etkinliğini arttırır.
Detaylı raporlama yapısı ile her türlü veriyi ve kullanıcı işlemlerini raporlama imkanı tanır.
Loglama yapısı ile ihlal olaylarını raporlar.
Here are the data management presentations that were delivered during the Veritas Vision Solution Day 2020, Istanbul, Turkey. Note that the content is in Turkish.
SAP FORUM İSTANBUL 2017 - MBIS İLE RİSK YÖNETİMİ VE GRC MÜŞTERİ BAŞARI HİKAYE...MBIS
Şirketlerin %81’i kurumsal risk ve regülasyonlara
uyumluluk tanımlarının 5 sene öncesine göre
çok daha karmaşık bir hal aldığını söylüyor.
Denetlenecek veri her 18 ayda bir ikiye katlanıyor.
SAP (Governance, Risk and Compliance) GRC
ürünleri, bu yeni risk dünyasından stratejik
değerler elde etmeniz için sizlere fırsatlar sunuyor.
SAP FORUM İSTANBUL 2017 - TEKNOLOJİ MİMARI MBIS İLE DİJİTAL DÖNÜŞÜMMBIS
Dijital dönüşüm nasıl olmalıdır?Kurumları geleceğe taşıyacak hayalperestlerin önü nasıl açılmalıdır? MBIS, insan, süreç ve teknolojinin uyumunun sağlanarak şirketlerin gelecek yol
haritasını nasıl oluşturacağını aktaracak.
Endüstri 4.0 ile Gelecek Önünüzde Bursa HiltonMBIS
Teknoloji ve inovasyonu yönetmeyi öğrendiğimiz,
değişen pazar şartlarına uyum sağlayacak esneklikleri
keşfetğimiz ‘’Endüstri 4.0 ile Gelecek Önünüzde’’
etkinliğimiz sunum özetleri.
1. PUBLİC
Burcu Kutlu, Yusuf Çetin
6 Aralık 2018
SAP Müşterileri KVKK’ya Hazır !
Personal Data Protector
NOTE: Delete the yellow stickers when finished.
See the SAP Image Library for other available images.
2. PUBLİC
Konuşmacılar
Burcu Kutlu Ün
SAP Finansal Çözümler Yöneticisi
https://www.linkedin.com/in/burcu-kutlu-%C3%BCn-b9139739/burcu.kutlu@sap.com
M.Yusuf Çetin
MBIS AR-GE Genel Müdürü
https://www.linkedin.com/in/yusuf-cetin-8876645/yusuf.cetin@mbis.com.tr
56. KVKK Uyum
Sürecinde
Teknoloji
İhtiyacı
Veri yaşam
Döngüsü
Yönetimi
Silme / İmha
Loglama ve
Raporlama
Müşteri Talep
Yönetimi
Aydınlatma
Açık Rıza
Yönetimi
Keşif
(Yapısal / Dağınık)
Envanter /
Katalog
Yönetimi
Veri Güvenliği
Teknoloji Gereksinimi
• Birçok firma KVKK uyum sürecinde teknoloji desteğine ihtiyaç duymaktadır.
• Özellikle veri ağırlıklı finans, telekom, enerji, perakende gibi sektörlerde ve büyük
firmalarda, sistem sayısının fazlalığı, süreç ve kanal entegrasyonlarının karmaşıklığı ve
veri büyüklüğü uyum sürecini zorlaştırmakta ve teknoloji desteğini gerekli kılmaktadır.
57. Sayfa | 3 KVKK Teknoloji İhtiyaçları
KVKK Teknoloji Uygulamaları – Aydınlatma & Açık Rıza
Veri yaşam
Döngüsü
Yönetimi
Silme / İmha
Loglama ve
Raporlama
Müşteri
Talep
Yönetimi
Aydınlatma
Açık Rıza
Yönetimi
Keşif
(Yapısal / Dağınık)
Envanter /
Katalog
Yönetimi
Veri
Güvenliği
Kanallar
Aydınlatma & Açık Rıza Yönetimi
Hangi
amaçla?
Hangi
kanaldan
?
Kime?
Ne
zaman?
Kişisel Veri Yönetimi (Envanter)
Açık Rızaya tabi veri kategorileri
58. Sayfa | 4 KVKK Teknoloji İhtiyaçları
KVKK Teknoloji Uygulamaları – Kişisel veri yönetimi
Veri yaşam
Döngüsü
Yönetimi
Silme / İmha
Loglama ve
Raporlama
Müşteri
Talep
Yönetimi
Aydınlatma
Açık Rıza
Yönetimi
Keşif
(Yapısal /
Dağınık)
Envanter /
Katalog
Yönetimi
Veri
Güvenliği
Kişisel verilerin tanımlanması ve kaynaklarının
belirlenmesi
Veri modelinde kişisel verilerin tanımlanması
Yapısal veriler arasındaki kişisel verilerin tespiti
Dağıtık ortamlardaki kişisel verilerin tespiti
Kişisel veri tanımlama, güncelleme ve yönetimi süreçleri
Veri sözlüklerinde gerekli güncellemeler
Kişisel verilerin paylaşılma noktalarının tespiti
Kişisel veri paylaşım yöntemleri (email, web servisi, FTP)
Kişisel veri silme, anonimleştirme yöntemleri /
algoritmaları
Kişisel veri silme, anonimleştirme entegrasyonları
59. Sayfa | 5 KVKK Teknoloji İhtiyaçları
KVKK Teknoloji Uygulamaları – Kişisel veri yönetimi
60. Sayfa | 6 KVKK Teknoloji İhtiyaçları
KVKK Teknoloji Uygulamaları – Kişisel veri yönetimi / süreç
61. Sayfa | 7 KVKK Teknoloji İhtiyaçları
KVKK Teknoloji Uygulamaları – Kişisel veri yönetimi / süreç
62. Sayfa | 8 KVKK Teknoloji İhtiyaçları
KVKK Teknoloji Uygulamaları – Kişisel veri güvenliği
Veri yaşam
Döngüsü
Yönetimi
Silme / İmha
Loglama ve
Raporlama
Müşteri
Talep
Yönetimi
Aydınlatma
Açık Rıza
Yönetimi
Keşif
(Yapısal / Dağınık)
Envanter /
Katalog
Yönetimi
Veri
Güvenliği
1
2
3
4
• Gerekli güvenlik önlemlerinin ve erişim
politikalarının değerlendirilmesi
• Şirket politika ve prosedürlerinde
güncellemeler yapılması, bunların
mevcut sistemler üzerindeki
uygulamalarına dair değişikliklerin
yapılması
• Veri kaçaklarını engelleyen çözümler ya
da daha teknik eklentiler yapılması
• Network, sunucu ya da uç noktalar için
ek veri kaçağı engelleme kurallarının
geliştirilmesi
• Sınıflandırma uyarınca erişim ve
yetkilendirme kurallarının gözden
geçirilmesi
• Erişim ve yetkilendirme için ek teknoloji
ihtiyaçlarının belirlenmesi (SSO, GRC, vb.)
• Sınıflandırma, erişim, yetkilendirme ve veri
kaçaklarıyla ilgili ek kontrol ve alarm
noktalarının oluşturulması, ilgili SIEM vb.
araçlarındaki konfigürasyonu
• İhlal olduğunda müdahale ve ilgili iletişim
süreçlerinin takibi
Veri sınıflandırma
Veri kaçaklarını
engelleme
Erişim /
yetkilendirme
İhlal yönetimi
63. Sayfa | 9 KVKK Teknoloji İhtiyaçları
KVKK Teknoloji Uygulamaları – Loglama ve raporlama
Veri yaşam
Döngüsü
Yönetimi
Silme / İmha
Loglama ve
Raporlama
Müşteri
Talep
Yönetimi
Aydınlatma
Açık Rıza
Yönetimi
Keşif
(Yapısal / Dağınık)
Envanter /
Katalog
Yönetimi
Veri Güvenliği
Kişisel veri hareketlerinin loglanması (envanter uyarınca)
Talep, şikayet ya da incelemelerde tarihçeye erişim
Logların konsolidasyonu / yönetimi
Açık Rıza ve Aydınlatma tarihçesi
Düzenli ya da ihtiyaç halinde raporlama yetenekleri