KVKK Neden Her Yazılım Projesini İlgilendiriyor?
6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK), kişisel veri işleyen tüm kuruluşları kapsar. Bir yazılım projesi kişisel veri (isim, e-posta, TC kimlik, IP adresi vb.) işliyorsa, KVKK uyumluluğu yasal zorunluluktur.
Teknik Kontrol Listesi
Veri Şifreleme
Veritabanında kişisel veriler AES-256 ile şifrelenmelidir. İletişimde TLS 1.3 protokolü kullanılmalıdır. Yedekleme dosyaları da şifrelenmelidir.
Erişim Kontrolü
Rol tabanlı erişim kontrolü (RBAC) uygulanmalıdır. Her kullanıcı yalnızca yetkili olduğu verilere erişebilmelidir. Erişim logları denetim için saklanmalıdır.
Veri Saklama ve Silme
Kişisel verilerin saklama süreleri tanımlanmalıdır. Süre dolduğunda otomatik anonimleştirme veya silme yapılmalıdır. Veri sahibinin silme talebi 30 gün içinde karşılanmalıdır.
Log ve İzleme
Tüm veri erişim ve değişiklik işlemleri loglanmalıdır. Olağandışı erişim desenleri tespit edilebilmelidir.
Hukuki Kontrol Listesi
VERBİS kaydı yapılmalıdır. Açık rıza metni ve aydınlatma metni hazırlanmalıdır. Veri işleme envanteri oluşturulmalıdır. Veri ihlali bildirim prosedürü tanımlanmalıdır. İmha politikası belirlenmeli ve uygulanmalıdır.
Ankara Yazılım Yaklaşımı
Ankara Yazılım olarak geliştirdiğimiz tüm kurumsal yazılım projeleri, yukarıdaki kontrol listesinin tamamını kutudan çıktığı haliyle karşılar. ISO 27001 standartlarında güvenlik mimarisi, devlet ciddiyetinde test prosedürleri ve denetim desteği sunuyoruz.
