Ankara niversitesi Nallhan Meslek Yksekokulu WEB STES GVENLK
Ankara Üniversitesi Nallıhan Meslek Yüksekokulu WEB SİTESİ GÜVENLİK AYARLARI NBP 220 WEB PROJESI YÖNETIMI
SORUMLULUKLAR YASAL SORUMLULUKLAR ØKVKK – Kişisel Verileri Koruma Kanunu Ø 5651 Sayılı Kanun KİŞİSEL SORUMLULUKLAR Øİtibar Kaybı ØTicari Sırların Kaybı ØÇalışan Sistemin Akamete Uğraması Ø….
Kişisel Verileri Koruma Kanunun Amacı: Ø Anayasada öngörülen başta özel hayatın gizliliği olmak üzere temel hak ve özgürlüklerin korunması Ø Kişinin mahremiyet hakkının korunması Ø Kişinin bilgi güvenliği hakkının korunması Ø Kişisel verilerin işlenmesinin kontrol altına alınması Ø Kişisel verileri işleyen tüzel ve gerçek kişilerin yükümlülüklerinin ve uyacakları usul/esasların belirlenmesi
Kişisel Veri: KVKK’da kişisel veriler genel kişisel veriler ve özel kişisel veriler (diğer adıyla hassas veriler) olmak üzere ikiye ayrılmıştır. ØGenel kişisel veriler ad-soyad, tc kimlik no, doğum yeri, doğum tarihi gibi klasik anlamda kişisel verilerimizden oluşmaktadır. ØHassas veriler kanunda “Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri” olarak sayılmıştır.
Kişisel Veri Nedir? Kişisel veri, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi ifade etmektedir. Kişisel veriden söz edebilmek için, verinin bir gerçek kişiye ilişkin olması ve bu kişinin de belirli ya da belirlenebilir nitelikte olması gerekmektedir. Buna göre; 1. Gerçek kişiye ilişkin olma: Kişisel veri, gerçek kişiye ilişkin olup, tüzel kişilere ilişkin veriler kişisel verinin tanımının dışındadır. Dolayısıyla, bir şirketin ticaret unvanı ya da adresi gibi tüzel kişiliğe ilişkin bilgiler (bir gerçek kişiyle ilişkilendirilebilecekleri durumlar haricinde) kişisel veri sayılmayacaktır
Kişisel Veri Nedir? 2. Kişiyi belirli veya belirlenebilir kılması: Kişisel veri, ilgili kişinin doğrudan kimliğini gösterebileceği gibi, o kişinin kimliğini doğrudan göstermemekle birlikte, herhangi bir kayıtla ilişkilendirilmesi sonucunda kişinin belirlenmesini sağlayan tüm bilgileri de kapsar
Kişisel Veri Nedir? 3. Her türlü bilgi: Bu ifade son derece geniş olup, bir gerçek kişinin; adı, soyadı, doğum tarihi ve doğum yeri gibi bireyin sadece kimliğini ortaya koyan bilgiler değil; telefon numarası, motorlu taşıt plakası, sosyal güvenlik numarası, pasaport numarası, özgeçmiş, resim, görüntü ve ses kayıtları, parmak izleri, e-posta adresi, hobiler, tercihler, etkileşimde bulunulan kişiler, grup üyelikleri, aile bilgileri, sağlık bilgileri gibi kişiyi doğrudan veya dolaylı olarak belirlenebilir kılan tüm veriler kişisel veri olarak kabul edilmektedir.
Kişisel Veri Güvenliğini Sağlamak • Kişisel Verilerin, yanlışlıkla yada kötü niyetle kurum dışına çıkarılmasını önlemek, • Kullanıcıların internet erişimlerini denetlemek ve oluşabilecek saldırılara karşı önlem almak, • Kullanıcı makinelerinin hedefli bir saldırıya maruz kalmaması için mutlaka güvenlik açıklıklarına karşı korunmasını sağlamak, • Düzenli olarak zafiyet kontrollerin yapılmasını sağlamak, • Kötü amaçlı yazılımlardan korunmak adına antivirus, antispam gibi ürünleri kullanmak, • Güvenlik ön planda olduğu için kullanıcı kimlik doğrulama ve yönetme ürünlerini kullanmak, • Kişisel verilerin herhangi bir sebeple zarar görmesi durumunda verilerin geriye getirilmesini sağlamak nedeni ile yedekleme sistemlerin çalıştığının ve geri dönüşlerinin sağlıklı olduğunun detaylı kontrollerinin sağlanması gerekmektedir.
KVKK Uyumluluk Adımları Faz 1 - Veri Analizi (Hangi Kişisel Veriler Var) - Verilerin Yaşam Döngüsünün çıkartılması (Kişisel Verilerin Yaşam Süreci) - Verilerin Uyumluluğu (Kişisel Verilerin Hukuki Çerçevede Uyumluluğu)
KVKK Uyumluluk Adımları Faz 2 - Verilerin Hukuki Uyumluluğunun Sağlanma Süreci - Verilerin Aksiyon Öncesi Bulunması - Verilerin Bulunması
KVKK Uyumluluk Adımları Faz 3 - KVKK Sürecinin Teknoloji Uyumluluğunun Sağlanması - KVKK Kapsamın da Verilerin Korunmasına Yönelik Politikaların Oluşturulması - KVKK Uyumluluğunun Devamlılığının Sağlanması
5651 Sayılı Kanun Yer Sağlayıcılar İnternet ortamında, hizmet ve içerikleri barındıran sistemleri sağlayan veya işleten gerçek veya tüzel kişilerdir. Yer sağlama işini ticari olarak yapan hosting firmaları başta olmak üzere, ticari olmasa da kendi sitelerini barındıran gerçek kişiler, kamu kurumları, üniversiteler, dernekler, şirketler, vakıflar vb. kuruluşlar da yer sağlayıcılığı faaliyetinde bulunabilirler. İçerik Sağlayıcılar İnternet ortamı üzerinden kullanıcılara sunulan her türlü bilgi veya veriyi üreten, değiştiren ve sağlayan gerçek veya tüzel kişilerdir. Günlük gazeteler, dergiler içerik sağlayıcılara örnek olarak verilebilir. Yasaya göre; içerik sağlayıcılar, internet ortamında kullanıma sundukları her türlü içerikten dolayı sorumludurlar. Yine ticari veya ekonomik amaçlı içerik sağlayıcılar, tanıtıcı bilgilerini kendilerine ait internet ortamında kullanıcıların ulaşabileceği şekilde ve güncel olarak bulundurmakla yükümlüdürler. Aksi takdirde, Telekomünikasyon iletişim Başkanlığı’nca idari para cezası verilebilir.
5651 Sayılı Kanun – Yer Sağlayıcı Madde 16/1 -a Yer sağladığı hukuka aykırı içerikten, ceza sorumluluğu ile ilgili hükümler saklı kalmak kaydıyla, 5651 sayılı Kanun ve ilgili mevzuat hükümlerine göre Başkanlık, adli makamlar veya hakları ihlal edilen kişiler tarafından haberdar edilmesi halinde ve teknik olarak engelleme imkânı bulunduğu ölçüde hukuka aykırı içeriği yayından kaldırmakla yükümlüdür. Burada, “mevcut teknolojik imkan” içeriğin yayından kaldırılmasına imkan sağlıyorsa, yer sağlayıcı kaldırmakla yükümlüdür. Kendi teknolojik imkanlarının yetersiz olduğunu ileri sürmesi kabul edilemez.
5651 Sayılı Kanun – Yer Sağlayıcı Madde 16/1 -b Sunucu barındırma hizmeti dâhil, diğer bütün hizmetlerinde (a) bendindeki hükümlere uymakla yükümlüdür. Madde 16/1 -c Yer sağlayıcı trafik bilgisini altı ay saklamakla, bu bilgilerin doğruluğunu, bütünlüğünü oluşan verilerin dosya bütünlük değerlerini (hash) zaman damgası ile birlikte saklamak ve gizliliğini temin etmekle yükümlüdür. Zaman damgası , bir elektronik verinin üretildiği, değiştirildiği, gönderildiği, alındığı ve/veya kaydedildiği zamanın tespit edilmesi amacıyla nitelikli veya nitelikli olmayan elektronik imza ile doğrulanan kaydı ifade etmektedir
5651 Sayılı Kanun– Yer Sağlayıcı Madde 16/2 Yer sağlayıcı, yer sağladığı içeriği kontrol etmek veya hukuka aykırı bir faaliyetin söz konusu olup olmadığını araştırmakla yükümlü değildir. Madde 17/1 Erişim sağlayıcı veya yer sağlayıcı Ek 4 ve Ek 6’daki bilgilerinde meydana gelen değişiklikleri en geç bir ay içerinde Kuruma bildirmekle yükümlüdür.
5651 Sayılı Kanun– Yer Sağlayıcı Trafik Bilgisi Yer sağlayıcı trafik bilgisi, İnternet ortamındaki her türlü yer sağlamaya ilişkin olarak; kaynak IP adresi, hedef IP adresi, bağlantı tarih-saat bilgisi, istenen sayfa adresi, işlem bilgisi (GET, POST komut detayları) ve sonuç bilgisi gibi bilgileri ifade etmektedir. Log Türleri : HTTP log, FTP log, Mail log Trafik bilgisinin logunun uygun şekilde tutulabilmesi için; kullanılan web, ftp ve e-posta sunucusunda gerekli ayarlar yapılmalıdır.
5651 Sayılı Kanuna Göre Yapılması Gerekenler 1. Kullanıcıların yasal içerikte olmayan WEB sayfalarına erişimlerinin engellenmesi. 2. Erişim log ve kayıtlarının tutulması. ( Zaman ve Tarih Mührü ile ) 3. Networklerine bağlı kullanıcıların iç IP loglarının tutulması. 4. Eğer bir Web sayfası mevcut ise ve bu Web sayfasını kendi sunucularında barındırıyor ise dışarıdan gelen erişim log ve kayıtlarının tutulması.
5651 Sayılı Kanun – İÇERİK SAĞLAYICI 30/11/2007 tarihli Yönetmeliğin Tanımlar başlıklı maddesine göre, “İçerik sağlayıcı: İnternet ortamı üzerinden kullanıcılara sunulan her türlü bilgi veya veriyi üreten, değiştiren ve sağlayan gerçek veya tüzel kişileri, ” ifade eder.
5651 Sayılı Kanun – İÇERİK SAĞLAYICI Madde 5/1 Ticari veya ekonomik amaçlı içerik sağlayıcıları, tanıtıcı bilgilerini kendilerine ait internet ortamında, kullanıcıların ana sayfadan doğrudan ulaşabileceği şekilde, iletişim başlığı altında, doğru, eksiksiz ve güncel olarak bulundurmakla yükümlüdür. Madde 5/2 Ticari veya ekonomik amaçlı içerik sağlayıcı, birinci fıkradaki bilgilerle birlikte, yer sağlayıcıya ilişkin tanıtıcı bilgileri, doğru, eksiksiz ve güncel olarak ana sayfasında bulundurmakla yükümlüdür.
5651 Sayılı Kanun – İÇERİK SAĞLAYICI Madde 6/1 İçerik sağlayıcı, internet ortamında kullanıma sunduğu her türlü içerikten sorumludur. Madde 6/2 İçerik sağlayıcı, bağlantı sağladığı başkasına ait içerikten sorumlu değildir. Ancak, sunuş biçiminden, bağlantı sağladığı içeriği benimsediği ve kullanıcının söz konusu içeriğe ulaşmasını amaçladığı açıkça belli ise, genel hükümlere göre sorumludur.
5651 Sayılı Kanuna Göre İnternet sitesinde/sitelerinde kişilik haklarını ihlal eden içerik/içerikler varsa; - İçeriğin Yayından Çıkarılması: - İçeriğe Erişimin Engellenmesi: İnternet ortamındaki bir içerik nedeniyle kişilik hakkının ihlal edildiğini iddia eden gerçek veya tüzel kişiler ile kurum ve kuruluşlar, içerik sağlayıcısına ulaşamamaları halinde ise yer sağlayıcısına başvurarak uyarı yöntemi ile içeriğin yayından çıkarılmasını isteyebileceği gibi, doğrudan Sulh Ceza Hakimliğine başvurarak içeriğe erişimin engellenmesini de isteyebilir. Kişilik hakkı ihlal edilen kişinin talebi, içerik ve/veya yer sağlayıcısı tarafından en geç yirmi dört saat içinde cevaplandırılmalıdır.
Kaynakça 1 - https: //www. platinbilisim. com. tr/TR/Cozumlerimiz/kisiselverilerin-korunmasi-kanunu-kvk-teknik-uyumluluk E. T. : 30. 01. 2020 2 - https: //www. kvkk. gov. tr/Shared. Folder. Server/CMSFiles/7 d 5 b 0 a 2 fe 0 ea-41 e 0 -bf 0 b-bc 9 e 43 dfb 57 a. pdf E. T. : 30. 01. 2020 3 - https: //www. esb. org. tr/sss E. T. : 30. 01. 2020
- Slides: 22