ݺߣ

ݺߣShare a Scribd company logo
Murat Lostar
KVKK – BT
UyumuKişisel Verilerin Korunması Kanunu’na Kurumsal Bilgi Teknolojileri Uyumu
1998 – …
Privately owned
PEOPLE
30+
OFFICES
Istanbul HQ
Sakarya R&D
FIRST
• Security services
company in Turkey
• Certification in Turkey
(CISSP, CCSP, ISSMP,
CSSLP)
• ISMS (ISO 27001)
consultancy in Turkey
ISO 9901 Certified
ISO 27001 Certified
Customers in
Europe & Middle East
SERVICES
Consultancy
Information
Security Management
System, Credit Card (PCI),
IT Governance, Business
Continuity, IT Privacy
Alignment
Training
Secure Software
Development
ISO standards
Security Awareness
Auditing
Security Checkups,
Penetration Testing,
Application Security,
IoT Security, SCADA/ICS
Security
Special
Security Related
R&D, Security outsourcing
Vendor agnostic (no
reselling agreements with
vendors)
GIVES BACK
• ISACA-Istanbul –
Founding President
• CloudSecurityAlliance –
Turkish Chapter Founding
Leader
• Weekly radio show 2005-
2015
Bilgi University –
Joint Program / Cyber
Security Academy/ appx
100 students/year
• Yearly Free Thesis
& school project
support contest
• Yearly Security Awareness
contest
• Cyber security
camps (summer & winter)
• Industry Sponsorships
Gündem
• Uyum Hiyerarşisi
• Kişisel Veri Envanteri
• Süreç ve BT Uyumluluk Yaklaşımları
• Veri Silme, İmha ve Anonimleştirme
• Kalıcı Uyumun Sağlanması
Uyum Hiyerarşisi
Hukuk
• Ne
• Mevzuat, Sözleşmeler, Politikalar
Süreç
• Nasıl
• İş Süreçleri, Prosedürler
Teknoloji
• Altyapı
• Veritabanı, Kayıtlar (log), Yazılımlar, Çözümler
Kişisel Veri Envanteri
Yapısal
• Veritabanları, tablolar, kolonlar
• Özel uygulamalar
• Seçimli alanlar
• Örn: İnsan kaynakları yazılımı, doğum
günü alanı
Veri sınıflama / Uygulama sınıflama
• Halka açık, şirket içi gizli, çok gizli
• Kişisel olmayan, kişisel, özel nitelikli
Yapısal Olmayan
• Ofis dosyaları (Word, Excel, PDF, vb)
• Epostalar
• Mesajlaşma uygulamalar (Whatsapp,
vb)
• Taranmış dokümanlar
• Multimedya dosyaları (fotograf, video,
vb)
• Ses kayıtları (çağrı merkezi, vb)
• Yapısal uygulamalardaki serbest
alanlar (açıklama, vb)
Süreç ve BT Uyumluluk Yaklaşımları
Hukuk-Süreç Kararı BT Uygulama Yaklaşımı
Beyan yükümlülüğü Beyan verisinin toplanması, kayıtlarının saklanması
(örn: web sitesi, giriş uyarı sayfası, çerez kullanımı)
Açık rıza alınması Açık rıza kararının toplanıp, saklanması
(örn: Kullanım sözleşmesi, gizlilik sözleşmesi, ✅)
Kişisel verileri toplamama, işlememe İlgili alanların kaldırılması, kullanıcı uyarıları
Eskiyen veri Veri yaratma, güncelleme tarihleri
Veri paylaşımı (Üçüncü taraflara aktarma) Güvenli aktarım (kripto), erişim kontrol listeleri vb ile
politikaların uygulanması
Verinin, işleyenlere aktarılma kuralları Güvenlik, kriptolama, bulut hizmet sağlayıcı ilişkileri
Veri güvenliği, koruma Teknik güvenlik yaklaşımları, erişim kontrolleri,
kimlik doğrulama, yetkilendirme, hesap tutma(AAA)
Kişisel veri sorgulama Kayıtlar (log)
Veri Silme, İmha, Anonimleştirme
• Veri Silme/İmha
– Yerel cihazlar (silme)
– Çevrimdışı yedekler (rotasyon)
– Bulut bilişim (şifreleme, anahtar
imhası)
– Silinebilir, ayrıştırılabilir
teknolojilerin kullanımı
• Anonimleştirme
– Veri ile kişi arasındaki bağı
kaldırma
– Kurumsal hafızanın korunması
• Veriambarları
• Karar destek ağaçları
– Farklı veri kaynakları kullanılarak
de-anonimleştirmenin
engellenmesi
Kalıcı Uyumun Sağlanması
• Kurumsal Değişiklikler
• Mahremiyet Etki Analizi
• Veri sınıflaması/envanter
kontrolü
• Veri sahipliği ve yönetimi
– Merkezi kural, merkez kontrol
– Ortak kural, dağıtık kontrol
• Denetim
– Türleri:
• Birinci taraf (İç denetim)
• İkinci taraf (Dış denetim/tedarikçi
denetimi)
• Üçüncü taraf (Dış
denetim/sertifikasyon) - ISO, vb
– Denetim - Kontrol
Teşekkürederim
Murat Lostar
linkedin.com/in/lostar
@MuratLostar
Lostar Bilgi Güvenliği A.Ş.
linkedin.com/company/Lostar
@Lostar
Güvenli Günler Bülteni
Kişisel GüvenlikBilgileri
Her ayın 15’indeyayımlanır
Her ay farklı bir konuve konukyazar
http://tiny.cc/GuvenliGunler

More Related Content

Kişisel Verileri Koruma Kanunu (KVKK) - BT Uyumu

  • 1. Murat Lostar KVKK – BT UyumuKişisel Verilerin Korunması Kanunu’na Kurumsal Bilgi Teknolojileri Uyumu
  • 2. 1998 – … Privately owned PEOPLE 30+ OFFICES Istanbul HQ Sakarya R&D FIRST • Security services company in Turkey • Certification in Turkey (CISSP, CCSP, ISSMP, CSSLP) • ISMS (ISO 27001) consultancy in Turkey ISO 9901 Certified ISO 27001 Certified Customers in Europe & Middle East SERVICES Consultancy Information Security Management System, Credit Card (PCI), IT Governance, Business Continuity, IT Privacy Alignment Training Secure Software Development ISO standards Security Awareness Auditing Security Checkups, Penetration Testing, Application Security, IoT Security, SCADA/ICS Security Special Security Related R&D, Security outsourcing Vendor agnostic (no reselling agreements with vendors) GIVES BACK • ISACA-Istanbul – Founding President • CloudSecurityAlliance – Turkish Chapter Founding Leader • Weekly radio show 2005- 2015 Bilgi University – Joint Program / Cyber Security Academy/ appx 100 students/year • Yearly Free Thesis & school project support contest • Yearly Security Awareness contest • Cyber security camps (summer & winter) • Industry Sponsorships
  • 3. Gündem • Uyum Hiyerarşisi • Kişisel Veri Envanteri • Süreç ve BT Uyumluluk Yaklaşımları • Veri Silme, İmha ve Anonimleştirme • Kalıcı Uyumun Sağlanması
  • 4. Uyum Hiyerarşisi Hukuk • Ne • Mevzuat, Sözleşmeler, Politikalar Süreç • Nasıl • İş Süreçleri, Prosedürler Teknoloji • Altyapı • Veritabanı, Kayıtlar (log), Yazılımlar, Çözümler
  • 5. Kişisel Veri Envanteri Yapısal • Veritabanları, tablolar, kolonlar • Özel uygulamalar • Seçimli alanlar • Örn: İnsan kaynakları yazılımı, doğum günü alanı Veri sınıflama / Uygulama sınıflama • Halka açık, şirket içi gizli, çok gizli • Kişisel olmayan, kişisel, özel nitelikli Yapısal Olmayan • Ofis dosyaları (Word, Excel, PDF, vb) • Epostalar • Mesajlaşma uygulamalar (Whatsapp, vb) • Taranmış dokümanlar • Multimedya dosyaları (fotograf, video, vb) • Ses kayıtları (çağrı merkezi, vb) • Yapısal uygulamalardaki serbest alanlar (açıklama, vb)
  • 6. Süreç ve BT Uyumluluk Yaklaşımları Hukuk-Süreç Kararı BT Uygulama Yaklaşımı Beyan yükümlülüğü Beyan verisinin toplanması, kayıtlarının saklanması (örn: web sitesi, giriş uyarı sayfası, çerez kullanımı) Açık rıza alınması Açık rıza kararının toplanıp, saklanması (örn: Kullanım sözleşmesi, gizlilik sözleşmesi, ✅) Kişisel verileri toplamama, işlememe İlgili alanların kaldırılması, kullanıcı uyarıları Eskiyen veri Veri yaratma, güncelleme tarihleri Veri paylaşımı (Üçüncü taraflara aktarma) Güvenli aktarım (kripto), erişim kontrol listeleri vb ile politikaların uygulanması Verinin, işleyenlere aktarılma kuralları Güvenlik, kriptolama, bulut hizmet sağlayıcı ilişkileri Veri güvenliği, koruma Teknik güvenlik yaklaşımları, erişim kontrolleri, kimlik doğrulama, yetkilendirme, hesap tutma(AAA) Kişisel veri sorgulama Kayıtlar (log)
  • 7. Veri Silme, İmha, Anonimleştirme • Veri Silme/İmha – Yerel cihazlar (silme) – Çevrimdışı yedekler (rotasyon) – Bulut bilişim (şifreleme, anahtar imhası) – Silinebilir, ayrıştırılabilir teknolojilerin kullanımı • Anonimleştirme – Veri ile kişi arasındaki bağı kaldırma – Kurumsal hafızanın korunması • Veriambarları • Karar destek ağaçları – Farklı veri kaynakları kullanılarak de-anonimleştirmenin engellenmesi
  • 8. Kalıcı Uyumun Sağlanması • Kurumsal Değişiklikler • Mahremiyet Etki Analizi • Veri sınıflaması/envanter kontrolü • Veri sahipliği ve yönetimi – Merkezi kural, merkez kontrol – Ortak kural, dağıtık kontrol • Denetim – Türleri: • Birinci taraf (İç denetim) • İkinci taraf (Dış denetim/tedarikçi denetimi) • Üçüncü taraf (Dış denetim/sertifikasyon) - ISO, vb – Denetim - Kontrol
  • 9. Teşekkürederim Murat Lostar linkedin.com/in/lostar @MuratLostar Lostar Bilgi Güvenliği A.Ş. linkedin.com/company/Lostar @Lostar Güvenli Günler Bülteni Kişisel GüvenlikBilgileri Her ayın 15’indeyayımlanır Her ay farklı bir konuve konukyazar http://tiny.cc/GuvenliGunler