Ankara Üniversitesi
Nallıhan Meslek Yüksekokulu
WEB SİTESİ GÜVENLİK AYARLARI
NB P220 W E B PR OJE SI YÖNE T I MI
SORUMLULUKLAR
YASAL SORUMLULUKLAR
KVKK – Kişisel Verileri Koruma Kanunu
5651 Sayılı Kanun
KİŞİSEL SORUMLULUKLAR
İtibar Kaybı
Ticari Sırların Kaybı
Çalışan Sistemin Akamete Uğraması
….
Kişisel Verileri Koruma Kanunun Amacı:
Anayasada öngörülen başta özel hayatın gizliliği olmak üzere temel hak ve özgürlüklerin korunması
Kişinin mahremiyet hakkının korunması
Kişinin bilgi güvenliği hakkının korunması
Kişisel verilerin işlenmesinin kontrol altına alınması
Kişisel verileri işleyen tüzel ve gerçek kişilerin yükümlülüklerinin
ve uyacakları usul/esasların belirlenmesi
Kişisel Veri:
KVKK’da kişisel veriler genel kişisel veriler ve özel kişisel veriler (diğer adıyla hassas veriler) olmak üzere ikiye ayrılmıştır.
Genel kişisel veriler ad-soyad, tc kimlik no, doğum yeri, doğum tarihi gibi klasik anlamda kişisel verilerimizden oluşmaktadır.
Hassas veriler kanunda “Kişilerin ırkı, etnik kökeni, siyasi
düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile
biyometrik ve genetik verileri” olarak sayılmıştır.
Kişisel Veri Nedir?
Kişisel veri, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi ifade etmektedir. Kişisel veriden söz edebilmek için,
verinin bir gerçek kişiye ilişkin olması ve bu kişinin de belirli ya da belirlenebilir nitelikte olması gerekmektedir. Buna göre;
1. Gerçek kişiye ilişkin olma: Kişisel veri, gerçek kişiye ilişkin olup, tüzel kişilere ilişkin veriler kişisel verinin tanımının dışındadır.
Dolayısıyla, bir şirketin ticaret unvanı ya da adresi gibi tüzel kişiliğe
ilişkin bilgiler (bir gerçek kişiyle ilişkilendirilebilecekleri durumlar
haricinde) kişisel veri sayılmayacaktır
Kişisel Veri Nedir?
2. Kişiyi belirli veya belirlenebilir kılması: Kişisel veri, ilgili
kişinin doğrudan kimliğini gösterebileceği gibi, o kişinin kimliğini doğrudan göstermemekle birlikte, herhangi bir kayıtla
ilişkilendirilmesi sonucunda kişinin belirlenmesini sağlayan tüm
bilgileri de kapsar
Kişisel Veri Nedir?
3. Her türlü bilgi: Bu ifade son derece geniş olup, bir gerçek kişinin;
adı, soyadı, doğum tarihi ve doğum yeri gibi bireyin sadece kimliğini ortaya koyan bilgiler değil; telefon numarası, motorlu taşıt plakası, sosyal güvenlik numarası, pasaport numarası, özgeçmiş, resim,
görüntü ve ses kayıtları, parmak izleri, e-posta adresi, hobiler,
tercihler, etkileşimde bulunulan kişiler, grup üyelikleri, aile bilgileri,
sağlık bilgileri gibi kişiyi doğrudan veya dolaylı olarak belirlenebilir
kılan tüm veriler kişisel veri olarak kabul edilmektedir.
Kişisel Veri Güvenliğini Sağlamak
•Kişisel Verilerin, yanlışlıkla yada kötü niyetle kurum dışına çıkarılmasını önlemek,
•Kullanıcıların internet erişimlerini denetlemek ve oluşabilecek saldırılara karşı önlem almak,
•Kullanıcı makinelerinin hedefli bir saldırıya maruz kalmaması için mutlaka güvenlik açıklıklarına karşı korunmasını sağlamak,
•Düzenli olarak zafiyet kontrollerin yapılmasını sağlamak,
•Kötü amaçlı yazılımlardan korunmak adına antivirus, antispam gibi ürünleri kullanmak,
•Güvenlik ön planda olduğu için kullanıcı kimlik doğrulama ve yönetme ürünlerini kullanmak,
•Kişisel verilerin herhangi bir sebeple zarar görmesi durumunda verilerin geriye
getirilmesini sağlamak nedeni ile yedekleme sistemlerin çalıştığının ve geri dönüşlerinin sağlıklı olduğunun detaylı kontrollerinin sağlanması gerekmektedir.
KVKK Uyumluluk Adımları
Faz 1
- Veri Analizi (Hangi Kişisel Veriler Var)
- Verilerin Yaşam Döngüsünün çıkartılması (Kişisel Verilerin Yaşam Süreci)
- Verilerin Uyumluluğu (Kişisel Verilerin Hukuki
Çerçevede Uyumluluğu)
KVKK Uyumluluk Adımları
Faz 2
- Verilerin Hukuki Uyumluluğunun Sağlanma Süreci - Verilerin Aksiyon Öncesi Bulunması
- Verilerin Bulunması
KVKK Uyumluluk Adımları
Faz 3
- KVKK Sürecinin Teknoloji Uyumluluğunun Sağlanması - KVKK Kapsamın da Verilerin Korunmasına Yönelik Politikaların Oluşturulması
- KVKK Uyumluluğunun Devamlılığının Sağlanması
5651 Sayılı Kanun
Yer Sağlayıcılar
İnternet ortamında, hizmet ve içerikleri barındıran sistemleri sağlayan veya işleten gerçek veya tüzel kişilerdir. Yer sağlama işini ticari olarak yapan hosting firmaları başta olmak üzere, ticari olmasa da kendi sitelerini barındıran gerçek kişiler, kamu kurumları,
üniversiteler, dernekler, şirketler, vakıflar vb. kuruluşlar da yer sağlayıcılığı faaliyetinde bulunabilirler.
İçerik Sağlayıcılar
İnternet ortamı üzerinden kullanıcılara sunulan her türlü bilgi veya veriyi üreten, değiştiren ve sağlayan gerçek veya tüzel kişilerdir. Günlük gazeteler, dergiler içerik sağlayıcılara
örnek olarak verilebilir. Yasaya göre; içerik sağlayıcılar, internet ortamında kullanıma sundukları her türlü içerikten dolayı sorumludurlar. Yine ticari veya ekonomik amaçlı içerik sağlayıcılar, tanıtıcı bilgilerini kendilerine ait internet ortamında kullanıcıların ulaşabileceği şekilde ve güncel olarak bulundurmakla yükümlüdürler. Aksi takdirde, Telekomünikasyon iletişim Başkanlığı’nca idari para cezası verilebilir.
5651 Sayılı Kanun – Yer Sağlayıcı
Madde 16/1-a
Yer sağladığı hukuka aykırı içerikten, ceza sorumluluğu ile ilgili
hükümler saklı kalmak kaydıyla, 5651 sayılı Kanun ve ilgili mevzuat hükümlerine göre Başkanlık, adli makamlar veya hakları ihlal edilen kişiler tarafından haberdar edilmesi halinde ve teknik olarak
engelleme imkânı bulunduğu ölçüde hukuka aykırı içeriği yayından
kaldırmakla yükümlüdür. Burada, “mevcut teknolojik imkan” içeriğin
yayından kaldırılmasına imkan sağlıyorsa, yer sağlayıcı kaldırmakla
yükümlüdür. Kendi teknolojik imkanlarının yetersiz olduğunu ileri
sürmesi kabul edilemez.
5651 Sayılı Kanun – Yer Sağlayıcı
Madde 16/1-b
Sunucu barındırma hizmeti dâhil, diğer bütün hizmetlerinde (a) bendindeki hükümlere uymakla yükümlüdür.
Madde 16/1-c
Yer sağlayıcı trafik bilgisini altı ay saklamakla, bu bilgilerin doğruluğunu, bütünlüğünü oluşan verilerin dosya bütünlük değerlerini (hash) zaman
damgası ile birlikte saklamak ve gizliliğini temin etmekle yükümlüdür.
Zaman damgası ,bir elektronik verinin üretildiği, değiştirildiği, gönderildiği, alındığı ve/veya kaydedildiği zamanın tespit edilmesi amacıyla nitelikli veya nitelikli olmayan elektronik imza ile doğrulanan kaydı ifade etmektedir
5651 Sayılı Kanun– Yer Sağlayıcı
Madde 16/2
Yer sağlayıcı, yer sağladığı içeriği kontrol etmek veya hukuka aykırı bir faaliyetin söz konusu olup olmadığını araştırmakla yükümlü
değildir.
Madde 17/1
Erişim sağlayıcı veya yer sağlayıcı Ek 4 ve Ek 6’daki bilgilerinde meydana gelen değişiklikleri en geç bir ay içerinde Kuruma
bildirmekle yükümlüdür.
5651 Sayılı Kanun– Yer Sağlayıcı Trafik Bilgisi
Yer sağlayıcı trafik bilgisi, İnternet ortamındaki her türlü yer sağlamaya ilişkin olarak;
kaynak IP adresi, hedef IP adresi, bağlantı tarih-saat bilgisi, istenen sayfa adresi, işlem bilgisi (GET, POST komut detayları) ve sonuç bilgisi gibi bilgileri ifade etmektedir.
Log Türleri :HTTP log, FTP log, Mail log
Trafik bilgisinin logunun uygun şekilde tutulabilmesi için;
kullanılan web, ftp ve e-posta sunucusunda gerekli ayarlar
yapılmalıdır.
5651 Sayılı Kanuna Göre Yapılması Gerekenler
1. Kullanıcıların yasal içerikte olmayan WEB sayfalarına erişimlerinin engellenmesi.
2. Erişim log ve kayıtlarının tutulması. ( Zaman ve Tarih Mührü ile ) 3. Networklerine bağlı kullanıcıların iç IP loglarının tutulması.
4. Eğer bir Web sayfası mevcut ise ve bu Web sayfasını kendi
sunucularında barındırıyor ise dışarıdan gelen erişim log ve
kayıtlarının tutulması.
5651 Sayılı Kanun – İÇERİK SAĞLAYICI
İÇERİK SAĞLAYICI
30/11/2007 tarihli Yönetmeliğin Tanımlar başlıklı maddesine göre,
“İçerik sağlayıcı: İnternet ortamı üzerinden kullanıcılara sunulan
her türlü bilgi veya veriyi üreten, değiştiren ve sağlayan gerçek veya
tüzel kişileri, ” ifade eder .
5651 Sayılı Kanun – İÇERİK SAĞLAYICI
Madde 5/1
Ticari veya ekonomik amaçlı içerik sağlayıcıları, tanıtıcı bilgilerini kendilerine ait internet ortamında, kullanıcıların ana sayfadan
doğrudan ulaşabileceği şekilde, iletişim başlığı altında, doğru, eksiksiz ve güncel olarak bulundurmakla yükümlüdür.
Madde 5/2
Ticari veya ekonomik amaçlı içerik sağlayıcı, birinci fıkradaki bilgilerle birlikte, yer sağlayıcıya ilişkin tanıtıcı bilgileri, doğru,
eksiksiz ve güncel olarak ana sayfasında bulundurmakla yükümlüdür.
5651 Sayılı Kanun – İÇERİK SAĞLAYICI
Madde 6/1
İçerik sağlayıcı, internet ortamında kullanıma sunduğu her türlü içerikten sorumludur.
Madde 6/2
İçerik sağlayıcı, bağlantı sağladığı başkasına ait içerikten sorumlu değildir. Ancak, sunuş biçiminden, bağlantı sağladığı içeriği
benimsediği ve kullanıcının söz konusu içeriğe ulaşmasını amaçladığı
açıkça belli ise, genel hükümlere göre sorumludur.
5651 Sayılı Kanuna Göre
İnternet sitesinde/sitelerinde kişilik haklarını ihlal eden içerik/içerikler varsa;
- İçeriğin Yayından Çıkarılması:
- İçeriğe Erişimin Engellenmesi:
İnternet ortamındaki bir içerik nedeniyle kişilik hakkının ihlal edildiğini iddia eden gerçek veya tüzel kişiler ile kurum ve kuruluşlar, içerik sağlayıcısına, içerik sağlayıcısına ulaşamamaları halinde ise yer sağlayıcısına başvurarak uyarı
yöntemi ile içeriğin yayından çıkarılmasını isteyebileceği gibi, doğrudan Sulh Ceza Hakimliğine başvurarak içeriğe erişimin engellenmesini de isteyebilir.
Kişilik hakkı ihlal edilen kişinin talebi, içerik ve/veya yer sağlayıcısı tarafından en geç yirmi dört saat içinde cevaplandırılmalıdır.