Ankara Üniversitesi Nallıhan Meslek Yüksekokulu WEB SİTESİ GÜVENLİK AYARLARI

Ankara Üniversitesi

Nallıhan Meslek Yüksekokulu

WEB SİTESİ GÜVENLİK AYARLARI

NB P220 W E B PR OJE SI YÖNE T I MI

SORUMLULUKLAR

YASAL SORUMLULUKLAR

KVKK – Kişisel Verileri Koruma Kanunu

5651 Sayılı Kanun

KİŞİSEL SORUMLULUKLAR

İtibar Kaybı

Ticari Sırların Kaybı

Çalışan Sistemin Akamete Uğraması

….

Kişisel Verileri Koruma Kanunun Amacı:

 Anayasada öngörülen başta özel hayatın gizliliği olmak üzere temel hak ve özgürlüklerin korunması

 Kişinin mahremiyet hakkının korunması

 Kişinin bilgi güvenliği hakkının korunması

 Kişisel verilerin işlenmesinin kontrol altına alınması

 Kişisel verileri işleyen tüzel ve gerçek kişilerin yükümlülüklerinin

ve uyacakları usul/esasların belirlenmesi

Kişisel Veri:

KVKK’da kişisel veriler genel kişisel veriler ve özel kişisel veriler (diğer adıyla hassas veriler) olmak üzere ikiye ayrılmıştır.

Genel kişisel veriler ad-soyad, tc kimlik no, doğum yeri, doğum tarihi gibi klasik anlamda kişisel verilerimizden oluşmaktadır.

Hassas veriler kanunda “Kişilerin ırkı, etnik kökeni, siyasi

düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile

biyometrik ve genetik verileri” olarak sayılmıştır.

Kişisel Veri Nedir?

Kişisel veri, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi ifade etmektedir. Kişisel veriden söz edebilmek için,

verinin bir gerçek kişiye ilişkin olması ve bu kişinin de belirli ya da belirlenebilir nitelikte olması gerekmektedir. Buna göre;

1. Gerçek kişiye ilişkin olma: Kişisel veri, gerçek kişiye ilişkin olup, tüzel kişilere ilişkin veriler kişisel verinin tanımının dışındadır.

Dolayısıyla, bir şirketin ticaret unvanı ya da adresi gibi tüzel kişiliğe

ilişkin bilgiler (bir gerçek kişiyle ilişkilendirilebilecekleri durumlar

haricinde) kişisel veri sayılmayacaktır

Kişisel Veri Nedir?

2. Kişiyi belirli veya belirlenebilir kılması: Kişisel veri, ilgili

kişinin doğrudan kimliğini gösterebileceği gibi, o kişinin kimliğini doğrudan göstermemekle birlikte, herhangi bir kayıtla

ilişkilendirilmesi sonucunda kişinin belirlenmesini sağlayan tüm

bilgileri de kapsar

Kişisel Veri Nedir?

3. Her türlü bilgi: Bu ifade son derece geniş olup, bir gerçek kişinin;

adı, soyadı, doğum tarihi ve doğum yeri gibi bireyin sadece kimliğini ortaya koyan bilgiler değil; telefon numarası, motorlu taşıt plakası, sosyal güvenlik numarası, pasaport numarası, özgeçmiş, resim,

görüntü ve ses kayıtları, parmak izleri, e-posta adresi, hobiler,

tercihler, etkileşimde bulunulan kişiler, grup üyelikleri, aile bilgileri,

sağlık bilgileri gibi kişiyi doğrudan veya dolaylı olarak belirlenebilir

kılan tüm veriler kişisel veri olarak kabul edilmektedir.

Kişisel Veri Güvenliğini Sağlamak

•Kişisel Verilerin, yanlışlıkla yada kötü niyetle kurum dışına çıkarılmasını önlemek,

•Kullanıcıların internet erişimlerini denetlemek ve oluşabilecek saldırılara karşı önlem almak,

•Kullanıcı makinelerinin hedefli bir saldırıya maruz kalmaması için mutlaka güvenlik açıklıklarına karşı korunmasını sağlamak,

•Düzenli olarak zafiyet kontrollerin yapılmasını sağlamak,

•Kötü amaçlı yazılımlardan korunmak adına antivirus, antispam gibi ürünleri kullanmak,

•Güvenlik ön planda olduğu için kullanıcı kimlik doğrulama ve yönetme ürünlerini kullanmak,

•Kişisel verilerin herhangi bir sebeple zarar görmesi durumunda verilerin geriye

getirilmesini sağlamak nedeni ile yedekleme sistemlerin çalıştığının ve geri dönüşlerinin sağlıklı olduğunun detaylı kontrollerinin sağlanması gerekmektedir.

KVKK Uyumluluk Adımları

Faz 1

- Veri Analizi (Hangi Kişisel Veriler Var)

- Verilerin Yaşam Döngüsünün çıkartılması (Kişisel Verilerin Yaşam Süreci)

- Verilerin Uyumluluğu (Kişisel Verilerin Hukuki

Çerçevede Uyumluluğu)

KVKK Uyumluluk Adımları

Faz 2

- Verilerin Hukuki Uyumluluğunun Sağlanma Süreci - Verilerin Aksiyon Öncesi Bulunması

- Verilerin Bulunması

KVKK Uyumluluk Adımları

Faz 3

- KVKK Sürecinin Teknoloji Uyumluluğunun Sağlanması - KVKK Kapsamın da Verilerin Korunmasına Yönelik Politikaların Oluşturulması

- KVKK Uyumluluğunun Devamlılığının Sağlanması

5651 Sayılı Kanun

Yer Sağlayıcılar

İnternet ortamında, hizmet ve içerikleri barındıran sistemleri sağlayan veya işleten gerçek veya tüzel kişilerdir. Yer sağlama işini ticari olarak yapan hosting firmaları başta olmak üzere, ticari olmasa da kendi sitelerini barındıran gerçek kişiler, kamu kurumları,

üniversiteler, dernekler, şirketler, vakıflar vb. kuruluşlar da yer sağlayıcılığı faaliyetinde bulunabilirler.

İçerik Sağlayıcılar

İnternet ortamı üzerinden kullanıcılara sunulan her türlü bilgi veya veriyi üreten, değiştiren ve sağlayan gerçek veya tüzel kişilerdir. Günlük gazeteler, dergiler içerik sağlayıcılara

örnek olarak verilebilir. Yasaya göre; içerik sağlayıcılar, internet ortamında kullanıma sundukları her türlü içerikten dolayı sorumludurlar. Yine ticari veya ekonomik amaçlı içerik sağlayıcılar, tanıtıcı bilgilerini kendilerine ait internet ortamında kullanıcıların ulaşabileceği şekilde ve güncel olarak bulundurmakla yükümlüdürler. Aksi takdirde, Telekomünikasyon iletişim Başkanlığı’nca idari para cezası verilebilir.

5651 Sayılı Kanun – Yer Sağlayıcı

Madde 16/1-a

Yer sağladığı hukuka aykırı içerikten, ceza sorumluluğu ile ilgili

hükümler saklı kalmak kaydıyla, 5651 sayılı Kanun ve ilgili mevzuat hükümlerine göre Başkanlık, adli makamlar veya hakları ihlal edilen kişiler tarafından haberdar edilmesi halinde ve teknik olarak

engelleme imkânı bulunduğu ölçüde hukuka aykırı içeriği yayından

kaldırmakla yükümlüdür. Burada, “mevcut teknolojik imkan” içeriğin

yayından kaldırılmasına imkan sağlıyorsa, yer sağlayıcı kaldırmakla

yükümlüdür. Kendi teknolojik imkanlarının yetersiz olduğunu ileri

sürmesi kabul edilemez.

5651 Sayılı Kanun – Yer Sağlayıcı

Madde 16/1-b

Sunucu barındırma hizmeti dâhil, diğer bütün hizmetlerinde (a) bendindeki hükümlere uymakla yükümlüdür.

Madde 16/1-c

Yer sağlayıcı trafik bilgisini altı ay saklamakla, bu bilgilerin doğruluğunu, bütünlüğünü oluşan verilerin dosya bütünlük değerlerini (hash) zaman

damgası ile birlikte saklamak ve gizliliğini temin etmekle yükümlüdür.

Zaman damgası ,bir elektronik verinin üretildiği, değiştirildiği, gönderildiği, alındığı ve/veya kaydedildiği zamanın tespit edilmesi amacıyla nitelikli veya nitelikli olmayan elektronik imza ile doğrulanan kaydı ifade etmektedir

5651 Sayılı Kanun– Yer Sağlayıcı

Madde 16/2

Yer sağlayıcı, yer sağladığı içeriği kontrol etmek veya hukuka aykırı bir faaliyetin söz konusu olup olmadığını araştırmakla yükümlü

değildir.

Madde 17/1

Erişim sağlayıcı veya yer sağlayıcı Ek 4 ve Ek 6’daki bilgilerinde meydana gelen değişiklikleri en geç bir ay içerinde Kuruma

bildirmekle yükümlüdür.

5651 Sayılı Kanun– Yer Sağlayıcı Trafik Bilgisi

Yer sağlayıcı trafik bilgisi, İnternet ortamındaki her türlü yer sağlamaya ilişkin olarak;

kaynak IP adresi, hedef IP adresi, bağlantı tarih-saat bilgisi, istenen sayfa adresi, işlem bilgisi (GET, POST komut detayları) ve sonuç bilgisi gibi bilgileri ifade etmektedir.

Log Türleri :HTTP log, FTP log, Mail log

Trafik bilgisinin logunun uygun şekilde tutulabilmesi için;

kullanılan web, ftp ve e-posta sunucusunda gerekli ayarlar

yapılmalıdır.

5651 Sayılı Kanuna Göre Yapılması Gerekenler

1. Kullanıcıların yasal içerikte olmayan WEB sayfalarına erişimlerinin engellenmesi.

2. Erişim log ve kayıtlarının tutulması. ( Zaman ve Tarih Mührü ile ) 3. Networklerine bağlı kullanıcıların iç IP loglarının tutulması.

4. Eğer bir Web sayfası mevcut ise ve bu Web sayfasını kendi

sunucularında barındırıyor ise dışarıdan gelen erişim log ve

kayıtlarının tutulması.

5651 Sayılı Kanun – İÇERİK SAĞLAYICI

İÇERİK SAĞLAYICI

30/11/2007 tarihli Yönetmeliğin Tanımlar başlıklı maddesine göre,

“İçerik sağlayıcı: İnternet ortamı üzerinden kullanıcılara sunulan

her türlü bilgi veya veriyi üreten, değiştiren ve sağlayan gerçek veya

tüzel kişileri, ” ifade eder .

5651 Sayılı Kanun – İÇERİK SAĞLAYICI

Madde 5/1

Ticari veya ekonomik amaçlı içerik sağlayıcıları, tanıtıcı bilgilerini kendilerine ait internet ortamında, kullanıcıların ana sayfadan

doğrudan ulaşabileceği şekilde, iletişim başlığı altında, doğru, eksiksiz ve güncel olarak bulundurmakla yükümlüdür.

Madde 5/2

Ticari veya ekonomik amaçlı içerik sağlayıcı, birinci fıkradaki bilgilerle birlikte, yer sağlayıcıya ilişkin tanıtıcı bilgileri, doğru,

eksiksiz ve güncel olarak ana sayfasında bulundurmakla yükümlüdür.

5651 Sayılı Kanun – İÇERİK SAĞLAYICI

Madde 6/1

İçerik sağlayıcı, internet ortamında kullanıma sunduğu her türlü içerikten sorumludur.

Madde 6/2

İçerik sağlayıcı, bağlantı sağladığı başkasına ait içerikten sorumlu değildir. Ancak, sunuş biçiminden, bağlantı sağladığı içeriği

benimsediği ve kullanıcının söz konusu içeriğe ulaşmasını amaçladığı

açıkça belli ise, genel hükümlere göre sorumludur.

5651 Sayılı Kanuna Göre

İnternet sitesinde/sitelerinde kişilik haklarını ihlal eden içerik/içerikler varsa;

- İçeriğin Yayından Çıkarılması:

- İçeriğe Erişimin Engellenmesi:

İnternet ortamındaki bir içerik nedeniyle kişilik hakkının ihlal edildiğini iddia eden gerçek veya tüzel kişiler ile kurum ve kuruluşlar, içerik sağlayıcısına, içerik sağlayıcısına ulaşamamaları halinde ise yer sağlayıcısına başvurarak uyarı

yöntemi ile içeriğin yayından çıkarılmasını isteyebileceği gibi, doğrudan Sulh Ceza Hakimliğine başvurarak içeriğe erişimin engellenmesini de isteyebilir.

Kişilik hakkı ihlal edilen kişinin talebi, içerik ve/veya yer sağlayıcısı tarafından en geç yirmi dört saat içinde cevaplandırılmalıdır.

Kaynakça

1- https://

www.platinbilisim.com.tr/TR/Cozumlerimiz/kisisel-verilerin-korun masi-kanunu-kvk-teknik-uyumluluk

E.T.:30.01.2020 2- https://

www.kvkk.gov.tr/SharedFolderServer/CMSFiles/7d5b0a2f-e0ea-41e0 -bf0b-bc9e43dfb57a.pdf

E.T.:30.01.2020

3- https://www.esb.org.tr/sss E.T.:30.01.2020