IT & Bilişim · 23 Haziran 2026 · 7 dk okuma
KVKK Teknik Tedbirler: İşletmeler İçin IT Kontrol Listesi
KVKK uyumunun bir de teknik tarafı var: erişim yetkilendirme, loglama, şifreleme, yedekleme, uç nokta güvenliği ve daha fazlası. Bu yazıda konunun hukuki değil, IT boyutunu KOBİ'ler için sade bir kontrol listesiyle ele aldık.

Bir işletme sahibi elinde bir denetim yazısıyla arıyor: "Verilerimizi koruduğumuzu nasıl gösterebiliriz? Kimin hangi dosyaya eriştiğini, en son ne zaman yedek aldığımızı soruyorlar, elimizde net bir cevap yok." Aslında çok tanıdık bir sahne. Birçok işletme KVKK denince önce sözleşmelere ve aydınlatma metinlerine odaklanıyor; işin teknik altyapı tarafı ise çoğu zaman havada kalıyor. Oysa verinin gerçekten korunduğunu gösteren şey, kâğıt üzerindeki taahhütler kadar sistemlerinizin nasıl kurulduğudur. Bu yazıda KVKK'nın teknik tedbirler tarafını, yani IT altyapısında somut olarak neleri hayata geçirebileceğinizi sade bir dille ele alıyoruz.
Önemli not: Bu yazı hukuki bir değerlendirme veya danışmanlık değildir; kanunun yorumu ve hukuki yükümlülükleriniz ayrı bir uzmanlık alanıdır ve bir hukuk danışmanından alınmalıdır. Burada yalnızca konunun teknik/IT tarafını, işletmelerin sistemlerinde uygulayabileceği güvenlik önlemlerini pratik bir çerçevede anlatıyoruz.
Teknik Tedbirler Neden Önemli?
Kişisel verilerin korunması, yalnızca bir uyum meselesi değil; aynı zamanda işletmenin itibarını ve iş sürekliliğini koruma meselesidir. Bir veri sızıntısı; müşteri güvenini, ticari sırları ve çalışma düzenini bir anda sarsabilir. Teknik tedbirler, bu riski en aza indirmek için sistemlerinizde aldığınız somut önlemlerin bütünüdür.
İyi haber şu: Bu önlemlerin büyük kısmı, aslında sağlam bir IT hijyeninin doğal parçasıdır. Erişimi kontrol etmek, yedek almak, güncel yazılım kullanmak; hem veri güvenliğini hem de günlük operasyonun sağlığını korur. Yani bu tedbirlere ayırdığınız emek, yalnızca uyum için değil; işletmenizin kesintisiz ve güvenli çalışması için de bir yatırımdır. Aşağıda bu tedbirleri başlıklar halinde tek tek ele alıyoruz.
Erişim Yetkilendirme ve Loglama
Veri güvenliğinin ilk katmanı, "kim neye erişebilir?" sorusunun net bir cevabıdır. Herkesin her şeye eriştiği bir sistem, en büyük risklerden biridir.
- En az yetki ilkesi: Her çalışan yalnızca işi için gereken verilere erişsin. Muhasebe müşteri kayıtlarının tümüne, saha ekibi finansal verilere erişmek zorunda değildir.
- Roller ve gruplar: Erişimi tek tek kişilere değil, rollere göre tanımlayın. Böylece işe giriş-çıkışlarda yetki yönetimi sadeleşir.
- Kimlik doğrulama: Güçlü parola politikası ve mümkünse çok faktörlü kimlik doğrulama (MFA), çalınan bir parolanın tek başına yeterli olmasını engeller.
- Loglama: Kritik sistemlerde kimin, ne zaman, hangi veriye eriştiğini kayıt altına alın. Loglar hem olası bir olayı geriye dönük incelemenizi hem de sistemin denetlenebilir olmasını sağlar.
Erişim yönetimi bir kere kurulup unutulacak bir iş değildir; işe giriş, görev değişikliği ve işten ayrılışlarda düzenli olarak gözden geçirilmelidir.
Şifreleme: Veri ve İletişim
Şifreleme, veriye yetkisiz erişilse bile onun okunamaz kalmasını sağlayan güçlü bir katmandır. İki temel alanda düşünmek gerekir:
- Beklemedeki veri (data at rest): Sunuculardaki, bilgisayarlardaki ve yedeklerdeki hassas verilerin disk düzeyinde şifrelenmesi. Çalınan bir dizüstü bilgisayar, şifreliyse veri ihlaline dönüşmez.
- İletimdeki veri (data in transit): Web siteleri için SSL/TLS (HTTPS), e-posta ve dosya transferlerinde şifreli protokoller. Verinin ağ üzerinde açık metin olarak dolaşmasını engeller.
Şifrelemede anahtar yönetimi de önemlidir; şifreleme anahtarlarının güvenli saklanması, sistemin bütününün güvenliğini belirler.
Yedekleme ve Felaket Kurtarma
Veri güvenliği yalnızca "veriyi başkasından korumak" değil; "veriyi kaybetmemek"tir de. Fidye yazılımı, donanım arızası veya insan hatası verinizi bir anda erişilemez kılabilir.
- Düzenli yedek: Kritik verilerin otomatik ve periyodik yedeklenmesi. Yedek sıklığını, veri kaybını göze alabileceğiniz süreye göre belirleyin.
- 3-2-1 yaklaşımı: Verinin en az üç kopyası, iki farklı ortamda, biri fiziksel olarak ayrı bir konumda (ör. bulut) tutulur.
- Yedeğin testi: Alınmış ama geri yüklenemeyen yedek, yedek değildir. Geri yükleme testlerini düzenli yapın.
- Felaket kurtarma planı: Bir kesinti anında sistemlerin hangi sırayla, kim tarafından ve ne kadar sürede ayağa kaldırılacağını yazılı bir plana bağlayın.
Uç Nokta Güvenliği ve Güncel Yazılım
Çalışanların bilgisayarları, telefonları ve sunucular; saldırıların en sık hedef aldığı noktalardır. Bu uç noktaları korumak, zincirin en zayıf halkasını güçlendirmek demektir.
- Güncel yazılım: İşletim sistemi ve uygulamaların güvenlik güncellemelerini gecikmeden uygulayın. Bilinen açıkların çoğu, güncellenmemiş sistemlerden sızar.
- Antivirüs/EDR: Uç noktalarda güncel güvenlik yazılımı ve mümkünse davranış tabanlı tehdit tespiti bulundurun.
- Cihaz politikası: Şirket cihazlarında disk şifreleme, ekran kilidi ve uzaktan silme gibi önlemler; kaybolan bir cihazın riskini azaltır.
- Ağ güvenliği: Güvenlik duvarı, misafir ağının ayrılması ve gereksiz portların kapatılması temel ama etkili önlemlerdir.
E-posta Güvenliği
E-posta, hem en çok kullanılan iletişim kanalı hem de saldırıların en sık giriş kapısıdır. Oltalama (phishing) ve sahte gönderen saldırıları çoğu ihlalin başlangıç noktasıdır.
- Kimlik doğrulama kayıtları: Alan adınız için SPF, DKIM ve DMARC kayıtları, adınıza sahte e-posta gönderilmesini zorlaştırır.
- Spam ve zararlı içerik filtreleme: Gelen kutusuna ulaşmadan tehditleri ayıklayan filtreler.
- Şifreli bağlantı: E-posta istemcilerinde açık metin yerine şifreli protokollerin zorunlu tutulması.
- Farkındalık: Çalışanların şüpheli ekleri ve bağlantıları tanıması, en ucuz ve en etkili önlemlerden biridir.
Veri Saklama ve İmha
Elinizde gereğinden fazla ve gereğinden uzun süre veri tutmak, riski büyütür. Teknik tarafta, verinin yaşam döngüsünü yönetmek gerekir.
- Saklama süreleri: Hangi verinin ne kadar süre tutulacağını tanımlayın; süresi dolan veriyi sistemde bırakmayın.
- Güvenli imha: Silinmesi gereken verinin geri getirilemeyecek şekilde yok edilmesi. "Çöp kutusuna atmak" gerçek bir silme değildir.
- Ortam temizliği: Kullanımdan kaldırılan disk, sunucu ve cihazların içindeki verinin güvenli biçimde temizlenmesi.
Sızma Testi ve Güvenlik Farkındalığı
Önlemleri kurmak kadar, onların gerçekten çalışıp çalışmadığını sınamak da önemlidir.
- Sızma testi (penetration test): Sistemlerinizin bir saldırgan gözüyle test edilmesi, gerçek bir olay yaşanmadan zayıf noktaları bulmanızı sağlar.
- Zafiyet taraması: Düzenli otomatik taramalarla bilinen açıkların takip edilmesi.
- Güvenlik farkındalık eğitimi: Teknolojinin koruyamadığı yeri insan doldurur. Çalışanların oltalamayı tanıması, güçlü parola alışkanlığı ve veri paylaşımında dikkatli olması, en güçlü savunma katmanlarından biridir.
KOBİ'ler İçin Teknik Kontrol Listesi
Aşağıdaki listeyi, işletmenizin teknik tedbirler açısından nerede durduğunu görmek için bir öz değerlendirme aracı olarak kullanabilirsiniz.
| Alan | Kontrol Maddesi | Durum |
|---|---|---|
| Erişim | En az yetki ilkesi uygulanıyor | ☐ |
| Erişim | Kritik sistemlerde çok faktörlü doğrulama açık | ☐ |
| Erişim | Erişim ve işlem logları tutuluyor | ☐ |
| Şifreleme | Cihaz ve sunucu diskleri şifreli | ☐ |
| Şifreleme | Web ve e-posta trafiği SSL/TLS ile korunuyor | ☐ |
| Yedekleme | Otomatik ve düzenli yedek alınıyor | ☐ |
| Yedekleme | Geri yükleme testi periyodik yapılıyor | ☐ |
| Uç nokta | İşletim sistemi ve yazılımlar güncel | ☐ |
| Uç nokta | Güncel güvenlik yazılımı kurulu | ☐ |
| E-posta | SPF, DKIM ve DMARC kayıtları tanımlı | ☐ |
| Veri yaşam döngüsü | Saklama süreleri ve güvenli imha tanımlı | ☐ |
| Test | Düzenli zafiyet taraması / sızma testi yapılıyor | ☐ |
| İnsan | Çalışanlara güvenlik farkındalık eğitimi veriliyor | ☐ |
İşaretlenmeyen her satır, üzerine eğilmeniz gereken bir teknik açık demektir. Bu listeyi bir yol haritası gibi kullanıp öncelikleri belirleyebilirsiniz.
Sık Sorulan Sorular
KVKK teknik tedbirler ile hukuki yükümlülük aynı şey mi? Hayır. Teknik tedbirler, verinin sistemlerde nasıl korunduğuyla ilgili IT önlemleridir. Kanunun yorumu, süreler ve hukuki yükümlülükler ayrı bir uzmanlık alanıdır ve bir hukuk danışmanından alınmalıdır. Bu yazı yalnızca teknik tarafı ele alır.
Küçük bir işletmenin bu tedbirlerin hepsine ihtiyacı var mı? Ölçeğe göre öncelikler değişir; ancak erişim yönetimi, yedekleme, güncel yazılım ve e-posta güvenliği gibi temeller her işletme için geçerlidir. Kontrol listesini kendi büyüklüğünüze göre önceliklendirebilirsiniz.
Yedek alıyorum, bu yeterli mi? Yedek almak tek başına yeterli değildir. Yedeğin farklı bir ortamda tutulması ve geri yükleme testinin düzenli yapılması gerekir. Geri yüklenemeyen bir yedek, ihtiyaç anında işe yaramaz.
Bu tedbirleri kurmak için nereden başlamalıyım? Mevcut durumun bir öz değerlendirmesiyle başlamak en sağlıklısıdır. Yukarıdaki kontrol listesiyle açıkları belirleyip en kritik olanlardan (erişim, yedek, güncelleme) başlayabilir; sonrasında ihtiyaca göre bir teknik yol haritası kurabilirsiniz.
Sonuç
KVKK'nın teknik tedbirler tarafı, aslında sağlam bir IT altyapısının doğal bir uzantısıdır: erişimi kontrol etmek, veriyi şifrelemek, düzenli yedek almak, sistemleri güncel tutmak ve insanı eğitmek. Bu adımlar hem veri güvenliğinizi güçlendirir hem de iş sürekliliğinizi korur. Unutmayın; teknik tedbirler ile hukuki yükümlülükler farklı alanlardır ve hukuki tarafı mutlaka bir uzmandan almalısınız.
İşletmenizin teknik altyapısını bu çerçevede güçlendirmek için IT çözümleri hizmetimize, süreçlerinizi uçtan uca modernleştirmek içinse dijital dönüşüm danışmanlığı çözümümüze göz atabilirsiniz. Mevcut durumunuzu birlikte değerlendirip size özel bir teknik yol haritası çıkarmak için bize ulaşın; ihtiyacınızı netleştirip en uygun kapsamı ücretsiz olarak paylaşalım.
Yazan: Vamos Dijital Ofis
Sonraki yazı: Web Tasarımda Minimalizm: Az Çok mudur? →