Vamos Dijital Ofis

IT & Bilişim · 23 Haziran 2026 · 7 dk okuma

KVKK Teknik Tedbirler: İşletmeler İçin IT Kontrol Listesi

KVKK uyumunun bir de teknik tarafı var: erişim yetkilendirme, loglama, şifreleme, yedekleme, uç nokta güvenliği ve daha fazlası. Bu yazıda konunun hukuki değil, IT boyutunu KOBİ'ler için sade bir kontrol listesiyle ele aldık.

KVKK Teknik Tedbirler: İşletmeler İçin IT Kontrol Listesi

Bir işletme sahibi elinde bir denetim yazısıyla arıyor: "Verilerimizi koruduğumuzu nasıl gösterebiliriz? Kimin hangi dosyaya eriştiğini, en son ne zaman yedek aldığımızı soruyorlar, elimizde net bir cevap yok." Aslında çok tanıdık bir sahne. Birçok işletme KVKK denince önce sözleşmelere ve aydınlatma metinlerine odaklanıyor; işin teknik altyapı tarafı ise çoğu zaman havada kalıyor. Oysa verinin gerçekten korunduğunu gösteren şey, kâğıt üzerindeki taahhütler kadar sistemlerinizin nasıl kurulduğudur. Bu yazıda KVKK'nın teknik tedbirler tarafını, yani IT altyapısında somut olarak neleri hayata geçirebileceğinizi sade bir dille ele alıyoruz.

Önemli not: Bu yazı hukuki bir değerlendirme veya danışmanlık değildir; kanunun yorumu ve hukuki yükümlülükleriniz ayrı bir uzmanlık alanıdır ve bir hukuk danışmanından alınmalıdır. Burada yalnızca konunun teknik/IT tarafını, işletmelerin sistemlerinde uygulayabileceği güvenlik önlemlerini pratik bir çerçevede anlatıyoruz.

Teknik Tedbirler Neden Önemli?

Kişisel verilerin korunması, yalnızca bir uyum meselesi değil; aynı zamanda işletmenin itibarını ve iş sürekliliğini koruma meselesidir. Bir veri sızıntısı; müşteri güvenini, ticari sırları ve çalışma düzenini bir anda sarsabilir. Teknik tedbirler, bu riski en aza indirmek için sistemlerinizde aldığınız somut önlemlerin bütünüdür.

İyi haber şu: Bu önlemlerin büyük kısmı, aslında sağlam bir IT hijyeninin doğal parçasıdır. Erişimi kontrol etmek, yedek almak, güncel yazılım kullanmak; hem veri güvenliğini hem de günlük operasyonun sağlığını korur. Yani bu tedbirlere ayırdığınız emek, yalnızca uyum için değil; işletmenizin kesintisiz ve güvenli çalışması için de bir yatırımdır. Aşağıda bu tedbirleri başlıklar halinde tek tek ele alıyoruz.

Erişim Yetkilendirme ve Loglama

Veri güvenliğinin ilk katmanı, "kim neye erişebilir?" sorusunun net bir cevabıdır. Herkesin her şeye eriştiği bir sistem, en büyük risklerden biridir.

  • En az yetki ilkesi: Her çalışan yalnızca işi için gereken verilere erişsin. Muhasebe müşteri kayıtlarının tümüne, saha ekibi finansal verilere erişmek zorunda değildir.
  • Roller ve gruplar: Erişimi tek tek kişilere değil, rollere göre tanımlayın. Böylece işe giriş-çıkışlarda yetki yönetimi sadeleşir.
  • Kimlik doğrulama: Güçlü parola politikası ve mümkünse çok faktörlü kimlik doğrulama (MFA), çalınan bir parolanın tek başına yeterli olmasını engeller.
  • Loglama: Kritik sistemlerde kimin, ne zaman, hangi veriye eriştiğini kayıt altına alın. Loglar hem olası bir olayı geriye dönük incelemenizi hem de sistemin denetlenebilir olmasını sağlar.

Erişim yönetimi bir kere kurulup unutulacak bir iş değildir; işe giriş, görev değişikliği ve işten ayrılışlarda düzenli olarak gözden geçirilmelidir.

Şifreleme: Veri ve İletişim

Şifreleme, veriye yetkisiz erişilse bile onun okunamaz kalmasını sağlayan güçlü bir katmandır. İki temel alanda düşünmek gerekir:

  • Beklemedeki veri (data at rest): Sunuculardaki, bilgisayarlardaki ve yedeklerdeki hassas verilerin disk düzeyinde şifrelenmesi. Çalınan bir dizüstü bilgisayar, şifreliyse veri ihlaline dönüşmez.
  • İletimdeki veri (data in transit): Web siteleri için SSL/TLS (HTTPS), e-posta ve dosya transferlerinde şifreli protokoller. Verinin ağ üzerinde açık metin olarak dolaşmasını engeller.

Şifrelemede anahtar yönetimi de önemlidir; şifreleme anahtarlarının güvenli saklanması, sistemin bütününün güvenliğini belirler.

Yedekleme ve Felaket Kurtarma

Veri güvenliği yalnızca "veriyi başkasından korumak" değil; "veriyi kaybetmemek"tir de. Fidye yazılımı, donanım arızası veya insan hatası verinizi bir anda erişilemez kılabilir.

  • Düzenli yedek: Kritik verilerin otomatik ve periyodik yedeklenmesi. Yedek sıklığını, veri kaybını göze alabileceğiniz süreye göre belirleyin.
  • 3-2-1 yaklaşımı: Verinin en az üç kopyası, iki farklı ortamda, biri fiziksel olarak ayrı bir konumda (ör. bulut) tutulur.
  • Yedeğin testi: Alınmış ama geri yüklenemeyen yedek, yedek değildir. Geri yükleme testlerini düzenli yapın.
  • Felaket kurtarma planı: Bir kesinti anında sistemlerin hangi sırayla, kim tarafından ve ne kadar sürede ayağa kaldırılacağını yazılı bir plana bağlayın.

Uç Nokta Güvenliği ve Güncel Yazılım

Çalışanların bilgisayarları, telefonları ve sunucular; saldırıların en sık hedef aldığı noktalardır. Bu uç noktaları korumak, zincirin en zayıf halkasını güçlendirmek demektir.

  • Güncel yazılım: İşletim sistemi ve uygulamaların güvenlik güncellemelerini gecikmeden uygulayın. Bilinen açıkların çoğu, güncellenmemiş sistemlerden sızar.
  • Antivirüs/EDR: Uç noktalarda güncel güvenlik yazılımı ve mümkünse davranış tabanlı tehdit tespiti bulundurun.
  • Cihaz politikası: Şirket cihazlarında disk şifreleme, ekran kilidi ve uzaktan silme gibi önlemler; kaybolan bir cihazın riskini azaltır.
  • Ağ güvenliği: Güvenlik duvarı, misafir ağının ayrılması ve gereksiz portların kapatılması temel ama etkili önlemlerdir.

E-posta Güvenliği

E-posta, hem en çok kullanılan iletişim kanalı hem de saldırıların en sık giriş kapısıdır. Oltalama (phishing) ve sahte gönderen saldırıları çoğu ihlalin başlangıç noktasıdır.

  • Kimlik doğrulama kayıtları: Alan adınız için SPF, DKIM ve DMARC kayıtları, adınıza sahte e-posta gönderilmesini zorlaştırır.
  • Spam ve zararlı içerik filtreleme: Gelen kutusuna ulaşmadan tehditleri ayıklayan filtreler.
  • Şifreli bağlantı: E-posta istemcilerinde açık metin yerine şifreli protokollerin zorunlu tutulması.
  • Farkındalık: Çalışanların şüpheli ekleri ve bağlantıları tanıması, en ucuz ve en etkili önlemlerden biridir.

Veri Saklama ve İmha

Elinizde gereğinden fazla ve gereğinden uzun süre veri tutmak, riski büyütür. Teknik tarafta, verinin yaşam döngüsünü yönetmek gerekir.

  • Saklama süreleri: Hangi verinin ne kadar süre tutulacağını tanımlayın; süresi dolan veriyi sistemde bırakmayın.
  • Güvenli imha: Silinmesi gereken verinin geri getirilemeyecek şekilde yok edilmesi. "Çöp kutusuna atmak" gerçek bir silme değildir.
  • Ortam temizliği: Kullanımdan kaldırılan disk, sunucu ve cihazların içindeki verinin güvenli biçimde temizlenmesi.

Sızma Testi ve Güvenlik Farkındalığı

Önlemleri kurmak kadar, onların gerçekten çalışıp çalışmadığını sınamak da önemlidir.

  • Sızma testi (penetration test): Sistemlerinizin bir saldırgan gözüyle test edilmesi, gerçek bir olay yaşanmadan zayıf noktaları bulmanızı sağlar.
  • Zafiyet taraması: Düzenli otomatik taramalarla bilinen açıkların takip edilmesi.
  • Güvenlik farkındalık eğitimi: Teknolojinin koruyamadığı yeri insan doldurur. Çalışanların oltalamayı tanıması, güçlü parola alışkanlığı ve veri paylaşımında dikkatli olması, en güçlü savunma katmanlarından biridir.

KOBİ'ler İçin Teknik Kontrol Listesi

Aşağıdaki listeyi, işletmenizin teknik tedbirler açısından nerede durduğunu görmek için bir öz değerlendirme aracı olarak kullanabilirsiniz.

Alan Kontrol Maddesi Durum
Erişim En az yetki ilkesi uygulanıyor
Erişim Kritik sistemlerde çok faktörlü doğrulama açık
Erişim Erişim ve işlem logları tutuluyor
Şifreleme Cihaz ve sunucu diskleri şifreli
Şifreleme Web ve e-posta trafiği SSL/TLS ile korunuyor
Yedekleme Otomatik ve düzenli yedek alınıyor
Yedekleme Geri yükleme testi periyodik yapılıyor
Uç nokta İşletim sistemi ve yazılımlar güncel
Uç nokta Güncel güvenlik yazılımı kurulu
E-posta SPF, DKIM ve DMARC kayıtları tanımlı
Veri yaşam döngüsü Saklama süreleri ve güvenli imha tanımlı
Test Düzenli zafiyet taraması / sızma testi yapılıyor
İnsan Çalışanlara güvenlik farkındalık eğitimi veriliyor

İşaretlenmeyen her satır, üzerine eğilmeniz gereken bir teknik açık demektir. Bu listeyi bir yol haritası gibi kullanıp öncelikleri belirleyebilirsiniz.

Sık Sorulan Sorular

KVKK teknik tedbirler ile hukuki yükümlülük aynı şey mi? Hayır. Teknik tedbirler, verinin sistemlerde nasıl korunduğuyla ilgili IT önlemleridir. Kanunun yorumu, süreler ve hukuki yükümlülükler ayrı bir uzmanlık alanıdır ve bir hukuk danışmanından alınmalıdır. Bu yazı yalnızca teknik tarafı ele alır.

Küçük bir işletmenin bu tedbirlerin hepsine ihtiyacı var mı? Ölçeğe göre öncelikler değişir; ancak erişim yönetimi, yedekleme, güncel yazılım ve e-posta güvenliği gibi temeller her işletme için geçerlidir. Kontrol listesini kendi büyüklüğünüze göre önceliklendirebilirsiniz.

Yedek alıyorum, bu yeterli mi? Yedek almak tek başına yeterli değildir. Yedeğin farklı bir ortamda tutulması ve geri yükleme testinin düzenli yapılması gerekir. Geri yüklenemeyen bir yedek, ihtiyaç anında işe yaramaz.

Bu tedbirleri kurmak için nereden başlamalıyım? Mevcut durumun bir öz değerlendirmesiyle başlamak en sağlıklısıdır. Yukarıdaki kontrol listesiyle açıkları belirleyip en kritik olanlardan (erişim, yedek, güncelleme) başlayabilir; sonrasında ihtiyaca göre bir teknik yol haritası kurabilirsiniz.

Sonuç

KVKK'nın teknik tedbirler tarafı, aslında sağlam bir IT altyapısının doğal bir uzantısıdır: erişimi kontrol etmek, veriyi şifrelemek, düzenli yedek almak, sistemleri güncel tutmak ve insanı eğitmek. Bu adımlar hem veri güvenliğinizi güçlendirir hem de iş sürekliliğinizi korur. Unutmayın; teknik tedbirler ile hukuki yükümlülükler farklı alanlardır ve hukuki tarafı mutlaka bir uzmandan almalısınız.

İşletmenizin teknik altyapısını bu çerçevede güçlendirmek için IT çözümleri hizmetimize, süreçlerinizi uçtan uca modernleştirmek içinse dijital dönüşüm danışmanlığı çözümümüze göz atabilirsiniz. Mevcut durumunuzu birlikte değerlendirip size özel bir teknik yol haritası çıkarmak için bize ulaşın; ihtiyacınızı netleştirip en uygun kapsamı ücretsiz olarak paylaşalım.

Online Toplantı

Projenizi 30 dakikada
konuşalım.

İhtiyacınızı dinleyelim, aynı görüşmede yol haritası ve kapsam önerisiyle dönelim. Toplantı ücretsizdir, taahhüt gerektirmez.

01

Tanışma & ihtiyaç analizi

İşinizi ve hedefinizi dinliyoruz.

02

Kapsam & yol haritası

Net adımlar ve zaman planı öneriyoruz.

03

Teklif

Aynı hafta içinde yazılı teklifiniz elinizde.

Toplantı hattı: +90 850 302 19 23