MADDE 1- (1) Bu Kanunun amacı, kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemektir.
MADDE 2- (1) Bu Kanun hükümleri, kişisel verileri işlenen gerçek kişiler ile bu verileri tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işleyen gerçek ve tüzel kişiler hakkında uygulanır.
MADDE 3- (1) Bu Kanunun uygulanmasında;
d) Kişisel veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi,
ğ) Veri işleyen: Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişiyi,
ı) Veri sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi,
ifade eder.
MADDE 17- (1) Kişisel verilere ilişkin suçlar bakımından 26/9/2004 tarihli ve 5237 sayılı Türk Ceza Kanununun 135 ila 140 ıncı madde hükümleri uygulanır.
(2) Bu Kanunun 7 nci maddesi hükmüne aykırı olarak; kişisel verileri silmeyen veya anonim hâle getirmeyenler 5237 sayılı Kanunun 138 inci maddesine göre cezalandırılır.
MADDE 18- (1) Bu Kanunun;
a) 10 uncu maddesinde öngörülen aydınlatma yükümlülüğünü yerine getirmeyenler hakkında 5.000 Türk lirasından 100.000 Türk lirasına kadar,
b) 12 nci maddesinde öngörülen veri güvenliğine ilişkin yükümlülükleri yerine getirmeyenler hakkında 15.000 Türk lirasından 1.000.000 Türk lirasına kadar,
c) 15 inci maddesi uyarınca Kurul tarafından verilen kararları yerine getirmeyenler hakkında 25.000 Türk lirasından 1.000.000 Türk lirasına kadar,
ç) 16 ncı maddesinde öngörülen Veri Sorumluları Siciline kayıt ve bildirim yükümlülüğüne aykırı hareket edenler hakkında 20.000 Türk lirasından 1.000.000 Türk lirasına kadar,
idari para cezası verilir.
Kişisel verilerin kaydedilmesi
MADDE 135- (1) Hukuka aykırı olarak kişisel verileri kaydeden kimseye bir yıldan üç yıla kadar hapis cezası verilir.
(2) Kişisel verinin, kişilerin siyasi, felsefi veya dini görüşlerine, ırki kökenlerine; hukuka aykırı olarak ahlaki eğilimlerine, cinsel yaşamlarına, sağlık durumlarına veya sendikal bağlantılarına ilişkin olması durumunda birinci fıkra uyarınca verilecek ceza yarı oranında artırılır.
Verileri hukuka aykırı olarak verme veya ele geçirme
MADDE 136. - (1) Kişisel verileri, hukuka aykırı olarak bir başkasına veren, yayan veya ele geçiren kişi, iki yıldan dört yıla kadar hapis cezası ile cezalandırılır.
Nitelikli hâller
MADDE 137. - (1) Yukarıdaki maddelerde tanımlanan suçların;
a) Kamu görevlisi tarafından ve görevinin verdiği yetki kötüye kullanılmak suretiyle,
b) Belli bir meslek ve sanatın sağladığı kolaylıktan yararlanmak suretiyle,
İşlenmesi hâlinde, verilecek ceza yarı oranında artırılır.
Verileri yok etmeme
MADDE 138. - (1) Kanunların belirlediği sürelerin geçmiş olmasına karşın verileri sistem içinde yok etmekle yükümlü olanlara görevlerini yerine getirmediklerinde bir yıldan iki yıla kadar hapis cezası verilir.
(2) (Ek: 21/2/2014 - 6526/5 md.) Suçun konusunun Ceza Muhakemesi Kanunu hükümlerine göre ortadan kaldırılması veya yok edilmesi gereken veri olması hâlinde verilecek ceza bir kat artırılır.
Şikâyet
MADDE 139. - (1) Kişisel verilerin kaydedilmesi, verileri hukuka aykırı olarak verme veya ele geçirme ve verileri yok etmeme hariç, bu bölümde yer alan suçların soruşturulması ve kovuşturulması şikâyete bağlıdır.
MADDE 140. - (1) Yukarıdaki maddelerde tanımlanan suçların işlenmesi dolayısıyla tüzel kişiler hakkında bunlara özgü güvenlik tedbirlerine hükmolunur.
Cybowall, ağdaki kişisel bilgileri koruyarak veri ihlali olasılığını azaltmada ve KVKK’ya uyum sağlamada kurumlara yardımcı olur. Ağda neyin bağlı olduğunu açıkça görmeye, değişiklikleri ve tehditleri tanımlamaya olanak verir.
Bir veri ihlali yaşarsanız, Cybowall ile hızlı bir şekilde keşfedebilirsiniz, böylece en kısa zamanda rapor edebilir ve gelecekteki ihlalleri önlemek için araştırma yapabilirsiniz.
Ortamınızı ve ağınıza ne bağlı olduğunu anlamak için Cybowall'ın görsel varlık haritasını (asset map) kullanın. Hangi kritik iş sistemleri kişisel bilgiler barındırıyor ve kimin erişimi var tespit edin.
Cybowall, güvenlik açıklarınızı (vulnerabilities) tespit etmenize ve yönetmenize yardımcı olur. Varsayılan parolaların değiştirilmediği yerleri ve yazılımın eski sürümlerini güncelleyecek yamaların nerede ihtiyaç olduğunu gösterir.
Cybowall'un saldırı tespit (intrusion detection-IDS) yetenekleri, ihlalleri tanımlar. Aldatma teknolojisi (deception technology), yatay hareketi (lateral movement) algılamak ve tehditleri ortaya çıkarmak için ağ kapanları (network traps) kullanır.
KVKK uyumluluğu doğrultusunda, ihlal sonrası olay analizi ve ihlal raporlaması için Cybowall'ın SIEM fonksiyonunu kullanın.
Cybowall çözümü, hem uç nokta hem de ağ olayları hakkında bilgi toplar ve analiz eder. Hat dışına takılan ve TAP/Port Mirroring aracılığıyla tüm ağ ve dahili trafiğin kopyasını alan bir sensör ile Cybowall, ağ düzeyinde bir IDS işlevi görür.
Cybowall ayrıca, diğer teknolojilerin yanı sıra, ayrıntılı adli denetim verilerini toplamak ve bunu bilinen İstismar Göstergeleri (Indicators of Compromise-IOC) ile korele etmek için WMI yeteneklerinden yararlanan Ajansız Tarama (Agentless Scan) kullanır.
Ağ genelinde aktivitenin merkezi olarak toplanmasıyla Cybowall, CVE, file hash, DNS, URL, makine isimleri (hostname), IP adresleri, domainler, URI ve file paths gibi IOC verilerini işler. Ağ Kapanı teknolojisini kullanan ve SNMP aracılığıyla ağın ana anahtarına doğrudan bağlı olan Cybowall, sürekli ağ görünürlüğü ve etkin bir ihlal tespiti sağlar.
| KVKK GEREKLİLİKLERİ (Yasal Yükümlülükteki ilgili maddeler) |
CYBOWALL ÖZELLİKLERİ | CYBOWALL İLE KAZANILAN |
|---|---|---|
| Madde 10-(1) - Veri sorumlusunun aydınlatma yükümlülüğü. (1) Kişisel verilerin elde edilmesi sırasında veri sorumlusu veya yetkilendirdiği kişi, ilgili kişilere; a) Veri sorumlusunun ve varsa temsilcisinin kimliği, b) Kişisel verilerin hangi amaçla işleneceği, c) İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, ç) Kişisel veri toplamanın yöntemi ve hukuki sebebi, d) 11 inci maddede sayılan diğer hakları, konusunda bilgi vermekle yükümlüdür. Yapılması Gerekenler : • Verilerin güvenliğini sağlamak, analiz etmek ve raporlamak için, gözetim yapım ve verilerin kurum içinde nasıl aktığını tespit edin. • Tüm sistem ve ağ aktivitelerinin, depolanan ve işlenen tüm verilerini (bulut verileri dahil) izleyin. |
• SIEM | • Cybowall’ın Güvenlik Bilgi ve Olay Yönetimi (SIEM) ve log yönetimi yetenekleri, kullanıcı ve ağ aktivitelerinin izlenmesine ve, şüpheli ve kötü niyetli davranışların tanımlanmasına olanak tanır. • Çok vektörlü çözüm, masaüstü bilgisayarlar, dizüstü bilgisayarlar, sunucular, yönlendiriciler, akıllı telefonlar, tabletler, kablolu/kablosuz ağlar, yazıcılar, IoT cihazları (kameralar, sağlık hizmeti, imalat, POS vb.) gibi uç noktaların tam kapsamı ile olay korelasyonu ve analizini, alarmları, olay müdahale ve raporlamayı mümkün kılar. |
| Madde 12-(1,2,3,4) - Veri güvenliğine ilişkin yükümlülükler. (1) Veri sorumlusu; a) Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, b) Kişisel verilere hukuka aykırı olarak erişilmesini önlemek, c) Kişisel verilerin muhafazasını sağlamak, amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır. (2) Veri sorumlusu, kişisel verilerin kendi adına başka bir gerçek veya tüzel kişi tarafından işlenmesi hâlinde, birinci fıkrada belirtilen tedbirlerin alınması hususunda bu kişilerle birlikte müştereken sorumludur. (3) Veri sorumlusu, kendi kurum veya kuruluşunda, bu Kanun hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri yapmak veya yaptırmak zorundadır. (4) Veri sorumluları ile veri işleyen kişiler, öğrendikleri kişisel verileri bu Kanun hükümlerine aykırı olarak başkasına açıklayamaz ve işleme amacı dışında kullanamazlar. Bu yükümlülük görevden ayrılmalarından sonra da devam eder. Yapılması Gerekenler : • Güvenlik açıklarının tespit edilip azaltılmasıyla veri işleme sistemlerinin ve hizmetlerinin süregelen gizliliğini, bütünlüğünü ve kullanılabilirliğini sağlayın ve riskin düşürülmesine yardımcı olmak için varlıkları güvence altına alın. • Kötüye kullanılabilecek zayıflıkları belirleyin ve hassas verileri depolayan veya işleyen varlıkların eksiksiz bir envanterine dayalı olarak daha sıkı kontroller uygulayın. |
• Varlık Haritalama (Asset Mapping) • Güvenlik Açığı Değerlendirme (Vulnerability Assessment) |
• Varlık haritalama, port profilleri ve aktiviteleri dahil tüm uç noktaların sürekli güncellenen envanterini sağlayarak ağ görünürlüğünü artırır. Bir kurumun sistem yapılandırması ve güvenlik duruşunun bütünsel bir görünümünü sağlar. • Entegre güvenlik açığı değerlendirmesi, ayrıntılı adli denetim verileri toplayarak ve bunu bilinen İstismar Göstergeleri (IOC) ile korele ederek, risklerin kapsamlı bir analizini ve önceliklendirilmesini sağlar. Ağdaki güvenlik açıklarını uç nokta taramasıyla belirler ve güvenlik açığının önem derecesini tespit eder; denetçi inceleme ve değerlendirmelerini ve, yama yönetimi önceliklendirmesini kolaylaştırır. |
| Madde 12-(5) - Veri güvenliğine ilişkin yükümlülükler. (5) İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir. Kurul, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebilir. Yapılması Gerekenler : • Bir ihlal meydana geldiğinde derhal tespit etmek için tehdit algılama kontrollerini uygulayın; Yönetmeliğe göre, ihlal tespit edildikten sonra en kısa sürede Kurulun haberdar edilmesini gerekmektedir. • Hızlı olay araştırması ve müdahale için ağ trafiğinin sürekli izlenmesi gerekir. Kurumlar, olası olumsuz etkilerini hafifletme önlemleri dahil olmak üzere, ihlali nasıl ele alacaklarını belirlemelidirler. |
• Saldırı Tespit (Intrusion Detection-IDS) • Ağ Kapanları (Network Traps) • SIEM |
• Saldırı tespiti, ağ ve uç noktaların sürekli izlenmesi, ihlalleri hızlı bir şekilde tespit etmek için gelen ve giden tüm ağ trafiğinin görünürlüğünü sağlar. • Ağ kapanları, uç noktalar arasındaki yatay (lateral) hareketleri sezmeyi ve aktif saldırıları zamanında keşfederek ağ içindeki tehditleri ve veri ihlallerini algılamayı sağlar. • Sezgisel bir kullanıcı arabirimi aracılığıyla optimize edilmiş izleme ve ihlal algılama, tutarsızlıklar ve anormal davranışlar dahil olmak üzere bir veri ihlali için maksimum görünürlük sağlar. Entegre raporlama, denetim incelemelerini kolaylaştırır. |
