Hemen başlayın
Siber Güvenlik Rehberi

KVKK kapsamında siber güvenlik: teknik ve idari tedbirler

6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK), veri sorumlularından kişisel verileri uygun teknik ve idari tedbirlerle korumayı zorunlu kılar. Siber güvenlik, KVKK uyumunun ayrılmaz parçasıdır: erişim kontrolü, şifreleme, log yönetimi ve olay müdahale süreçleri hem mevzuat hem operasyonel güvenlik için gereklidir. SG Danışmanlık KVKK uyum danışmanlığı hizmetiyle veri envanterinizi, teknik kontrollerinizi ve ihlal bildirim prosedürlerinizi birlikte değerlendirir.

KVKK uyum danışmanlığı ve kişisel veri güvenliği
  • Yazar: SG Danışmanlık
  • 1 Haziran 2026
  • 11 dk okuma

KVKK ve siber güvenlik ilişkisi

KVKK Madde 12, veri sorumlusunun kişisel verilerin güvenliğini sağlamak için gerekli her türlü teknik ve idari tedbirleri almasını öngörür. Siber saldırılar — veri sızdırma, fidye yazılımı, yetkisiz erişim — doğrudan KVKK ihlali ve idari para cezası riski taşır.

Teknik tedbirler erişim yönetimi, ağ güvenliği, şifreleme ve yedekleme gibi kontrolleri kapsar. İdari tedbirler politika, eğitim, sözleşmeler ve olay müdahale prosedürlerini içerir. İkisi birbirinden bağımsız değildir; denetimde her iki taraf da sorulur.

Veri envanteri ve sınıflandırma

KVKK uyum sürecinin temeli, hangi kişisel verinin nerede işlendiğini bilmektir. Veri envanteri; toplama kanalı, saklama süresi, aktarım tarafları ve silme/imha prosedürlerini kayıt altına alır. Envanter olmadan risk değerlendirmesi ve tedbir planı eksik kalır.

Veri sınıflandırması (genel, hassas, özel nitelikli) teknik kontrollerin yoğunluğunu belirler. Sağlık ve biyometrik veri gibi özel nitelikli kişisel veriler ek şifreleme, erişim kısıtı ve log izleme gerektirir.

  • Kişisel veri işleme envanteri (VERBİS uyumu dahil)
  • Veri akış diyagramları ve üçüncü taraf aktarımları
  • Saklama süreleri ve imha prosedürleri
  • Özel nitelikli veri için ek kontroller
  • Veri sorumlusu–veri işleyen sözleşmeleri

Teknik tedbirler: erişim, şifreleme ve log yönetimi

Erişim kontrolünde en az ayrıcalık ilkesi, rol tabanlı yetkilendirme (RBAC) ve çok faktörlü kimlik doğrulama (MFA) temel gereksinimlerdir. Admin hesapları ayrı yönetilmeli; paylaşımlı hesaplar kaldırılmalıdır.

Kişisel veri içeren sistemlerde aktarım ve saklama şifrelemesi (TLS, AES) uygulanmalıdır. Log yönetimi KVKK açısından kritiktir: kim hangi veriye ne zaman erişti sorusuna yanıt verebilmek için yeterli log toplanmalı ve saklama süreleri tanımlanmalıdır.

Sızma testi ve zafiyet taramaları teknik tedbirlerin etkinliğini doğrular. Yıllık penetrasyon testi birçok sektörde hem KVKK hem düzenleyici denetimler için kanıt niteliği taşır.

İdari tedbirler ve farkındalık

Bilgi güvenliği politikası, erişim yönetimi prosedürü, olay müdahale planı ve gizlilik taahhütnameleri idari tedbir setinin parçasıdır. Çalışanlara yönelik KVKK ve siber güvenlik eğitimleri periyodik olarak tekrarlanmalıdır.

Tedarikçi ve bulut hizmet sağlayıcılarıyla KVKK uyumlu sözleşmeler imzalanmalı; alt veri işleyen zinciri dokümante edilmelidir. Veri işleyen değişikliklerinde envanter güncellenmelidir.

Veri ihlali bildirimi ve olay müdahale

KVKK kapsamında kişisel veri ihlali tespit edildiğinde, Kurul'a ve ilgili kişilere bildirim yükümlülükleri devreye girer. Olay müdahale planı bu süreci hızlandırır: ihlalin kapsamı, etkilenen kişi sayısı ve alınan önlemler sistematik biçimde belgelenir.

Siber olay müdahale ekibi ile KVKK uyum sorumlusu koordineli çalışmalıdır. Kanıt toplama, sistem izolasyonu ve kök neden analizi yasal sürelerle uyumlu ilerlemelidir.

KVKK uyum danışmanlığı süreci

SG Danışmanlık KVKK uyum danışmanlığında gap analizi ile başlar: mevcut envanter, politikalar ve teknik kontroller değerlendirilir. Eksik maddeler için uygulanabilir aksiyon planı hazırlanır; sızma testi ve SOC danışmanlığı gerektiğinde aynı programda koordine edilir.

Uyum tek seferlik bir rapordan ibaret değildir; yıllık gözden geçirme, eğitim tekrarı ve test takvimi ile sürdürülür.

KVKK ve teknik doğrulama: sızma testi rolü

Politika ve prosedürler idari uyumun temelidir; ancak teknik kontrollerin gerçekten çalıştığını göstermek için sızma testi ve zafiyet doğrulaması gerekir. Özellikle kişisel veri barındıran web uygulamaları ve API katmanları yıllık test kapsamına alınmalıdır.

Bütüncül uyum programı için KVKK uyum danışmanlığı ile teknik tedbirler birlikte ele alınır. Teknik doğrulama sızma testi raporlarıyla desteklenir; ihlal anında siber olay müdahale süreci devreye girer.

KVKK uyum kontrol listesi (teknik odak)

  • Kişisel veri barındıran sistemlerde erişim logları
  • Veri aktarımında TLS ve saklamada şifreleme
  • Veri minimizasyonu ve gereksiz kopyaların temizlenmesi
  • Tedarikçi erişimlerinin periyodik gözden geçirilmesi
  • İhlal bildirim prosedürünün yıllık tatbikatı

Pratik kontrol listesi

  • Kişisel veri envanteri güncel mi?
  • MFA tüm kritik sistemlerde zorunlu mu?
  • Log saklama süreleri KVKK ve operasyon ihtiyacına uygun mu?
  • Veri ihlali bildirim prosedürü yazılı ve test edilmiş mi?
  • Yıllık sızma testi planlandı mı?

Sonuç

KVKK kapsamında siber güvenlik, teknik kontroller ile idari süreçlerin birlikte yönetilmesini gerektirir. Veri envanteri, erişim yönetimi, log izleme ve olay müdahale planı bir arada olmadığında uyum eksik kalır.

KVKK uyum danışmanlığı ve teknik doğrulama hizmetlerimiz için ücretsiz ön değerlendirme talep edin.

Ücretsiz ön değerlendirme için iletişim sayfamızdan bize ulaşın veya hizmetlerimiz sayfasından kapsamı inceleyin.

Sık sorulan sorular

Kanun metninde "sızma testi" ifadesi geçmez; ancak "gerekli teknik tedbirler" kapsamında zafiyetlerin tespiti ve kapatılması beklenir. Birçok sektör düzenlemesi ve denetim pratiği yıllık penetrasyon testini kanıt olarak ister.

Siber güvenliğinizi şansa bırakmayın.

Ücretsiz danışmanlık için hemen bizimle iletişime geçin.
Ücretsiz danışmanlık alın
Danışmanlık görseli