Turkey: Kişisel Verileri Koruma Kurulu, Veri Sorumluları Tarafından Kullanıcı Güvenliğine İlişkin Alınması Tavsiye Edilen Teknik Ve İdari Tedbirlere İlişkin Kamuoyu Duyurusu Yayımladı

Kisisel Verileri Koruma Kurulu ("Kurul") teknik tedbirlere iliskin yayimlamis oldugu rehberden sonra veri sorumlulari tarafindan hangi teknik tedbirlerin alinmasi gerektigi ve gerekçelerine iliskin bir de kamuoyu duyurusu yayimladi.

15 Subat 2022 tarihli duyurunun önemli hususlari asagidaki gibidir:

• Kurul'a son zamanlarda intikal eden veri ihlal bildirimleri, 6698 sayili Kisisel Verilerin Korunmasi Kanunu'nun 12. maddesi uyarinca veri sorumlularinin uygun veri güvenligi düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbiri alma yükümlülügü kapsaminda degerlendirilmistir.
• Özellikle finans, e-ticaret, sosyal medya ve oyun gibi sektörlerde faaliyet gösteren veri sorumlularina ait internet sitelerine giriste kullanilan kullanici hesap bilgileri (kullanici adi ve parola) bazi internet sitelerinde herkese açik sekilde yayinlanmaktadir.
• Kullanici hesap bilgilerinin üçüncü kisilerce elde edilmesi sonucu;

tespit edilmistir.

• Kurul, veri sorumlularinin ve veri isleyenlerin veri sorumlulugu kapsaminda alacaklari teknik ve idari tedbirler ile olasi veri ihlallerini engelleyerek ilgili kisiler üzerinde olusan riskin asgari düzeye indirgenebilecegi belirtmistir.
• Yaygin olarak yasanan veri ihlallerinin önlenebilmesi ve veri ihlalinin gerçeklesmesi hâlinde ilgili kisinin zarar görme olasiliginin azaltilmasi için veri sorumlularinin risk degerlendirmelerini yaparak gerekli teknik ve idari önlemleri almalari Kurul tarafindan tavsiye edilmistir.

Kurul tarafindan önerilen önlemler asagidaki gibidir:

• Çift kademeli kimlik dogrulama (two-factor authentication) sistemlerini kurmalari ve kullanicilarina üyelik basvurusu asamasindan itibaren alternatif güvenlik önlemi olarak sunmalari,
• Kullanicilarin hesaplarina sik erisim saglayan cihazlar haricinde farkli cihazlar üzerinden giris yapilmasi durumunda, giris bilgilerinin e-posta, SMS ve benzeri yöntemlerle ilgili kisilerin iletisim adreslerine iletilmesinin saglanmasi,
• Uygulamalarin HTTPS (Hypertext Transfer Protocol Secure – Hiper Metin Aktarma Güvenli Iletisim Kurali) ile veya ayni güvenlik seviyesini saglayacak sekilde koruma altina alinmasi,
• Kullanici parolalarinin, siber saldiri yöntemlerine karsi korunmasini teminen, güvenli ve güncel karma (hashing) algoritmalarin kullanilmasi,
• IP (Internet Protocol Address) adresinden yapilacak basarisiz giris denemesi sayisinin sinirlandirilmasi,
• Ilgili kisilerin en az son bes adet basarili ve basarisiz giris denemeleri ile ilgili bilgilerini görüntüleyebilmelerinin saglanmasi,
• Ilgili kisilere ayni parolanin birden fazla platformda kullanilmamasi gerektiginin hatirlatilmasi,
• Veri sorumlulari tarafindan parola politikasinin olusturulmasi ve kullanicilara ait parolalarin belirli araliklarla degistirilmesinin saglanmasi veya bu hususun ilgili kisilere hatirlatilmasi,
• Yeni olusturulan parolalarin, eski parolalarla (en az son üç parolayla) ayni olmasinin engellenmesi, kullanici hesaplarina girislerde bilgisayar ile insan davranislarini ayirt edici güvenlik kodu gibi teknolojilerin (CAPTCHA, dört islem gibi) kullanilmasi, erisime izin verilen IP adreslerinin sinirlandirilmasi,
• Veri sorumlularinin sistemlerine giris yapilan parolalarin uzunlugunun asgari 10 karakter olmasi, büyük-küçük harf, rakam ve özel karakterlerin bir arada kullanilmasina yönelik güçlü parola olusturulmasinin saglanmasi,
• Veri sorumlularinin sistemlerine giris için üçüncü parti yazilimlar veya servisler kullaniliyorsa bu yazilimlarin ve servislerin güvenlik güncellestirmelerinin düzenli olarak gerçeklestirilmesi ve gerekli kontrollerin yapilmasi.

Duyurunu tamam metnine bu baglantidan ulasabilirsiniz.

Yazi ilk olarak, Moroglu Arseven'in iki haftada bir yayimlanan bülteni MA | Gazette'de yer almistir.

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.