Kişisel Verileri Koruma Kurumu veri sızıntılarına karşı tedbirleri açıkladı

Kişisel Verileri Koruma Kurumu (“Kurum”), 15 Şubat 2022’de yayınladığı Kullanıcı Güvenliğine İlişkin Veri Sorumluları Tarafından Alınması Tavsiye Edilen Teknik ve İdari Tedbirlere İlişkin Kamuoyu Duyurusu’nda Kurum’a intikal eden, kişisel giriş bilgilerinin üçüncü kişiler tarafından ele geçirilerek açık olarak yayınlanması suretiyle gerçekleşen ihlallerin arttığını, ve sorumluların alması gereken tedbirleri açıkladı.

İdari ve teknik tedbirler kapsamında, sorumluların;

  • Çift kademeli kimlik doğrulama (two-factor authentication) sistemlerini kurmaları ve kullanıcılarına üyelik başvurusu aşamasından itibaren alternatif güvenlik önlemi olarak sunmaları,
  • Kullanıcıların hesaplarına sık erişim sağlayan cihazlar haricinde farklı cihazlar üzerinden giriş yapılması durumunda giriş bilgilerinin e-posta/SMS vb. yöntemlerle ilgili kişilerin iletişim adreslerine iletilmesinin sağlanması,
  • Uygulamaların HTTPS ile veya aynı güvenlik seviyesini sağlayacak bir şekilde koruma altına alınması,
  • Kullanıcı parolalarının, siber saldırı yöntemlerine karşı korunmasını teminen, güvenli ve güncel karma (hashing) algoritmaların kullanılması,
  • IP adresinden yapılacak başarısız giriş denemesi sayısının sınırlandırılması,
  • İlgili kişilerin en az son 5 adet başarılı ve başarısız giriş denemeleriyle ilgili bilgilerini görüntüleyebilmelerinin sağlanması,
  • İlgili kişilere aynı parolanın birden fazla platformda kullanılmaması gerektiğinin hatırlatılması,
  • Veri sorumluları tarafından parola politikasının oluşturulması ve kullanıcılara ait parolaların belirli aralıklarla değiştirilmesinin sağlanması veya bu hususun ilgili kişilere hatırlatılması,
  • Yeni oluşturulan parolaların, eski parolalarla (en az son üç parolayla) aynı olmasının engellenmesi, kullanıcı hesaplarına girişlerde bilgisayar ile insan davranışlarını ayırt edici güvenlik kodu gibi teknolojilerin (CAPTCHA, dört işlem vb.) kullanılması, erişime izin verilen IP adreslerinin sınırlandırılması,
  • Veri sorumlularının sistemlerine giriş yapılan parolaların uzunluğunun asgari 10 karakter olması, büyük-küçük harf, rakam ve özel karakterlerin bir arada kullanılmasına yönelik güçlü parola oluşturulmasının sağlanması,
  • Veri sorumlularının sistemlerine giriş için üçüncü parti yazılımlar veya servisler kullanılıyorsa bu yazılımların ve servislerin güvenlik güncelleştirmelerinin düzenli olarak gerçekleştirilmesi ve gerekli kontrollerin yapılması

gibi teknik ve idari tedbirlerden kendi risk değerlendirmelerini yaparak uygun olanlarını almaları gerekiyor.

G. Begüm Kayum

Esq. Kayum & Demir Avukatlık Ortaklığı – Yönetici Ortak

Yeditepe Üniversitesi Hukuk Fakültesi Öğretim Üyesi

 

Bu yazı ilk kez Campaign Türkiye’nin 122. sayısında yayımlanmıştır.

Bunları da beğenebilirsin

Cevap bırakın

E-posta hesabınız yayımlanmayacak.