KVKK Uyumluluk Rehberi
Kişisel Verilerin Korunması Kanunu (KVKK) kapsamında Corsecure'un uyumluluk yapılandırması ve veri yönetimi rehberi.
1. Corsecure ve KVKK
Corsecure, KVKK'nın gerektirdiği teknik ve idari tedbirleri tasarım aşamasından itibaren (Privacy by Design) bünyesinde barındırır:
- Verileriniz sizin GCP hesabınızda saklanır — Corsecure'un erişimi yoktur.
- Tüm iletişim uçtan uca şifrelenir (WireGuard).
- Erişim kontrol listeleri (ACL) ile en az erişim prensibi uygulanır.
- Tüm işlemler denetim günlükleriyle kayıt altına alınır.
Pro İpucu: Corsecure'un mimari yapılanması, veri sorumlusu (sizin organizasyonunuz) ile veri işleyen (Corsecure) arasında net bir ayrım sağlar. Bu, KVKK'nın "veri işleme sözleşmesi" gereksinimini karşılar.
💼 Senaryo: KVKK Denetimi
Kişisel Verileri Koruma Kurumu büronuza denetim bildirimi gönderdi. Corsecure'un KVKK uyumluluk panelinden uyumluluk skorunuzu, denetim günlüklerinizi ve veri işleme envanterinizi tek tıkla dışa aktararak denetçilere sunabilirsiniz.
2. Uyumluluk Kontrol Listesi
Aydınlatma Metni
Kullanıcılara hangi verilerin, neden ve nasıl işlendiğini açıklayan metin. Corsecure kayıt sırasında otomatik sunar.
Açık Rıza Mekanizması
Kullanıcı onayının alınması. Corsecure, kayıt ve veri işleme öncesi açık rıza formu sunar.
Veri Envanteri
İşlenen verilerin kategorize listesi. Dashboard'dan indirilebilir.
Veri Sorumlusu Kaydı
VERBİS'e kayıt bildirimi. Corsecure gerekli veri kategorilerini raporlar.
Teknik Tedbirler
Şifreleme (AES-256, WireGuard), erişim kontrolü (ACL), ağ segmentasyonu. Tümü varsayılan olarak aktif.
Denetim Günlükleri
Tüm kullanıcı işlemlerinin kaydı. Değiştirilemez (immutable) log yapısı.
3. Veri İşleme
Hangi Veriler Toplanır?
| Veri Türü | Amaç | Saklama Süresi |
|---|---|---|
| E-posta adresi | Hesap kimlik doğrulama | Hesap silinene kadar |
| Ad, soyad | Ekip üyesi tanımlama | Hesap silinene kadar |
| Cihaz bilgileri | Ağ yönetimi ve güvenlik | Cihaz silinene kadar |
| Bağlantı logları | Denetim ve sorun giderme | 90 gün |
| Faturalandırma bilgileri | Ödeme işleme | Yasal zorunluluk süresi (10 yıl) |
Nerede Saklanır?
- Trafik verileri: Sizin GCP hesabınızda, seçtiğiniz bölgede (örn. europe-west1, europe-west3).
- Hesap ve faturalandırma verileri: Corsecure altyapısında, Avrupa bölgelerinde (EU).
Ne Kadar Süre Saklanır?
Veriler yalnızca işleme amacıyla gerekli olduğu süre boyunca saklanır. Bağlantı logları 90 gün sonra otomatik silinir. Hesap silindiğinde tüm kişisel veriler 30 gün içinde kalıcı olarak imha edilir.
4. Veri Talepleri
KVKK kapsamında ilgili kişiler (kullanıcılar) aşağıdaki haklara sahiptir:
Dışa Aktarma Talebi
- Dashboard → Ayarlar → Gizlilik sayfasına gidin.
- "Verilerimi Dışa Aktar" butonuna tıklayın.
- Sistem verilerinizi hazırlar ve indirme linki e-posta ile gönderilir.
- Dışa aktarma formatı: JSON (makine okunabilir).
Silme Talebi
- Dashboard → Ayarlar → Gizlilik sayfasına gidin.
- "Hesabımı ve Verilerimi Sil" butonuna tıklayın.
- Onay adımını tamamlayın (şifre ve MFA doğrulaması gerekir).
- Silme işlemi 30 gün içinde geri döndürülmez şekilde tamamlanır.
Uyarı: Hesap silme işlemi geri alınamaz. Silme öncesi tüm verilerinizi dışa aktarmanızı öneriyoruz. Owner rolü başkasına devredilmemişse organizasyonun tamamının verileri silinir.
5. Denetim Günlükleri
Corsecure tüm yönetimsel işlemleri otomatik olarak kaydeder. Bu günlükler değiştirilemez (immutable) yapıdadır ve KVKK denetimleri için kullanılabilir.
Kaydedilen İşlemler
- Kullanıcı giriş / çıkış işlemleri
- Cihaz ekleme / silme
- ACL politika değişiklikleri
- Ekip üyesi davet / çıkarma
- Sunucu oluşturma / silme
- Rol değişiklikleri
Dışa Aktarma (CSV)
- Dashboard → Güvenlik → Denetim Günlükleri sayfasına gidin.
- Tarih aralığı ve işlem türünü filtreleyebilirsiniz.
- "CSV Olarak İndir" butonuyla günlükleri dışa aktarın.
Pro İpucu: Düzenli olarak (örneğin ayda bir) denetim günlüklerini dışa aktarın ve kurumsal arşivleme sisteminizde saklayın. KVKK denetimlerinde bu kayıtlar önemli kanıt niteliği taşır.