Kişisel Verileri Koruma Kurumu’nun sitesinde kullanıcı güvenliğine ilişkin veri sorumluları tarafından alınması tavsiye edilen teknik ve idari tedbirlere ilişkin kamuoyu duyurusu yayınlandı.
Kamu Duyurusu’nun Amacı:
Firmalara, almaları tavsiye edilen teknik ve idari tedbirlere ilişkin bilgilendirme yapmak.
Son zamanlarda Kurum’a intikal eden veri ihlal bildirimleri değerlendirilmiş; finans, e-ticaret, sosyal medya ve oyun gibi muhtelif sektörlerde faaliyet gösteren veri sorumlularının internet sitesine giriş için kullanılan hesap bilgilerinin bazı internet sitelerinde herkese açık şekilde yayınlandığı görülmüş. Söz konusu kullanıcı hesaplarını elde eden üçüncü kişilerce anılan veri sorumlularının internet sitelerine kullanıcıların haberi olmadan aktif bir şekilde giriş yapıldığı ve ilgili kişilere ait verilerin bu kapsamda görüntülenebildiği tespit edilmiş.
Bu kapsamda veri sorumlularının;
- Çift kademeli kimlik doğrulama (two-factor authentication) sistemlerini kurmaları ve kullanıcılarına üyelik başvurusu aşamasından itibaren alternatif güvenlik önlemi olarak sunmaları,
- Kullanıcıların hesaplarına sık erişim sağlayan cihazlar haricinde farklı cihazlar üzerinden giriş yapılması durumunda, giriş bilgilerinin e-posta/sms vb. yöntemlerle ilgili kişilerin iletişim adreslerine iletilmesinin sağlanması,
- Uygulamaların HTTPS (Hypertext Transfer Protocol Secure - Hiper Metin Aktarma Güvenli İletişim Kuralı) ile veya aynı güvenlik seviyesini sağlayacak bir şekilde koruma altına alınması,
- Kullanıcı parolalarının, siber saldırı yöntemlerine karşı korunmasını teminen, güvenli ve güncel karma (hashing) algoritmaların kullanılması,
- İlgili kişilerin en az son 5 adet başarılı ve başarısız giriş denemeleri ile ilgili bilgilerini görüntüleyebilmelerinin sağlanması,
- İlgili kişilere aynı parolanın birden fazla platformda kullanılmaması gerektiğinin hatırlatılması,
- Veri sorumluları tarafından parola politikasının oluşturulması ve kullanıcılara ait parolaların belirli aralıklarla değiştirilmesinin sağlanması veya bu hususun ilgili kişilere hatırlatılması,
- Yeni oluşturulan parolaların, eski parolalarla (en az son üç parolayla) aynı olmasının engellenmesi, kullanıcı hesaplarına girişlerde bilgisayar ile insan davranışlarını ayırt edici güvenlik kodu gibi teknolojilerin (CAPTCHA, dört işlem vb.) kullanılması, erişime izin verilen IP adreslerinin sınırlandırılması,
- Veri sorumlularının sistemlerine giriş yapılan parolaların uzunluğunun asgari 10 karakter olması, büyük-küçük harf, rakam ve özel karakterlerin bir arada kullanılmasına yönelik güçlü parola oluşturulmasının sağlanması,
Veri sorumlularının sistemlerine giriş için üçüncü parti yazılımlar veya servisler kullanılıyorsa bu yazılımların ve servislerin güvenlik güncelleştirmelerinin düzenli olarak gerçekleştirilmesi ve gerekli kontrollerin yapılması gibi teknik ve idari tedbirlerden kendi risk değerlendirmelerini yaparak uygun olanlarını almaları tavsiye edilmiştir.
Duyurunun detaylarına, https://www.kvkk.gov.tr/Icerik/7177/Kullanici-Guvenligine-Iliskin-Veri-Sorumlulari-Tarafindan-Alinmasi-Tavsiye-Edilen-Teknik-ve-Idari-Tedbirlere-Iliskin-Kamuoyu-Duyurusu adresinden ulaşabilirsiniz.
Elips bu konuda nasıl destek oluyor?
Elips Grupları olarak, KVKK’ya Uyum Danışmanlığı Hizmetlerimizle firmaların kişisel verilerin korunması konusundaki idari ve teknik gereksinimlerini karşılayarak, sizlere tek bir firmayla anahtar çözüm sunuyoruz.
Detaylı bilgi için, aşağıdaki sunumumuzu inceleyebilir; elips@elips.com e-posta adresiden veya 0212 377 02 00 telefon numarasından bizimle iletişime geçerek, deneyimli kadromuzla ücretsiz görüşme talep edebilirsiniz.
Sizler de, firmanızı KVKK’ya Uyum Danışmanlığı Hizmetlerimiz ile güvenle koruyabilirsiniz. Sizlerden haber bekliyoruz.