Buaze ana sayfa
VERİ İHLALİ

Veri İhlali Müdahale Politikası

ÖZET

Kişisel veri ihlali tespiti, KVKK Kurul bildirimi (72 saat) ve ilgili kişilerin bilgilendirilmesi prosedürü.

1. Amaç#

Bu politika, Buaze ("Buaze") sistemlerinde gerçekleşebilecek veri ihlali olaylarının tespiti, sınıflandırılması, raporlanması ve bildirilmesi süreçlerini düzenler. KVKK m. 12/5 ve Kişisel Verileri Koruma Kurulu'nun 24.01.2019 tarih ve 2019/10 sayılı kararı temel alınmıştır.

2. Veri ihlali tanımı#

Veri ihlali; kişisel verilerin kanuna aykırı olarak elde edilmesi, ifşa edilmesi, değiştirilmesi, silinmesi veya yetkisiz erişime maruz kalmasıdır. Örnekler:

  • Yetkisiz kişinin sistemlere erişimi,
  • Veri tabanı yedeğinin sızdırılması,
  • Çalınan / kaybolan cihazda kişisel veri bulunması,
  • Yanlış yapılandırma sonucu verilerin internet üzerinde açıkta kalması,
  • Phishing yoluyla personel hesabının ele geçirilmesi,
  • Üçüncü taraf tedarikçide gerçekleşen ve Buaze'ye sıçrayan ihlal,
  • Fidye yazılımı (ransomware) saldırısı.

İhlal şüphesi de bu prosedürü tetikler — kesinlik aranmaz; tedbir önceliklidir.

3. Müdahale ekibi#

  • Bilgi Güvenliği Sorumlusu (lider) — koordinasyon, karar
  • Yazılım Mühendisi (teknik) — log analizi, kapatma
  • Hukuk (legal@buaze.com) — bildirim metni, hukuki süreç
  • Veri Sorumlusu Temsilcisi — VERBİS güncelleme

4. Müdahale aşamaları#

Aşama 1 — Tespit (T+0)#

Anomali tespiti otomatik (Sentry alert, SIEM, izinsiz giriş alarmı) veya manuel (kullanıcı şikâyeti, dış bildirim) yapılabilir. Tespit anında:

  • Olay support@buaze.com adresine raporlanır.
  • Müdahale ekibi içinde olay bildirilir.

Aşama 2 — Çevreleme (T+0 — T+24 saat)#

  • Etkilenen sistem izole edilir; saldırının yayılması engellenir.
  • Kanıtlar korunur (snapshot, log, hash).
  • Geçici düzeltmeler uygulanır (ilgili hesap askıya alma, parola sıfırlama, oturum revoke).

Aşama 3 — Değerlendirme (T+24 saat içinde)#

  • Etkilenen veri kategorisi (kimlik, iletişim, müşteri yorumu, kredi kartı vb.).
  • Etkilenen ilgili kişi sayısı tahmini.
  • İhlalin "yüksek risk" oluşturup oluşturmadığı değerlendirilir.
  • Etkilenen müşteri varsa ilgili işletmeye 24 saat içinde bildirim (DPA m. 8).

Aşama 4 — Bildirim (T+72 saat içinde)#

KVKK Kurulu'na bildirim (Buaze'nin veri sorumlusu olduğu durumda):

Kurul'un veri ihlali bildirim formu ile yapılır (https://veriihlalibildirimi.kvkk.gov.tr). Form içeriği:

  • İhlalin gerçekleştiği zaman ve süre,
  • İhlal türü (yetkisiz erişim, ifşa, kayıp, vb.),
  • Etkilenen kişisel veri kategorileri,
  • Etkilenen kişi sayısı (yaklaşık),
  • Olası sonuçlar,
  • Alınan / alınacak teknik ve idari tedbirler.

Veri sorumlusuna bildirim (Buaze veri işleyen ise):

İşletme (veri sorumlusu), kendi yükümlülüğü olan Kurul bildirimini gerçekleştirebilmesi için en geç 24 saat içinde DPA m. 8 uyarınca bilgilendirilir; gerekli teknik ve hukuki destek sağlanır.

İlgili kişilere bildirim (yüksek risk varsa):

Yüksek risk değerlendirilen ihlallerde, etkilenen kullanıcılara makul sürede ve uygun yolla (e-posta, panel mesajı) bildirim yapılır. Bildirim açık ve sade dilde:

  • İhlalin niteliği,
  • Olası sonuçlar,
  • Kullanıcının alabileceği önlemler (parola değişimi, dolandırıcılık takibi),
  • İletişim için support@buaze.com.

Aşama 5 — Kök neden analizi (T+30 gün içinde)#

  • 5-Why veya RCA metodolojisi ile kök sebep belirlenir.
  • Düzeltici aksiyon planı hazırlanır (kod fix, mimari değişiklik, eğitim ihtiyacı).
  • Etkilenen sistemde benzer ihlal tekrarını önleyecek kontroller eklenir.

Aşama 6 — Belgeleme#

  • Tüm olaylar veri ihlali kayıt defterine işlenir (KVKK Kurulu denetimine açık).
  • Olay raporu en az 5 yıl saklanır.

5. İçeriden gelen bildirimleri teşvik#

Personel, müşteri veya üçüncü taraf, ihlal şüphesini ihbar etmek için aşağıdaki kanallardan birini kullanabilir:

  • support@buaze.com (kişisel veri ihlali)
  • legal@buaze.com (hukuki şüphe)
  • Anonim ihbar formu (ileride eklenecek)

İyi niyetle yapılan ihbarcılar için misilleme yasağı uygulanır.

6. Yıllık tatbikat#

Müdahale ekibi her yıl bir tatbikat yapar:

  • Senaryo bazlı simülasyon (örn. veri tabanı sızıntısı),
  • Bildirim metinleri prova edilir,
  • Süreç boşlukları belirlenip prosedüre eklenir.

7. Şeffaflık#

İhlal sonrası süreç tamamlandıktan sonra (kanıt korumayı tehlikeye atmadan), kişisel veri içermeyen bir özet açıklama yayımlanabilir. KVKK Kurulu'nun bildirim formuna kamuya açık erişim Kurul tarafından sağlanır.

8. İletişim#

  • Veri ihlali bildirimi: support@buaze.com
  • Hukuki danışma: legal@buaze.com
Sorularınız için legal@buaze.com