Türkiye’de e-posta sunucusu yönetirken belirli yasalara uymanız şarttır. Çünkü bu süreç, sadece teknik bir işlem değil, aynı zamanda yasal bir sorumluluktur. Özellikle 6698 Sayılı KVKK ve 5651 Sayılı Kanun kritik öneme sahiptir. Bu nedenle, aşağıdaki adımları takip ederek hem güvenliği sağlayın hem de cezalardan korunun.
1. Veri Güvenliği ve Şifreleme
- İletişim Güvenliğini Sağlayın: Sunucu iletişiminde eski protokolleri derhal kapatın. Bunun yerine, güncel TLS 1.2 veya 1.3 şifreleme algoritmalarını kullanın.
- Verileri Şifreleyin: Disk üzerindeki posta veritabanını şifreli olarak saklayın. Böylece, fiziksel bir hırsızlık durumu yaşansa bile verileriniz güvende kalır.
- Kimlik Sahteciliğini Önleyin: Alan adı itibarınızı korumak için SPF, DKIM ve DMARC kayıtlarını eksiksiz yapın. Ayrıca, bu kayıtları mutlaka “Reject” modunda çalıştırın.
2. Erişim Kontrolü ve Kimlik Yönetimi
- Erişimi Kısıtlayın: Yönetim panellerine herkesin girmesine izin vermeyin. Aksine, sadece yetkili personel erişim sağlamalıdır.
- Çok Faktörlü Kimlik Doğrulama (MFA) Kullanın: Hesap güvenliğini artırmak istiyorsanız, buna ek olarak İki Faktörlü Kimlik Doğrulama (2FA) sistemini zorunlu hale getirin.
- Güçlü Parolalar Belirleyin: Basit şifreleri engelleyin. Sonuç olarak, sisteminiz karmaşık parolaları ve düzenli şifre değişimini zorlamalıdır.
3. Loglama ve 5651 Uyumluluğu
- Zaman Damgası Kullanın: Erişim ve trafik loglarını sadece tutmak yetmez. Çünkü 5651 Sayılı Kanun gereği, bu kayıtları Zaman Damgası ile imzalamanız gerekir.
- Logları Saklayın: Yasal zorunlulukları yerine getirmek için log kayıtlarını en az 2 yıl boyunca saklayın.
- Anormallikleri İzleyin: Başarısız giriş denemelerini anlık olarak takip edin. Bunun için SIEM araçlarından faydalanabilirsiniz.
4. Veri İmhası ve Minimizasyon
- Envanter Oluşturun: İlk olarak, sunucunuzda hangi verilerin işlendiğini belirleyin. Daha sonra, bu verileri VERBİS kaydınızla uyumlu hale getirin.
- Güvenli İmha Yapın: Saklama süresi dolan e-postaları kalıcı olarak silin. Bu aşamada, geri döndürülemeyecek imha yöntemlerini (secure wipe) tercih edin.
5. Veri Lokasyonu (Kritik Madde)
- Verileri Türkiye’de Tutun: Örneğin, 2019/12 Sayılı Genelge uyarınca verilerinizi ülke sınırları içinde barındırmanız gerekir. Dolayısıyla, kamu kurumları için bu durum zorunludur.
- Yurt Dışı Riskine Dikkat Edin: Yurt dışı kaynaklı sunucular kullanmak “Veri Aktarımı” sayılır. Bundan dolayı, yerli veri merkezlerini tercih etmelisiniz.
6. Yedekleme ve İş Sürekliliği
- Yedekleri İzole Edin: Fidye yazılımı saldırılarına karşı önlem alın. Bu sebeple, yedeklerinizi ana ağdan bağımsız ve çevrimdışı bir ortamda saklayın.
- Felaket Planı Yapın: Olası bir felaket senaryosuna karşı, verilerinizin bir kopyasını mutlaka farklı bir fiziksel lokasyonda tutun.
Bu konuda uzman desteği isterseniz size yardımcı olabiliriz.