Yasal yükümlülükler ışığında sunucu yapılandırması nasıl yapılmalıdır.

Yazan /

Türkiye’de e-posta (mail) sunucusu kurulumu ve işletilmesi sırasında, Kişisel Verilerin Korunması Kanunu (KVKK) ve ilgili Cumhurbaşkanlığı Kararnameleri kapsamında aşağıdaki teknik ve idari gereksinimlere dikkat edilmesi gerekir. Bu gereksinimler; kişisel verilerin güvenliği, veri gizliliği, erişim denetimleri, saklama ve imha politikaları gibi pek çok konuyu kapsar.

1. Veri Güvenliği ve Şifreleme

  1. İletişim Güvenliği (TLS/SSL)
    • SMTP, IMAP ve POP3 gibi protokollerde TLS/SSL kullanılmalı,
    • E-postaların iletim sırasında üçüncü taraflarca okunamayacak şekilde korunması sağlanmalıdır.
  2. Sunucuda Veri Şifreleme (Encryption at Rest)
    • E-postaların, eklerin ve ilgili log kayıtlarının disk veya veritabanı üzerinde şifreli şekilde saklanması,
    • Şifreleme anahtarlarına yalnızca yetkili personelin erişebilmesi gereklidir.
  3. Kimlik ve Bütünlük Kontrolleri (SPF, DKIM, DMARC)
    • Sahte e-posta gönderimlerinin engellenmesi ve mail bütünlüğünün korunması için SPF, DKIM ve DMARC gibi standartlar uygulanmalıdır.

2. Erişim Kontrolü ve Kimlik Doğrulama

  1. Rol Tabanlı Erişim Kontrolü (RBAC)
    • Yalnızca ilgili personelin ve yetkili kullanıcıların ilgili posta kutularına veya yönetim paneline erişebilmesi,
    • Gereksiz erişimi kısıtlamak için rol tabanlı yetkilendirme kullanımı.
  2. Güçlü Kimlik Doğrulama
    • İki faktörlü kimlik doğrulama (2FA/MFA) desteği,
    • Kompleks ve düzenli aralıklarla yenilenmesi gereken parolalar.
  3. Yetki ve Sorumlulukların Dokümantasyonu
    • Kim hangi verilere erişebilir, hangi yetkilerle müdahale edebilir gibi soruların yanıtlandığı prosedürler,
    • Personelin KVKK ve ilgili mevzuat çerçevesinde sorumluluklarını bilmesi için eğitimler.

3. Loglama ve İzleme

  1. Log Kayıtlarının Tutulması
    • Erişim, hata, işlem (audit) logları gibi kritik kayıtların düzenli tutulması,
    • İlgili mevzuata göre (KVKK ve diğer yönetmelikler) belirli sürelerle saklanması ve erişim yönetimi.
  2. İzleme ve Alarm Mekanizmaları
    • Sunucu performansını, güvenlik ihlallerini ve olağandışı hareketleri izleyen IDS/IPS veya SIEM araçları,
    • Olası saldırılara veya veri ihlali girişimlerine karşı erken uyarı sistemleri.
  3. Logların Saklanma Yeri ve Güvenliği
    • Log verilerinin bütünlük kontrolü (hash veya imzalama),
    • Log saklama sürelerinin KVKK ve ilgili mevzuattaki süreler çerçevesinde belirlenmesi,
    • Bu verilerin de şifreli ve güvenli ortamda saklanması.

4. Yedekleme (Backup) ve İş Sürekliliği

  1. Düzenli Yedekleme
    • E-posta verileri ve sistem yapılandırmaları düzenli olarak yedeklenmeli,
    • Yedeklerin mutlaka test edilerek çalıştığından emin olunmalı.
  2. Yedeklerin Fiziksel ve/veya Coğrafi Olarak Ayrı Konumda Tutulması
    • Felaket senaryolarında (yangın, deprem, siber saldırı vb.) verilerin kurtarılabilir olması,
    • Yedek verilerin de KVKK ve ilgili mevzuata uygun olarak şifreli ve güvenli ortamlarda saklanması.
  3. İş Sürekliliği ve Felaket Kurtarma Planları
    • Planların düzenli olarak test edilmesi,
    • E-posta hizmetinin mümkün olan en kısa sürede yeniden ayağa kaldırılmasını sağlayacak prosedürlerin belirlenmesi.

5. Veri Minimizasyonu ve Saklama Süreleri

  1. Veri Minimizasyonu
    • Sadece gerekli kişisel verilerin işlenmesi ve saklanması,
    • Gereksiz verilerin toplanmaması ve mail sunucusu üzerinde tutulmaması.
  2. Saklama ve İmha Politikası
    • KVKK gereği; kişisel verilerin işlendikleri amaç için gerekli olan süre kadar saklanması,
    • Süre dolduğunda güvenli imha (silme, yok etme veya anonim hale getirme) yöntemlerinin uygulanması,
    • Bu politikaların yazılı hale getirilerek çalışanlar ve kullanıcılarla paylaşılması.
  3. Veri Sorumlusu Sicil Kaydı (VERBİS) ve Envanter Yönetimi
    • Sunucuda işlenen verilerin KVKK kapsamında VERBİS kaydının yapılması (eğer yükümlülük kapsamına giriliyorsa),
    • Veri işleme envanteri oluşturularak hangi verilerin ne amaçla, ne kadar süre saklandığının kayıt altına alınması.

6. Veri Yurt Dışına Aktarımı ve Barındırma

  1. Veri Merkezi Lokasyonu
    • Cumhurbaşkanlığı Kararnameleri ve KVKK çerçevesinde, kamu kurumlarının veya kritik verilerin yurt içinde barındırılması gerekebilir,
    • Mevzuata uygunluk için sunucuların Türkiye’de barındırılması veya gerekli yasal izinlerin alınması önemlidir.
  2. Yurt Dışına Veri Aktarımında Ek Önlemler
    • Kişisel Verileri Koruma Kurumu’nun (KVKK) belirlediği “yeterli korumaya sahip ülkeler” listesi veya ilgili ek tedbirler,
    • Açık rıza veya Kurul izninin gerektiği durumlarda usule uygun dokümantasyon ve teknik tedbirler.
  3. Uluslararası Standartlar ve Sözleşmeler
    • Avrupa Birliği Genel Veri Koruma Tüzüğü (GDPR) ile uyumlu ek önlemler (eğer Avrupa ile veri aktarımı yapılıyorsa),
    • Kullanılan bulut hizmetlerinin veya barındırma servislerinin KVKK uyumluluğu.

7. Fiziksel Güvenlik ve Yazılım Güncellemeleri

  1. Fiziksel Güvenlik Tedbirleri
    • Sunucunun bulunduğu veri merkezinde (ya da kurum binasında) kartlı geçiş, biyometrik doğrulama veya video izleme gibi yöntemlerle erişim sınırlandırılması,
    • Sunucuların ve ağ ekipmanlarının güvenli raf/kabinetlerde tutulması.
  2. Yazılım ve Güvenlik Güncellemeleri
    • İşletim sistemi, mail sunucusu yazılımı (ör. Postfix, Exim, Exchange, Zimbra vb.) ve ilgili bileşenlerin güncel tutulması,
    • Güvenlik açıklarına karşı düzenli tarama ve yamalama (patch management) süreçlerinin uygulanması.
  3. Üçüncü Taraf Hizmet/Süreç Denetimi
    • Antivirüs, antispam, DLP (Data Loss Prevention) gibi güvenlik çözümlerinin düzenli güncellenmesi ve konfigürasyon takibi,
    • Dış tedarikçilerin/servislerin de KVKK ve ilgili mevzuata uygunluğunun denetlenmesi.

Özet

KVKK ve Cumhurbaşkanlığı Kararnamelerine uyumlu bir mail sunucusu yönetimi için:

  • Şifreleme (hem aktarım hem de depolama sırasında),
  • Erişim kontrolü ve kimlik doğrulama (RBAC, MFA, yetki yönetimi),
  • Loglama, izleme ve alarm sistemleri,
  • Yedekleme ve felaket kurtarma planları,
  • Veri minimizasyonu, saklama ve imha politikaları,
  • Lokasyon ve yurt dışına veri aktarımı kuralları,
  • Fiziksel güvenlik ve düzenli yazılım güncellemeleri

gibi başlıklarda hem teknik hem de idari önlemleri eksiksiz uygulamak gerekir. Bu tedbirler, hem yasal gerekliliklerin yerine getirilmesini hem de olası veri ihlallerinin önlenmesini sağlayarak kurumun veya ilgili kişinin KVKK kapsamında cezai ve idari yaptırımlarla karşılaşma riskini azaltır.

Related Posts

Yorum bırakın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Scroll to Top