Bulut bilişime geçiş yapan kuruluşlar yalnızca teknik değil hukuki ve düzenleyici gereksinimleri de karşılamak zorundadır. Özellikle kişisel veri işleyen kuruluşlar için KVKK, GDPR ve ISO 27001 gibi uyum çerçeveleri birer zorunluluk haline gelmiştir. Bu standart ve yasal düzenlemelere uyumsuzluk ciddi mali cezalara, itibar kaybına ve hatta iş yapma lisansının askıya alınmasına yol açabilir. Bulut ortamında uyumu sağlamak, on-premise altyapıya göre farklı yaklaşımlar gerektirir.
KVKK (Kişisel Verilerin Korunması Kanunu)
6698 sayılı KVKK, Türkiye’de kişisel verilerin işlenmesine ilişkin temel yasal çerçevedir. Kanun veri sorumlusunu, kişisel verileri işlenen gerçek kişilere karşı çeşitli yükümlülüklerle sorumlu tutar. Bulut ortamında KVKK uyumu için dikkat edilmesi gereken başlıca konular şunlardır.
Veri lokalizasyonu: KVKK, kişisel verilerin yurt dışına aktarılmasını belirli koşullara bağlar. Bulut hizmeti kullanıldığında verinizin fiziksel olarak nerede barındırıldığı kritik önem taşır. Azure’da bölge (region) seçimi ile verilerinizin Türkiye’de veya Avrupa’da tutulmasını sağlayabilirsiniz. Azure’un Türkiye bölgeleri (Turkey North ve Turkey West, yakında geliyor) veya mevcut durumda West Europe bölgesi tercih edilebilir. Data residency garantileri hizmet bazında incelenmelidir.
Veri sorumlusu ve veri işleyen ilişkisi: Bulut sağlayıcı genellikle veri işleyen (data processor) konumundadır. Microsoft, Azure hizmetleri için Veri İşleme Eki (Data Processing Agreement – DPA) sağlar. Bu sözleşme veri işleme koşullarını, güvenlik tedbirlerini, ihlal bildirim süreçlerini ve alt işleyicilere ilişkin kuralları tanımlar. VERBİS kaydınızda bulut sağlayıcıyı veri işleyen olarak bildirmeniz gerekir.
Teknik ve idari tedbirler: KVKK, kişisel verilerin güvenliği için uygun teknik ve idari tedbirlerin alınmasını zorunlu kılar. Bulut ortamında şifreleme (transit ve rest halinde), erişim kontrolü, loglama, düzenli güvenlik değerlendirmeleri ve veri ihlali müdahale planı bu tedbirlerin bir parçasıdır.
GDPR (Genel Veri Koruma Yönetmeliği)
Avrupa Birliği’nin Genel Veri Koruma Yönetmeliği, AB vatandaşlarının kişisel verilerini işleyen tüm kuruluşları kapsar ve bu kuruluşların AB dışında olması fark etmez. Bir Türk şirketi AB’deki müşterilere hizmet veriyorsa veya AB vatandaşlarının verilerini işliyorsa GDPR’a tabidir.
GDPR’ın bulut bilişime etkisi birkaç boyutta ortaya çıkar. Veri taşınabilirliği hakkı kapsamında kişiler verilerinin makine okunabilir formatta kendilerine verilmesini talep edebilir. Unutulma hakkı kapsamında verilerin silinmesi talep edilebilir ve bu talep yedekler dahil tüm kopyalara uygulanmalıdır. Veri ihlali durumunda 72 saat içinde yetkili makama bildirim yapma zorunluluğu vardır.
Azure’da GDPR uyumu için çeşitli araçlar mevcuttur. Microsoft Purview Compliance Manager, GDPR uyum durumunuzu değerlendiren ve iyileştirme önerileri sunan bir araçtır. Azure Information Protection ile hassas veriler sınıflandırılır ve korunur. Data Loss Prevention (DLP) politikalarıyla hassas verinin kuruluş dışına çıkması engellenir.
ISO 27001: Bilgi Güvenliği Yönetim Sistemi
ISO 27001, bilgi güvenliği yönetim sistemi (BGYS) için uluslararası standarttır. Bir çerçeve standart olup kuruluştan bilgi güvenliği risklerini sistematik biçimde yönetmesini bekler. ISO 27001 sertifikasyonu, müşterilere ve iş ortaklarına bilgi güvenliği konusunda güvence sağlar ve birçok sektörde (finans, sağlık, kamu) ihalelerde ön koşul olarak aranır.
Azure platformu kendisi ISO 27001 sertifikalıdır ancak bu sertifika otomatik olarak sizin kuruluşunuzu kapsamaz. Kendi BGYS’nizi kurmanız, risk değerlendirmesi yapmanız, kontroller uygulamanız ve bağımsız denetimden geçmeniz gerekir. Azure’un ISO 27001 uyumluluğu altyapı katmanını kapsar ve sizin sorumluluk alanınızı daraltır: fiziksel güvenlik, ağ güvenliği ve altyapı yönetimi tarafı Azure’dadır, uygulama güvenliği, erişim yönetimi ve veri sınıflandırması sizin sorumluluğunuzdadır. Bu sorumluluk paylaşımına “Shared Responsibility Model” denir.
Paylaşılan Sorumluluk Modeli
Bulut bilişimde uyumluluk sorumluluğu tamamen müşteride veya tamamen sağlayıcıda değildir; paylaşılır. IaaS modelinde müşteri işletim sistemi, ağ konfigürasyonu ve uygulama güvenliğinden sorumluyken, PaaS modelinde bu sorumlulukların bir kısmı sağlayıcıya geçer, SaaS’ta ise müşteri sorumluluğu yalnızca veri ve erişim yönetimiyle sınırlı kalır. Hangi modeli kullanırsanız kullanın, verinin korunması ve erişim yönetimi her zaman müşteri sorumluluğundadır.
Azure Uyumluluk Araçları
Microsoft Defender for Cloud: Güvenlik duruşunuzu sürekli değerlendirir, uyumluluk standartlarına göre puanlar ve düzeltme önerileri sunar. KVKK, GDPR, ISO 27001, PCI-DSS, SOC 2 gibi çerçeveler için hazır değerlendirme şablonları mevcuttur.
Azure Policy: Kaynaklarınızın belirli kurallara uygun olmasını zorunlu kılar. Örneğin şifreleme gereksinimi, belirli bölge kısıtlaması, ağ güvenlik kuralları gibi politikalar tanımlanabilir ve uyumsuz kaynaklar otomatik olarak raporlanır veya engellenir.
Azure Blueprints: Uyumlu ortamları tekrarlanabilir biçimde oluşturmak için şablon seti sunar. Bir blueprint, kaynak grubu, politika atamaları, rol atamaları ve ARM şablonlarını paketler. Yeni bir ortam oluşturulduğunda tüm uyumluluk gereklilikleri otomatik olarak uygulanır.
Pratik Uyum Kontrol Listesi
Bulut ortamında uyum yolculuğuna başlarken şu adımları izleyebilirsiniz: Veri envanteri çıkarın ve hangi verilerin kişisel veri olduğunu belirleyin. Veri akış haritası oluşturarak verilerin nerede tutulduğunu, kimlerle paylaşıldığını ve hangi süreçlerden geçtiğini belgeleyin. Risk değerlendirmesi yaparak tehditleri ve açıklıkları tespit edin. Teknik kontrolleri uygulayın: şifreleme, erişim kontrolü, loglama ve izleme. Politika ve prosedürleri yazılı hale getirin. Çalışan farkındalık eğitimleri düzenleyin. Düzenli iç denetimler planlayın. Olay müdahale planı hazırlayın ve test edin.
KVKK Uyumluluk Kontrol Listesi
Azure ortamında KVKK uyumluluğu sağlamak için kritik kontrol noktaları şunlardır. Veri envanteri: hangi kişisel verilerin hangi Azure kaynaklarında tutulduğunu belgeleyin. Veri minimizasyonu: yalnızca gerekli kişisel verileri toplayın ve saklayın. Şifreleme: verileri hem transit (TLS 1.2+) hem rest halinde (Azure Storage Service Encryption, TDE, disk encryption) şifreleyin. Erişim kontrolü: RBAC ile en az yetki ilkesini uygulayın, kişisel verilere erişimi sınırlayın. Loglama: kişisel verilere erişim loglarını Azure Monitor ile kaydedin. Veri saklama: saklama süresi politikaları tanımlayın ve süre dolan verileri otomatik silin.
Azure’un Türkiye bölgesi (Turkey Central) veri yerleşimi gereksinimini karşılar. Kişisel verilerin Türkiye sınırları içinde kalmasını sağlamak için Azure Policy ile kaynak oluşturma bölgesini kısıtlayabilirsiniz. Resource Policy’de allowedLocations parametresiyle yalnızca turkeycentral bölgesine izin verin.
ISO 27001 Sertifikasyon Süreci
Azure altyapısı zaten ISO 27001 sertifikalıdır, ancak bu sertifika sizin uygulamalarınızı kapsamaz. Kendi ISO 27001 sertifikanızı almak için Azure Trust Center belgelerini temel kanıt olarak kullanabilirsiniz. Microsoft Purview Compliance Manager’da ISO 27001 assessment şablonu, uygulamanız gereken kontrolleri ve mevcut durumunuzu gösterir. Kontroller iki kategoride değerlendirilir: Microsoft tarafından yönetilen kontroller (altyapı güvenliği, fiziksel güvenlik) zaten uyumludur. Müşteri tarafından yönetilen kontroller (erişim politikaları, değişiklik yönetimi, farkındalık eğitimi) sizin sorumluluğunuzdadır.
Sık Sorulan Sorular
GDPR ve KVKK arasındaki temel fark nedir?
Her iki düzenleme de kişisel verilerin korunmasını hedefler ve büyük ölçüde örtüşür. GDPR EU vatandaşlarının verilerini korurken, KVKK Türkiye’deki gerçek kişilerin verilerini korur. GDPR’da Data Protection Officer (DPO) atama zorunluluğu vardır; KVKK’da Veri Sorumluları Sicil Bilgi Sistemi’ne (VERBİS) kayıt zorunluluğu bulunur. GDPR ihlal bildirim süresi 72 saat, KVKK’da ise “en kısa sürede” ifadesi kullanılır. Ceza miktarları ve uygulama mekanizmaları farklıdır.
Azure’da kişisel veri envanteri nasıl çıkarılır?
Microsoft Purview’in data map ve classification özelliklerini kullanın. Azure SQL, Blob Storage, Cosmos DB ve Data Lake’teki verileri otomatik tarayarak TC kimlik, e-posta, telefon numarası gibi kişisel veri kalıplarını tespit eder. Bu tarama sonuçları kişisel veri envanterinizin temelini oluşturur ve VERBİS kaydı için gerekli bilgileri sağlar.
Bulut sağlayıcı KVKK kapsamında veri işleyen (data processor) midir?
Evet. Microsoft Azure, KVKK terminolojisiyle “veri işleyen” konumundadır. Microsoft, Online Services Data Protection Addendum (DPA) ile veri işleme yükümlülüklerini üstlenir. Siz ise veri sorumlusu olarak hangi verilerin işleneceğini, nasıl kullanılacağını ve saklama sürelerini belirlersiniz. DPA’yı incelemeniz ve hukuk danışmanınızla paylaşmanız önerilir.
Sonuç
Bulut bilişimde uyumluluk çok boyutlu bir konudur ve tek seferlik bir çabayla sağlanamaz. KVKK, GDPR ve ISO 27001 gereksinimleri sürekli gözetim, düzenli değerlendirme ve proaktif iyileştirme gerektirir. Azure’un sunduğu kapsamlı uyumluluk araçları ve Microsoft’un sahip olduğu sertifikasyonlar bu yolculukta önemli bir avantaj sağlar ancak nihai sorumluluk her zaman kuruluşun kendisindedir.
Cloudspark uyumluluk danışmanlığı ve bulut güvenliği hizmetlerimizle KVKK, GDPR ve ISO 27001 uyum süreçlerinizde yanınızdayız.
