Geçen ay bir e-ticaret firmasının KVKK denetim hazırlığında üç gün geçirdik. Müşteri “Azure’a geçtik, Microsoft her şeyi hallediyor zaten” diye başlamıştı görüşmeye. Denetim raporu çıktığında 14 maddede uyumsuzluk tespit edildi — hiçbiri Azure’un sorumluluğunda değildi, hepsi müşterinin yapması gereken konfigürasyonlardı.
Bulut compliance konusunda en sık karşılaştığım yanlış anlama bu: “Bulut sağlayıcısı sertifikalı, demek biz de uyumluyuz.” Yanlış. Bulut sağlayıcısı altyapı katmanını sertifikalandırır; sizin sorumluluğunuzda olan veri sınıflandırması, erişim politikası, log yönetimi, veri sorumlusu prosedürleri tamamen size ait. Bu yazıda Türkiye’de en sık karşılaştığımız üç çerçeveyi — KVKK, GDPR, ISO 27001 — bulut perspektifinden anlatıyorum.
Paylaşılan sorumluluk modeli: Hangi çizgide ne kimin işi?
Her bulut sağlayıcısı bunu farklı kelimelerle anlatır ama özü aynıdır. Üç katmanlı bir tablo:
| Sorumluluk | IaaS (Sanal Makine) | PaaS (App Service) | SaaS (M365) |
|---|---|---|---|
| Fiziksel veri merkezi | Sağlayıcı | Sağlayıcı | Sağlayıcı |
| Hipervizör / network | Sağlayıcı | Sağlayıcı | Sağlayıcı |
| İşletim sistemi | Müşteri | Sağlayıcı | Sağlayıcı |
| Uygulama runtime | Müşteri | Sağlayıcı | Sağlayıcı |
| Uygulama kodu | Müşteri | Müşteri | Sağlayıcı |
| Veri sınıflandırma + KVKK işleme amacı | Müşteri | Müşteri | Müşteri |
| Kullanıcı + erişim politikası | Müşteri | Müşteri | Müşteri |
SaaS bile alsanız, son üç satır hep sizin sorumluluğunuzda. “M365 aldık, GDPR’ye uyumlu olduk” demek mümkün değil — sensitivity label’ları siz tasarlarsınız, retention politikalarını siz ayarlarsınız, kim hangi veriye erişiyor sizin işiniz.
Saha kuralı: Denetime hazırlanırken üç soruyu önce kendinize sorun. Hangi kişisel veriyi tutuyorum? Nerede tutuyorum? Kim erişiyor? Bu üç sorunun cevabı belgelenmemişse hiçbir bulut sertifikası sizi kurtarmaz.
KVKK perspektifinden bulut: 5 kritik kontrol
KVKK denetiminde bulut altyapısıyla ilgili sorulan tipik soruların özünü 5 kontrol noktasında topladık:
1. Veri yerleşim yeri (Data Residency)
KVKK kişisel verinin yurt dışına aktarımına özel bir izin rejimi koyuyor. Azure’da bu kontrolü region seçimi ile yaparsınız. Türkiye’deki müşterilerin %80’i West Europe (Hollanda) veya North Europe (İrlanda) kullanıyor. Bunu yapıyorsanız KVKK’nın 9. maddesi kapsamında “yurt dışına veri aktarımı” gerçekleşir; ya açık rıza ya da yeterli korumayı sağlayan tedbirler (örn. standart sözleşme hükümleri) gerekir.
Çözüm yolları:
- Türkiye region’u kullanmak (Azure’da resmi region henüz yok, planlama aşamasında — şu an için pratik değil)
- AB region’unu kullanıp KVK Kurulu’nun yeterli koruma listesindeki bir hukuki çerçeveyle aktarmak
- Hassas verileri Türkiye’deki bir on-prem veya yerel bulut sağlayıcıda tutup AB region’unda anonim/pseudonymous veri işlemek
2. Şifreleme: At-rest ve In-transit
Bulutta varsayılan şifreleme açıktır ama denetimde “şifreleme yapılıyor” demek yetmez, anahtar yönetiminin de belgelenmiş olması gerekir.
- Microsoft-managed keys: Default. Microsoft yönetir, en kolay.
- Customer-managed keys (CMK): Azure Key Vault’ta sizin kontrolünüzde. KVKK denetimine “şifreleme anahtarları sadece tarafımızca yönetilir” diyebilmek için gerekir.
- Hold Your Own Key (HYOK): Anahtar hiç buluta çıkmaz, on-prem HSM’de durur. Çok hassas senaryolar için.
3. Erişim yönetimi ve audit log
Kim ne zaman hangi veriye erişti — bu sorunun cevabını anında verebilmeniz lazım. Azure tarafında üç kaynak:
// Azure Activity Log: yönetim düzlemi olayları
AzureActivity
| where TimeGenerated > ago(30d)
| where ResourceProviderValue == "Microsoft.Storage"
| where OperationNameValue endswith "write" or OperationNameValue endswith "delete"
| project TimeGenerated, Caller, OperationNameValue, ResourceId
// Sign-in logs: kim oturum açtı
SigninLogs
| where TimeGenerated > ago(30d)
| where ResultType != 0
| summarize FailedAttempts = count() by UserPrincipalName, IPAddress
| order by FailedAttempts desc
4. Veri sahibi hakları (DSAR)
KVKK madde 11: kişiler kendi verilerini öğrenme, düzeltme, silme talep edebilir. Bu talebi 30 gün içinde karşılamanız gerek. Bulutta dağınık veri ile bu zor — Microsoft Purview’in eDiscovery modülü tam bunun için var. SQL’den AKS pod log’larına kadar arayabiliyor.
5. Veri ihlal bildirimi
İhlal tespit edilirse 72 saat içinde KVK Kurulu’na, makul sürede ilgili kişilere bildirilmeli. Microsoft Sentinel ile alarm kurmak, Slack/email entegrasyonu yapmak şart. Manuel yakalanan ihlal süreyi uzatır.
GDPR vs KVKK: 7 farklılık
İki çerçeve özde benzer ama detayda farklılaşır. Türkiye’de hem TR müşterileri hem AB müşterileri olan firmalar için ikisini birden bilmek lazım:
| Konu | KVKK | GDPR |
|---|---|---|
| İhlal bildirimi süresi | 72 saat (Kurul’a) | 72 saat (yetkili otoriteye) |
| Cezalar (üst sınır) | 1.834.473 TL/ihlal (2026) | 20M EUR veya yıllık cironun %4’ü |
| VERBİS / Veri Sicili | Zorunlu (kayıt) | Zorunlu değil ama Article 30 kayıt tutma var |
| DPO zorunluluğu | Yurt dışı veri sorumluları için temsilci | Belirli koşullarda DPO zorunlu |
| Veri taşınabilirliği | Açık değil | Madde 20 ile garanti |
| Otomatik karar verme | İşleme şartları içinde | Madde 22 ile özel koruma |
| Yurt dışı aktarım | Kurul izni veya açık rıza | Adequacy decision veya SCC |
ISO 27001: Sertifikaya giden bulut yolu
ISO 27001 risk-bazlı bir Bilgi Güvenliği Yönetim Sistemi (BGYS) standardı. Bulut altyapısında sertifika alacaksanız üç hazırlık alanına odaklanmanız lazım:
Risk değerlendirmesi (A.5.4)
Tüm varlıklarınızı (asset) listeleyin: bulut storage hesabı, VM, database, function — hepsi varlık. Her birine tehdit/güvenlik açığı/etki üçlüsü ile risk skoru verin. Azure tarafında Microsoft Defender for Cloud bunu kısmen otomatik yapıyor; “Secure Score” raporu denetçiye sunulabilecek bir başlangıç noktası.
Erişim kontrolü (A.5.15-A.5.18)
RBAC dışında “least privilege” prensibinin belgelenmesi gerek. “Hangi rol hangi erişime sahip, neden” tablosu çıkarın. Privileged Identity Management (PIM) ile yüksek-yetkili rolleri sürekli atamak yerine just-in-time yapın — denetçi bunu sever.
Olay yönetimi (A.5.24-A.5.28)
İhlal/olay tespit, raporlama, soruşturma süreci yazılı olmalı. Bulutta Sentinel + Logic Apps ile incident workflow kurmak hem teknik tarafı hem prosedür tarafını otomatize eder.
Sahada üç vaka
Vaka 1: 80 kişilik fintech, KVKK denetimi
Mevcut: Azure West Europe, M365 E3. Sorun: yurt dışı aktarım için açık rıza yoktu, audit log retention 30 gündü, sensitivity label’lar tanımsızdı.
Çözüm: M365 E5 Compliance add-on, sensitivity labels kuruldu, audit retention 1 yıla çıkartıldı, müşteri sözleşmelerine yurt dışı aktarım onay maddesi eklendi. 6 hafta sonra denetim geçildi.
Vaka 2: Sigorta şirketi, GDPR + KVKK
AB müşterileri olduğu için iki rejime tabi. Veri segregation gerekti — TR müşteri verisi Türkiye’deki on-prem’de, AB müşteri verisi West Europe’da, anonim raporlama buluta.
Çözüm: Hibrit mimari, Azure Data Factory ile pseudonymized veri akışı, ayrı RBAC group’ları. Pahalı oldu ama denetim sorunsuz geçildi.
Vaka 3: KOBİ — ISO 27001 hazırlığı
50 kişi, tek subscription, dağınık erişimler. Sertifika için 6 ay zaman vardı.
Çözüm: Defender for Cloud Standard tier, Azure Policy ile encryption-required + tag-required politikaları, PIM ile admin rollerini just-in-time’a alındı, Microsoft Sentinel ile temel alarmlar. 4. ayda iç denetim geçti, 6. ayda dış denetim sertifikayla sonuçlandı.
Denetim hazırlığında en sık atlanan 5 şey
- Storage account public access kontrolü: “Allow public access” varsayılan açıkken yanlışlıkla public bırakılmış container denetimde direkt kırmızı bayrak.
- Network Security Group log’ları: NSG flow log’ları açık değilse “trafik izleniyor” diyemezsiniz.
- Backup retention: Backup yapıyorsunuz ama kaç gün saklanıyor belgelenmemiş. Recovery Services Vault policy’si denetime eklenmeli.
- Service Principal credential rotation: 2 yıl önce oluşturulmuş bir SP’nin secret’ı hâlâ aynı. Rotation policy yazılı olmalı.
- Disaster recovery testi: DR planı var ama hiç test edilmemiş. Yılda en az bir tatbikat raporu denetçi tarafından istenir.
Compliance otomasyonu için Azure araçları
| Araç | Ne işe yarar? |
|---|---|
| Azure Policy | Konfigürasyon kuralları (encryption, location, tag) zorunlu kılar |
| Defender for Cloud | Güvenlik skoru + öneri + regulatory compliance dashboard |
| Microsoft Sentinel | SIEM/SOAR — log korelasyon + alarm + incident response |
| Microsoft Purview | DLP + sensitivity labels + eDiscovery + data catalog |
| Privileged Identity Management | Just-in-time elevation + approval workflow |
| Compliance Manager | Hazır şablonlar (KVKK, ISO 27001, GDPR, HIPAA, vb.) |
Sık Sorulan Sorular
Azure’un kendisi KVKK uyumlu mu?
Microsoft Azure altyapı katmanı için ISO 27001, ISO 27018, SOC 1/2/3 sertifikalı; KVKK için Microsoft “veri işleyen” rolünde. Sözleşmesel olarak KVKK uyumlu işlem taahhüdü veriyor (Microsoft Online Services Terms — Veri Koruma Eki). Ama “siz veri sorumlusu” rolünde olduğunuz için uyumluluk size ait.
VERBİS kaydı bulutta nasıl yapılır?
VERBİS kaydı kurumun yapması gereken bir işlem; bulutta bir şey yapmaz. KVK Kurulu sitesinden işlenen veri kategorileri, alıcılar ve aktarımlar bildirilir. Sahada gördüğümüz: VERBİS’teki “yurt dışına aktarım” kısmı bulut kullanıyorsanız mutlaka işaretlenmeli.
ISO 27001 sertifikası bulut sayesinde otomatik gelir mi?
Hayır. Bulut sağlayıcısının sertifikası altyapı katmanı içindir. Sizin organizasyonunuzun BGYS’sinin sertifikalanması ayrı bir denetim sürecidir. Bulut bunu kolaylaştırır (politika otomasyonu, log toplama, vb.) ama sertifikayı denetim firması verir.
GDPR cezasıyla karşılaşmak için AB’de ofisim olması gerekir mi?
Hayır. AB’deki kişilerin verisini işliyorsanız (örn. AB’den müşteri kabul ediyorsanız) GDPR sizi de bağlar. Türkiye’deki bir e-ticaret AB’ye satıyorsa GDPR + KVKK ikisine birden tabidir.
Compliance Manager skoru kaç olmalı?
Mutlak rakam yok ama 70 üzeri “iyi” kabul edilir. Sektöre göre farklılaşır; finans için 85+ hedef konur, ortalama bir KOBİ için 70-75 yeterli sayılır.
Sonuç
Bulut compliance bir teknoloji projesi değil; teknoloji + hukuk + organizasyon kesişimidir. Bulut sağlayıcısının sertifikaları altyapıyı korur ama sizin tarafınızdaki konfigürasyon, prosedür ve kanıt yönetimi denetimi geçirir. KVKK ve GDPR’ye uyum bütçenizin %30-40’ı yazılım, %60-70’i süreç ve eğitim olarak dağılır.
CloudSpark olarak ISO 27001, KVKK ve GDPR hazırlığında 4-12 hafta süreli compliance roadmap çalışmaları yürütüyoruz. Boşluk analizi, politika yazımı, teknik kontrol kurulumu ve denetim öncesi simülasyon dahil. İletişim sayfasından bize ulaşın.
