Month: February 2018

Categories
Online Banking Security ORGANİZASYON

Online Banking Security

http://www.onlinebankingsecurity.net/

İnternet ve bilgi teknolojilerinin gelişmeye başlamasıyla birlikte klasik bankacılık suçları bu ortamlarda da işlenmeye başlandı. Kredi kartı ve banka kartlarının kullanımının yaygınlaşmasıyla kredi kartı dolandırıcılığı suçlarında da ciddi bir artış gözlemlendi. En son olarak elektronik paranın kullanımının artmasıyla da bu konudaki hukuki ve cezai uyuşmazlıklar ortaya çıkmaya başladı.

Türkiye’de de uluslararası mevzuata uygun olarak ciddi düzenlemeler yapılmış, Türk Ceza Kanunu’ndaki bilişim suçları ve banka kredi kartının kötüye kullanılmasıyla özel düzenlemeler getirilmişti. Geçtiğimiz 10 yıl içerisinde online-çevirim içi bankacılık işlemleri nedeniyle kaynaklanan hukuki ve cezai sorunlar Yargıtay içtihatlarıyla şekillenmeye başlamıştır.

Bu dönemde bir çok mevzuat düzenlemesi de yapılmıştır ve yapılmaya da devam etmektedir. “Bankacılık Kanunu”, “Banka Kartları Ve Kredi Kartları Kanunu”, “Bağımsız Denetim Kuruluşlarınca Gerçekleştirilecek Banka Bilgi Sistemleri Ve Bankacılık Süreçlerinin Denetimi Hakkında Yönetmelik”, “Bankalarda Bilgi Sistemleri Yönetiminde Esas Alınacak İlkelere İlişkin Tebliğ”, “Bilgi Alışverişi, Takas Ve Mahsuplaşma Kuruluşlarında Bilgi Sistemleri Yönetiminde Esas Alınacak İlkeler İle İş Süreçleri Ve Bilgi Sistemlerinin Denetimine İlişkin Tebliğ”, “Bağımsız Denetim Kuruluşlarınca Gerçekleştirilecek Banka Bilgi Sistemleri Ve Bankacılık Süreçlerinin Denetimine İlişkin Rapor Hakkında Tebliğ” , “Bilgi Sistemlerine İlişkin Sızma Testleri Genelgesi”, “Atm’lerde Kimlik Doğrulaması” genelgeleriyle bir çok teknik düzenleme yapıldı.

Bu süreçte COBIT yani Bilgi Sistemleri Denetim ve Kontrol Birliği (ISACA) Bilgi Sistemleri Yönetişim Enstitüsü (ITGI) tarafından yayınlanmış olan Bilgi Teknolojilerine İlişkin Kontrol Hedefleri uygulamaları ile tanışıldı.

Biyometrik yöntemler, 3d secure uygulaması, parola ve şifreleme, mobil ve elektronik imza uygulamaları kullanılmaya başlandı.

Mevzuattaki bu değişikliklerle sistemin güvenlik açıklarını istismar edilmeden önce tespit etmek ve düzeltmek amaçlı gerçekleştirilen atakları içeren Sızma testi yaptırılması da artık zorunlu hale getirilmiştir.

En son olarak Ödeme ve Menkul Kıymet Mutabakat Sistemleri, Ödeme Hizmetleri ve Elektronik Para Kuruluşları Hakkında Kanun, Yönetmelik ve tebliğleri de Resmi Gazete’de yayınlanarak yürürlüğe girmiştir.

Oldukça yeni olan bu mevzuat uygulamalarıyla ilgili olarak banka ve elektronik para kuruluşlarının bilgi işlem yöneticilerini ve hukuk müşavirlerini, Yargıtay üyelerini, Hakimleri, Cumhuriyet Savcılarını, Avukatları, Kolluk Kuvvetlerini, Bilirkişileri, Bağımsız denetçileri, Bilgi güvenliği uzmanlarını bir araya getirerek sorunların çözümü yönünde katkı sunabilmek için “Online Banking Security” adı altında bir etkinlik düzenlenmesine karar verilmiştir.

Her sene sürekli olarak düzenlenmesi planlanan “Online Banking Security” etkinliğinin birincisinin 19 Kasım 2014 Çarşamba günü İstanbul’da düzenlenecektir. Ayrıntıları ve gelişmeleri www.onlinebankingsecurity.net adresinden takip edebilirsiniz.

http://www.onlinebankingsecurity.net/

Categories
Digital İnvestigation Seminar ORGANİZASYON

Digital Investigation Seminar

http://www.digitalinvestigationseminar.com/

Bilişim ile ilgili baş döndürücü hızdaki gelişmelere rağmen kamu kurumları ve yargı organları  kendilerini bu hızda yenileyemiyorlar. Bilgisayar suçlarına ilişkin delillerin toplanma süreçlerine ilişkin yasal kurallar henüz tam olarak oluşturulamadan, internet üzerinde işlenen suçlarda ciddi bir artış gözlemlendi. Bundan sonra, devreye sosyal medya aracılığıyla işlenen suçlar girdi ve nihayet artık mobil cihazlar aracılığıyla da suçlar işlenmeye başladı.

15 yaşındaki çocukların birkaç dakika içerisinde gerçekleştirdiği eylemlerle ilgili soruşturma ve kovuşturma yıllarca sürebilmektedir. Bilişim suçlularının eylemlerinin hukuki nitelendirmelerindeki tartışmalar bir yana çoğu zaman doğru delillendirilme yapılamadığı için gerçek suçlulara dahi ulaşılamamakta bilişim suçlarına ilişkin soruşturmaların çoğunluğu takipsizlik veya daima arama kararları ile sonuçlandırılabilmektedir.

Türkiye’deki yargı sistemi bu türden teknik konularda sorunu bilirkişi delili ile çözümlemeye çalışmaktadır. Son yıllarda bilirkişilik kurumunda iyileştirmeleri yapılmaya çalışıldığı gözlemlense de halen adli bilişim konusunda bilirkişilik yapacak kişilerin ne şekilde eğitime tabi tutulması gerektiği hususu belirgin değildir. Hatta “adli bilişim” (computer forensic) “dijital araştırmalar” (Digital Investigations) veya benzeri bir kavram dahi halen yasalarda yerini alamamıştır.

Hukuk ve Ceza Mahkemelerinde dava delili olarak bulunan bilgisayarlar, mobil cihazlar, veri depolama cihazları klasik “bilirkişi teslim tutanağı” ile teslim edilmekte, bu cihazların çoğu yedekleme yapılmaksızın bazen de lisansız programlar aracılığıyla incelenerek bütün delil  değerleri bozulmak suretiyle bilirkişi raporu hazırlanmasına sebebiyet vermektedir.

Öyle ki, bu delillerin hangi donanım ve yazılımlarla, hangi usullere göre incellenmesi gerektiği yönünde Türkiye’de halen detaylı ve açıklayıcı bir yasal düzenleme bulunmamaktadır. Dolayısıyla Mahkemeler ve Yargıtay da kurallarının açık ve net olarak belirlenmediği bu inceleme yöntemleri ile hazırlanmış bilirkişi raporlarını geçerli saymak zorunda kalmaktadır.

Son yıllarda, Yargıtay içtihatlarıyla bu boşluk doldurulmaya çalışılmışsa da artık Türkiye’de ayrı bir bilirkişilik sistematiği ve mevzuatının hazırlanması, bunun içerisinde de “Adli Bilişim” ile ilgili özel düzenlemelerin olması bir zorunluluk haline gelmiştir. Mahkemelerde bilirkişilik yapacak, kolluk kuvvetlerinde veya kamu kurumlarında görev yapacak personelin de uluslarası standartlarda geçerli adli bilişim eğitim almaları gerekliliği hususu artık her kesim tarafından kabul edilmekte ve desteklenmektedir.

Ip numarası araştırmaları bilişim suçlarının soruşturmasında ve kovuşturmasında en çok başvurulan yöntemlerden birisi olmuş ve ancak bu yöntemin de suistimal edildiğinin görülmesi nedeniyle sırf bu delile dayanarak kurulan hükümlerde ciddi bir azalma gözlemlenmiş ve yargı mercileri daha net ve belirleyici delil arayışı içerisine girmiştir.

Bu sorunların üzerine bir de uluslarası işbirliği kurallarının henüz netleşmemiş olması ve özellikle sosyal medya devleri olarak tabir edilen internet sitelerinin bilgi paylaşımında bulunmamaları bu türden suçların takibini ve incelenmesini de zorlaştırmaktadır.

İşte bu gereksinimlerden yola çıkarak Türkiye’de yapılacak yasal ve eğitim çalışmalara bir nebze destek olmak, sorunları tartışmaya açmak, çözüm önerilerini ortaya çıkarmak ve ilgili çevrelerin farkındalığını arttırmak için Digital Investigations isimli etkinliğimizin organize edilmesine karar verilmiştir.

http://www.digitalinvestigationseminar.com/

Categories
LEGALTALKS

Kişisel Verilerin Silinmesi Yok Edilmesi Anonim Hale Getirilmesi Eğitimi – 21 Şubat 2018 – İstanbul

Kişisel Verilerin Silinmesi Yok Edilmesi Anonim Hale Getirilmesi Eğitimi 21 Şubat 2018 Çarşamba günü Point Hotel Barbaros İstanbul’da yapılacak.

Av.Özgür Eralp ve Adli Bilişim Uzmanı İbrahim Saruhan taradından verilecek eğitimde Kişisel verilerin şirketlerde ve kurumlarda silinmesi, yok edilmesi ve anonimleştirilmesi ile ilgili alınması gereken idari ve teknik tedbirler anlatılacak eğitimin en son bölümünde katılımcılar gruplara ayrılarak pratik olarak bu işlemlerin nasıl yapılabileceği uygulamalı olarak örneklerle gösterilecektir.

Bilindiği üzere 6698 Sayılı Kişisel Verilerin Korunması Kanunu‘nun 7 nci maddesinin üçüncü fıkrasında “Kişisel verilerin silinmesine, yok edilmesine veya anonim hale getirilmesine ilişkin usul ve esaslar yönetmelikle düzenlenir” hükmü yer almaktadır. Bu hüküm ve Kanunun 22 nci maddesinin birinci fıkrasının (e) bendine istinaden Kişisel Verileri Koruma Kurulu tarafından Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik  hazırlanmış olup 28 Ekim 2017 tarihli ve 30224 sayılı Resmi Gazete’de yayımlanmıştı.

 

kişisel veri eğitim
kişisel veri eğitim

Bu Yönetmeliğe dayanarak söz konusu işlemlerin nasıl yapılacağı hakkında uygulamada açıklık sağlanması ve iyi uygulama örnekleri oluşturması bakımından çeşitli konu başlıklarına dikkat çekmek amacıyla Kurul tarafından Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Rehberi hazırlanmış ve kamuoyuna sunulmuştu.

 

Bu eğitimde ilgili mevzuat ve rehberde yer alan silme, yok etme ve anonimleştirme işlemleri uygulamaları olarak anlatılarak şirket ve kurumların Kişisel Verilerin Korunması Uyum Sürecinde ilgili birim yönetici ve çalışanlarının pratik kazanması sağlanması hedeflenmektedir.

 

 

Kişisel Verilerin Silinmesi Yok Edilmesi Anonim Hale Getirilmesi Eğitimi ile ilgili daha detaylı bilgi almak için aşağıdaki bağlantıyı tıklayabilirsiniz.

Kişisel Verilerin Silinmesi Yok Edilmesi Anonim Hale Getirilmesi Eğitimi

Categories
DANIŞMANLIK KİŞİSEL VERİLERİN KORUNMASI

Kişisel Verilerin Korunması Uyum Süreci Danışmanlık Hizmetleri

Kişisel Verilerin Korunması Kanunu uyum sürecinde şirketler tarafından yapılması gerekenler nelerdir?

Hangi veriler bu kanun kapsamındadır?

6698 Sayılı Kişisel Verilerin Korunması Kanunu  hükümleri, kişisel verileri işlenen gerçek kişiler ile bu verileri tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işleyen gerçek ve tüzel kişiler hakkında uygulanacaktır.

Müşterilerin ve personellerinin adı, soyadı, cep telefonu, e-posta, TC kimlik numarası, adres, fotoğraf, kimlik fotokopisi ve benzeri diğer bilgilerini tutan ve işleyen şirketler bu kapsamdadır.

Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir ve ilgilinin açık rızası olmaksızın işlenmesi yasaktır.

Hangi şirketler bu kanun kapsamındadır?

Oteller, AVM’ler, Apartman-Site Yönetim şirketleri, müşteri sadakat kart uygulaması olan şirketler, fabrikalar, temizlik ve güvenlik personel hizmeti veren şirketler, satış ve pazarlama yapan şirketler, ajanslar, özel okullar ve üniversiteler, hastaneler ve tıp merkezleri, e-ticaret kuruluşları, bankalar, ödeme ve elektronik para kuruluşları, kargo şirketleri, elektrik-su-doğalgaz-telefon-internet-uydu tv yayıncılığı abonelik sistemiyle çalışan kuruluşlar yoğunlukla kişisel veri depolayan, kullanan ve işleyen şirketlerdir. Bu şirketler sistemlerini mevzuata uyumlu hale getirmelidirler.

Şirketlerin hangi departmanları bu kanunla ilgilidir?

Kişisel Verilerin Korunması Kanunu  hükümleri şirketlerde başta Yönetim Kurulu, Genel Müdür ve Genel Müdür Yardımcılarını ilgilendirmekle birlikte şirkette bünyesinde çalışan hukuk müşavirleri, avukatlar, İnsan Kaynakları (İK) yöneticileri ve personeli,Bilgi İşlem Merkezi (IT) yöneticileri ve personeli, Halka İlişkiler Bölüm yöneticileri ve personeli, Pazarlama Bölüm yöneticileri ve personeli, Risk Bölüm yöneticileri ve personelin iş tanımlarıyla yakından ilgilidir.

 

Kanun ve yönetmelikler ne zaman yürürlüğe girmiştir?

NO KANUN – YÖNETMELİK ADI RESMİ GAZETE TARİHİ YÜRÜRLÜK TARİHİ
1 6698 Sayılı Kişisel Verilerin Korunması Kanunu(Madde 1,2,3,4,5,6,7,10,12,19 ve sonrası) 07.04.2016 – 29677 07.04.2016
2 6698 Sayılı Kişisel Verilerin Korunması Kanunu(Madde 8,9,11,13,14,15,16,17,18) 07.04.2016 – 29677 07.10.2016
3 Kişisel Verilerin Silinmesi, yok edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik 28.10.2017 – 30224 01.01.2018
4 Veri Sorumluları Sicili Hakkında Yönetmelik 30.12.2017-30286 01.01.2018

 

Kanundaki yükümlüklerine yerine getirmeyenlere verilecek idari para cezaları nelerdir?

 

NO EYLEM YASAL DAYANAK PARA CEZASI
1 Aydınlatma yükümlülüğünü yerine getirmeyenler KVK madde 18/1-a 5.000 TL – 100.000 TL
2 Veri güvenliğine ilişkin yükümlülükleri yerine getirmeyenler KVK madde 18/1-b 15.000 TL – 1.000.000 TL
3 Kurul tarafından verilen kararları yerine getirmeyenler KVK madde 18/1-c 25.000 TL – 1.000.000 TL
4 Veri Sorumluları Siciline kayıt ve bildirim yükümlülüğüne aykırı hareket edenler KVK madde 18/1-ç 20.000 TL – 1.000.000 TL

 

Kanundaki yükümlülüklerini yerine getirmeyenlere Türk Ceza Kanunu kapsamından verilecek cezalar nelerdir?

Kişisel verilere ilişkin suçlar bakımından 26/9/2004 tarihli ve 5237 sayılı Türk Ceza Kanununun 135 ila 140 ıncı madde hükümleri uygulanır. Bu Kanunun 7 nci maddesi hükmüne aykırı olarak; kişisel verileri silmeyen veya anonim hâle getirmeyenler 5237
sayılı Kanunun 138 inci maddesine göre cezalandırılır.

 

NO EYLEM MADDE CEZA
1 Kişisel verileri hukuka aykırı olarak kaydetmek TCK madde 135/1 Bir yıldan üç yıla kadar hapis cezası
2 Kişilerin siyasi, felsefi veya dini görüşlerine, ırki kökenlerine; hukuka aykırı olarak ahlaki eğilimlerine, cinsel yaşamlarına, sağlık durumlarına veya sendikal bağlantılarına ilişkin kişisel verileri hukuka aykırı olarak kaydetmek TCK madde 135/2 Bir yıldan üç yıla kadar hapis cezası yarı oranında artırılır.
3 Kişisel verileri, hukuka aykırı olarak bir başkasına vermek yaymak veya ele geçirmek TCK Madde 136 İki yıldan dört yıla kadar hapis cezası
4 Bu suçlar; Kamu görevlisi tarafından ve görevinin verdiği yetki kötüye kullanılmak suretiyle, Belli bir meslek ve sanatın sağladığı kolaylıktan yararlanmak suretiyle, İşlenirse TCK Madde 137 Yukarıda verilecek cezalar yarı oranında artırılır.
5 Kanunların belirlediği sürelerin geçmiş olmasına karşın verileri sistem içinde yok etmekle yükümlü olanların görevlerini yerine getirmemesi TCK Madde 138/1 Bir yıldan iki yıla kadar hapis cezası
Suçun konusunun Ceza Muhakemesi Kanunu hükümlerine göre ortadan kaldırılması veya yok edilmesi gereken veri olması TCK Madde 138/2 Verilecek ceza bir kat artırılır.

 

Kişisel Verilerin Korunması Uyum Süreci Danışmanlık Hizmeti

Kişisel Verilerin Korunması Uyum Süreci Danışmanlık Hizmeti

ÇÖZÜM ÖNERİMİZ

 

6698 Sayılı Kişisel Verilerin Korunması Kanun’un 12/1 maddesinde

“Veri sorumlusu;

a) Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,

b) Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,

c) Kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır.” hükmü yer almaktadır.

 

Teknik Tedbirler

  1. Yetki Matrisi
  2. Yetki Kontrol Erişim Logları
  3. Kullanıcı Hesap Yönetimi
  4. Ağ Güvenliği
  5. Uygulama Güvenliği
  6. Şifreleme
  7. Sızma Testi
  8. Saldırı Tespit ve Önleme Sistemleri
  9. Log Kayıtları
  10. Veri Maskeleme
  11. Veri Kaybı Önleme Yazılımları
  12. Yedekleme
  13. Güvenlik Duvarları
  14. Güncel Anti-Virüs Sistemleri
  15. Silme, Yok Etme veya Anonim Hale Getirme
  16. Anahtar Yönetimi

 

İdari Tedbirler

  1. Kişisel Veri İşleme Envanteri Hazırlanması
  2. Kurumsal Politikalar (Erişim, Bilgi Güvenliği, Kullanım, Saklama ve İmha vb.)
  3. Sözleşmeler (Veri Sorumlusu – Veri Sorumlusu, Veri Sorumlusu – Veri İşleyen Arasında )
  4. Gizlilik Taahhütnameleri
  5. Kurum İçi Periyodik ve/veya Rastgele Denetimler Risk Analizleri İş Sözleşmesi,
  6. Disiplin Yönetmeliği (Kanuna Uygun Hükümler İlave Edilmesi)
  7. Kurumsal İletişim (Kriz Yönetimi, Kurul ve İlgili Kişiyi Bilgilendirme Süreçleri, İtibar Yönetimi vb.)
  8. Eğitim ve Farkındalık Faaliyetleri (Bilgi Güvenliği ve Kanun)
  9. Veri Sorumluları Sicil Bilgi Sistemine (VERBİS) Bildirim

 

6698 Sayılı Kişisel Verilerin Korunması Kanun ve ilgili mevzuat kapsamında şirketiniz bünyesinde yapılması gerekenleri tespit etmek ve uyum sürecini başlatmak gerekmektedir.

Uyum süreci sonunda,

 ISO 27001 Bilgi Güvenliği Yönetim Sistemi,(Security Techniques – Code of Practice for Information Security Management

ISO 31000 Kurumsal Risk Yönetim Sistemi Risk Management — Principles and Guidelines)

BS 10012 Kişisel Bilgi Güvenliği Sistemi (Specification for a Personal Information Management System) Standartlarına uygun olarak şirket kişisel veri sisteminin denetlenmesinde fayda bulunmaktadır.

 

6698 Sayılı Kişisel Verilerin Korunması Kanun’un GEÇİCİ MADDE 1/3 gereğince Bu Kanunun yayımı tarihinden önce işlenmiş olan kişisel veriler, yayımı tarihinden itibaren iki yıl içinde bu Kanun hükümlerine uygun hâle getirilir. Bu kanun 07.04.2016 tarihinde yayınlandığından 07.04.2018 tarihi itibariyle şirketlerin işlemiş oldukları kişisel verileri bu kanuna uygun hale getirmeleri gerekmektedir.

6698 Sayılı Kişisel Verilerin Korunması Kanunu’nun yanı sıra Avrupa Birliği Veri Koruma Yönergesi  (EU General Data Protection Regulation – GDPR25 Mayıs 2018 tarihinde yürürlüğe girecektir.

AB vatandaşlarıyla ilgili verilerle çalışan tüm şirketlerin buna uygun hareket etmesi gerekmektedir.
AB vatandaşlarının verilerini işleyen, ister AB’de isterse AB dışında olsun tüm kuruluşlar için geçerlidir.

Bu düzenlemenin de yürürlüğe girmesiyle  Kişisel Verilerin Korunması Uyum Süreci olarak nitelendirilen- Gizlilik ve Veri Korumasına Uyumluluk – Privacy and Data Protection compliance konularında özellikle AB vatandaşlarıyla ilgili verilerle çalışan şirketlerin ve kurumların alması gereken önlemler artacaktır.

 

Şirketiniz veya kurumunuz için Kişisel Verilerin Korunması Uyum Süreci Danışmanlık Hizmet teklifi almak için info@eralpdanismanlik.com.tradresine e-posta gönderebilirsiniz.