Tüm yazılar
·3 dk okuma·ShamashAi Ekibi

KVKK denetim hazırlığı: 6 ay önce yapılacaklar listesi

Veri Koruma Kurumu denetimi 30 gün sonraya bildirildi. Ne yapacaksınız? Bu yazı; 6 ay önceden yapılması gerekenleri tek tek anlatıyor — denetim günü süpriz olmasın.

KVKK Kurum'dan resmi yazı geliyor: "30 gün sonra denetim". O 30 gün içinde log toplamaya başlamak, retention politikası yazmak, sızma testi yaptırmak, iç prosedür hazırlamak — imkansız. Cezaya da kazanan onlar (5 bin liradan 1 milyon liraya kadar idari para cezası, Madde 18).

Bu yazı denetimden 6 ay önce yapılması gerekenleri çıkarıyor. Türk firmaları için saha pratiği — her madde için ShamashAi'ın hangi tabloyu kanıt olarak sunduğu da var.

Ay -6: Mevcut durumu çıkar

Veri envanteri (VERBİS uyumlu)

  • Hangi kişisel veriyi topluyoruz? (müşteri, çalışan, aday, ziyaretçi)
  • Hangi tabloda saklanıyor? Retention ne kadar?
  • Kim erişebiliyor? RBAC tanımı var mı?
  • Yurt dışına aktarım var mı? Yeterlilik kararı veya BCR şartı?

Mevcut log akışı

  • Firewall log alıyor musunuz? Nerede saklanıyor?
  • AD/Entra ID sign-in audit aktif mi?
  • Veritabanı audit log devrede mi?
  • File server access log var mı?
  • 6 ay öncesinin loglarına erişebiliyor musunuz?
ShamashAi karşılığı: dbo.events 4 indeksli tablo · dbo.audit_log append-only · per-project retention_days ayarı · per-tablo retention şeffaflığı.

Ay -5: Eksikleri kapatın

Eksik log kaynakları için connector ekle

  • Fortinet syslog: 514/UDP → ShamashAi agent
  • AD: WinRM 5985 + Event Log subscription
  • M365: Azure App Reg (Mail.Send + Directory.Read.All)
  • SQL Server: SQL Audit Specification → ShamashAi agent
  • File server: Object Access auditing

Retention politikası yaz

  • KVKK için minimum: olay türüne göre 6 ay – 2 yıl
  • 5651 yasal arşiv için: 2 yıl (henüz ShamashAi'de roadmap'te, ama policy
şimdi yazılmalı)
  • Audit log: forensics için sonsuz tut (KVKK kayıt zinciri için)
ShamashAi karşılığı: per-project retention_days (default 90) · audit_log ve soar_actions retention-immune · gece job ile cleanup, audit'e yazılır.

Ay -4: Süreç dokümanları

KVKK Madde 12 alt maddelerini madde-madde yaz:

1. Yetkisiz erişim önleme — RBAC matrisi, MFA policy, OIDC SSO config 2. Log tutma — hangi event, ne kadar saklanır, kim görür 3. Retention — politika dokümanı 4. Sızma testi — yıllık olması gerekir, evrakı hazır mı? 5. İhlal bildirimi — 72 saat içinde nasıl yapılır, sorumlular kim 6. Denetim — iç denetim takvimi

Incident response plan

Denetçi soracak: "Geçen yıl bir veri ihlali olduğunu varsayalım, planınız nedir?" Yazılı plan + son tatbikat tarihi göstermelisiniz.

ShamashAi karşılığı: /runbooks sayfası — event-type bazında prosedürler · /changes ve /maintenance planlı işler · KVKK ihlal bildirimi template'i incident detail sayfasında.

Ay -3: Teknik kanıt zincirini test et

Tabletop egzersizi

  • Yapay bir brute-force başlat (test IP'den)
  • ShamashAi alarm verecek mi? Hangi event_id'lerle?
  • Audit log zinciri tam mı?
  • Evidence pack ZIP üretebiliyor musunuz?

Yedek/restore testi

  • Project export → JSON snapshot
  • Test ortamına import → tüm config, alert rule, kategori geliyor mu?
  • Sayılarda kayıp var mı?
ShamashAi karşılığı: /operations/preflight — production readiness check listesi; tüm kalemler yeşil olmalı.

Ay -2: Çalışan eğitimi + iç denetim

  • KVKK farkındalık eğitimi (Madde 12 alt 6. madde — denetim — burası)
  • Çalışan başına imza alın
  • İç denetçi (yoksa dış) tüm sistemi tarasın, eksikleri listelesin
ShamashAi karşılığı: weekly summary email (Pazartesi 09:00) — yönetim kademesi izliyor · audit log'da kim ne yaptı zinciri.

Ay -1: Final hazırlık

Evidence pack üret

  • Son 6 ay için tam evidence pack ZIP
  • JSON + Markdown + HTML olarak
  • Auditör'a önceden gönder (transparency = güven)

Compliance sayfasından son skoru çek

  • ISO 27001 Annex A'da yüzde kaç covered?
  • KVKK Madde 12'de hangi alt maddeler covered/partial/no_evidence?
  • "Partial" olanlar için aksiyon planı yazılı olmalı
ShamashAi karşılığı: /compliance sayfası — print/PDF · CSV export · JSON evidence pack · drilldown event listesi.

Denetim günü

1. Auditor gelir — Compliance sayfasını birlikte gezin (yapamayan firmalar denetimi kapalı kapı arkasında geçiriyor; siz birlikte gezerek güven veriyorsunuz) 2. Spesifik kontrol talepleri için drilldown → gerçek event_id'ler 3. İhlal sorularına audit_log + soar_actions zinciri ile cevap 4. Evidence pack ZIP'i imzalı şekilde teslim edin


Türk firmalarının yaptığı en yaygın hata: KVKK denetimini "Excel hazırlama" projesi sanmak. Aslında bu bir veri toplama altyapısı projesidir. 6 ay öncesinden başlanmazsa, son 30 gün yetmez. ShamashAi pilot programı 30 gün ücretsiz — 6 aylık takvimde 1. ay aktivitesi olarak ideal başlangıç.

Paylaş

Bu konuyu projenize uygulayalım

Pilot programı kapsamında ürünü gerçek altyapınızda 30 gün ücretsiz deneyin.