KVKK Kurum'dan resmi yazı geliyor: "30 gün sonra denetim". O 30 gün içinde log toplamaya başlamak, retention politikası yazmak, sızma testi yaptırmak, iç prosedür hazırlamak — imkansız. Cezaya da kazanan onlar (5 bin liradan 1 milyon liraya kadar idari para cezası, Madde 18).
Bu yazı denetimden 6 ay önce yapılması gerekenleri çıkarıyor. Türk firmaları için saha pratiği — her madde için ShamashAi'ın hangi tabloyu kanıt olarak sunduğu da var.
Ay -6: Mevcut durumu çıkar
Veri envanteri (VERBİS uyumlu)
- Hangi kişisel veriyi topluyoruz? (müşteri, çalışan, aday, ziyaretçi)
- Hangi tabloda saklanıyor? Retention ne kadar?
- Kim erişebiliyor? RBAC tanımı var mı?
- Yurt dışına aktarım var mı? Yeterlilik kararı veya BCR şartı?
Mevcut log akışı
- Firewall log alıyor musunuz? Nerede saklanıyor?
- AD/Entra ID sign-in audit aktif mi?
- Veritabanı audit log devrede mi?
- File server access log var mı?
- 6 ay öncesinin loglarına erişebiliyor musunuz?
dbo.events 4 indeksli tablo · dbo.audit_log
append-only · per-project retention_days ayarı · per-tablo retention
şeffaflığı.
Ay -5: Eksikleri kapatın
Eksik log kaynakları için connector ekle
- Fortinet syslog: 514/UDP → ShamashAi agent
- AD: WinRM 5985 + Event Log subscription
- M365: Azure App Reg (Mail.Send + Directory.Read.All)
- SQL Server: SQL Audit Specification → ShamashAi agent
- File server: Object Access auditing
Retention politikası yaz
- KVKK için minimum: olay türüne göre 6 ay – 2 yıl
- 5651 yasal arşiv için: 2 yıl (henüz ShamashAi'de roadmap'te, ama policy
- Audit log: forensics için sonsuz tut (KVKK kayıt zinciri için)
retention_days (default 90) · audit_log
ve soar_actions retention-immune · gece job ile cleanup, audit'e yazılır.
Ay -4: Süreç dokümanları
KVKK Madde 12 alt maddelerini madde-madde yaz:
1. Yetkisiz erişim önleme — RBAC matrisi, MFA policy, OIDC SSO config 2. Log tutma — hangi event, ne kadar saklanır, kim görür 3. Retention — politika dokümanı 4. Sızma testi — yıllık olması gerekir, evrakı hazır mı? 5. İhlal bildirimi — 72 saat içinde nasıl yapılır, sorumlular kim 6. Denetim — iç denetim takvimiIncident response plan
Denetçi soracak: "Geçen yıl bir veri ihlali olduğunu varsayalım, planınız nedir?" Yazılı plan + son tatbikat tarihi göstermelisiniz.ShamashAi karşılığı: /runbooks sayfası — event-type bazında prosedürler · /changes ve /maintenance planlı işler · KVKK ihlal bildirimi template'i incident detail sayfasında.
Ay -3: Teknik kanıt zincirini test et
Tabletop egzersizi
- Yapay bir brute-force başlat (test IP'den)
- ShamashAi alarm verecek mi? Hangi event_id'lerle?
- Audit log zinciri tam mı?
- Evidence pack ZIP üretebiliyor musunuz?
Yedek/restore testi
- Project export → JSON snapshot
- Test ortamına import → tüm config, alert rule, kategori geliyor mu?
- Sayılarda kayıp var mı?
/operations/preflight — production readiness check
listesi; tüm kalemler yeşil olmalı.
Ay -2: Çalışan eğitimi + iç denetim
- KVKK farkındalık eğitimi (Madde 12 alt 6. madde — denetim — burası)
- Çalışan başına imza alın
- İç denetçi (yoksa dış) tüm sistemi tarasın, eksikleri listelesin
Ay -1: Final hazırlık
Evidence pack üret
- Son 6 ay için tam evidence pack ZIP
- JSON + Markdown + HTML olarak
- Auditör'a önceden gönder (transparency = güven)
Compliance sayfasından son skoru çek
- ISO 27001 Annex A'da yüzde kaç covered?
- KVKK Madde 12'de hangi alt maddeler covered/partial/no_evidence?
- "Partial" olanlar için aksiyon planı yazılı olmalı
/compliance sayfası — print/PDF · CSV export ·
JSON evidence pack · drilldown event listesi.
Denetim günü
1. Auditor gelir — Compliance sayfasını birlikte gezin (yapamayan firmalar denetimi kapalı kapı arkasında geçiriyor; siz birlikte gezerek güven veriyorsunuz) 2. Spesifik kontrol talepleri için drilldown → gerçek event_id'ler 3. İhlal sorularına audit_log + soar_actions zinciri ile cevap 4. Evidence pack ZIP'i imzalı şekilde teslim edin
Türk firmalarının yaptığı en yaygın hata: KVKK denetimini "Excel hazırlama" projesi sanmak. Aslında bu bir veri toplama altyapısı projesidir. 6 ay öncesinden başlanmazsa, son 30 gün yetmez. ShamashAi pilot programı 30 gün ücretsiz — 6 aylık takvimde 1. ay aktivitesi olarak ideal başlangıç.
