KVKK Madde 12 — Kişisel verilerin güvenliğine ilişkin yükümlülükler. Altı alt madde: yetkisiz erişim önleme, log tutma, retention, sızma testi kanıtı, ihlal bildirimi, denetim.
Türk şirketlerinin %80'i bu kalemleri Excel çetelesinde tutuyor. Denetim geldiğinde:
- Manuel hazırlanan tablolar
- Eski tarihli screenshot'lar
- Eksik kayıt zinciri
- "Geçen ay topladık" diyen ama gösteremeyen yedek setleri
Runtime kanıt nedir?
Runtime kanıt, her control'un canlı operasyonel verisinden doğrulandığı modeldir. ShamashAi şöyle çalışır:
1. Kontrol kataloğu — ISO 27001:2022 Annex A'dan 19 kontrol, KVKK Madde 12 alt maddeleri. Her birinin min_evidence_count eşiği var. 2. Event eşleme — Her kontrol bir veya daha fazla event_type ile bağlı. Örneğin A.8.5 (Secure authentication) → AUTH_SUCCESS, AUTH_FAIL_USER, M365_SIGNIN_FAILURE, BEHAVIORAL_ANOMALY. 3. Periyodik değerlendirme — Compliance sayfası canlı sorgu çalıştırır: "son N gün için bu event_type'lardan kaç tane geldi?" 4. Drilldown — Auditor tıklayınca gerçek event_id listesi açılır: timestamp, source, message. Forensic için yeterli.
Pratikte
A.8.15 Logging — required min 50 events / 30 days
evidence count : 18,432
status : ✓ COVERED
A.5.24 Incident management planning — required min 1 runbook evidence count : 12 runbooks active status : ✓ COVERED
A.8.10 Information deletion — required min 1 retention policy enforcement evidence count : last cleanup 2026-05-11, 2,341 rows status : ✓ COVERED
Auditor'a ne göstereceğiz?
1. Compliance sayfası PDF export — control × status × evidence count matrisi 2. Evidence pack ZIP — JSON + Markdown + HTML rapor; her kontrolün altında ilk 10 event 3. Audit log — kim ne zaman hangi mutating action yaptı (append-only) 4. Retention policy — her tablonun retention süresi + son cleanup zamanı
Üç tarih sonra denetçinin imzasıyla çıkıyorsunuz, sahanın geri kalan 8 ayı için Excel açmıyorsunuz.
"İhlal bildirimi" detayı
KVKK 12/5: Veri ihlali fark edildiğinde 72 saat içinde Kurum'a bildirim. ShamashAi:
- Otomatik tetik — Critical incident + threat intel + behavioral anomaly birlikteyse bildirim
- Hazır metin — Customer adı, etkilenen kayıt sayısı, eylem planı doldurulmuş halde
- Audit log — bildirim hangi event'lerden çıkarıldı, tam zincir
Sonuç: Excel çetelesi denetçiyi tatmin etmez. KVKK Madde 12 için yapılması gereken gerçek event verisinden control eşlemesi koşturmak. ShamashAi compliance sayfası tam olarak bunu yapar; pilot 30 gün ücretsiz.
