Tüm yazılar
·2 dk okuma·ShamashAi Ekibi

KVKK Madde 12 için Excel değil, runtime kanıt

KVKK denetiminde 'log topluyor musun?' sorusuna ekran görüntüsü değil, gerçek event verisinden çıkarılmış mapping ile cevap vermek.

KVKK Madde 12 — Kişisel verilerin güvenliğine ilişkin yükümlülükler. Altı alt madde: yetkisiz erişim önleme, log tutma, retention, sızma testi kanıtı, ihlal bildirimi, denetim.

Türk şirketlerinin %80'i bu kalemleri Excel çetelesinde tutuyor. Denetim geldiğinde:

  • Manuel hazırlanan tablolar
  • Eski tarihli screenshot'lar
  • Eksik kayıt zinciri
  • "Geçen ay topladık" diyen ama gösteremeyen yedek setleri
Denetçi inanmaz. Sorar: "Bu kullanıcının 12 Mart tarihinde nereden login olduğunu bana göster." Excel ile bunu cevaplamak iki gün sürer.

Runtime kanıt nedir?

Runtime kanıt, her control'un canlı operasyonel verisinden doğrulandığı modeldir. ShamashAi şöyle çalışır:

1. Kontrol kataloğu — ISO 27001:2022 Annex A'dan 19 kontrol, KVKK Madde 12 alt maddeleri. Her birinin min_evidence_count eşiği var. 2. Event eşleme — Her kontrol bir veya daha fazla event_type ile bağlı. Örneğin A.8.5 (Secure authentication) → AUTH_SUCCESS, AUTH_FAIL_USER, M365_SIGNIN_FAILURE, BEHAVIORAL_ANOMALY. 3. Periyodik değerlendirme — Compliance sayfası canlı sorgu çalıştırır: "son N gün için bu event_type'lardan kaç tane geldi?" 4. Drilldown — Auditor tıklayınca gerçek event_id listesi açılır: timestamp, source, message. Forensic için yeterli.

Pratikte

A.8.15 Logging — required min 50 events / 30 days
  evidence count : 18,432
  status          : ✓ COVERED

A.5.24 Incident management planning — required min 1 runbook evidence count : 12 runbooks active status : ✓ COVERED

A.8.10 Information deletion — required min 1 retention policy enforcement evidence count : last cleanup 2026-05-11, 2,341 rows status : ✓ COVERED

Auditor'a ne göstereceğiz?

1. Compliance sayfası PDF export — control × status × evidence count matrisi 2. Evidence pack ZIP — JSON + Markdown + HTML rapor; her kontrolün altında ilk 10 event 3. Audit log — kim ne zaman hangi mutating action yaptı (append-only) 4. Retention policy — her tablonun retention süresi + son cleanup zamanı

Üç tarih sonra denetçinin imzasıyla çıkıyorsunuz, sahanın geri kalan 8 ayı için Excel açmıyorsunuz.

"İhlal bildirimi" detayı

KVKK 12/5: Veri ihlali fark edildiğinde 72 saat içinde Kurum'a bildirim. ShamashAi:

  • Otomatik tetik — Critical incident + threat intel + behavioral anomaly birlikteyse bildirim
template'i hazırlanır
  • Hazır metin — Customer adı, etkilenen kayıt sayısı, eylem planı doldurulmuş halde
  • Audit log — bildirim hangi event'lerden çıkarıldı, tam zincir
İhlal bildiriminin kâbusu metni yazmak değil, neyin olduğunu zaman çizelgesiyle çıkarmaktır. Runtime kanıt model bunu yarım saatte yapar.

Sonuç: Excel çetelesi denetçiyi tatmin etmez. KVKK Madde 12 için yapılması gereken gerçek event verisinden control eşlemesi koşturmak. ShamashAi compliance sayfası tam olarak bunu yapar; pilot 30 gün ücretsiz.

Paylaş

Bu konuyu projenize uygulayalım

Pilot programı kapsamında ürünü gerçek altyapınızda 30 gün ücretsiz deneyin.