KİŞİSEL VERİLERİN KORUNMASI KURUMU
KARAR ÖZETİ
Karar Tarihi | : | 12.03.2020 |
Karar No. | : | 2020/213 |
Veri Sorumlusu | : | Bir internet servis sağlayıcısının veri ihlali hakkında Karar
|
Konu Özeti | : | Şirketin müşterilerinin paket değişikliği, fatura ödeme, arıza bildirimi gibi abonelik işlemlerini yapmalarına olanak sağlayan ve kendilerine tanımlanan kullanıcı adı ve şifre ile giriş yapabildikleri bir Online İşlem Merkezi bulunduğu,
Şirketin fatura ödeme sisteminde online (çevrimiçi) işlemlerde fatura ödemesi yapılamadığı ve sorunun Şirkete müşteriler tarafından bildirildiği, Müşterinin ödeme yaptığı sırada ekranda “fatura seçilmesi gerektiği” uyarısı belirdiği, Sorun giderilmek üzere çalışma yapılırken bir güvenlik açığının ortaya çıktığı, Güvenlik açığı sebebiyle müşterilerin kredi kartı bilgilerinin üçüncü taraflarca görüntülendiği, İhlalin kök nedeninin uygulamaya bilgi kaydı (log) üreten özelliklerin eklenerek “debug” ile düzeltilmesi girişiminin olduğu, 69 kişiye ait kart bilgisinin 649 adet Şirket müşterisi tarafından görüntülendiğinin tespit edildiği, ifadelerine yer verilmiştir. |
Karar | : | Yazılım geliştiricilere sözlü olarak aktarılmış olan değişiklik talebinin test ortamında değil de gerçek ortamda yapılmasının, uygulamada yapılan değişikliklerin canlıya (gerçek/çalışır ortam) alma süreçleri ile ilgili prosedürlerin uygulanmadığının göstergesi olduğu bu durumun ise teknik ve idari tedbir eksikliği olduğu,
Test süreçlerinin yetersizliği veri sorumlusunun kendisi tarafından belirtilmiş olup bu durumun uygulama güvenliği açısından veri sorumlusunun gerekli teknik ve idari tedbirleri almadığının göstergesi olduğu, Sistem ara yüzlerinde kişisel verilerin ya hiç gösterilmediğinin ya da maskelendiğinin şirket tarafından belirtilmiş olmasına rağmen müşterilere ait kimlik ve finans verilerinin yapılan hata sonucunda görüntülenebilmesinin teknik bir eksiklik olduğu, Veri sorumlusunun bir veri güvenliği politikasının bulunduğu ancak bu politikanın yürürlük tarihinin veri ihlalinin gerçekleştiği tarihten sonra olduğu dikkate alınarak, 6698 sayılı Kişisel Verilerin Korunması Kanununun 12 nci maddesinin (1) numaralı fıkrası çerçevesinde veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirleri almayan Şirket hakkında Kanunun 18 nci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 300.000 TL idari para cezasının uygulanmasına karar verilmiştir. |
Uzman Görüşü / Yorumu* | : | ISO27001 BGYS Ek-A 14.2 maddesi Yazılım Geliştirme ve Destek Süreçlerinde Güvenlik ile ilgili tüm gereksinimler detaylıca anlatılmıştır. Özellikle şu konuya dikkat çekmek isterim.
Yazılım geliştirme yapılan organizasyonlarda sistemlerin, Geliştirme (Devoloper), Test, Canlı (Live) şeklinde kurulu olması gerekir. Günümüz bilişim teknoloji imkanlarına göre bu kurulumları yapmak oldukça kolaylaşmıştır. Bu kurulumlardan sonra yazılım süreçlerinde geliştirme ve testlerin canlı ortamlarda yapılmasının önüne geçilebilecektir.
Bire diğer konu yazılım testlerinin yapılması, sonuçlarının dokümante edilmesi gerekmektedir. Dokümante edilen sonuçlar incelenerek hatalar en aza indirilir, canlıya geçmeden önce en iyi seviyeye gelinmesi sağlanır.
Bununla birlikte BGYS kurulurken yazılmış prosedürlerin aslında ne kadar önemli olduğunu kurul kararıyla bir kez daha görmüş olduk. Tüm organizasyonların bu prosedürleri içselleştirecek faaliyetlere bir an önce iş planlarına almaları gerekmektedir. |