Her şeyin birbirine bağlı olduğu dünyamızda veri güvenliği ve siber güvenlik, her ölçekten ve her sektörden kuruluş için önemli kaygılara sebep oluyor. Dünya çapında hükümetler, hassas bilgileri korumak ve siber tehditlerle mücadele etmek için çeşitli veri koruma düzenlemeleri uyguluyorlar. Yönetmelikler o kadar çok ki hepsine ayak uydurmak giderek zorlaşıyor!
Bu makalede, dünyanın farklı köşelerinden bazı önemli veri koruma yönetmelikleri, siber güvenlik çerçeveleri ve sektöre özgü veri güvenliği standartlarının derlenmiş bir listesini inceleyeceğiz.
Avrupa’daki geniş kapsamlı GDPR’dan Amerika Birleşik Devletleri’ndeki sektöre özel HIPAA’ya kadar, karmaşık veri koruma dünyasında gezinmenizi sağlayacak açıklamalarla birlikte anlaşılması kolay bir liste hazırladık.
Hemen konuya girelim:
Genel veri koruma düzenlemeleri
GDPR (AB)
Tam adı: Genel Veri Koruma Yönetmeliği
Kapsam: AB’de ikamet eden kişilerin kişisel verilerini işleyen dünya çapındaki tüm kuruluşlar.
Açıklama GDPR, dünyadaki en katı ve en karmaşık kişisel veri koruma yönetmeliğidir. Şirketler, AB vatandaşlarının kişisel verilerini korumakla yükümlüdür ve rızaları olmadan bu verileri toplayamaz veya işleyemez. Detaylı bilgi için tıklayın.
CCPA (ABD)
Tam adı: Kaliforniya Tüketici Gizliliği Yasası
Kapsam: CCPA, işletmenin nerede olduğuna bakılmaksızın, öncelikle Kaliforniya’da faaliyet gösteren orta ve büyük ölçekli işletmeleri hedeflemektedir. “Kaliforniya’da faaliyet gösterme” şartlarının yerine getirilip getirilmediğini değerlendirmek kolay bir iş değildir.
Açıklama CCPA, Amerika Birleşik Devletleri’ndeki ilk kapsamlı tüketici gizliliği yasasıdır. Tüketicilere hangi kişisel bilgilerin toplandığını bilme hakkı, bu bilgilerin silinmesini isteme hakkı ve hassas verilerinin satışından vazgeçme hakkı verir.
1 Ocak 2023’te, 2020 Kaliforniya Gizlilik Hakları Yasası (CPRA) CCPA’yı genişleterek tüketicilerin işletmelerin kişisel verilerini paylaşmasını engellemesine, yanlış verileri düzeltmesine ve işletmelerin “hassas kişisel bilgi” kullanımını sınırlamasına olanak tanıdı. Yasa, özel Kaliforniya Gizlilik Koruma Ajansı’nı kurdu.
PIPEDA (Kanada)
PIPEDA’nın yerini yakında Tüketici Gizliliğini Koruma Yasası (CPPA) alabilir – Haziran 2023 itibariyle Avam Kamarası’nda ikinci okumadan geçti.
Tam adı: Kişisel Bilgilerin Korunması ve Elektronik Belgeler Yasası
Kapsam: Kanada’da faaliyet gösteren kuruluşlar veya Kanada dışında bulunan ve Kanada içindeki ticari faaliyetlerle bağlantılı olarak kişisel bilgileri kullanan kuruluşlar.
Açıklama PIPEDA, Kanada’da ticari faaliyetlerde kişisel bilgilerin toplanması, kullanılması ve ifşa edilmesine ilişkin kuralları belirleyen bir gizlilik yasasıdır. Kâr amacı güden ticari faaliyetler sırasında özel sektör kuruluşları için geçerlidir.
DPA 2018 (BIRLEŞIK KRALLIK)
Tam adı: Veri Koruma Yasası
Kapsam: Birleşik Krallık’ta kişisel verileri işleyen kuruluşlar (devlet ve kâr amacı gütmeyen kuruluşlar dahil)
Açıklama 2018 Veri Koruma Yasası, GDPR ilkelerini içermekte ve kişisel verilere ilişkin çeşitli hak ve sorumlulukları belirlemektedir. Kuruluşların kişisel verileri korumak için uygun teknik ve organizasyonel önlemleri uygulamasını gerektirir.
Gizlilik Yasası (Avustralya)
Kapsam: Avustralya devlet kurumları, işletmeler ve belirli bir yıllık ciroya sahip kâr amacı gütmeyen kuruluşların yanı sıra belirli koşullar altında daha küçük kuruluşlar (özel sektör sağlık hizmeti sağlayıcıları, kredi raporlama kuruluşları ve diğerleri)
Açıklama Gizlilik Yasası Avustralya’nın temel veri koruma mevzuatıdır. Temel amacı, bireylerin mahremiyetini korumak ve kişisel bilgilerinin adil ve şeffaf bir şekilde ele alınmasını ve kuruluşların verileri güvende tutmak için makul adımlar atmasını sağlamaktır.
POPIA (Güney Afrika)
Tam adı: Kişisel Bilgilerin Korunması Yasası
Kapsam: Güney Afrika’da yerleşik olan veya Güney Afrika’da yerleşik olmayan ancak Güney Afrika’da kişisel bilgileri işleyen özel veya kamusal her kuruluş POPIA’nın kapsamına girer.
Açıklama: POPIA’nın amacı kişisel verileri hırsızlık, kötüye kullanım ve kötü niyetli eylemlere karşı korumaktır. POPIA, herhangi bir kişi veya kuruluşun hassas bilgileri yasal olarak işleyebileceği koşulları ana hatlarıyla belirtir.
KVKK (Türkiye)
Tam adı: Kişisel Verilerin Korunması Kanunu
Kapsam: Kanun hükümleri, kişisel verileri işlenen gerçek kişiler ile bu verileri tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydı ile otomatik olmayan yollarla işleyen gerçek ve tüzel kişiler hakkında uygulanır.
Açıklama: Kişisel verilerin işlenmesinin disiplin altına alınması ve anayasada öngörülen başta özel hayatın gizliliği olmak üzere temel hak ve özgürlüklerin korunması.
Siber güvenlik düzenlemeleri
NIS2 (AB)
AB üye ülkelerinin NIS2 gerekliliklerini ulusal mevzuatlarına aktarmak için Eylül 2024’e kadar süreleri vardır.
Tam isim: Ağ ve Bilgi Güvenliği Direktifi
Kapsam: Dijital hizmet sağlayıcıları da dahil olmak üzere, belirlenen “temel” ve “önemli” sektör ve endüstrilerde faaliyet gösteren tüm kuruluşlar NIS2’nin kapsamına girer
Açıklama NIS, AB’nin ilk siber güvenlik direktifi olarak 2016 yılında yürürlüğe girmiştir. Güncellenen NIS2’nin amacı, tüm AB üye ülkelerinde siber güvenlik gerekliliklerini ve önlemlerini uygulayarak AB genelinde standart bir koruma düzeyi oluşturmaktır. Etkilenen sektörleri listeler, güvenlik gereksinimlerini tanımlar, raporlama yükümlülüklerini birleştirir ve uygulama önlemleri ve yaptırımlar getirir.
Tüm bunların amacı kritik altyapıyı ve AB vatandaşlarını siber saldırılardan korumaktır.
Siber Güvenlik Yasası (AB)
Tam adı 2019/881 sayılı Yönetmelik (AB)
Kapsam: AB üye ülkeleri, ENISA, belgelendirme kuruluşları ve AB içinde BİT ürün ve hizmetleri geliştiren, üreten veya sağlayan kuruluşlar ve işletmeler
Açıklama AB Siber Güvenlik Yasası, Avrupa Birliği Siber Güvenlik Ajansı’na (ENISA) daimî bir yetki vermekte ve ICT ürün ve hizmetlerinin güvenilirliğini sağlamak üzere bir sertifikasyon çerçevesi oluşturmaktadır. Siber güvenlik uygulamalarını ve bilgi paylaşımını geliştirmek için AB üye ülkeleri arasında iş birliğini teşvik etmektedir.
CMMC (ABD)
Tam uygulama gecikmiştir ve 2025 yılında gerçekleşmesi beklenmektedir.
Tam adı: Siber Güvenlik Olgunluk Modeli Sertifikasyonu
Kapsam: Tüm ABD Savunma Bakanlığı (DoD) yüklenicileri ve alt yüklenicileri
Açıklama: CMMC, Savunma Bakanlığı’nın yüklenicileri ve alt yüklenicileri ile paylaştığı kontrollü sınıflandırılmamış bilgileri siber saldırılardan korumak için başlattığı bir çerçevedir.
Sektöre özgü veri koruma düzenlemeleri
HIPAA (ABD)
Tam adı: Sağlık Sigortası Taşınabilirlik ve Sorumluluk Yasası
Endüstri Sağlık Hizmetleri
Kapsam: ABD’de sağlık sektöründe yer alan sağlık hizmeti sağlayıcıları ve bunların korunan sağlık bilgilerine erişimi olan üçüncü taraf iş ortakları
Açıklama HIPAA’nın temel amacı, sağlık bilgilerinin elektronik alışverişi için ulusal standartlar oluşturmak ve hastaların gizliliğini korumaktır. Tıbbi verilerin etkin ve güvenli bir şekilde değişimini sağlarken kişisel sağlık bilgilerinin gizliliğini ve güvenliğini korumayı amaçlamaktadır.
PCI DSS (ABD)
Tam adı: Ödeme Kartı Endüstrisi Veri Güvenliği Standardı
Endüstri Finans
Kapsam: PCI DSS, kart sahibi verilerini işleyen, ileten veya depolayan tüm kuruluşlar için küresel olarak geçerlidir.
Açıklama: PCI DSS, kart sahiplerinin hassas verilerini veri ihlallerinden ve dolandırıcılıktan korumak için tasarlanmış bir dizi kural ve süreçtir. Satıcılara, müşterilerinin ödeme kartı bilgilerini nasıl güvenli ve emniyetli bir şekilde kullanacaklarını söyler, böylece yanlış ellere geçmez.
DORA (AB)
DORA şu anda 24 aylık hazırlık dönemindedir ve Ocak 2025’te uygulanabilir hale gelecektir.
Tam adı: Dijital Operasyonel Dayanıklılık Yasası
Endüstri Finans
Kapsam: DORA, AB’nin finansal sistemine dahil olan finansal kuruluşlar ve bunları destekleyen ICT hizmet sağlayıcıları için geçerlidir. Bu, AB dışında yerleşik şirketler için bile geçerlidir.
Açıklama DORA’nın amacı Avrupa Birliği içerisinde dijital dayanıklılığı güçlendirmektir. Finans sektöründe ICT ile ilişkili riskleri ele almak için bir dizi kural oluşturur. Bu sayede, AB üye ülkeleri arasında veri güvenliği çabalarını uyumlu hale getirecektir.
GLBA (ABD)
Tam adı: Gramm-Leach-Bliley Yasası
Endüstri Finans
Kapsam: Gramm-Leach-Bliley Yasası, ABD’deki çok çeşitli finansal kuruluşlar için geçerlidir
Açıklama Gramm-Leach-Bliley Yasası, kamuya açık olmayan kişisel bilgilerin bankalar ve finans kurumları, sigorta şirketleri ve finansal hizmet sağlayıcıları tarafından ele alınmasını düzenleyen bir ABD yasasıdır. Temel bileşenlerden biri olan Gizlilik Kuralı, finans kuruluşlarının müşterilerine kurumun bilgi paylaşım uygulamalarını açıklayan açık ve özlü gizlilik bildirimleri sunmasını gerektirmektedir.
TISAX (Almanya)
Tam isim: Güvenilir Bilgi Güvenliği Değerlendirme Borsası
Kapsam: Alman otomotiv endüstrisinin en büyük oyuncularıyla iş yapan tüm kuruluşlar için bir TISAX sertifikası gereklidir.
Açıklama: TISAX, Alman Otomotiv Endüstrisi Birliği (VDA) tarafından geliştirilmiştir ve otomotiv tedarik zincirinde yüksek düzeyde veri güvenliği ve gizliliği sağlayan ortak bir değerlendirme ve değişim süreci sağlar.
Safetica ile düzenlemelere kolayca uyum sağlayın
Safetica ile çeşitli yasal gerekliliklere uymak kolaydır. Çözüm, hassas verilerinizi tanımlar ve sınıflandırır ve kötüye kullanım ve ihlallere karşı korunmasını sağlar. Safetica güvenlik politikalarınızı oluşturmanıza olanak tanır, böylece hassas dosyalarınıza erişimi kısıtlayabilirsiniz. Ayrıca kuruluşunuzdaki veri güvenliğinin durumunu görmek için güvenlik denetimleri gerçekleştirebilirsiniz. Ve tüm bunlara rağmen yine de bir güvenlik tehdidi olması durumunda, gerçek zamanlı olarak bilgilendirilirsiniz.
Scarab savunmasız sunucuları kolonileştiriyor
Zimbra kullanıcılarını hedef alan kitlelere yayılan saldırı
