🛣️TitanNav
← Tüm yasal mevzuat

TitanNav — Kişisel Veri İhlali Bildirim Prosedürü

Bu belge runtime'da company_info tablosundan render edilir. {{company.xxx}} ifadeleri admin panelden doldurulur.

Yasal Dayanak: 6698 KVKK Madde 12/5 + Kişisel Veri İhlali Bildirim Usul ve Esasları Hakkında Karar (24.01.2019 sayı 2019/10).

Statü: İç operasyon prosedürü (runbook). İhlal olduğunda takip edilir.

1. İHLAL TANIMI

Kişisel veri ihlali, işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi veya veri bütünlüğünün/erişilebilirliğinin bozulması durumudur. Örnek:

  • DB sızıntısı (hack, SQL injection)
  • Yanlışlıkla yanlış kişiye e-posta
  • Çalınan laptop/telefon (şifreli değilse)
  • Phishing sonucu çalışan şifresi ele geçirilmesi
  • Ransomware saldırısı
  • Yedekleme medyası kaybı
  • Üçüncü taraf veri işleyici sızıntısı (HERE, Google, vs.)
  • İnsan hatası: log'da PII, yanlış S3 bucket public, vs.

2. İHLAL TESPİTİ

2.1. Tespit kaynakları

  • Otomatik alarm: Sentry hata, Cloudflare güvenlik alarmı, anormal DB sorgu, IDS/IPS
  • Kullanıcı bildirimi: "Hesabıma giremedim, sonra yabancı bilgi gördüm"
  • Üçüncü taraf: Güvenlik araştırmacısı, etik hacker, beyaz şapka bug bounty
  • Medya/sosyal: Twitter'da "TitanNav hack" bildirimi
  • Personel: İçeriden fark eden kişi

2.2. İlk 30 dakika

Herhangi bir kanaldan "olası ihlal" haberi geldiğinde:

0-5 dk:     Çağrıyı al, ciddiyeti doğrula (false alarm mı?)
5-15 dk:    Eğer gerçek → İhlal Müdahale Ekibi (IMT) kurulur:
              - Operation Lead (Fatih — v1.0)
              - Technical Lead
              - Legal/KVKK Lead (gerekirse dış danışman)
              - Communications Lead (PR)
15-30 dk:   Olaya ilk müdahale:
              - Sızan vektör kapatıldı mı? (şifre değişimi, firewall, vs.)
              - Etki kapsamı ilk tahmin
              - Forensic snapshot alındı mı (log, DB dump)?

3. KURUL'A 72 SAAT BİLDİRİMİ

3.1. Ne zaman bildirim zorunlu?

  • Kişisel veri ihlalinin tespit edildiği tarihten itibaren 72 saat içinde Kurum'a bildirim zorunludur
  • Bildirim yapılmazsa geciken her saat için gerekçe sunulmalıdır

3.2. Kime bildirim?

Kişisel Verileri Koruma Kurumu Başkanlığı

3.3. Bildirim içeriği (zorunlu)

1. İhlalin niteliği (türü)
   - Gizlilik kaybı mı? Bütünlük? Erişilebilirlik?
2. Etkilenen kişi sayısı ve kategorisi
   - Kaç kullanıcı? Hangi veri kategorisi?
3. Etkilenen veri kategorileri ve yaklaşık kayıt sayısı
4. İhlalin olası sonuçları
   - Finansal, psikolojik, kimlik hırsızlığı riski vs.
5. Alınan önlemler
   - Kapatılan açık, şifre sıfırlama, vs.
6. İrtibat bilgileri
   - KVKK İrtibat Kişisi
7. Henüz belirlenemeyen bilgiler (sonradan güncellenir)

4. İLGİLİ KİŞİLERE BİLDİRİM

4.1. Koşullar

Makul süre içinde (mümkün olan en kısa zamanda) ilgili kişilere bildirim yapılır.

4.2. Bildirim yolu

  • E-posta (birincil)
  • Uygulama içi push notification
  • SMS (ağır durum)
  • Basın açıklaması (geniş kapsamlı ihlal)
  • Web sitesi bildirimi

4.3. Bildirim içeriği

Sevgili Kullanıcımız,

[TARİH]'te veri sistemimizde bir güvenlik olayı tespit ettik.
Etkilenen verileriniz:
- [LİSTE]

Olası riskler:
- [LİSTE]

Sizin ne yapmanız gerekiyor:
- Şifrenizi hemen değiştirin
- 2FA aktifleştirin
- Şüpheli hareketleri bildirin

Bizim aldığımız önlemler:
- [LİSTE]

İletişim: kvkk@titannav.com / 0XXX XXX XX XX

Saygılarımızla,
[LTD ÜNVANI]

5. SEVERİTE SINIFLANDIRMA

Seviye Tanım Örnek İlk yanıt
SEV1 — Kritik 10K+ kullanıcı, özel nitelikli veri, finansal DB full sızıntı, ödeme bilgisi 15 dk, IMT, basın
SEV2 — Yüksek 1K-10K kullanıcı, PII Tek tablo sızıntı 30 dk, IMT
SEV3 — Orta <1K kullanıcı, sınırlı PII Yanlış e-posta toplu gönderim 2 saat, düzeltme
SEV4 — Düşük <100 kullanıcı, düşük hassasiyet İç sistemde log PII 24 saat
SEV5 — Bilgi Gerçek ihlal değil, risk Near-miss Log + öğrenme

6. İHLAL KAYDI

Her ihlal için aşağıdaki bilgi breach_log tablosunda tutulur:

CREATE TABLE breach_log (
  id uuid PRIMARY KEY,
  detected_at timestamptz NOT NULL,
  reported_at timestamptz, -- Kurum'a bildirim
  severity text CHECK (severity IN ('SEV1','SEV2','SEV3','SEV4','SEV5')),
  category text, -- 'confidentiality', 'integrity', 'availability'
  affected_user_count int,
  affected_categories text[],
  root_cause text,
  mitigation_taken text,
  kurul_ref text, -- KVKK Kurul referans numarası (varsa)
  closed_at timestamptz,
  post_mortem_url text
);

7. FORENSIC VE DELİL KORUMA

İhlal tespit edildikten sonra:

  • Sistem günlükleri (log) derhal S3'e kopyalanır (silinmesin)
  • DB point-in-time snapshot alınır
  • Etkilenen sunucunun VM disk imajı alınır
  • Bellek dump (RAM) alınır (kritik vakada)
  • Zaman damgası doğrulaması için NTP karşılaştırması
    1. parti forensic firma devreye alınır (SEV1-2'de)

NOT: Erken temizlik/restart delil kaybına yol açar. Önce imaj al, sonra müdahale et.

8. ROOT CAUSE ANALİZİ VE POST-MORTEM

İhlal kapatıldıktan sonra 5-7 gün içinde post-mortem yapılır:

1. Zaman çizelgesi (tespit → yanıt → kapatma)
2. Kök neden (5 Why analizi)
3. Ne iyi yapıldı?
4. Ne kötü yapıldı?
5. Düzeltici eylemler (teknik + süreç)
6. Önleyici eylemler
7. Öğrenimler

Post-mortem blameless yaklaşımla yazılır — birini suçlamak değil, sistemi düzeltmek amaç.

9. İHLAL MÜDAHALE EKİBİ (IMT)

Rol Kişi (v1.0) Sorumluluk
Operation Lead Fatih Koordinasyon, karar
Technical Lead Fatih (şimdilik) / Yüklenici Teknik düzeltme
Legal/KVKK Dış danışman + Fatih Yasal bildirim
Communications Fatih Kullanıcı + basın iletişimi
Forensic Dış firma (SEV1-2) Delil

İletişim: Tek Slack/WhatsApp "incident" kanalı. Tüm konuşma kayıtlı.

10. YILLIK TATBİKAT

Yılda 1 kez sahte ihlal tatbikatı yapılır:

  • Örnek: "DB sızdı" senaryosu
  • IMT ekibi toplanır
  • Karar akışı test edilir
  • Eksikler raporlanır ve düzeltilir
  • Raporu KVKK denetiminde sunulur

11. İLETİŞİM DETAYLARI

Acil durum — 7/24: {{company.telefon}} KVKK ihlal: kvkk@titannav.com Kurul bildirim: ihlal@kvkk.gov.tr

Son güncelleme: [[TARİH]] Onay: {{company.yetkili_kisi}}