KVKK ve E-Posta Güvenliği
6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK), işletmelerin kişisel verileri içeren e-postaları nasıl işlediğini, sakladığını ve koruduğunu düzenler. E-posta, en yaygın veri ihlali kanalıdır — tüm veri ihlallerinin %94'ü e-posta üzerinden gerçekleşir.
KVKK'ya uyumsuzluk durumunda 2.000.000 TL'ye kadar idari para cezası uygulanabilir.
KVKK'nın E-Posta İçin Gerektirdikleri
| Gereksinim | Açıklama | Exchange Online Çözümü |
| Veri Şifreleme | Kişisel veriler şifreli iletilmeli | TLS 1.2+ otomatik, OME (mesaj şifreleme) |
| Erişim Kontrolü | Yetkisiz erişim engellenmeli | MFA, koşullu erişim, RBAC |
| Veri Kaybı Önleme | Hassas veriler izinsiz paylaşılmamalı | DLP politikaları (TC Kimlik, IBAN algılama) |
| Denetim İzi | Kim ne zaman erişti kaydedilmeli | Birleşik denetim günlüğü (90-365 gün) |
| Veri Saklama | Yasal süre boyunca saklanmalı | Saklama politikaları, arşiv kutuları |
| Silme Hakkı | Talep üzerine kişisel veri silinebilmeli | İçerik arama ve toplu silme |
| Veri İhlali Bildirimi | 72 saat içinde bildirim | Defender uyarıları, otomatik algılama |
Exchange Online ile KVKK Uyumlu E-Posta Kurulumu
Adım 1: Temel Güvenlik Yapılandırması
- SPF, DKIM, DMARC: E-posta kimlik doğrulama — sahte e-posta gönderimini engelleyin
- MFA (Çok Faktörlü Kimlik Doğrulama): Tüm kullanıcılar için zorunlu yapın
- Koşullu Erişim: Yalnızca güvenli cihazlardan erişime izin verin
Adım 2: Veri Kaybı Önleme (DLP)
Exchange Online'da DLP politikaları oluşturarak hassas verilerin e-posta ile gönderilmesini engelleyin:
- TC Kimlik Numarası: 11 haneli TC kimlik kalıbını algılar ve engeller
- Kredi Kartı Numarası: Kart numarası formatlarını tespit eder
- IBAN: Banka hesap numaralarını algılar
- Sağlık Verileri: ICD kodları ve tıbbi terimler
Adım 3: E-Posta Şifreleme
Office 365 Message Encryption (OME) ile hassas e-postaları şifreleyin:
- Alıcı herhangi bir e-posta sağlayıcısı kullansa bile şifreli okuyabilir
- Otomatik şifreleme kuralları (DLP ile entegre)
- "Gizli" veya "KVKK" etiketli e-postalar otomatik şifrelenir
Adım 4: Denetim ve İzleme
- Birleşik Denetim Günlüğü: Tüm e-posta erişimlerini kaydedin
- Posta Kutusu Denetimi: Kimin hangi posta kutusuna eriştiğini izleyin
- Uyarı Politikaları: Şüpheli etkinliklerde otomatik bildirim
Adım 5: Veri Saklama Politikaları
- Saklama Etiketleri: E-postaları yasal sürelere göre otomatik saklayın
- Arşiv Kutuları: Sınırsız arşiv ile eski e-postaları güvenle saklayın (Plan 2)
- Yasal Tutma: Dava süreçlerinde e-postaların silinmesini engelleyin
Hangi Exchange Online Planı KVKK İçin Yeterli?
| Özellik | Plan 1 ($4/ay) | Plan 2 ($8/ay) |
| Temel şifreleme (TLS) | ✅ | ✅ |
| MFA desteği | ✅ | ✅ |
| SPF/DKIM/DMARC | ✅ | ✅ |
| DLP (Veri Kaybı Önleme) | ❌ | ✅ |
| OME (Mesaj Şifreleme) | ❌ | ✅ |
| eDiscovery | Temel | Gelişmiş |
| Sınırsız Arşiv | ❌ | ✅ |
| Gelişmiş Denetim | ❌ | ✅ |
KVKK uyumluluğu için Exchange Online Plan 2 önerilir. DLP, şifreleme ve gelişmiş denetim özellikleri Plan 2'de mevcuttur.
Sık Yapılan KVKK Hataları
- MFA kullanmamak: Çalınan şifrelerle yetkisiz erişim en yaygın ihlal sebebi
- DLP politikası oluşturmamak: Çalışanlar farkında olmadan hassas veri paylaşabilir
- Denetim günlüğü tutmamak: İhlal durumunda kanıt üretememe
- E-posta şifrelememek: Hassas verilerin açık metin olarak iletilmesi
- Eski e-postaları yedeklememek: Yasal saklama süresinden önce veri kaybı
Ücretsiz Güvenlik Taraması
E-posta altyapınızın KVKK'ya ne kadar uyumlu olduğunu öğrenmek ister misiniz? Ücretsiz domain güvenlik taraması ile SPF, DKIM ve DMARC yapılandırmanızı 10 saniyede kontrol edin.
Sonuç
KVKK uyumlu e-posta sistemi bir lüks değil, yasal zorunluluktur. Exchange Online Plan 2 ile DLP, şifreleme, denetim ve arşivleme özelliklerini tek çatı altında elde edebilirsiniz. Profesyonel kurulum ve yapılandırma için bizimle iletişime geçin.