KVKK ve E-Posta Güvenliği

6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK), işletmelerin kişisel verileri içeren e-postaları nasıl işlediğini, sakladığını ve koruduğunu düzenler. E-posta, en yaygın veri ihlali kanalıdır — tüm veri ihlallerinin %94'ü e-posta üzerinden gerçekleşir.

KVKK'ya uyumsuzluk durumunda 2.000.000 TL'ye kadar idari para cezası uygulanabilir.

KVKK'nın E-Posta İçin Gerektirdikleri

GereksinimAçıklamaExchange Online Çözümü
Veri ŞifrelemeKişisel veriler şifreli iletilmeliTLS 1.2+ otomatik, OME (mesaj şifreleme)
Erişim KontrolüYetkisiz erişim engellenmeliMFA, koşullu erişim, RBAC
Veri Kaybı ÖnlemeHassas veriler izinsiz paylaşılmamalıDLP politikaları (TC Kimlik, IBAN algılama)
Denetim İziKim ne zaman erişti kaydedilmeliBirleşik denetim günlüğü (90-365 gün)
Veri SaklamaYasal süre boyunca saklanmalıSaklama politikaları, arşiv kutuları
Silme HakkıTalep üzerine kişisel veri silinebilmeliİçerik arama ve toplu silme
Veri İhlali Bildirimi72 saat içinde bildirimDefender uyarıları, otomatik algılama

Exchange Online ile KVKK Uyumlu E-Posta Kurulumu

Adım 1: Temel Güvenlik Yapılandırması

  • SPF, DKIM, DMARC: E-posta kimlik doğrulama — sahte e-posta gönderimini engelleyin
  • MFA (Çok Faktörlü Kimlik Doğrulama): Tüm kullanıcılar için zorunlu yapın
  • Koşullu Erişim: Yalnızca güvenli cihazlardan erişime izin verin

Adım 2: Veri Kaybı Önleme (DLP)

Exchange Online'da DLP politikaları oluşturarak hassas verilerin e-posta ile gönderilmesini engelleyin:

  • TC Kimlik Numarası: 11 haneli TC kimlik kalıbını algılar ve engeller
  • Kredi Kartı Numarası: Kart numarası formatlarını tespit eder
  • IBAN: Banka hesap numaralarını algılar
  • Sağlık Verileri: ICD kodları ve tıbbi terimler

Adım 3: E-Posta Şifreleme

Office 365 Message Encryption (OME) ile hassas e-postaları şifreleyin:

  • Alıcı herhangi bir e-posta sağlayıcısı kullansa bile şifreli okuyabilir
  • Otomatik şifreleme kuralları (DLP ile entegre)
  • "Gizli" veya "KVKK" etiketli e-postalar otomatik şifrelenir

Adım 4: Denetim ve İzleme

  • Birleşik Denetim Günlüğü: Tüm e-posta erişimlerini kaydedin
  • Posta Kutusu Denetimi: Kimin hangi posta kutusuna eriştiğini izleyin
  • Uyarı Politikaları: Şüpheli etkinliklerde otomatik bildirim

Adım 5: Veri Saklama Politikaları

  • Saklama Etiketleri: E-postaları yasal sürelere göre otomatik saklayın
  • Arşiv Kutuları: Sınırsız arşiv ile eski e-postaları güvenle saklayın (Plan 2)
  • Yasal Tutma: Dava süreçlerinde e-postaların silinmesini engelleyin

Hangi Exchange Online Planı KVKK İçin Yeterli?

ÖzellikPlan 1 ($4/ay)Plan 2 ($8/ay)
Temel şifreleme (TLS)
MFA desteği
SPF/DKIM/DMARC
DLP (Veri Kaybı Önleme)
OME (Mesaj Şifreleme)
eDiscoveryTemelGelişmiş
Sınırsız Arşiv
Gelişmiş Denetim

KVKK uyumluluğu için Exchange Online Plan 2 önerilir. DLP, şifreleme ve gelişmiş denetim özellikleri Plan 2'de mevcuttur.

Sık Yapılan KVKK Hataları

  1. MFA kullanmamak: Çalınan şifrelerle yetkisiz erişim en yaygın ihlal sebebi
  2. DLP politikası oluşturmamak: Çalışanlar farkında olmadan hassas veri paylaşabilir
  3. Denetim günlüğü tutmamak: İhlal durumunda kanıt üretememe
  4. E-posta şifrelememek: Hassas verilerin açık metin olarak iletilmesi
  5. Eski e-postaları yedeklememek: Yasal saklama süresinden önce veri kaybı

Ücretsiz Güvenlik Taraması

E-posta altyapınızın KVKK'ya ne kadar uyumlu olduğunu öğrenmek ister misiniz? Ücretsiz domain güvenlik taraması ile SPF, DKIM ve DMARC yapılandırmanızı 10 saniyede kontrol edin.

Sonuç

KVKK uyumlu e-posta sistemi bir lüks değil, yasal zorunluluktur. Exchange Online Plan 2 ile DLP, şifreleme, denetim ve arşivleme özelliklerini tek çatı altında elde edebilirsiniz. Profesyonel kurulum ve yapılandırma için bizimle iletişime geçin.