KVKK Denetimi Öncesi 14 Günlük Hazırlık Checklist'i
KVKK Kurulu denetim kararı geldi — 14 günde teknik tedbirleri belgeleme rehberi. Hangi bulgu kategorileri kritik, hangi madde'ler öncelikli, hangi raporlar yedek delil.
KVKK Kurulu denetim kararı kuruluşunuzun masasına düştü. Sürenize göre 14-30 gün arasında bilgi-belge talebi geliyor. Bu yazıda 14 günlük ideal hazırlık takvimimi paylaşıyorum.
Gün 1-3 — Tarama ve durum tespiti
Önce nerde olduğunu öğren. Aegis Scanner gibi bir pasif tarama aracıyla (veya manuel olarak):
- Subdomain envanteri (kaç tane var, hangisi unutulmuş, hangisi public)
- DNS yapılandırması (DNSSEC, CAA, SPF, DKIM, DMARC)
- HTTP güvenlik başlıkları (HSTS, CSP, X-Frame-Options, vb.)
- Bilinen CVE veritabanı eşleştirmesi (NVD + CISA KEV)
- Cloud bucket (S3, GCS, Azure Blob) public exposure
- Sertifika şeffaflığı (CT logs) — son 90 gün yeni domain'ler
Çıkan bulgu listesini severity (kritik / yüksek / orta / düşük) ile sıralayın. Kritik'ten başlayın.
Gün 4-7 — Kritik açıkları kapat
Genelde 3-7 kritik/yüksek bulgu çıkar. Hepsini bu pencerede kapatın. Yaygın senaryolar:
- SPF/DMARC eksik veya zayıf → Cloudflare/Route53 panelinde ayar (1 saat)
- Eski WordPress eklentisi CVE → güncelle veya kaldır (2 saat)
- Dangling CNAME (subdomain takeover) → DNS kaydını sil veya geçerli hedef bağla (30 dk)
- S3 bucket public-list-objects → ACL düzelt + bucket policy (1 saat)
- Eski test/staging ortamı internete açık → IP whitelisting veya kapat (2 saat)
Gün 8-10 — Aydınlatma + KVKK m.10 evrakı
KVKK Kurulu denetimde en sık sorduğu sorulardan biri: "Aydınlatma yükümlülüğünüzü nasıl yerine getirdiniz?" (m.10). Hazırlanması gerekenler:
- Aydınlatma metni — ana sayfada erişilebilir, statik HTML (JS yüklemesiyle değil)
- Çerez politikası + CMP — açık rıza alınmadan tracker yüklenmiyor olmalı (Cookiebot/OneTrust/Osano)
- Kişisel Veri İşleme Envanteri (KVKİE) — departman bazında güncel
- VERBİS kaydı — Aktif, irtibat kişisi atanmış
- Yurt dışı transfer beyanı — Hangi servisler (Google Analytics, Meta Pixel, AWS US bölgeleri, vb.) verinizi yurt dışına gönderiyor
Gün 11-13 — Teknik tedbir dokümantasyonu
"Teknik tedbir aldığımızın belgesi" istenince Excel listesi yeterli değil. Hazırlayın:
- Aegis Scanner gibi araç çıktısı → her bulgu KVKK madde + ISO 27001 Annex A eşleştirmeli, son 6 ay tarama raporları
- Sızma testi raporları → en az son yıl (manuel pentest varsa)
- Yedekleme + felaket kurtarma planı
- Erişim kontrol matrisi — hangi rol hangi PII'ye erişiyor
- Çalışan eğitimleri → son yıl tarih + içerik listesi
Gün 14 — Sunuş + iletişim
Belge paketi (PDF) Kurul'a teslim edilirken eşliğinde 1-2 sayfa özet metin yazın. Bu kısa metin Kurul üyesinin sayfaları karıştırmak yerine bütünsel görmesini sağlar.
Özetin yapısı:
- Mevcut durum (1-2 paragraf)
- Son 6 ayda yapılan iyileştirmeler (madde madde)
- Planlanan ek tedbirler (önümüzdeki 3-6 ay)
- Aegis/benzer sürekli izleme aracı kullandığınızın belgesi
Niye sürekli izleme bu süreçte değerli?
Manuel hazırlık 14 gün ama denetim sonrası ne olacak? KVKK Kurulu son 2 yıl aynı şirkete tekrar denetim açma sayısını artırdı. Yıllık bir sızma testi yeterli değil.
Aegis Scanner gibi sürekli izleme platformu: haftalık otomatik tarama, yeni açık çıktığında anlık bildirim, her bulgunun KVKK madde haritası. Yıllık ₺35,9K maliyetle yıllık ₺120K manuel pentest + ₺50K danışman bütçesinin %15'i.
Karşılaştırma + ROI hesabı sayfasında sektör/ciro bazında detaylar var. Soru olursa 15 dakikalık görüşme açıyorum.