KVKK 2026-06-10 · 8 dk okuma

KVKK Denetimi Öncesi 14 Günlük Hazırlık Checklist'i

KVKK Kurulu denetim kararı geldi — 14 günde teknik tedbirleri belgeleme rehberi. Hangi bulgu kategorileri kritik, hangi madde'ler öncelikli, hangi raporlar yedek delil.

Yazan: Niyazi Önder Duman

KVKK Kurulu denetim kararı kuruluşunuzun masasına düştü. Sürenize göre 14-30 gün arasında bilgi-belge talebi geliyor. Bu yazıda 14 günlük ideal hazırlık takvimimi paylaşıyorum.

Gün 1-3 — Tarama ve durum tespiti

Önce nerde olduğunu öğren. Aegis Scanner gibi bir pasif tarama aracıyla (veya manuel olarak):

  • Subdomain envanteri (kaç tane var, hangisi unutulmuş, hangisi public)
  • DNS yapılandırması (DNSSEC, CAA, SPF, DKIM, DMARC)
  • HTTP güvenlik başlıkları (HSTS, CSP, X-Frame-Options, vb.)
  • Bilinen CVE veritabanı eşleştirmesi (NVD + CISA KEV)
  • Cloud bucket (S3, GCS, Azure Blob) public exposure
  • Sertifika şeffaflığı (CT logs) — son 90 gün yeni domain'ler

Çıkan bulgu listesini severity (kritik / yüksek / orta / düşük) ile sıralayın. Kritik'ten başlayın.

Gün 4-7 — Kritik açıkları kapat

Genelde 3-7 kritik/yüksek bulgu çıkar. Hepsini bu pencerede kapatın. Yaygın senaryolar:

  • SPF/DMARC eksik veya zayıf → Cloudflare/Route53 panelinde ayar (1 saat)
  • Eski WordPress eklentisi CVE → güncelle veya kaldır (2 saat)
  • Dangling CNAME (subdomain takeover) → DNS kaydını sil veya geçerli hedef bağla (30 dk)
  • S3 bucket public-list-objects → ACL düzelt + bucket policy (1 saat)
  • Eski test/staging ortamı internete açık → IP whitelisting veya kapat (2 saat)

Gün 8-10 — Aydınlatma + KVKK m.10 evrakı

KVKK Kurulu denetimde en sık sorduğu sorulardan biri: "Aydınlatma yükümlülüğünüzü nasıl yerine getirdiniz?" (m.10). Hazırlanması gerekenler:

  • Aydınlatma metni — ana sayfada erişilebilir, statik HTML (JS yüklemesiyle değil)
  • Çerez politikası + CMP — açık rıza alınmadan tracker yüklenmiyor olmalı (Cookiebot/OneTrust/Osano)
  • Kişisel Veri İşleme Envanteri (KVKİE) — departman bazında güncel
  • VERBİS kaydı — Aktif, irtibat kişisi atanmış
  • Yurt dışı transfer beyanı — Hangi servisler (Google Analytics, Meta Pixel, AWS US bölgeleri, vb.) verinizi yurt dışına gönderiyor

Gün 11-13 — Teknik tedbir dokümantasyonu

"Teknik tedbir aldığımızın belgesi" istenince Excel listesi yeterli değil. Hazırlayın:

  • Aegis Scanner gibi araç çıktısı → her bulgu KVKK madde + ISO 27001 Annex A eşleştirmeli, son 6 ay tarama raporları
  • Sızma testi raporları → en az son yıl (manuel pentest varsa)
  • Yedekleme + felaket kurtarma planı
  • Erişim kontrol matrisi — hangi rol hangi PII'ye erişiyor
  • Çalışan eğitimleri → son yıl tarih + içerik listesi

Gün 14 — Sunuş + iletişim

Belge paketi (PDF) Kurul'a teslim edilirken eşliğinde 1-2 sayfa özet metin yazın. Bu kısa metin Kurul üyesinin sayfaları karıştırmak yerine bütünsel görmesini sağlar.

Özetin yapısı:

  1. Mevcut durum (1-2 paragraf)
  2. Son 6 ayda yapılan iyileştirmeler (madde madde)
  3. Planlanan ek tedbirler (önümüzdeki 3-6 ay)
  4. Aegis/benzer sürekli izleme aracı kullandığınızın belgesi

Niye sürekli izleme bu süreçte değerli?

Manuel hazırlık 14 gün ama denetim sonrası ne olacak? KVKK Kurulu son 2 yıl aynı şirkete tekrar denetim açma sayısını artırdı. Yıllık bir sızma testi yeterli değil.

Aegis Scanner gibi sürekli izleme platformu: haftalık otomatik tarama, yeni açık çıktığında anlık bildirim, her bulgunun KVKK madde haritası. Yıllık ₺35,9K maliyetle yıllık ₺120K manuel pentest + ₺50K danışman bütçesinin %15'i.

Karşılaştırma + ROI hesabı sayfasında sektör/ciro bazında detaylar var. Soru olursa 15 dakikalık görüşme açıyorum.

Aegis Scanner'ı ücretsiz deneyin

Domain'inizi 15 saniyede tarayın — kayıt olmadan, kart bilgisi olmadan.

Hızlı Tara →