Hosting - Sanal Sunucu Firmalarına Sorum Var (KVKK ve Veri Güvenliği Hk.)

Merhabalar,

Birçok firmadan sanal sunucu hizmeti almaktayız. Kendileride forumda olan konunun gidişatına göre şikayet konusu açacağım şuanlık ismini vermeyeceğim bir firmada ilginç bir durum ile karılaştım.

Yıllık hizmet ödemesi yapmak için firmanın sitesinden panele girdiğimde kimlik doğrulaması ile karşılaştım Bu doğrulamada selfie ile kimlik doğrulaması istendi tamam dedik firma sahibimizin (kurumsal tanımlı hesap) elinde kimliği tuttuğu fotoğrafı yükledik ve net okunmadığı (ne hikmetse ben görseli açtığımda seri numarasına kadar net okuyorum. ) ve kimliğin çenesinin yanında olmadığı gerekçesiyle kabul edilmedi.

Canlı destek üzerinden iletişime geçtiğimde (doğrulama istediği için ticket açamıyoruz) firma olduğunu ve bu fotoğrafın banka vb. doğrulamalarda sahtecilik amaçlı kullanılabileceği bu sebeple hangi gerekçe ve hangi ynetmeliğe dayanarak bunu talep ettiklerini ve bu veriyyi fotoğrafı nasıl güvenle sağlayacaklarını sordum. BTK talep ediyordan türü geçemedi konuşma.

Bunun üzerine çalıştığımız ve büyük sunucu firmalarının 3'ü ile iletişime geçtim. Böyle bir uygulamalarının olup olmadığını sordum. Yanıt olarak hepsi sadece illegal faaliyet gibi istisna durumlarda selfie değil kimlik talep ettiklerini belirttiler.

Yine canlı destek üzerinden hesabın kurumsal olduğunu belirttiğim güvenlik sakıncaları nedeniyle vergi levhası, imza sürküsü, faaliyet belgesi vb tüm belgeleri ileterek doğrulama yapabileceğimizi belirttim ancak sadece selfie ile doğrulama yapacaklarını belirttiler.

Yine bu kimlik talep eden firmanın KVKK sayfasındaki metin şöyle;

********‘ye ilettiğiniz tüm bilgiler (TC Kimlik Numarası, e-posta, telefon numarası vb.) sunucularımızda mümkün olan en yüksek güvenlik önlemleriyle saklanmaktadır. Yine de oluşabilecek herhangi bir hack vb. durumunda ****’nin hiçbir hukuki ve cezai sorumluluğu bulunmamaktadır.

Bunun üzerine firma mail adresimizden ilgili firmanın mail adresine BTK 'nın hangi yönetmeliği ve uygulamasına istinaden bu veriyi talep ettiklerini ve bu veriyi benden isterken neden istedikleri ve nasıl koruyacaklarına yönelik bilgi maili geçtim. Henüz cevap gelmedi ancak sorum şudur;

- Sanal sunucuda Stok takibi programımızın SQL veritabanı
- XML Entegrasyon yazılımımız
- Nadiren masaüstü uygulamalarımız test edilmekte (24 saat çalışması için)

bunun haricinde birşey çalışmamakta. Firmamız ve ilgili sunucu hakkında herhangi bir yasal takip süreci yok. İçeride illegal yazılım ve illegal işlemler yapılmıyor. Firma KVKK sayfasında açıkça diyorki güvenlik önlemi var ama hacklenirsekte geçmiş olsun birşey yapamam.

Diğer tüm firmalar bu bilgiyi talep etmiyorken ve ben firma adına tüm evraklarımı sunuyorken neden ille ÇENEMİN YANINDA SELFİE yani amaç nedir burada ?

BTK 'dan konu hakkında bilgi edinme kanununu kapsamında dilekçemizi hazırladık gün içinde başvurumuzu ileteceğiz. Ayrıca firma panelimi açmadığı için ödememide yapamıyorum hizmetim patlayacak muhtemelen. Firmanın geri dönüşüne göre BTK 'ya ve KVKK şikayetinde bulunacağım. Ben ön araştırmamda BTK 'nın illa ÇENENİN YANINDA SELFIE istiyorum diye bir uygulamasına denk gelemedim henüz araştırmaya devam ediyorum.

bu uygulama ile ilgili yönetmelik bilgisi olan veya yasal zemini hakkında bilgisi olan aydınlatabilirse sevinirim ?

Selfie istenmesi tamamiyle firmanın güvenlik politikalarıyla ilgili, sadece kimlik doğrulaması yapan firmalarda var daha katı bir doğrulama için selfie doğrulaması isteyen firmalarda mevcut.

Kvkk açısından sıkıntı olacağını sanmıyorum çünkü aynı doğrulamayı bankalar da yapmakta. Kvkk'nın devreye gireceği nokta bu bilgilerin güvenli şekilde saklanması olabilir. @Fahrettin bey işin yasal prosedürünü daha iyi açıklayacaktır.

Cevabınız için teşekkür ederim. Evet biz sadece bankalara bu tarz doğrulama talep ediyoruz ki bunu sadece şüpheli işlem durumlarında talep ediliyor. Biz kurumsal olarak kayıt açıp resmi faturalarıyla hizmet alıyoruz. Bende bu talebin BTK tarafında yasal dayanağını arıyorum ki biz firmaya hesabın bize ait olduğuna dair tüm resmi evrakları iletmeye hazırız diyoruz yok sadece Selfie doğrulama diyor.

- Firma bunu talep ediyorsa iki gün sonra bu fotoğrafı çaldırmasında ya da farklı bir durumda kullanılmayacağın garantisini vermesi gerekmez mi ?
- BTK bunu talep ediyorsa şu şu yönetmelik veya şu şikayetten dolayı diye belirtmesi gerekmez mi ?
- Diğer firmalar talep etmiyor sadece siz ediyorken nasıl BTK talep ediyor oluyor ? BTK sadece sizin firmanıza özel prosedür mü uyguluyor ? diye soruyorum kendi kendime

Yani bunu bankalar doğrulamada kullanırken KVKK ihlalleri ve veri hırsızlıkları bu kadar popülerken her isteyene kimlikli selfie 'mizi de mi iletelim. İşin komik yanı ilk ilettiğimizde çenemizin yanında değil diye kabul edilmemiş.

Merhabalar.

Kısaca yazayım.
1- Sözleşmelerde yazan her şey kesin kabul edilmez. Yoruma açıktır.
2- Taraflar ticaret yapmak için ön koşul olarak farklı şeyler isteyebilir.
Bazı istisnalar dışında her türlü şey olabilir.

Mevcut durumda sizinle iletişime geçen personel büyük ihtimal aracı.
Birinden bu şekilde bir talep gelmiş. O nedenle uygulamayı o şekilde
yapıyor. Neden istediğini ne yapacağını bilmiyor. Bu olabilir. Bunun
dışında sizinle çalışma yapmak için farklı şeyler de isteyebilir. Kendince
mantıklı bir şey sunması yeterli. Kanuni değil mantıklı.

Büyük ihtimal aradığınız şeyi bulamayacaksınız. Firmalar kendilerini
korumak için ek güvenlik önlemleri getirebilir. Sağlanmayan durumlarda
müşteri ile çalışmayı bırakabilir. Müşteri firma ile çalışmak istiyorsa
şartları sağlamak zorundadır.(İstisnalar hariç)

Bana da sık sık KVKK gereği bunu yapamıyoruz diyen tembel personel
denk geliyor. Hangi maddeye dayandığınızı açıklayın diyorum. Şefime
sorayım deyip ölü taklidi yapıyorlar. Bir şeyleri mış gibi yapmanın
sonuçları. BTK istiyor sadece bir bahane.

Şirket politikamız böyle diyebilirler. Ya da MASAK istedi diyebilirler.
Ama bunlar başka sorunlar çıkarır. O nedenle pek çok kişinin soru
sormasını engelleyecek "BTK istiyor" cümlesi daha kolaylarına geliyor.

Sözleşmeler genel olarak; forumda da sık sık karşılaştığımız şekilde
ne yazdığından haberi olmayan kişiler tarafından yazılıyor. Yazdıkları
metnin geçerliliği nedir? Ne yazarsan bir anlamı olmaz? Gibi bilgilerden
yoksun kişiler tarafından yazıldığı için bu tip karışıklıklar çıkabiliyor.

Firma yaşanacak güvenlik zafiyetlerinden sorumludur. Orada yazan
cümlenin hiç bir anlamı yok.

İyi forumlar

Açıklayıcı anlatımınız için teşekkür ederim. Benimde amacım herhangi bir şekilde firmayı zora koşma ya da problem yaratma değil. Ama tutupta sen birşey talep ederken bunun yasal dayanağı yoksa tutupta BTK istiyor diye normalde olmayan bir madde ortaya çıkaramazsın.. Siz, ben veya başka biri buna itiraz etmezse hakkını aramazsa herkes istediği gibi at koşturur. Bugün sen kimliğimi istersin tamam istersin şundan dolayı istiyorum dersin bende uygunsa gnderiri yoksa hizmet almayı bırakır başka yerden alırım. Ama zorundasınız kelimesi tamamiyle sizin bahsettiğiniz üzere işbilmez personel tavrı.

Sadece bu konu özelinde değil her isteyene her şeyimizi gönderirsek bugün biri kimlik ister yarın biri tabiri caizse evimizin tapusunu ister. Nihai olarak amacım zorluk ya da problem değil kim neyi ne diye istiyor bunu en doğal hakkımla ğrenip ona göre işlem yapmak ki herkes böyle yaparsa bir düzen oluşacağını düşünüyorum.

Maalesef pek çok kişi yaptığı işten bihaber. Ve öğrenmeyi de düşünmüyor.
O nedenle kim kime ne yutturursam, neyden kaytarırsam diye düşünmekten
iş yapamıyor.

Ama bunun dışında bir sorun yaşamayan firmalar bu tip şeylere girmez.
Savcılık ya da diğer idari kurumlar firmaları zorlayabiliyor. Hukuken sorumlu
olmadıkları konularda işleyiş nedenleriyle kendilerinin suçsuz olduğunu
ispat etmeleri bekleniyor. Bunu ispat edemeyen ya da ispat edebilecek
yeterlilikleri sağlamaktan yoksun firmalar sonrası için uç düzenlemeler
getirebilir.

Pireye kızıp yorgan yakmak ya da yoğurdu üfleyerek yemek denebilir.

Profesyonel görüşümü sorarsanız firmaların gerçekten ilgilenmeleri gereken
şeylerle ilgilenmemeleri nedeni ile bu tip sorunlar çıkabiliyor. Bir taraftan
3 kuruş kar elde edeceğiz diye bilmedikleri konularda tavizler veriyorlar.
Sonra tavizlerin faturası kapılarına dayanınca saçma sapan hareketlere
giriyorlar.

Galiba bu durumla bundan sonra da sürekli karşılaşacağız. Çünkü yaşanan
d0landırıcılık vakalarının faturası bu kafasına göre iş yapan firmalara kesilecek