Dijital Dünyada Kimlik Doğrulamak: KVKK ile NIST Standartlarının Uyumu
Her geçen gün gelişen teknolojiyle birlikte bireyler olarak dijital kimliklerimiz de hayatımızın bir parçası haline geliyor.[1] Artık kimlik doğrulama gibi birçok işlemi tek bir tıkla bilgisayar başında halledebilir hale geldik. Ancak, bu kolaylıkların keyfini çıkarırken, beraberinde getirdiği çeşitli riskleri de göz ardı edemeyiz. Özellikle bankacılık, e-ticaret ve sosyal medya gibi hizmetlere erişebilmek için dijital dünyada kimlik doğrulaması yapmamız gerekebiliyor.[2] Bu durum, kişisel verilerin korunması ve güvenliğinin sağlanmasını daha da önemli hale getiriyor. Türkiye’de kişisel verilerin korunması, Kişisel Verilerin Korunması Kanunu (KVKK) ile sağlanırken, dünya genelinde birçok ülke Amerikan Ulusal Standartlar ve Teknoloji Enstitüsü (NIST) gibi kuruluşların geliştirdiği standartlara uygun çözümler geliştiriyor. Bu standartlardan biri de SP 800-63B’dir. Peki, NIST nedir? Hangi standartları belirlemiştir? Ve en önemli soru: Dijital kimlik doğrulama konusunda KVKK ile NIST standartları arasında nasıl bir uyum vardır? Gelin, bu soruların her birini birlikte inceleyelim!
Dijital Kimlik Doğrulama Nedir?
Dijital kimlik doğrulama, bir kullanıcının kim olduğunu doğrulamak için kullanılan dijital yöntemler bütünüdür. Örneğin, online bankacılık işlemleri yaparken, sisteme giriş yapabilmek için kimliğimizi doğrularız. Bu, bir kullanıcı adı ve şifreyle olabileceği gibi, daha gelişmiş güvenlik önlemleriyle de yapılabilir. Kimlik doğrulama yöntemleri, güvenlik seviyelerine göre değişir. Bu güvenlik seviyeleri sayesinde, her bir işlem ve işlem için gereken güvenlik düzeyi belirlenir. Kişisel verilerin korunması için yüksek güvenlik gerektiren işlemlerde daha güçlü doğrulama yöntemleri tercih edilir.
NIST Nedir?
NIST, ABD merkezli bir standart geliştirme kuruluşudur. NIST SP 800-63B ise kimlik doğrulama süreçlerinde kullanılacak güvenlik seviyelerini tanımlar ve üç farklı güven seviyesi (AAL) sunar:
- AAL1 – Düşük Güvenlik Seviyesi: Basit doğrulama yöntemleri gerektirir, örneğin sadece şifre kullanımı. Düşük güvenlik gerektiren platformlarda yeterlidir.
- AAL2 – Orta Güvenlik Seviyesi: İki faktörlü kimlik doğrulama (MFA) içerir. Bu seviyede, bir şifreyle birlikte cep telefonuna gelen bir doğrulama kodu gibi ek bir doğrulama gereklidir. Kimlik avı gibi saldırılara dayanıklı bir güvenlik yöntemi sunar.
- AAL3 – Yüksek Güvenlik Seviyesi: En yüksek güvenlik düzeyidir. Kriptografik doğrulama kullanır ve fiziksel bir donanım tabanlı doğrulama gerektirir. Örneğin, biyometrik verilerle (parmak izi veya yüz tanıma) doğrulama yapılabilir. AAL3, en hassas veri ve sistemlerin korunmasında kullanılır.
Bu seviyeler sayesinde, kimlik doğrulama işlemi yapılacak olan veri ve işlemlerin güvenlik gereksinimlerine uygun şekilde yönetilmesi sağlanır. Her bir güvenlik seviyesi, kullanılan doğrulama yöntemine göre farklı güvenlik önlemleri sunar.
KVKK Nedir ve Neden Önemlidir?
Türkiye’de yürürlükte olan Kişisel Verilerin Korunması Kanunu (KVKK), kişisel verilerin korunması için belirli kurallar getirir. KVKK, veri sorumlularına, kişisel verilerin güvenliğini sağlamak için teknik ve idari tedbirler alma zorunluluğu getirir. Bu doğrultuda, şirketlerin ya da kurumların özellikle kimlik doğrularken kullanılan kişisel verilerin hukuka aykırı erişim ve işlenmesini engellemesi gerekir. Özellikle KVKK’nın 12. maddesi, kişisel veri güvenliğini sağlama konusunda gerekli tüm teknik ve idari tedbirlerin alınmasını şart koşar.
KVKK ve NIST Uyumu: Dijital Güvenlik İçin İdeal Eşleşme
KVKK, kişisel verilerin korunmasını sağlarken, hangi teknik önlemlerin alınması gerektiği konusunda veri sorumlularına önemli bir esneklik tanır. Bu noktada, NIST SP 800-63B standardı, özellikle dijital kimlik doğrulama alanında güçlü bir rehberlik sunar. Örneğin, KVKK kapsamında kişisel veri barındıran bir sisteme erişim sağlanırken, AAL2 veya AAL3 seviyesinde bir kimlik doğrulama yöntemi uygulanması, veri güvenliğini artıracaktır.
KVKK’nın gerektirdiği güvenlik önlemleri, NIST standartlarına entegre edildiğinde daha güvenli bir yapı ortaya çıkacaktır. Bu uyumun sağlanması için veri sorumluları aşağıdaki adımları izleyebilir:
- Risk Değerlendirmesi ve Veri Sınıflandırma: İlk adım, verilerin güvenlik gereksinimlerine göre sınıflandırılmasıdır. Hangi verilerin daha hassas olduğunun belirlenmesi, bu verilere yönelik daha güçlü güvenlik önlemlerinin alınmasını sağlar.
- Kimlik Doğrulama Yöntemleri: Verilerin hassasiyetine göre doğrulama seviyeleri belirlenmelidir. Örneğin, çalışanların kişisel verileri içeren sistemlere erişiminde çok faktörlü doğrulama kullanılması, hem KVKK’ya uyum sağlamak hem de güvenliği artırmak açısından önemlidir.
- Erişim Kontrolü ve İzleme: KVKK, yalnızca yetkili kişilerin kişisel verilere erişebilmesini zorunlu kılar. NIST standartlarına göre, erişim doğrulamak için iki faktörlü doğrulama kullanmak, güvenliği artıracaktır. Ayrıca, sistem erişimlerini izlemek ve yetkisiz erişim denemelerini tespit etmek de önemlidir.
Sonuç
Türkiye’de kişisel verilerin korunması, KVKK’nın getirdiği yükümlülükler doğrultusunda sağlanmaktadır. Dijitalleşen dünyada güvenliği sağlamak, sadece teknik bir gereklilik olmaktan çıkıp yasal bir zorunluluk haline gelmiştir. Bu noktada, NIST SP 800-63B gibi uluslararası standartlardan faydalanmak, dijital kimlik doğrulama süreçlerini güvence altına alarak KVKK ile uyumlu hale gelmemizi sağlar. Bu noktada, hem KVKK hem de NIST uyumlu bir güvenlik stratejisi verilerimizin dijital dünyada güvenli olmasını sağlayacaktır. Netice olarak, günümüz dünyasında bireylerin hassas bilgilerini güvence altına almak için etkili bir kimlik doğrulama süreci sağlamak güvenliğin bir numaralı anahtarıdır.
Zeynep Ebrar KAYA’nın Dünya’nın İlk Robot Avukatı isimli yazısını okumak için bağlantıya tıklayınız.
Hukuk ve Bilişim Dergisi’nin 13. Sayı’sındaki “Metaverse’te Kişisel Verilerin Korunması” isimli yazıyı bağlantıdan okuyabilirsiniz.
Yazarlar: Salih Tarhan, LL.M
Yapay Zekâ | Dijital Sürdürülebilirlik | Hukuk ve Teknoloji
ABD’de faaliyet gösteren hukuk bürolarının yapay zekâ ve diğer yeni teknolojilere uyumlu olarak dijital dönüşümlerini yönetmektedir. New York ve New Jersey merkezli Onal Gallant hukuk bürosunda görev yapmaktadır.
Abdullah Yerebakan, LL.M
CIPP-E/M/US | Yapay Zeka Uyumluluk ve Yönetim Görevlisi | Hukuk ve Teknoloji
Utrecht Üniversitesi – Hollanda
Kaynaklar
[1] The Future of Digital Identity | Deloitte Global. (2020, December 8). Deloitte. https://www.deloitte.com/ug/en/services/risk-advisory/perspectives/the-future-of-digital-identity.html
Or Robles-Carrillo, M. (2024). Digital identity: An approach to its nature, concept, and functionalities. International Journal of Law and Information Technology, 32(1), eaae019. https://doi.org/10.1093/ijlit/eaae019
[2] Digital Identity in the Age of Cybersecurity: Challenges and Solutions (2024), Global Journal of Computer Science and Technology, DOI:10.34257/LJRCSTVOL24IS1PG1
Hukuk ve Bilişim Dergisi ve Blog kısmımızda,
Bilişim Suçları
Blockchain ve Dijital Paralar
Yapay Zekâ ve Robot Hukuku
Elektronik Ticaret Hukuku
İnternet Hukuku
Kişisel Verilerin Korunması Hukuku
Start-Up Hukuku
E-Spor Hukuku
Fikri Mülkiyet Hukuku ve benzer teknoloji hukuku alanlarında yazılar okuyucularımıza sunulmaktadır.