Oracle Database ve Kişisel Verilerin Korunması
7 Nisan 2016 tarih ve 29677 sayılı Resmi Gazetede yayımlanan 6698 sayılı Kişisel Verilerin Korunması ile birlikte artık internet ortamında kişisel veriler kanun koyucu tarafından güvence altına alınmış ve belli bir takım yaptırımlar getirilmiştir. Kişisel verileri işleyen tüm kurum / kuruluşlar herhangi bir sınıfa bağlamandan sorumlu olduğu bu kanunda veriler, kullanım amaçları doğrultusunda kişilerin açık rızası olmadan işlenememektedir ve ayrıca verinin güvenliğini garanti altına alınması adına tedbirlerin gerekliliğini ortaya çıkmıştır. Bununla birlikte işletmeler, çalışanların kişisel bilgilerini ( kimlik, adres, doğum tarihi, aile durumu vb. ) ya da bir otel için konaklayan müşterilerin ilgili özel bilgileri ilgili kanun kapsamında tebliğe uygun olarak muhafaza etmekle mükelleftir.
Avrupa ülkelerinde ise GPDR ( Genel Veri Koruma Yönetmeliği ) olarak geçen bu kanun 25 Mayıs 2018 tarihinde yürürlüğe girmiş olup günümüz şartlarına göre hazırlanan en geniş çerçeveli ve ağır yaptırımları olan kanun olarak gösterilmektedir. GPDR ile büyük benzerlikler gösteren KVKK üzerine öncelikle iki kanun üzerinden benzerlikleri anlatarak yavaş yavaş makalemizi detaylandıracağız. Bu benzerlikleri anlatmaktaki amacımız Global olarak çalışan şirketlerin alt yapılarını KVKK maddelerinden ziyade GPDR ile düzenlemesidir.
Biz tüm makalemiz boyunca Veri Kayıt Sistemi üzerinde duracağız fakat diğer maddeleri de bir hatırlamakta fayda var.
Açık Rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızayı belirtir. Diğer bir değişle KVKK ’da kişisel verilerin toplanması, işlenmesi ve saklanması bakımından kişinin rızasının kesin suretle resmi ve belgelendirilebilir olması ayrıca bu verilerin işlenmesinde özgür irade ile yeterli bilgi sahibi olarak, tereddüde yer bırakmayacak açıklıkta ve sadece o işlemle sınırlı olarak verilmiş olması aranmaktadır. GDPR ’a göre açık rıza; veri sahibinin beyanı, durumu veya onay ifade eden bir davranışı yoluyla kişisel verilerinin işlenmesini özgür iradesiyle, belirli bir konuda, aydınlatılmış ve rızanın açıkça, kesin bir biçimde verilmiş bulunması ifadesi kullanılmaktadır. Bu bakımdan iki tanımda eşleşmektedir.
Veri Kayıt Sistemi: Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemini belirtir. Bizim için bu veri tabanını temsil edebilir. Veri tabanına işlenen kişisel veriler şifrelenmiş olmalı ve hiyerarşiye bağlı olarak kullanıcıların erişimine kapalı yani maskelenmiş olmalıdır. Diğer bir değişle veri tabanına erişim izni olanlar ilgili tablolara direk erişememelidir. GPDR ile aynıdır. Bizim tüm makalede ağırlığımız bu madde üzerinde olacaktır.
Veri sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi temsil eder. Veri işleyen bir kurum ya da kuruluşsanız bulundurma zorunluğunuz vardır. GDPR ’da veri kontrolörüne karşılık gelmektedir.
Veri işleyen: Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişiyi belirtir ve GPDR ile aynıdır.
Anonim hâle getirme: Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesini belirtir. Yani kişi anonim hale getirme hakkı talep ederse veri hiçbir suretle kullanılamaz. GPDR üzerinde verinin veri havuzundan silinmesi gerektiği belirtilmiştir. KVKK ‘da bu zorunluluk yoktur ( silinmesi, yok edilmesi ya da anonim edilmesi ).
Yukarıda yazdığımız 5 husus görüldüğü üzere GPDR ile aynı anlamları ifade etmektedir. Bu sebeple yazımızı ve GPDR ve KVKK ile harmanlayarak devam ettireceğiz. Peki, Oracle bu kapsamda bize hangi ürünler ile cevap veriyor teker teker detaylandırarak açıklayalım.
Oracle Audit Vault And Database Firewall
İlk olarak Oracle Audit Vault olarak piyasaya sürülmüş daha sonra ismi Oracle Audit Vault And Database Firewall değiştirilmiştir. Tehditleri tespit etmek ve engellemek için içerideki ve dışarıdaki veri tabanı trafiğini izler. Bununla birlikte veri tabanı dış kaynaklı problemlerden korumada yardımcı olur. Ek olarak içeride bulunan kullanıcı yetki hiyerarşisine göre tablolara yetkilendirme yapabilir. Bağlandığı veri tabanlarında olan trafiği takip eder, kayıt altına alır ve belirleyeceğiniz metriklerde sizi uyarır. Örneğin veri tabanına dışarıdan bir müdahale olduğunda ya da bir tablo kopyalandığında bilgilendirilebilirsiniz.
Oracle Audit Vault And Database Firewall Diyagramı
İlk göze çarpan olarak aşağıdaki ürünlere destek vermektedir;
Oracle Database 10g
Oracle Database 11g
Oracle Database 12C
Microsoft SQL Server 2000
Microsoft SQL Server 2005
Microsoft SQL Server 2008
Microsoft SQL Server 2012
Microsoft SQL Server 2014
Sybase Adaptive Server Enterprise (ASE) versions 12.5.4 to 15.0.x
IBM DB2 version 9.x (Linux, UNIX, Microsoft Windows)
IBM AIX
Solaris operating system
Oracle ACFS
Microsoft Windows Server 2008
Microsoft Windows Server 2008 R2
Microsoft Active Directory 2008
Microsoft Active Directory 2008 R2 on 64 bit
Microsoft Active Directory 2012 R2 on 64 bit
Kurulumu ve işletme oldukça basit olmakla beraber son sürüm olan Release 12,2 ile birlikte kullanıcı dostu bir ara yüz getirilmiştir.
Oracle Enterprise Manager’s Database Lifecycle Management Pack
Oracle veri tabanı kullanan kurum ya da kuruluşlar için standardizasyonu sağlamak ve yönetimi kolaylaştırmak için çıkarttığı ürünler paketidir. En önemli ürünü Enterprise Manager olup bu ürünle veri tabanı güvenliğiniz için gerekli yamaları sağlayabilir, anlık durumu inceleyebilir ve test ortamları oluşturabilirsiniz diğer bir değişle tam teşekküllü bir yönetim aracıdır. KVKK konusu kapsamına tam olarak girmese de veri tabanı güvenliği hususunda akılda tutulması gereken bir üründür. Oracle Database 12C ile birlikte ayrı bir ürün olarak tasarlanmıştır.
Oracle Cloud Manager Örnek Görüntüsü
Oracle Enterprise Manager’s Application Data Masking
Veri tabanınızda bulunan hassas verilerinizi bulmak, maskelemek ve etiketlemek için gerekli bir üründür. Oracle Data Masking ve Subsetting, veri tabanı kullanıcılarının test, geliştirme ve diğer faaliyetler için üretim verilerinin kopyalarını sterelize ederek ve gereksiz verileri kolayca atarak güvenliği artırmaya, uyumluluğu artırmaya ve BT maliyetlerini azaltmaya yardımcı olur. Veri tabanının bütünlüğü, uygulamaların sürekliliğini güvence altına alır.
Oracle Data Masking ve Subsetting
Oracle Database Vault Privilege
Temel olarak kullanıcı analiz aracıdır. Örneğin veri tabanı üzerinde koşan bir kullanıcı ya da rolün bağlı olduğu uygulamada kullandığı veya kullanmadığı yetkileri ayırt ederek daha sert bir hiyerarşi yapabilir. Örneğin bir kullanıcı fazladan “ create tablespace “ yetkisine sahip olabilir. Bu hiçbir şekilde kullanılmıyorsa bunu size raporlar. Bu sayede veri tabanı daha güvenli bir hale gelir. Özetle veri tabanında kullanılan gerçek ayrıcalıklar ve roller hakkında raporlar alabilir, Kullanılmayan ayrıcalıkları ve rolleri kullanıcılar ve uygulamalar tarafından belirleyebilir, kullanıcılar ve uygulamalar için en az ayrıcalık sağlamaya yardımcı olarak riskleri azaltabilirsiniz.
Oracle Database Vault Privilege
Oracle Database Security Assessment
Hassas verilerin nerede olduğunu ve veri tabanının nasıl yapılandırıldığını bilmek, derinlemesine bir savunma stratejisinin uygulanmasının temelidir. Oracle veri tabanı Güvenlik Değerlendirme Aracı (DBSAT), veri tabanı yapılandırmanızın, işleminizin veya uygulamanızın risk oluşturduğu potansiyel hassas verileri ve alanları hızla tanımlar. DBSAT tavsiyeleri, Avrupa Birliği’nin yeni Genel Veri Koruma Yönetmeliği (GDPR) gibi gizlilik ve veri koruma düzenlemelerinden güvenlik gereksinimlerinin karşılanmasına yardımcı olabilir. Bu sebeple KVKK içinde rahatça kullanabilirsiniz. DBSAT aracı ücretsizdir.
Genel güvenlik durumunu hızlı bir şekilde tanımlayabilir
Kullanıcıların kim olduğunu ve yetkilerinin neler olduğunu anlayabilir
Hangi güvenlik politikalarının ve kontrollerinin uygulandığını öğrenebilir
Hassas ve kişisel verileri keşfedebilir
Oracle’ın en iyi uygulamalarını, CIS kriterlerini ve GDPR ile ilgili güvenlik önerilerini edinebilirsiniz.
Oracle Label Security
Veri tabanında yer alan kayıtların belli kriterlere göre sınıflandırılması ve bu sınıflandırılmış verilerin sadece izin verilen roller tarafından erişilebilir hale getirilmesi için kullanılır. Bulutta tüm uygulamalarda güvenliği standart hale getiren, Oracle Database 18c’deki veri erişim ilkelerini merkezileştirir. Oracle Label Security, kullanıcıları yalnızca erişmelerine izin verilen verilere kısıtlayan erişim kontrollerini zorunlu kılmak için satır düzeyinde veri sınıflandırmalarını kullanır. Kuruluşların aynı veri tabanında ortaklaşa farklı hassasiyet düzeylerine sahip verileri konuşlandırarak operasyonel ve depolama maliyetlerini kontrol etmelerini sağlar. Oracle Label Security ayrıca, bilgiye dayalı bir şekilde veriye erişimi yönetmek için düzenleyici gereksinimleri ele almanın etkin bir yolunu sunar.
Transparently encrypt Oracle Database.
Oracle Şeffaf Veri Şifreleme (TDE), kuruluşların, depolama ortamındaki hassas uygulama verilerini, uygulamaya tamamen şeffaf bir şekilde şifrelemesini sağlar. TDE, PCI DSS gibi genel ve özel gizlilik ve güvenlik düzenlemeleriyle ilişkili şifreleme gereksinimlerini ele alır. TDE sütun şifreleme, ilk olarak Oracle Database 10g Release 2’de tanıtılmış ve hassas bilgiler içeren tablo sütunlarının şifrelenmesi özelliğini eklemiştir. TDE tablo alanı şifrelemesi ve donanım güvenlik modülleri (HSM) desteği ise Oracle Database 11g bile hayatımıza girmiştir.
TDE verilerin herhangi bir şekilde kopyalanması sırasında veri dosyalarındaki verileri şifrelemekte, böylece diğer taraflar tarafından elde edilebilmeleri durumunda, tablo verilerine erişimlerini engelleyebilmektedir. Fakat tablolara erişmek için ayrıcalıklara sahip olan kullanıcıların verilerini gizlemek için TDE kullanamazsınız. Diğer bir değişle TDE’nin yapılandırıldığı veri tabanlarında, şifrelenmiş bir tabloya erişimi olan herhangi bir kullanıcı, verileri açık şekilde görebilecektir çünkü Oracle, gerekli ayrıcalıklara sahip olan herhangi bir kullanıcının verilerini düzgün bir şekilde gösterilmesini sağlar. Kişinin yetkisi yok ya da mevcut veri tabanı farklı bir sunucuya import edildiyse bu veriler şifreli bir şekilde görünür.
Görüldüğü üzere Oracle bizlere KVKK kapsamında birçok ürün ve özellik ile yardımcı olabilmektedir. Bu ürünler arasında bizlere en iyi cevap verenler ise Transparently encrypt Oracle Database ve Oracle Audit Vault And Database Firewall olup kurulum ve kullanımındaki kolaylıkların yanı sıra devreye alma aşamasında minimum seviyede kesinti sağlar. Özellikle Oracle Audit Vault And Database Firewall ile son derece güvenli bir veri tabanı hizmeti sağlayabilirsiniz.
Bir başka makalede görüşmek üzere.
Buğra Parlayan
Kaynaklar:
http://www.mevzuat.gov.tr/MevzuatMetin/1.5.6698.pdf
https://www.kvkk.gov.tr/
General Data Protection Regulation (GDPR) ve 6698 Sayılı Kişisel Verilerin Korunması Kanunu (KVKK)
https://www.oracle.com/tr/applications/gdpr/index.html