Rehber · KVKK + Backup Altyapısı

KVKK'ya Uygun Backup Altyapısı Nasıl Kurulur?Teknik Kontrol Listesi

KVKK Teknik BoyutuVeeam + Siaflex BaaS + VaultHaziran 2025

Bu bir hukuki rehber değildir; teknik bir yol haritasıdır. KVKK'nin "teknik tedbirler" bölümünde backup, şifreleme, erişim kontrolü ve denetim izi konusunda hangi teknik gereksinimleri karşılamamız gerekiyor? Hangi teknoloji hangisini karşılıyor? Hem Vault hem Siaflex BaaS kullanarak nasıl bir uyumluluk katmanı inşa edilir?

// İçindekiler

01 KVKK Teknik Tedbirler Özeti
02 Veri Lokasyonu Gereksinimleri
03 Şifreleme Gereksinimleri
04 Erişim Kontrolü ve RBAC
05 Denetim İzi ve Loglama
06 Immutability ve Veri Bütünlüğü
07 Veeam + Vault ile Uyumluluk Katmanı
08 Siaflex BaaS ile Uyumluluk Katmanı
09 Teknik Kontrol Listesi
10 Denetçi İçin Kanıt Paketi

KVKK Teknik Tedbirler Özeti

KVKK Madde 12 kapsamında veri sorumlusu; kişisel verilerin hukuka aykırı olarak işlenmesini ve erişilmesini önlemek ile verilerin muhafazasını sağlamak için uygun güvenlik düzeyini temin edecek teknik ve idari tedbirleri almak zorundadır.

⚠️

Yasal not: Bu rehber hukuki görüş değildir. KVKK uyumluluğu için bir hukuk danışmanı ile çalışmanız gerekir. Bu rehber yalnızca teknik boyutu ele almaktadır.

📍

Veri Lokasyonu

Kişisel veri Türkiye'de olmalı

Yurt dışı aktarım için açık rıza veya KVKK Madde 9 şartları

🔐

Şifreleme

Hem aktarımda hem depolamada

AES-256 standart olarak kabul görmektedir

👤

Erişim Kontrolü

Rol tabanlı, en az yetki prensibi

Backup erişimi loglanmalıdır

📋

Denetim İzi

Kim ne zaman erişti, ne değiştirdi

İmha ve anonimleştirme kayıtları

Veri Lokasyonu Gereksinimleri

Kişisel veri içeren backup'ların yurt dışına taşınması KVKK Madde 9 kapsamında değerlendirilebilir. Teknik açıdan net olmak için her platformun veri lokasyonunu doğrulamanız gerekir.

Platform	Veri Lokasyonu	KVKK Uyumu
Veeam Vault (Azure Turkey North)	Türkiye (Microsoft Azure)	Microsoft data residency commitment dahilinde
Veeam Vault (Diğer bölgeler)	Yurt dışı	Dikkatli değerlendirilmeli
Siaflex BaaS	✔ Türkiye, Siaflex veri merkezi	✔ Tartışmasız yerel
Lokal Hardened Repo	Kendi veri merkeziniz	✔ Tam kontrol

ℹ️

Vault Kullanacaksanız: Advanced edition + Azure Turkey North kombinasyonu ile veri lokasyonu güvencesi sağlanabilir. Bunu KVKK uyum dosyanıza Microsoft'tan alacağınız Veri İşleme Eki (DPA) ile destekleyin.

Şifreleme Gereksinimleri

Aktarımda Şifreleme

TLS 1.2+ zorunlu

VBR → Vault aktarımı TLS 1.2+ ile şifrelenir. Sertifika geçerliliği loglanmalıdır.

Depolamada Şifreleme

AES-256 at-rest

Vault'a yazılan backup'lar zorunlu AES-256 ile şifrelidir. Siaflex BaaS da şifreleme destekler.

Anahtar Yönetimi

Parola güvenliği kritik

Şifreleme parolasının kaybolması veri kaybına eşdeğerdir. HSM veya kurumsal parola kasası kullanın.

Tape Şifreleme

LTO Tape Kullanılıyorsa

LTO-4 ve üzeri donanımsal şifreleme destekler. Tape taşıma sırasında şifresiz veri ciddi risk oluşturur.

# VBR şifreleme durumunu PowerShell ile doğrula
Get-VBREncryptionKey | Select Name, Description, Hint
Get-VBRJob | Select Name, @{N="Encrypted";E={$_.BackupStorageOptions.StorageEncryptionEnabled}}

Erişim Kontrolü ve RBAC

VBR Rolü	Yetki Kapsamı	KVKK Notları
Veeam Administrator	Tam yetki	Yalnızca güvenilir yöneticiler, MFA zorunlu
Backup Administrator	Backup/restore işlemleri	Veri erişimi var, loglama kritik
Backup Operator	İş çalıştırma, log görüntüleme	Daha az risk, operasyon için ideal
Restore Operator	Yalnızca restore	Veri erişimi var, loglanmalıdır
Tape Operator	Tape işlemleri	Fiziksel medya erişimi ayrıca loglanmalıdır

💡

En Az Yetki Prensibi: Backup operatörlerin çoğunun restore yetkisine sahip olması gerekmez. Rolleri ayırın; bu hem güvenlik hem de KVKK denetim izi açısından kritiktir.

Denetim İzi ve Loglama

VBR Denetim Loglarını Etkinleştirin

# VBR log konumları
C:\ProgramData\Veeam\Backup\Svc.VeeamBackup.log   # Ana servis logu
C:\ProgramData\Veeam\Backup\                        # İş bazlı loglar

# Windows Olay Günlüğü - Veeam olaylarını izle
Get-WinEvent -ProviderName "Veeam Backup" | Select TimeCreated, Message

Restore Olaylarını Kaydedin

Her restore işleminin kim tarafından, ne zaman, hangi veriyi, nereye restore ettiği kayıt altına alınmalıdır. Veeam ONE raporları bu konuda hazır şablon sunar.

Log Saklama Politikasını Belirleyin

KVKK kapsamında işlem kayıtlarının ne kadar süre saklanacağını belirleyin. Yaygın uygulama: 2 yıl. Log dosyalarının kendisi de backup kapsamında olmalıdır.

İmha Kayıtlarını Tutun

Kişinin verisinin silinmesi talep edildiğinde backup kopyalarının da imha edildiğini belgeleyecek bir süreç ve kayıt gereklidir.

Immutability ve Veri Bütünlüğü

Immutability, backup verilerinin yetkisiz olarak değiştirilemeyeceğinin teknik kanıtıdır. KVKK denetimlerinde "verinin bütünlüğü nasıl korunuyor?" sorusunun en güçlü teknik yanıtıdır.

Yöntem	Mekanizma	Kanıt Üretebilme
Vault Immutability	Azure Object Lock	✔ API ile doğrulanabilir
Siaflex BaaS Immutability	WORM veya Object Lock	✔ Platform log ile
Hardened Linux Repo	Immutable flag (chattr)	✔ Dosya sistemi doğrulaması
Tape WORM	Donanım seviyesinde kilit	✔ Fiziksel kanıt

# Immutability durumunu PowerShell ile belgele
Get-VBRObjectStorageRepository | Select Name, ImmutabilityEnabled, ImmutabilityPeriod |
  Export-Csv immutability-report.csv -NoTypeInformation
# Bu raporu denetim dosyasına ekleyin

Veeam + Vault ile Uyumluluk Katmanı

✓ Azure Turkey North bölgesi seçildi (veri lokasyonu)
✓ Backup AES-256 ile şifreli, parola kurumsal kasada
✓ Immutability 30+ gün aktif, API ile doğrulanabiliyor
✓ VBR'da rol tabanlı erişim, en az yetki prensibi
✓ Veeam ONE ile denetim izi raporları otomatik
✓ Restore işlemi kayıt altında; kimin hangi veriyi restore ettiği loglanıyor
✓ Microsoft Veri İşleme Eki (DPA) imzalandı (hukuk ekibi)
✓ İmha süreci belgelendi ve test edildi

Siaflex BaaS ile Uyumluluk Katmanı

✓ Veri Türkiye'de, Siaflex yerel veri merkezi (tartışmasız)
✓ Yurt dışı veri aktarımı yok, KVKK Madde 9 riski yok
✓ Şifreleme hem beklemede hem aktarımda (at-rest & in-transit)
✓ Immutable backup seçeneği mevcut
✓ Siaflex ile kurumsal SLA ve veri işleme sözleşmesi imzalanabilir
✓ Erişim logları Siaflex platformu tarafından tutulur
✓ Veri işleme sözleşmesi (KVKK veri işleyen ilişkisi) imzalandı
✓ Veri imha talep süreci yazılı olarak tanımlanmış

Master Teknik Kontrol Listesi

✓ Kişisel veri içeren backup'ların hangi sistemlerde olduğu tespit edildi
✓ Backup lokasyonları (lokal, offsite, cloud) belgelendi
✓ Yurt dışı aktarım değerlendirmesi yapıldı
✓ AES-256 şifreleme tüm katmanlarda aktif
✓ Şifreleme parolaları kurumsal kasada, erişim loglu
✓ TLS 1.2+ aktarım şifrelemesi doğrulandı
✓ VBR rol tabanlı erişim yapılandırıldı
✓ Backup erişim logları etkin ve saklama politikası tanımlı
✓ Restore logları tutuluyor (kim, ne, ne zaman)
✓ Immutability aktif ve doğrulanabiliyor
✓ Veri imha talebi süreci test edildi
✓ Veri işleyen sözleşmesi (Siaflex/Microsoft) imzalı
✓ Yıllık KVKK teknik gözden geçirme planlandı

Denetçi İçin Kanıt Paketi

KVKK denetiminde teknik kontrolleri belgelemek için hazırlanması gereken kanıt paketi:

📄

Şifreleme Kanıtı

PowerShell raporu, backup şifreleme durumu

Bölüm 6'daki betik çıktısı

🗺️

Veri Haritası

Hangi backup nerede, hangi sistemden

Veeam ONE raporu

🔒

Erişim Logları

Son 12 aya ait restore ve backup erişim kayıtları

Windows Event Log + VBR log

📅

İmha Kayıtları

Kişisel verisi silinen kişilerin backup imha tarihleri

Manuel log veya otomasyon

Siaflex BaaS

Türkiye'de Uyumlu BaaS

Yerel veri merkezi, veri işleme sözleşmesi, immutable backup.

🌐 siaflex.com/baas ✉ mehmet.aydin

ESH Bilişim

KVKK Teknik Mimari

Veeam şifreleme, RBAC ve denetim izi kurulumu için uzmanlık.

🌐 eshbilisim.com ✉ mehmet.aydin

KVKKComplianceŞifrelemeBackupVeeamSiaflex

↑ Başa Dön