Kişisel Olarak Tanımlanabilir Bilgi (PII) ne demektir?
Size verdikleri verilerden birinin kim olduğunu belirleyebilir misiniz?
Yapabiliyorsanız, bu Kişisel Tanımlanabilir Bilgilerdir.
Kişisel Tanımlanabilir Bilgiler (PII), bir bireyin benzersiz kimliğini tanımlayan bir veri türüdür. Kişisel veri, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi ifade etmektedir. Kişisel bilgilerin en temel biçimlerinden biridir ve bir kişinin adı, cinsiyeti, adresi, telefonu, e-posta adresi veya bir cihaz veya uygulama içinde elektronik olarak saklanan temel biyometrik veri bilgilerini içerir.
PII temel olarak bilgi güvenliği (IS) hizmetlerinde belirli kişileri aramak, bulmak ve tanımlamak için kullanılır. PII, neredeyse tüm çevrimdışı ve çevrimiçi BT uygulamalarında, hizmetlerinde, web sitelerinde ve PII’yi birden fazla işlev ve işlem için saklayan ve koruyan kuruluşlarda temsil edilir.
Örneğin, bir sunucu bir kişiyi tanımlamak için parmak izi tabanlı bir erişim kontrol mekanizması uygular, böylece yalnızca yetkili personeli doğrular ve tüm meşru personel için biyometrik PII sağlar. Daha yüksek bilgi güvenliği ve gizlilik kaygıları olan bilgi sistemleri, yasal kullanıcılara sistem erişimini sınırlamak için kapsamlı PII verileri sağlar.
Genel Olarak Kişisel Veri
Kişisel veri kavramı, kanunda “kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi” şeklinde tanımlanmıştır. Buna göre kişisel veri kavramının dört unsuru vardır:
- Kimliği belirli veya belirlenebilir (güvenlik kameraları, dinamik IP adresleri)
- Gerçek kişiye
- İlişkin (bir evin satış değeri, taksi konumlarının uygulamada takibi)
- Her türlü bilgi (telefon bankacılığı, güvenlik kameraları)
Kanunun bu tanımı, Adalet Komisyonu Raporu’nda da sıklıkla atıfta bulunulan Avrupa Birliği Direktifi ile aynı doğrultudadır.
Kişisel Olarak Tanımlanabilir Bilgilerin Güvenliğini Sağlamak Neden Önemlidir?
Herhangi bir kuruluş için bilgi, en değerli varlıklarından biridir ve veri ihlalleri, iş kaybı ve hasarı temizleme açısından çok maliyetli olabilir. Bu nedenle, mevcut kontrollerin onu koruyacak kadar titiz olması ve değişen risklere ayak uydurmak için düzenli olarak izlenmesi gerekir.
Bulut hizmeti sağlayıcılarına (CSP’ler) emanet edilen veriler genellikle banka kayıtları, kredi kartı ayrıntıları ve pasaport bilgileri gibi kişisel olarak tanımlanabilir bilgileri (PII) içerir. Sonuç olarak, bir güvenlik ihlali büyük veri hacimlerini ciddi şekilde etkileyebilir ve hassas bilgilerin hacklenmesi sonucu kimlik hırsızlığı ve mali kayıpla sonuçlanabilir. Bir PII güvenlik olayı, hem veri sahipleri hem de bulut hizmet sağlayıcıları için yasal otoritelerce para cezaları ve itibar zedelenmesine neden olur. Bu nedenle, bulut hizmet sağlayıcıları gerekli tüm siber güvenlik kontrollerinin ve önlemlerinin uygulandığından emin olmaları gerekmektedir. Bulut sistemlerde kişisel olarak tanımlanan bilgilerin güvenliği ve gizliliği için özelleştirilmiş etkili bir bilgi güvenliği yönetim sistemi veri ihlali riskinizi azaltacaktır.
Kişisel Bilgilerin Korunması şunları içerir:
- Veri toplama ve saklamayı en aza indirme,
- Güvenli bir veri imha planı benimsemek,
- Hem depolama hem de iletim için veri şifreleme,
- Verilere erişimi sınırlama,
- Çalışan eğitimi,
- İlgili düzenlemelere uygunluk,
- Bir bilgi yönetişimi stratejisinin uygulanması.
ISO/IEC 27018 Nedir?
ISO/IEC 27018, bulut depolamada kişisel bilgilerin korunmasına yönelik uluslararası standarttır.
ISO 27018 iki şey yapar:
- ISO/IEC 27001’de yayınlanan kontroller için daha fazla yardımcı uygulama kılavuzu (ISO 27002’ye ek olarak) sağlar.
- Genel bulut için PII koruma gereksinimleri hakkında ek rehberlik sağlar.
Bu ekstra kontroller ISO 27002 kapsamında değildir.
Standardın temel hedefleri;
- Genel bulut PII işlemcisinin, genel bulut hizmetleri sağlamak için sözleşme kapsamında oldukları zamanlar da dahil olmak üzere, yükümlülüklerini yerine getirmesine yardımcı olmak.
- Potansiyel bulut hizmeti müşterilerinin güvenli, iyi yönetilen bulut tabanlı PII işleme hizmetlerine erişebilmesi için şeffaflığı etkinleştirmek.
- Bulut hizmetlerinin ve kullanıcıların, PII’yi işlemek için sözleşmeye dayalı anlaşmalar oluşturmasına yardımcı olmak.
- Bulut hizmeti müşterilerine bir denetim ve uyumluluk metodolojisi sağlamak.
ISO/IEC 27001 bir kuruluşun bilgi varlıklarını korurken, ISO/IEC 27018, bulut hizmet sağlayıcıları müşterileri tarafından kendilerine emanet edilen son derece hassas veya kritik Kişisel verilerin korumasına yardımcı olur. Ayrıca, PII işleme ve eğitim için bulut hizmet sağlayıcısı personeli ile yapılan gizlilik anlaşmalarına ilişkin hükümleri de içerir.
ISO ve Uluslararası Elektroteknik Komisyonu (IEC), ISO / IEC TS 27018 tarafından geliştirilmiştir, Bilgi güvenliği kontrollerinin değerlendirilmesine yönelik kılavuzlar, amaca uygun ve etkili olduklarından emin olmak için mevcut kontrollerin değerlendirilmesi konusunda rehberlik sağlar ve şirketlerin/kurumların verimlilik hedeflerine uygunluk sağlamaktadır.
- Teknik şartname, ISO / IEC 27000 (genel bakış ve sözlük),
- ISO / IEC 27001 (gereksinimler)
- ISO / IEC 27002 (kodlar), bilgi güvenliği yönetimine ilişkin diğer tamamlayıcı standartların yeni sürümleriyle uyumlu olacak şekilde yakın zamanda güncellenmiştir.
ISO / IEC TS 27018, kuruluşların karşılaştığı teknolojik riskleri azaltmak için denetimlerinin etkili, yeterli ve uygun olduğuna dair kuruluşlara güven vermeye yardımcı olur.
Siber saldırıların yalnızca daha sık değil, aynı zamanda tespit edilmesi ve önlenmesinin gittikçe zorlaştığı bir dünyada, yürürlükteki güvenlik kontrollerinin değerlendirilmesi ve gözden geçirilmesi, düzenli olarak gerçekleştirilmeli ve kuruluşun iş süreçlerinin kilit unsurlarındadır.
ISO / IEC TS 27018, kamu, özel veya kar amacı gütmeyen her tür ve büyüklükteki kuruluşa fayda sağlar ve ISO / IEC 27001’de tanımlanan bilgi güvenliği yönetim sistemini tamamlar.
ISO/IEC 27018’ in ISO/IEC 27701 ile İlişkisi Nedir?
ISO/IEC 27701 Kişisel veri yönetiminin uygulanması için gereksinimleri ve kılavuzu belirleyen konuları kapsar. Standart ayrıca, aşağıdakilere bağlı olarak uygulama tavsiyesi de dahil olmak üzere, PII kontrolörleri ve işlemciler için rehberlik sağlar:
- Konumunuz,
- Herhangi bir ulusal mevzuat veya düzenleme,
- ISO 27701, ISO 27018 ve AB GDPR mevzuatıyla eşleşir. Veri güvenliği için temel standart olan ISO 27001’in bir uzantısıdır.
ISO 27018’in GDPR ile İlişkisi
GDPR yalnızca AB ülkeleri için geçerli değildir. Yasa, AB’ye mal veya hizmet sağlayan tüm kuruluşlar için de geçerlidir.
GDPR ve ISO 27018, biraz farklı işlevlere hizmet eder. GDPR, veri gizliliği ve koruma düzenlemelerini belirler. ISO 27018, veri koruma ve bilgi güvenliği risklerini yönetmeniz için size pratik bir çerçeve sunar. 27018 ile birlikte ISO 27001’i uygulamak, GDPR uyumluluğu için size sağlam bir temel sağlar.
ISO/IEC 27018 Standartını uygulamanın avantajları nelerdir?
Siber güvenlik, iş güveni için büyük bir sorundur. Günümüzün küresel pazarında müşteri verilerini korumak hiç bu kadar kritik olmamıştı. ISO/IEC 27018, sağlam bir küresel uyumluluk çerçevesi oluşturur.
ISO/IEC 27018, özellikle bulut hizmeti istemcileri için yararlıdır. ISO/IEC 27018’in diğer faydaları şunlardır:
- Marka itibarı ve Pazar güveninin kazanımı,
- Müşteriler ve müşteriler, kişisel verilerini koruduğunuzu öğrenmesi,
- Operasyonel risklerin azaltılması,
- Rekabet avantajı,
- Veri ihlallerinin azaltılması,
- İş sürekliliğini sağlayan gizlilik kontrolleri,
- Gerekli yasal uyumluluklar,
- Risk yönetimi,
- Geliştirilmiş güvenlik kontrolleri,
- Tedarik zinciri kalitesi ve kontrolü.
