Özellikle özel nitelikli kişisel veriler söz konusu olduğunda aktarım süreci daha sıkı kurallara tabidir. Kurul, e-posta ile veri gönderimi yapılacaksa belirli güvenlik kuralları uygulanmasını ister. Bu nedenle verilerin şifreli kurumsal e-posta adresi veya KEP hesabı üzerinden gönderilmesi gerektiğini açıkça belirtir.
Yanlış alıcıya gönderilen e-postalar ciddi sorunlara yol açabilir. Özellikle fatura, sözleşme, bordro veya sağlık verisi içeren iletiler ayrı bir uyum ve itibar riski oluşturur.
Bu yüzden konuya sadece “mail hesabı açmak” düzeyinde yaklaşmak yeterli değildir. Şifreleme, erişim yetkisi, log kayıtları, yedekleme, spam filtreleme, kimlik doğrulama ve kullanıcı farkındalığı birlikte ele alınmalıdır.
KVKK’nın güncel rehberi veri güvenliği için uygulanması gereken bazı teknik önlemleri açıkça belirtir. Bu kapsamda çeşitli teknik önlemler uygulanmalıdır.
Şifreleme, erişim kayıtları, kullanıcı hesap yönetimi, veri kaybı önleme yazılımları, yedekleme ve güvenlik duvarları bunlar arasında bulunur. Güvenli kurumsal mail yapısı tek başına bir ürün değildir. Politika, altyapı ve operasyonun birlikte planlandığı bir modeldir.
Bu yazıda e-posta şifreleme ile KVKK arasındaki ilişkiyi ele alacağız. Ayrıca TLS ve S/MIME gibi teknikleri ele alacağız. Bunun yanında yanlış kişiye gönderim riskini ve çalışan hesaplarının nasıl yönetilmesi gerektiğini ele alacağız.
Ayrıca işletmelerin kurumsal e-posta seçerken hangi kriterlere dikkat etmesi gerektiğini ele alacağız. Bunu sade ama teknik açıdan sağlam bir çerçevede açıklayacağız. Ayrıca KOBİ’ler için uygulanabilir bir yol haritası ve Makdos’un nasıl yer alacağını da netleştireceğiz.
KVKK açısından e-posta neden bu kadar kritik?
E-posta trafiği çoğu şirkette en çok veri taşıyan iş süreçlerinden biridir. Teklifler, müşteri listeleri, bordrolar ve insan kaynakları evrakları gibi birçok belge e-posta üzerinden gönderilir. Sözleşmeler, destek talepleri, finans belgeleri ve hatta sağlık bilgileri bile bu iletişim içinde yer alabilir.
Bu nedenle bir e-posta hesabının ele geçirilmesi veya yanlış alıcıya veri gönderilmesi ciddi sonuçlar doğurabilir. Bu durum yalnızca operasyonel bir hata değil, aynı zamanda kişisel veri güvenliği olayı olarak değerlendirilir. KVKK’nın veri güvenliği yükümlülükleri tam bu noktada devreye girer. Veri sorumlusu, verinin yalnızca doğru kişiye ve uygun koruma önlemleriyle ulaşmasını sağlamak zorundadır.
Kurulun 2020/966 sayılı İlke Kararı, tam da şirketlerin sık yaptığı bir hataya işaret eder. E-ticaret, telekom, ulaşım ve turizm gibi sektörlerde e-posta iletişimi yoğun şekilde kullanılır. Bu nedenle kişisel veri içeren belgelerin gönderimi dikkat gerektirir. Fatura, ekstre veya rezervasyon belgesi gibi dokümanların yanlış e-posta adreslerine gönderilmesi ciddi sonuçlara yol açabilir.
Kurum ayrıca veri sorumlusunun bilgilerin doğru ve gerektiğinde güncel tutulmasını sağlayacak kanalları açık tutmasının önemli olduğunu vurgular. Bu, basit görünen “alıcı adresini kontrol etme” adımının bile aslında KVKK uyumunun parçası olduğunu gösterir.
Özellikle bordro, kimlik, sağlık raporu, özlük dosyası, disiplin evrakı veya finansal ekstre gönderirken risk katlanır. Bu tür içeriklerde yalnızca iletişim bilgileri bulunmaz.
Çoğu zaman kişiyi doğrudan tanımlayan veya hassas sonuçlar doğurabilecek bilgiler de yer alır. Bu nedenle güvenli e-posta gönderimi için standart webmail kullanımı yeterli değildir. Kurumsal politika ile desteklenen ve teknik olarak kontrol edilen bir model gerekir.
Burada kritik nokta şudur: KVKK uyumu için sadece veriyi “saklıyor olmak” değil, aktarım anını da korumak gerekir. Şirket içinde kurumsal e-posta sisteminin aktif olması gerekir. Çalışanlara alan adı bazlı hesap açılması ve erişim yetkilerinin rol bazında sınırlandırılması bu yapının temelini oluşturur. Eğer siz hâlâ kişisel mail servisleriyle hassas dosya gönderiyorsanız, görünmeyen risk aslında gönder butonuna bastığınız anda başlar.
E-posta şifreleme nasıl çalışır? TLS, S/MIME ve KEP farkı
E-posta güvenliği konuşulurken en sık karıştırılan konu, “bağlantının şifrelenmesi” ile “mesaj içeriğinin şifrelenmesi” arasındaki farktır. Birçok platform varsayılan olarak TLS kullanır. Google Workspace bilgilerine göre Gmail, e-posta gönderirken varsayılan olarak TLS ile bağlanmayı dener.
Ancak karşı tarafın sunucusu TLS desteklemiyorsa e-posta yine teslim edilebilir ve bu durumda bağlantı şifrelenmemiş olur. Microsoft, Exchange Online bilgilerine göre TLS’nin mesajın içeriğini değil bağlantıyı koruduğunu belirtir. Bu nedenle gerektiğinde mesaj içeriğini şifreleyen ek teknolojilerin kullanılması önerilir.
Buradan çıkması gereken sonuç nettir: TLS önemlidir ama tek başına yeterli değildir. TLS, mail sunucuları arasındaki hattı korur. S/MIME, mesajın içeriğini ve eklerini koruyan bir güvenlik katmanıdır. Ayrıca dijital imza sayesinde gönderenin kimliğinin doğrulanmasına da yardımcı olur.
Microsoft’un resmi bilgilerine göre S/MIME yaygın olarak kabul edilen bir protokoldür. Şifreleme ile mesaj içeriğini korur ve dijital imza sayesinde gönderenin kimliğini doğrular. Ayrıca yalnızca dijital imza atılan mesajların gizlilik sağlamadığı, gerçek gizlilik için şifrelemenin gerektiği özellikle vurgulanır.
KVKK açısından en kritik eşik ise özel nitelikli kişisel verilerin aktarımıdır. Kurulun 2018/10 sayılı kararında özel nitelikli kişisel verilerin aktarımı için özel kurallar belirtilir. Bu verilere e-posta ile gönderim yapılacaksa şifreli kurumsal e-posta adresi veya KEP hesabı kullanılmalıdır.
Aynı kararda uzaktan erişim gereken durumlarda en az iki kademeli kimlik doğrulama sisteminin sağlanması da sayılır. Bu nedenle yalnızca “şifreleme var mı?” sorusunu sormak yeterli değildir. Hangi veri türü için, hangi risk seviyesinde ve hangi aktarım yöntemiyle şifreleme uygulandığını da açıkça belirlemek gerekir.
Hangi yöntem neyi korur?
- TLS: Sunucular ve istemciler arasındaki bağlantıyı korur. Günlük yazışmalar için temel katmandır ama karşı taraf TLS desteklemiyorsa koruma düşebilir.
- S/MIME: Mesaj içeriğini ve ekleri korur; dijital imza ile gönderen doğrulaması sağlar. Özellikle hassas veri ve kurumsal doğrulama ihtiyacında güçlüdür.
- KEP: KVKK’nın özel nitelikli veri aktarımında açık seçenek olarak andığı kayıtlı kanaldır. Özellikle hassas ve resmi süreçlerde değerlendirilir.
Pratikte en doğru yaklaşım katmanlı modeldir. Günlük iş yazışmalarında TLS + MFA + spam koruması + loglama temel seviye olabilir. İK, hukuk, finans ve sağlık verisi gibi hassas alanlarda daha güçlü önlemler gerekir. Bu durumlarda mesaj düzeyi şifreleme, DLP kuralları, zorunlu onay adımları ve gerekirse KEP kullanılmalıdır.
KVKK uyumlu kurumsal eposta altyapısında hangi güvenlik katmanları olmalı?
İlk katman kimlik doğrulama ve erişim yönetimidir. Bir e-posta hesabı sadece kullanıcı adı ve parola ile korunuyorsa risk yüksektir.
Kurul kararlarına göre iki faktörlü kimlik doğrulama eksikliği ve güvenli uzaktan erişim sistemlerinin kullanılmaması açık zafiyet sayılır. E-posta hesaplarını korumak için bazı temel güvenlik önlemleri uygulanmalıdır. MFA, güçlü parola politikası, oturum denetimi ve gerektiğinde koşullu erişim bu önlemler arasında yer alır.
İkinci katman loglama ve görünürlüktür. KVKK’nın güncel rehberinde erişim logları, kullanıcı hesap yönetimi ve log kayıtları teknik tedbirler arasında sayılır. Bu sadece “kim giriş yaptı” bilgisini tutmak anlamına gelmez.
Kurumsal e-posta sisteminde kapsamlı bir kayıt altyapısı bulunmalıdır. Bu sistem kullanıcı hareketlerini ayrıntılı şekilde kayıt altına almalıdır. Sistem kullanıcı hareketlerini ayrıntılı şekilde izlemelidir.
Hangi kullanıcının hangi eki indirdiğini, hangi cihazdan bağlandığını ve hangi e-postaların dış alanlara gönderildiğini göstermelidir. Özellikle veri ihlali yaşandığında, olayı anlamak ve doğru bildirim yapmak için loglar kritik delildir.
Üçüncü katman yedekleme ve iş sürekliliğidir. KVKK rehberi, yedeklenen kişisel verilerin sadece sistem yöneticisi tarafından erişilebilir olmasını ve yedeklerin ağ dışında tutulmasını önerir.
Bu yaklaşım özellikle fidye yazılımlarına karşı önemlidir. Çünkü bazen sorun verinin sızması değil, veriye erişimin tamamen kaybolmasıdır. Kurumsal e-posta sisteminde güvenli bir yedekleme yapısı bulunmalıdır. Aksi halde kritik yazışmalar veya delil niteliği taşıyan kayıtlar kaybolabilir.
Dördüncü katman ağ ve uç güvenliğidir. KVKK rehberi veri güvenliği için çeşitli teknik önlemler önerir. Bu önlemler arasında güvenlik duvarı, veri kaybı önleme yazılımları, güncel anti-virüs ve IDS/IPS sistemleri bulunur.
Başka bir deyişle kurumsal e postayı sadece mail sunucusundan ibaret görmemek gerekir. Çalışanın dizüstü bilgisayarı, evden bağlandığı ağ, mobil cihazı ve webmail oturumu da aynı zincirin halkalarıdır.
Beşinci katman kullanım politikasıdır. Şirket içinde e-posta kullanımına ilişkin kurallar açık şekilde belirlenmelidir. Şirket içinde dosya gönderimi için açık kurallar belirlenmelidir. Hangi dosyaların e-posta ile gönderileceği ve hangilerinin güvenli dosya paylaşım platformu üzerinden iletileceği net olmalıdır.
Dış alana otomatik yönlendirmeye izin verilip verilmeyeceği açık şekilde belirlenmelidir. Ayrıca ayrılan çalışanların hesaplarının ne zaman kapatılacağı da net olmalıdır. Ayrıca denetim gerektiğinde kimin hangi kapsamda inceleme yapabileceği de belirlenmelidir. Bu soruların yazılı karşılığı yoksa teknik yatırımın önemli bir kısmı boşa gider.
Yanlış alıcıya gönderimden çalışan denetimine kadar sık görülen riskler
Birçok işletme siber saldırılara odaklanır ama en yaygın e-posta problemi çoğu zaman insan hatasıdır. Yanlış adrese gönderilen e-fatura, ekstre veya bordro gibi hatalar sık yaşanabilir. CC yerine BCC kullanılmaması veya otomatik tamamlama nedeniyle yanlış alıcının seçilmesi sık görülen hatalardır.
Ayrılan çalışanın hesabının açık kalması veya şirket verisinin kişisel e-posta adresine gönderilmesi ciddi riskler oluşturur. Bu durumlar çoğunlukla teknik değil operasyonel zafiyetlerden kaynaklanır. Kurul kararlarında da yanlış kişiye gönderilen kişisel veri içeren dokümanlar açık şekilde problemli görülür.
Bir diğer risk çalışanlara tahsis edilen kurumsal hesapların sınırsız biçimde izlenmesidir. Burada denge önemlidir. Kurulun 2023/86 sayılı karar özeti önemli bir noktaya dikkat çeker. İletişim akışı ile iletişim içeriğinin denetlenmesi arasında açık bir ayrım yapılması gerektiğini vurgular.
Ayrıca içerik denetiminin daha güçlü gerekçelere dayanması gerektiğini belirtir. Bunun yanında işlemenin yalnızca ilgili personel tarafından, belirli bir amaçla ve ölçülü bir kapsamda yapılması gerektiğini vurgular. Yani şirket, denetim yapamaz değildir; ama “her şeyi her zaman okuyalım” yaklaşımı da güvenli liman sayılmaz. Açık politika, aydınlatma, meşru gerekçe ve ölçülülük esastır.
Bu noktada şirket içinde e-posta adreslerinin ve kurumsal kaynakların kullanım kuralları belirlenmelidir. Bu kurallar yazılı bir politika ile açık şekilde tanımlanmalıdır. Çalışan, kurumsal e-postanın hangi ölçüde denetlendiğini bilmeli; işveren ise izlemenin kapsamını somut riskle sınırlamalıdır. Aksi halde hem çalışan mahremiyeti hem de şirketin delil niteliğindeki kayıtları tartışmalı hale gelir.
Bir başka önemli başlık da harici yönlendirmedir. Gelen e-postaların otomatik olarak kişisel adreslere yönlendirilmesi ilk bakışta pratik görünebilir. Ancak bu durum şirket verisinin kontrolsüz ortamlara taşınmasına yol açar.
Özellikle ayrılan personelin hesabı kapatılmadan yönlendirmelerin sürmesi ciddi bir ihlal kapısıdır. Bu nedenle e postalar için otomatik yönlendirme, denetimli ve rol bazlı istisna olarak tanımlanmalıdır.
KOBİ’yseniz nereden başlamalısınız?
KOBİ’lerde en büyük hata, güvenliği “büyüyünce çözeriz” başlığına atmaktır. Oysa sınırlı ekip ve zaman, kurumsal mail ihtiyacını daha da kritik hale getirir. Küçük ekiplerde bir hesabın ele geçirilmesi ciddi sonuçlar doğurabilir. Tekliflerin kaybolması, müşteri yazışmalarının sızması veya finans onay süreçlerinin manipüle edilmesi operasyonun durmasına yol açabilir.
Başlangıç için pahalı ve karmaşık bir mimariye ihtiyacınız yok. Ancak bu süreçte belirli bir sırayla ilerlemek gerekir. Önce alan adı bazlı hesaplara geçilmeli, ardından güçlü parola ve MFA uygulanmalıdır. Sonrasında dış yönlendirmeler gözden geçirilmelidir.
Hassas ek içeren gönderimler için şifreli yöntemler belirlenmeli ve en son log ile yedekleme kontrolleri kurulmalıdır. Bu aşamada “kurumsal e-posta satın alabilirsiniz” diye sunulan her paketin yeterli olduğunu varsaymak doğru değildir. Çünkü bazı sağlayıcılarda önemli özellikler yalnızca üst paketlerde bulunur ve kritik fonksiyonlar genellikle temel planda yer almaz. Bu yüzden fiyatı değil, güvenlik ve yönetim kabiliyetini kıyaslayın.
KOBİ’ler için bir başka kritik konu çoklu cihaz erişimidir. Ekip masaüstü uygulaması, webmail ve iOS ile Android cihazlardan aynı hesaba bağlanabilir. Bu durumda cihaz politikası, ekran kilidi, uzaktan çıkış ve kayıp cihaz senaryosu mutlaka planlanmalıdır. Aksi halde mail sunucunuz güvenli olsa bile kullanıcı tarafındaki zafiyetler bütün zinciri kırabilir.
Makdos’un kurumsal e-posta sayfasında hizmetin Android ve iOS cihazlarla uyumlu olduğu belirtilir. Ayrıca IMAP, SMTP ve POP3 desteği sunduğu belirtilir. Bunun yanında alan adı bazlı hesap açma ve yönlendirme gibi yönetim özellikleri de sağlanır. Bu tip özellikler günlük kullanım kolaylığı sağlarken, asıl fark bunların merkezi yönetim altında sunulmasıyla ortaya çıkar.
Burada küçük ama önemli bir noktaya dikkat etmek gerekir. Diğer e-posta servisleriyle yazışırken karşı tarafın TLS veya sertifika standardı sizin kullandığınız kadar güçlü olmayabilir. Bu yüzden hassas veri akışını sadece “bizde güvenlik var” bakışıyla değil, uçtan uca zincir mantığıyla değerlendirmek gerekir.
Kurumsal bir e-posta çözümü seçerken bazı özellikleri mutlaka kontrol etmek gerekir. Dış alanlara gönderim kuralları, zorunlu TLS, mesaj düzeyi şifreleme ve istisna yönetimi bunlar arasında yer alır.
Makdos bu konuda nasıl çözüm sunuyor?
Makdos kurumsal e-posta tarafında merkezi yönetim sağlayan bir altyapı sunar. Bu yapı sayesinde alan adı bazlı profesyonel hesaplar tek bir panelden yönetilir. Makdos’un resmi sayfalarında kurumsal e-posta hizmetinin öne çıkan özellikleri belirtilir.
Bu hizmette birçok önemli özellik bulunur ve birçok önemli özelliği içerir. İşletmelere özel alan adı, gelişmiş güvenlik, günlük yedekleme, spam filtreleme, yönlendirme ve IMAP/SMTP/POP3 desteği bunlar arasındadır. Bu yaklaşım dağınık ücretsiz hesapların yerine daha düzenli bir yapı sunar. Yönetilebilir, kurumsal ve denetlenebilir bir iletişim altyapısı kurmak isteyen işletmeler için önemli bir avantaj sağlar.
Özellikle ilk geçiş aşamasında bu tip bir yapı, tek panelde açma, kapatma, yetkilendirme ve yönlendirme kontrolü sağlar. Bu yaklaşım KVKK açısından önemli soruların daha net yanıtlanmasını sağlar. Örneğin kim hangi veriye ne zaman eriştiği kayıt altına alınabilir. Ayrıca ayrılan personelin hesabının nasıl kapatıldığı ve yönlendirmelerin nasıl durdurulduğu da düzenli şekilde takip edilebilir.
Kurumsal e-posta altyapısını nasıl kuracağınızı adım adım görmek için Kurumsal E-Posta Kurulum Rehberi: DNS Ayarlarından Webmail’e ve Kurumsal E-Posta Adresi Nasıl Alınır? yazıları iyi bir başlangıç noktasıdır. Ayrıca hizmet sayfasında Kurumsal E-Posta çözümünü inceleyin.
E-posta güvenliği sadece posta kutusundan ibaret olmadığı için tamamlayıcı katman da önemlidir. Makdos’un firewall hizmeti sayfasında çok katmanlı güvenlik yaklaşımının kullanıldığı belirtilir. Bu yapıda farklı güvenlik katmanları birlikte çalışır.
WAF, IDS/IPS ve SSL-VPN/IPsec gibi yetkili erişim mekanizmaları bu sistemin parçalarıdır. E-posta altyapınız şirket içi sunucular, VPN erişimi veya özel uygulamalarla bağlantılı olabilir. Bu durumda mail ve ağ güvenliği birlikte ele alınmalıdır.
Ayrı projeler yerine tek bir güvenlik mimarisi içinde değerlendirmek daha doğru olur. Bu yüzden kurumsal mail hosting ile birlikte Firewall Hizmeti gibi tamamlayıcı güvenlik katmanlarını da birlikte düşünmek gerekir.
Pratik tarafta ise şunu söylemek gerekir: Kurumsal mail çözümü seçerken yalnızca “hesap açılıyor mu?” diye bakmayın. Kurumsal e-posta seçerken bazı temel soruların net olması gerekir.
Kurumsal e-posta seçerken bazı temel sorulara cevap verilmeli ve temel özellikleri kontrol etmek gerekir. Kurumsal e-posta seçerken alan adı, kullanıcı yönetimi, log kontrolü, yedekleme ve spam korumasını mutlaka kontrol edin.
Bu sorulara açık cevap veren sağlayıcılar KVKK açısından daha sağlam bir başlangıç sunar.
Sonuç: güvenli kurumsal e-posta, sadece şifreleme değildir
E-posta şifreleme, KVKK uyumu için kritik bir parçadır; fakat tek başına çözüm değildir. Doğru yaklaşım veriyi önce sınıflandırmakla başlar. Sonrasında hangi içeriğin hangi kanal üzerinden gönderileceği belirlenmelidir. Hassas gönderimler için mesaj düzeyi şifreleme veya KEP kullanılmalıdır.
Ayrıca MFA ve log kayıtları zorunlu olmalı, yedekler güvenli tutulmalı ve kullanıcı hatasını azaltan operasyon kuralları belirlenmelidir. Kurumsal eposta seçimi tam da bu nedenle bir satın alma kararı kadar bir risk yönetimi kararıdır.
Bugün birçok şirket e-postaları üzerinde kontrol sahibi olduğunu düşünür. Oysa gerçek kontrol, politika ile desteklenen ve ölçülebilen bir altyapı kurulduğunda başlar.
Kişisel servislerden yönetilebilir bir yapıya geçmek ve kurumsal e-postayı daha güvenli hale getirmek mümkündür. Bunun ilk adımı mevcut mail akışını envanterlemektir. Sonrasında kurumsal hesaplar, şifreleme, MFA, log kayıtları, yedekleme ve yönlendirme ayarları birlikte gözden geçirilmelidir.
Makdos’un kurumsal mail hosting ve güvenlik hizmetleri bu geçişte pratik bir başlangıç sağlayabilir.
