Anasayfa/ Makale/ E-Ticarette Siber Saldırılara Karşı Veri Güvenliği

E-Ticarette Siber Saldırılara Karşı Veri Güvenliği

E-ticaretin hızlı büyümesi, elektronik ortama aktarılan tüketici verilerini siber saldırıların hedefi haline getirmiştir. Veri sorumlusu sıfatını taşıyan e-ticaret işletmelerinin, siber tehditlere karşı gerekli idari ve teknik güvenlik tedbirlerini alması hukuki bir zorunluluktur.
search
5 dk okuma Yayınlanma: Güncelleme:
PHİSHİNG (OLTALAMA) TEHDİT KVKK

Elektronik ticaret hacminin artmasıyla birlikte, tüketicilere ait kimlik, iletişim, konum ve ödeme verileri dijital platformlara yoğun bir şekilde aktarılmaktadır. İşletmelerin sahip olduğu bu geniş müşteri veri tabanları, günümüzde siber saldırganların en temel hedefi konumundadır. Bir bilişim hukuku uzmanı perspektifiyle değerlendirildiğinde, kişisel veri güvenliğinin sağlanması yalnızca teknik bir gereklilik değil, Kişisel Verilerin Korunması Kanunu'nun on ikinci maddesi uyarınca veri sorumlusuna yüklenen mutlak bir hukuki yükümlülüktür. Veri sorumlusu, kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, bu verilere yetkisiz erişimleri engellemek ve verilerin muhafazasını sağlamak amacıyla her türlü uygun güvenlik düzeyini temin etmekle mükelleftir. Gerekli önlemlerin alınmaması, şirketler açısından devasa boyutta veri ihlalleri ve ağır idari yaptırımlarla sonuçlanmaktadır.

E-Ticaret Sektörünü Hedef Alan Siber Saldırı Yöntemleri

E-ticaret platformları, internet üzerinden kesintisiz faaliyet göstermeleri sebebiyle her gün çok çeşitli siber tehditlere maruz kalmaktadır. Hukuki uygulamalarda ve Kişisel Verileri Koruma Kurulu kararlarında sıkça karşılaşılan saldırıların başında, kullanıcıları sahte bir içerikle kandırarak verileri ele geçirmeyi amaçlayan oltalama (phishing) saldırıları gelmektedir. Bunun yanı sıra, bilgisayar ağlarına gizlice sızarak veri çalan veya şifreleyen zararlı yazılımlar (malware), fidye yazılımları ve Truva atları e-ticaret sitelerinin altyapılarını tehdit eden başlıca unsurlardandır. Kötü niyetli kişilerin, sistemin ağ kapasitesinin üzerinde istek göndererek platformun hizmet vermesini engellediği DDoS saldırıları ve veri tabanlarına sızarak bilgileri doğrudan ifşa etmeyi amaçlayan SQL enjeksiyonu saldırıları da sıklıkla görülmektedir. Bu saldırılarla genellikle kredi kartı bilgileri, parolalar ve müşteri işlem geçmişleri ele geçirilerek hukuka aykırı menfaatler elde edilmektedir.

Ödeme Sistemleri ve Ağ Güvenliğine Yönelik Teknik Tedbirler

Siber saldırılara karşı koruma sağlamak için veri sorumlularının mevzuata ve güncel teknolojik standartlara uygun teknik güvenlik tedbirleri alması zorunludur. Web uygulaması güvenlik duvarı (WAF) kullanımı, zararlı yazılımlara karşı güncel antivirüs sistemlerinin bulundurulması ve saldırı tespit ile önleme sistemlerinin ağlara entegre edilmesi gerekmektedir. Özellikle e-ticarette en hassas veri sayılan ödeme bilgileri güçlü bir şekilde koruma altına alınmalıdır. Finansal verilerin aktarımı sırasında SSL sertifikalarının kullanılması, ödeme işlemlerinde 3D Secure gibi ek kimlik doğrulama adımlarının zorunlu tutulması ve PCI DSS standartlarına mutlak suretle uyulması hayati önem taşır. Ayrıca, içerideki hassas verilerin yetkisiz kişilerce ağ dışına çıkarılmasını engellemek üzere veri kaybı önleme (DLP) yazılımlarının kullanılması, veri sorumlusunun teknik özen yükümlülüğünü yerine getirdiğinin bir göstergesi olarak kabul edilir.

Veri İhlallerini Önlemede İdari Tedbirlerin Rolü

Kişisel veri güvenliğinin sağlanması, teknik önlemlerin yanı sıra kurum içi disiplini ve organizasyonu kapsayan idari tedbirler ile mutlaka desteklenmelidir. Bilişim sistemlerindeki en zayıf halkanın genellikle insan faktörü olduğu unutulmamalıdır. Bu nedenle, şirket çalışanlarının siber güvenlik, sosyal mühendislik saldırıları ve oltalama e-postaları hakkında düzenli olarak eğitilmesi hukuki bir zorunluluktur. Kurum içerisinde yetki matrislerinin oluşturulması, mevcut risk ve tehditlerin önceden belirlenerek kişisel veri güvenliği politikaları ve prosedürlerinin hazırlanması gereklidir. E-ticaret işletmelerinin siber güvenliği sağlamak amacıyla alması gereken temel idari önlemler şunlardır:

  • Sistemlere erişimde, kullanıcılar ve çalışanlar için çift faktörlü kimlik doğrulama mekanizmalarının entegre edilmesi.
  • Siber saldırılara karşı zafiyetleri tespit etmek amacıyla düzenli olarak sızma testleri yaptırılması.
  • Hizmet alınan bulut veya altyapı sağlayıcısı şirketlerin, veri güvenliği açısından belirli aralıklarla denetlenmesi.
E-ticaret sitemiz hacklendi ve müşteri verileri çalındı, çok ceza yer miyiz? expand_more
Kişisel Verilerin Korunması Kanunu'nun on ikinci maddesi uyarınca, e-ticaret işletmeniz hukuken "veri sorumlusu" sıfatını taşımaktadır. Bu nedenle, müşterilerinize ait kişisel ve finansal verilerin hukuka aykırı işlenmesini ve bu verilere yetkisiz erişimleri önlemekle doğrudan mükellefsiniz. Siber tehditlere karşı muhafazayı sağlamak amacıyla mevzuata uygun her türlü teknik ve idari güvenlik tedbirini almanız kanuni bir yükümlülüktür. Gerekli önlemleri almadığınız takdirde, şirketiniz devasa boyutta veri ihlalleri sebebiyle çok ağır idari yaptırımlara ve cezalara çarptırılacaktır.
Çalışanımız sahte maile tıklamış, müşteri bilgileri sızdı. Suçlu çalışanım mı? expand_more
Bu tarz oltalama (phishing) saldırıları, personeli sahte içeriklerle kandırarak veri ele geçirmeyi amaçlayan ve e-ticaret sitelerinde sıkça karşılaşılan eylemlerdendir. Bilişim sistemlerindeki en zayıf halkanın genellikle insan faktörü olduğu ve bu yönde önlem almanız gerektiği unutulmamalıdır. Hukuki açıdan asıl sorumlu olan şirketinizin, personeline siber güvenlik, sosyal mühendislik ve oltalama e-postaları hakkında düzenli eğitimler vermesi yasal bir zorunluluktur. Kurum içi yetki matrislerini oluşturmadığınız ve veri güvenliği politikalarını hayata geçirmediğiniz takdirde, bu ihlalden dolayı işletmeniz sorumlu tutulacaktır.
Sitemden kredi kartı bilgisi çalınmasın diye teknik olarak ne yapmam şart? expand_more
E-ticarette en hassas veri kabul edilen ödeme bilgilerini siber saldırılara karşı güçlü bir şekilde koruma altına almanız hukuki bir zorunluluktur. Finansal verilerin aktarımı sırasında SSL sertifikaları kullanmalı, ödeme işlemlerinde 3D Secure gibi ek kimlik doğrulama adımlarını mutlaka devreye almalısınız. Aynı zamanda e-ticaret altyapınızın PCI DSS standartlarına eksiksiz uyması hayati önem taşımaktadır. Bunlara ek olarak, verilerin izinsiz şekilde dışarı çıkarılmasını engellemek için veri kaybı önleme (DLP) yazılımları kullanmanız teknik özen yükümlülüğünüzü yerine getirdiğinize dair güçlü bir kanıt olacaktır.
Verilerimizi başka bir şirketin bulutunda tutuyoruz, güvenlikten kim sorumlu? expand_more
Müşteri verilerinizi dışarıdan bir bulut veya altyapı sağlayıcısında muhafaza etmeniz, veri sorumlusu sıfatıyla taşıdığınız yasal yükümlülükleri ortadan kaldırmaz. Kişisel veri güvenliğini sağlamak amacıyla, hizmet aldığınız bu teknoloji şirketlerini veri güvenliği standartları açısından belirli aralıklarla denetlemeniz şarttır. Sisteminizdeki zafiyetleri tespit etmek için düzenli sızma (penetrasyon) testleri yaptırmanız hukuki bir gerekliliktir. Ayrıca sistemlere erişimde hem müşterileriniz hem de çalışanlarınız için çift faktörlü kimlik doğrulama mekanizmalarını entegre etmeniz olası sızıntıların önüne geçecektir.
Av. Hanifi Bayrı
Av. Hanifi Bayrı İstanbul 1 Nolu Barosu (Sicil: 40976)

Selçuk Üniversitesi Hukuk Fakültesi mezunudur. İş hukuku, mobbing, KVKK uyum süreçleri, bilişim hukuku, hasta ve çocuk hakları alanlarında uzmanlaşmış olup, 2012 yılından bu yana İstanbul merkezli hukuk bürosunda yüz yüze ve online hukuki danışmanlık ve avukatlık hizmeti sunmaktadır.

LinkedIn Profili badge BARO LEVHASI gavel TBB Avukat Arama
star star star star star

Bizi Değerlendirin

Hizmet kalitemizi artırabilmemiz için görüşleriniz bizim için çok değerlidir.

Google'da Değerlendir