E-Ticarette Veri Güvenliği: KVKK'ya Uyumlu Olmanın 5 Adımı

Bir E-Ticaret Sitesinden Sızan Veri, 17 Milyon TL Cezaya Mal Olabilir

KVKK idari para cezaları 2026'da güncellendi: alt sınır 256.357 TL, üst sınır 17.092.242 TL. Kişisel Verileri Koruma Kurulu'nun 2021 ve 2022'de e-ticaret sitelerine verdiği kararlar halka açık. Kurul, bir e-ticaret sitesinde sipariş bilgilerinin yanlış kişiye gönderilmesini bile ihlal saydı. Sadece büyük sızıntılar değil, küçük hatalar da ceza kapsamında.

E-ticaret veri güvenliği meselesi çoğu işletme sahibi için "IT departmanının işi" gibi görünüyor. Ama KVKK'da veri sorumlusu şirketin kendisi, yani siz. Platform sağlayıcınız değil, barındırma firmanız değil, siz. Bir ihlal yaşandığında Kurul'un kapısını çalacağı adres sizin şirketiniz.

Bu yazı hukuki danışmanlık değil. 5 pratik, teknik adım. Avukatınıza danışmadan önce kendi altyapınızda yapabileceğiniz somut işler.

Adım 1: Verilerinizin Fiziksel Olarak Nerede Yaşadığını Bilin

İlk soru çok basit ama çoğu e-ticaret işletmesi cevabını bilmiyor: müşteri verileriniz hangi ülkedeki, hangi şirketin sunucusunda duruyor?

Shopify kullanıyorsanız verileriniz büyük olasılıkla ABD veya Kanada'daki sunucularda. ikas, Ticimax, IdeaSoft gibi Türk platformları genellikle Türkiye'deki veri merkezlerini kullanıyor ama garanti vermiyorlar. Çoğunun gizlilik politikasında "üçüncü taraf hizmet sağlayıcılarla paylaşılabilir" ibaresi var.

KVKK, kişisel verilerin yurt dışına aktarılmasını açık rıza veya yeterli koruma kararı şartına bağlıyor. Müşterinizden "verilerinizi ABD'deki sunucuya aktaracağız" diye açık rıza aldınız mı? Çoğu e-ticaret sitesi almadı.

Kendi sunucunuzda çalışan bir altyapıda bu soru ortadan kalkıyor. Türkiye'deki bir veri merkezini seçiyorsunuz, verileriniz orada kalıyor. Kurul sorduğunda "Türkiye, İstanbul, X veri merkezi, Y kabinet" diyebiliyorsunuz. Kendi sunucunuzda e-ticaret yazımızda bu konuyu detaylı ele alıyoruz.

Adım 2: Rol Tabanlı Erişim Kontrolü (RBAC) Uygulayın

Kurul'un tavsiye ettiği teknik tedbirler arasında "yetkilendirme matrisi" ve "erişim sınırlandırma" üst sırada. Türkçesiyle: her çalışan sadece işi için gerekli verilere erişebilmeli.

Stajyerin müşteri adres bilgilerini görmesi için bir sebep yok. Depocu'nun ödeme kayıtlarına erişmesi gerekmiyor. Pazarlama ekibinin sipariş detaylarını düzenleyebilmesi gereksiz bir risk.

8 farklı yetki tipi (okuma, oluşturma, güncelleme, silme, yayınlama, moderasyon, dışa aktarma, onaylama) ve 2 kapsam (sadece kendi kaydı veya tüm kayıtlar) ile her çalışana tam olarak ihtiyacı kadar erişim tanımlayabilirsiniz. Bu, KVKK'nın "gerekli olan asgari veriyi işleme" ilkesiyle doğrudan uyumlu.

Adım 3: Kim Ne Yaptı, Ne Zaman Yaptı? Aktivite Günlüğü Tutun

Bir veri ihlali yaşandığında Kurul'un ilk sorusu: "Ne oldu ve ne zaman fark ettiniz?" İkinci sorusu: "Olayın kapsamını nasıl belirlediniz?" Bu soruları cevaplayabilmek için aktivite günlüğüne ihtiyacınız var.

20'den fazla işlem tipini (giriş, çıkış, veri görüntüleme, düzenleme, silme, dışa aktarma ve daha fazlası) otomatik olarak kaydetmek, her işlem için önceki ve sonraki değerleri saklamak, IP adresini ve zaman damgasını tutmak. Bir çalışan 500 müşterinin e-posta adresini dışa aktarırsa bunu görebilmeniz gerekiyor. Bir admin kullanıcı fiyatı değiştirirse eski ve yeni değeri karşılaştırabilmeniz gerekiyor.

Yerleşik aktivite günlüğü bu kayıtları otomatik tutuyor. Harici bir araç kurmak, yapılandırmak, ayrı abonelik ödemek gerekmiyor.

Adım 4: Aktarımda ve Depolamada Şifreleme Kullanın

Şifreleme iki katmanda olmalı. Aktarım şifrelemesi: sitenizle müşteri tarayıcısı arasındaki tüm iletişim HTTPS üzerinden gitmelidir. Bu artık standart, ama hâlâ HTTP üzerinden çalışan e-ticaret siteleri var. Kurul bunun eksikliğini doğrudan teknik tedbirsizlik olarak değerlendiriyor.

Depolama şifrelemesi: veritabanındaki hassas bilgiler (şifreler, oturum anahtarları) şifrelenmiş olarak saklanmalı. Oturum anahtarları SHA-256 hash ile saklanıyor, düz metin olarak değil. Bu, veritabanına sızılsa bile oturum bilgilerinin doğrudan kullanılamaması anlamına geliyor.

Şifre değişikliği yapıldığında tüm aktif oturumlar otomatik sonlandırılıyor. Bir çalışan şirketinizden ayrıldığında şifresini değiştirmeniz yeterli; tüm cihazlardaki oturumları anında kapanıyor.

Adım 5: Veri İhlali Müdahale Planı Hazırlayın (72 Saat Kuralı)

KVKK, veri ihlallerinin en kısa sürede, her halükarda 72 saat içinde Kurul'a bildirilmesini zorunlu kılıyor. Bu 72 saat düşündüğünüzden hızlı geçiyor.

Planınızda şu soruların cevapları önceden belirlenmiş olmalı:

İhlali kim tespit edecek ve nasıl fark edecek? (İlk 2 saat)
Sızıntının kaynağı ve kapsamı nasıl belirlenecek? (İlk 12 saat)
Hangi veriler etkilendi, kaç kişi etkilendi? (İlk 24 saat)
Kurul bildirimini kim hazırlayacak, hangi formatta? (48 saat)
Etkilenen müşteriler nasıl bilgilendirilecek? (72 saat)

Bu plan kağıt üzerinde kalmamalı. Yılda en az 1 kez tatbikat yapın. Gerçek bir sızıntı olduğunda panik değil plan devreye girmeli.

Aktivite günlüğü ve RBAC sistemi bu planın teknik altyapısını oluşturuyor. Sızıntı olduğunda "kim hangi veriye ne zaman erişti" sorusuna dakikalar içinde cevap verebilmek, Kurul'a yapacağınız bildirimi somut verilerle desteklemenizi sağlıyor.

Kendi Sunucunuz = Kendi Kontrolünüz

Bu 5 adımın ortak noktası kontrol. Verilerinizin nerede yaşadığını, kimin eriştiğini, ne zaman değiştiğini bilmek ve gerektiğinde müdahale edebilmek. Hazır e-ticaret platformlarında bu kontrolün büyük kısmı platformun elinde. Platformun ne kadar logladığını, verileri nerede sakladığını, şifreleme düzeyini genellikle siz belirlemiyorsunuz.

Kendi sunucunuzda e-ticaret yaklaşımında tüm bu katmanlar sizin kontrolünüzde. Yönetim panelinin 10 temel özelliği arasında RBAC ve aktivite günlüğü standart olarak geliyor, ek kurulum veya eklenti gerektirmiyor.

Bugün tek bir şey yapın: mevcut platformunuza yazın ve şu soruyu sorun: "Müşteri verilerim tam olarak hangi ülkede, hangi sunucuda depolanıyor?" Aldığınız cevap (veya alamadığınız cevap) size çok şey söyleyecek.