RAFAELLCER014.CAPITALJAYS.COM

Diyarbakır’da Kişisel Verilerin Korunması İçin Web Sitesi Güvenliği Rehberi

Diyarbakır’da hâlâ “biz küçük işletmeyiz, bize kim saldıracak” cümlesini duyuyorum. Her duyduğumda aynı öfke geliyor. Çünkü mesele artık yalnızca büyük şirketlerin, bankaların, e-ticaret devlerinin meselesi değil. Bağlar’da bir güzellik merkezi, Kayapınar’da bir özel klinik, Sur’da butik otel, Yenişehir’de danışmanlık ofisi, Ergani’de kurs merkezi, Silvan’da yerel satış yapan bir firma… Hepsi müşteri adı, telefon numarası, randevu bilgisi, IP adresi, ödeme kaydı, form mesajı, bazen sağlık verisi, bazen çocuklara ait bilgi topluyor. Sonra bu veriler, şifresi “123456” olan bir yönetim panelinde, güncellenmemiş bir eklentinin arkasında, yıllardır kimsenin bakmadığı bir hosting hesabında çürüyor.

Buna güvenlik denmez. Bu, insanların bilgisini açıkta bırakmaktır.

Bir web sitesi kurmak artık kolay. İki saat içinde tema yükleniyor, logo konuyor, iletişim formu çalışıyor, sosyal medya bağlantıları ekleniyor. Fakat kişisel verilerin korunması, “web sitesi yayında mı?” sorusundan çok daha sert bir soru sorar: Bu siteye giren kişinin verisini neden alıyorsun, nerede tutuyorsun, kim erişiyor, ne kadar saklıyorsun, sızarsa ne yapacaksın?

Diyarbakır’daki birçok işletme ve kurum bu sorulara net cevap veremiyor. Cevap veremediği hâlde form topluyor, çerez çalıştırıyor, analiz kodu yerleştiriyor, WhatsApp butonuyla ziyaretçiyi üçüncü taraf platforma yönlendiriyor, CV kabul ediyor, randevu kaydı alıyor. Sonra da “bizim resmi web sitesi zaten basit” diyerek işin içinden çıkacağını sanıyor. Basit site yoktur. Veri işleyen site vardır, işlemeyen site vardır.

“Siteyi yaptırdık bitti” rahatlığı yüzünden veri sızıyor

En tehlikeli cümlelerden biri şu: “Web sitesini yapan kişi halletti.” Kim halletti? Ne halletti? SSL sertifikası mı kurdu, yedekleme mi ayarladı, güvenlik duvarı mı yapılandırdı, KVKK aydınlatma metnini mi yerleştirdi, çerezleri mi sınıflandırdı, form verilerini mi şifreledi, yönetici yetkilerini mi kısıtladı?

Genellikle olan şu: Bir ajans ya da serbest çalışan siteyi kuruyor. WordPress ise birkaç eklenti yüklüyor, hazır tema alıyor, demo içerikleri siliyor, iletişim formunu bağlıyor. Site yayına girince herkes rahatlıyor. Fatura kesiliyor. “Hayırlı olsun” mesajı atılıyor. Ondan sonrası karanlık. Eklentiler güncellenmiyor. Tema lisansı bitiyor. Hosting panelinde eski yedekler kalıyor. Yönetici kullanıcı adı “admin” duruyor. Eski çalışanların erişimi kapatılmıyor. Formdan gelen bilgiler hem e-posta kutusunda hem veritabanında hem de yedek dosyalarında sonsuza kadar bekliyor.

Bunun adı ihmal. Üstelik pahalı bir ihmal.

Kişisel verilerin korunması yalnızca hukuki metin koymak değildir. Sitenin altına “KVKK aydınlatma metni için buraya tıklayın” yazıp rahatlamak, yangın merdiveni çizip binaya merdiven yapmamaya benzer. Metin gereklidir, evet. Fakat teknik ve idari tedbir yoksa o metin tek başına sizi kurtarmaz. Ziyaretçi verisi hâlâ açıkta kalır. Kurum hâlâ risk altındadır.

Diyarbakır’daki işletmeler için gerçek risk nerede başlıyor?

Diyarbakır’da yerel işletmelerin çoğu müşteriyle hızlı temas kurmak istiyor. Haklılar. Rekabet sert. İnsanlar Google’dan arıyor, Instagram’dan bakıyor, haritadan yol tarifi alıyor, sonra web sitesi üzerinden form dolduruyor ya da WhatsApp’a tıklıyor. Sorun hızda değil. Sorun, bu hızın arkasında hiçbir veri güvenliği disiplini olmamasında.

Bir diş kliniği düşünün. Sitede “randevu al” formu var. Ad, soyad, telefon, tercih edilen işlem, bazen şikâyet alanı. Kişi oraya “implant”, “kanama”, “ağrı”, “hamileyim” gibi bilgi yazabiliyor. Bu artık sıradan iletişim bilgisi olmaktan çıkabilir, sağlıkla ilişkili hassas bilgiye yaklaşır. Form verisi e-posta ile açık şekilde gidiyor. E-posta hesabında iki aşamalı doğrulama yok. Sekreter eski telefonundan hâlâ hesaba bağlı. Hosting yedeğinde form kayıtları duruyor. Bir saldırgan siteye girmese bile e-posta hesabını ele geçirirse yüzlerce kişinin mahrem bilgisine ulaşır.

Bir kurs merkezi düşünün. Öğrenci kayıt formu var. Velinin adı, çocuğun adı, telefon, okul, sınıf, notlar. Çocuk verisi işleniyor. Bu veriyle daha da dikkatli davranmak gerekirken çoğu yerde “Excel’e indirip masaüstüne attık” seviyesi var. Sonra o bilgisayar ortak kullanılıyor. Kaspersky ya da benzeri bir güvenlik yazılımı var mı, disk şifreli mi, kimse bilmiyor.

Bir emlak ofisi düşünün. “Satılık daire için teklif alın” formu var. Kişi adresini, bütçesini, telefonunu yazıyor. Bunlar ticari açıdan değerli bilgilerdir. Rakip için de dolandırıcı için de değerlidir. E-posta kutusuna düşen her form, kötü niyetli biri için hazır hedef listesidir.

Öfkeliyim, çünkü bunlar teorik senaryo değil. Türkiye’nin her şehrinde tekrar eden, Diyarbakır’da da defalarca gördüğüm dağınıklıklar. İnsanlar kapı kilidine, kepenge, kameraya para harcıyor. Sonra müşterinin verisini internete açık bir sistemde sahipsiz bırakıyor.

KVKK metni kopyalamak güvenlik değildir

İnternette herkes birbirinden metin kopyalıyor. “Aydınlatma metni”, “çerez politikası”, “gizlilik politikası” diye aratılıyor, ilk çıkan kaynak site açılıyor, metin alınıp logoya göre düzenleniyor. Hatta bazıları hâlâ başka firmanın adını metinde unutuyor. Bu kadar özensizlik kabul edilemez.

KVKK açısından her işletmenin veri işleme faaliyeti farklıdır. Bir restoran rezervasyon alır, bir klinik sağlık verisi işler, bir hukuk bürosu dosya bilgisi alır, bir belediye birimi vatandaş başvurusu toplar, bir eğitim kurumu öğrenci ve veli bilgisi işler. Aynı metin hepsine uymaz. Uysa bile metnin varlığı teknik güvenlik açığını kapatmaz.

Web sitesi üzerinden veri topluyorsanız, ziyaretçiye hangi veriyi neden aldığınızı açıkça söylemeniz gerekir. “Detaylı bilgi için tıklayın” diyerek uzun ve anlaşılmaz PDF’ye gömmek yetmez. Kullanıcı formu doldurduğu anda neye onay verdiğini, hangi kanal üzerinden kendisiyle iletişime geçileceğini, verisinin kimlerle paylaşılabileceğini, haklarını nasıl kullanacağını anlayabilmelidir. Aydınlatma metni görünür olmalı, formun yanında veya hemen erişilebilir yerde bulunmalıdır. “Buraya tıklayın” ifadesi kullanılıyorsa gerçekten ilgili metne gitmeli, boş sayfaya, hatalı bağlantıya ya da genel ana sayfaya değil.

Çerez tarafında durum daha da kötü. Birçok site Google Analytics, Meta Pixel, harita eklentileri, video gömme servisleri, canlı destek araçları kullanıyor. Sonra çerez bildirimi hiç çıkmıyor ya da “sitemizi kullanarak çerezleri kabul etmiş sayılırsınız” gibi eski usul, tembel bir ifade konuyor. Ziyaretçinin tercih hakkı yok. Zorunlu olmayan çerezlerle pazarlama yapılıyor. Bu da ayrı bir sorun.

Güvenli web sitesi önce envanter ister

Güvenlik işine doğrudan eklenti yükleyerek başlanmaz. Önce ne olduğunu bilmek gerekir. Hangi veriler toplanıyor? Formlar nereye gidiyor? Yönetim paneline kim giriyor? Hosting hangi firmada? Alan adı kimin hesabında? E-posta hizmeti nerede? Yedekler kaç gün saklanıyor? Sitede hangi üçüncü taraf kodlar çalışıyor? Bunları bilmeyen işletmenin “biz güvenliyiz” demesi boş laftır.

Bir keresinde yerel bir işletmede alan adının eski ajans çalışanının kişisel hesabında durduğunu gördüm. Firma sahibinin bundan haberi yoktu. Site kurumsal görünüyordu, iletişim formları çalışıyordu, Google’da çıkıyordu. Fakat alan adı yenilemesi yapılmasa site gidecekti. Daha kötüsü, DNS ayarları üzerinde işletmenin gerçek kontrolü yoktu. Bu yalnızca teknik sorun değil, kişisel verilerin korunması sorunudur. Çünkü alan adını kontrol eden kişi e-postayı, site yönlendirmelerini, alt alan adlarını manipüle edebilir.

Başka bir örnekte, iletişim formu verileri WordPress veritabanında tutuluyordu. İşletme “biz sadece mail alıyoruz” sanıyordu. Oysa eklenti tüm başvuruları panelde saklıyordu. Beş yılda birikmiş binlerce kayıt vardı. Kimse silmemiş. Kimse saklama süresi belirlememiş. Kimse “bu kadar veriyi niye tutuyoruz?” diye sormamış. İşte tam burada sinirlenmemek mümkün değil. Çünkü gereksiz saklanan her veri, gereksiz risk demektir.

Diyarbakır’daki kurumlar için temel güvenlik kontrolü

Aşağıdaki kısa kontrol listesi, süslü bir siber güvenlik sunumu değil. Sahada gerçekten işe yarayan, ihmali hızlıca ortaya çıkaran başlıklardır. Bunların herhangi birine “bilmiyorum” cevabı veriliyorsa, web sitesi kişisel veri açısından risklidir.

  • Alan adı, hosting, e-posta ve yönetim paneli erişimleri kurumun kontrolünde mi?
  • SSL sertifikası aktif mi ve tüm sayfalarda HTTPS zorunlu mu?
  • Form verileri nerede saklanıyor, kimler erişiyor, ne kadar süre tutuluyor?
  • Yönetici hesaplarında güçlü parola ve iki aşamalı doğrulama var mı?
  • Tema, eklenti, CMS ve sunucu yazılımları düzenli güncelleniyor mu?

Bu beş maddeyi küçümseyen çok kişi gördüm. Aynı kişiler birkaç ay sonra spam yönlendirmesi, siteye zararlı kod bulaşması, Google’da “bu site tehlikeli olabilir” uyarısı veya müşteri şikâyetiyle panik içinde arıyor. Güvenlik paniğin konusu olmamalı. Rutin olmalı.

SSL var diye sevinmeyin, tek başına yetmez

SSL sertifikası gereklidir. HTTPS olmayan bir web sitesi, özellikle form topluyorsa, artık kabul edilemez. Fakat SSL’yi güvenliğin tamamı sanmak büyük hata. SSL, ziyaretçi ile sunucu arasındaki iletişimi şifreler. Sunucunun içindeki zayıf parola, açık eklenti, yanlış dosya izni, ele geçirilmiş yönetici hesabı, kötü yapılandırılmış yedek klasörü gibi sorunları çözmez.

Bazı işletmeler “tarayıcıda kilit işareti var” diye rahatlıyor. O kilit, sitenin ahlaki olarak güvenilir olduğunu söylemez. Sadece bağlantının şifreli olduğunu gösterir. Sitenin arka tarafında herkesin aynı kullanıcı adıyla giriş yaptığı, eski eklentilerin çalıştığı, veritabanı yedeğinin herkesçe indirilebildiği bir düzen varsa kilit simgesi yalnızca güzel bir dekor olur.

HTTPS yönlendirmesi doğru yapılmalı. Eski HTTP adresleri otomatik olarak HTTPS’ye gitmeli. Karışık içerik hataları, yani sayfanın bazı görsel veya script dosyalarını hâlâ HTTP üzerinden çağırması düzeltilmeli. HSTS gibi başlıklar ihtiyaç ve yapı uygun ise değerlendirilmeli. Bunlar teknik ayrıntı gibi görünür, ama veri güvenliği ayrıntılarda kaybedilir.

WordPress kullananlar için acı gerçekler

Diyarbakır’daki küçük ve orta ölçekli işletmelerin ciddi bir kısmı WordPress kullanıyor. WordPress kötü değildir. Kötü olan, WordPress’i kurup kaderine terk etmektir. Güncellenmeyen eklenti, korsan tema, bilinmeyen kaynaktan indirilmiş “premium” paket, gereksiz sayıda yönetici hesabı, dosya düzenlemeye açık panel, XML-RPC saldırılarına karşı önlem alınmaması… Bunlar saldırganların sevdiği zayıflıklardır.

Özellikle nulled tema ve eklenti kullanımı tam bir rezalet. Lisans ücreti vermemek için kaynağı belirsiz dosya kuran işletme, kendi sitesine arka kapı yerleştiriyor olabilir. Sonra “site neden başka sayfalara yönleniyor”, “Google sonuçlarında kumar linki çıkıyor”, “mail gönderemiyoruz” diye şaşırıyor. Şaşırmayın. Kapıyı siz açtınız.

WordPress’te güvenlik için yalnızca bir eklentiye güvenmek de yanlış. Güvenlik eklentisi yardımcı olabilir, fakat bakım disiplini yoksa yetersiz kalır. Yönetici sayısı azaltılmalı, her kullanıcıya ihtiyacı kadar yetki verilmeli, giriş denemeleri sınırlandırılmalı, dosya izinleri kontrol edilmeli, veritabanı ön eki ve yedekleme düzeni gözden geçirilmeli. Hosting firması da önemlidir. Ucuz diye alınan, aynı sunucuda yüzlerce zayıf site barındıran hizmetlerde bir komşu sitenin sorunu sizi de etkileyebilir.

Formlar, e-postalar ve WhatsApp butonları masum değil

İletişim formu koymak kolaydır. Güvenli form koymak dikkat ister. Form alanları gereksiz veri istememeli. Bir restoran rezervasyonu için T.C. Kimlik numarası istemek saçmalıktır. Bir teklif formu için doğum tarihi istemek çoğu zaman gereksizdir. “Belki lazım olur” diye veri toplanmaz. Veri minimizasyonu denen ilke tam da bu yüzden vardır. Ne lazımsa onu al, fazlasını alma.

Form gönderimleri mümkünse güvenli biçimde iletilmeli, e-posta hesapları korunmalı, spam ve bot saldırılarına karşı önlem alınmalıdır. CAPTCHA kullanırken de ölçülü olmak gerekir. Bazı çözümler üçüncü taraflara veri aktarabilir, bazıları erişilebilirliği zorlaştırır. Körlemesine eklenti eklemek yerine ihtiyaç değerlendirilmelidir.

WhatsApp butonu da masum değildir. Kullanıcı butona bastığında üçüncü taraf bir platforma geçer. Bu iletişimin niteliği, kayıtların nerede tutulduğu, çalışanların bu mesajlara hangi cihazlardan eriştiği düşünülmelidir. İşletme telefonu kişisel telefonsa, eski çalışanların sohbet yedeklerine erişimi varsa, müşteri verisi yine dağılmış demektir. “Müşteri zaten WhatsApp’tan yazıyor” diyerek sorumluluktan kaçamazsınız. Siz o kanalı teşvik ediyorsanız, süreci yönetmek zorundasınız.

Çerezler ve izleme kodları: Sessiz veri toplama düzeni

Bir web sitesi ziyaretçiden form almıyor olabilir. Yine de veri işliyor olabilir. IP adresi, cihaz bilgisi, tarayıcı bilgisi, sayfa hareketleri, reklam etkileşimleri, çerez kimlikleri… Bunların hepsi kişisel veri tartışmasının içine girebilir. Özellikle reklam ve analiz araçları kullanılıyorsa çerez yönetimi ciddiye alınmalıdır.

Çerez paneli yalnızca görüntüde olmamalı. Zorunlu çerezlerle performans, analitik, reklam çerezleri ayrılmalı. Ziyaretçi kabul etmeden pazarlama çerezleri çalışmamalı. “Tümünü kabul et” kadar “tümünü reddet” seçeneği de erişilebilir olmalı. Reddetme seçeneğini griye boyayıp saklamak, kullanıcıyı kandırmaktır. Bu tür karanlık tasarım oyunları güven yaratmaz, aksine kurumu ucuz gösterir.

Diyarbakır’daki birçok yerel sitede çerez metni hiç yok. Olanlarda da kopyala yapıştır ifadeler var. “Detaylı bilgi” bağlantısı bazen boş. “Bağlantıyı incele” denmiş ama bağlantı çalışmıyor. “Resmi blog” ya da “blog adresi” gibi alanlar güncel değil. Bu özensizlik hem hukuki risktir hem de marka itibarını zedeler. İnsanlar artık fark ediyor. Özellikle genç kullanıcılar, sağlık, eğitim ve finans gibi alanlarda veri hassasiyetine daha dikkatli bakıyor.

Yedek almak yetmez, yedeği korumak gerekir

Yedekleme güvenliğin vazgeçilmez parçasıdır. Fakat yedek dosyası herkese açık klasörde duruyorsa bu kez felaketin kendisi olur. “backup.zip”, “site-yedek.sql”, “old”, “Yeni klasör” gibi dizinlerde veritabanı dökümleri bırakan siteler gördüm. Bunlar arama motorları veya otomatik tarama araçları tarafından bulunabilir. İçinde form kayıtları, kullanıcı hesapları, e-posta adresleri, hatta parola özetleri olabilir.

İyi yedekleme, düzenli, test edilmiş ve erişimi sınırlı yedeklemedir. Yedeklerin nerede saklandığı bilinmelidir. Bulutta tutuluyorsa hesap güvenliği sağlanmalıdır. Hosting içinde tutuluyorsa dışarıdan erişim kapalı olmalıdır. Belirli aralıklarla geri yükleme testi yapılmalıdır. Çünkü çalışmayan yedek, yedek değildir. Sadece insanı kandıran bir dosyadır.

Fidye yazılımı riski de unutulmamalı. Sitenin kendisi değil, ofis bilgisayarları da hedef olabilir. Web sitesinden gelen formlar bilgisayara indiriliyor, Excel olarak saklanıyor, sonra o bilgisayar zararlı yazılımla şifreleniyorsa iş yine veri güvenliğine gelir. Kişisel verilerin korunması yalnızca sunucu odasında yaşanan bir konu değildir. Sekreterin bilgisayarında, muhasebenin e-posta hesabında, patronun telefonunda da yaşar.

Kamu kurumları, odalar, dernekler ve belediye bağlantılı siteler daha dikkatli olmalı

Diyarbakır’da kamuya yakın yapılar, meslek odaları, dernekler, vakıflar ve yerel yönetim bağlantılı platformlar ayrı bir sorumluluk taşır. Vatandaş bu sitelere daha yüksek güvenle yaklaşır. Bir bağlantı “resmi web sitesi” gibi görünüyorsa, kullanıcı orada daha rahat bilgi paylaşır. Bu güven kötü yönetilirse zararı daha büyüktür.

Sık görülen sorunlardan biri, eski projelere ait alt alan adlarının unutulmasıdır. Bir dönem etkinlik için açılmış site, başvuru formu toplamış, sonra proje bitmiş. Site hâlâ yayında. CMS eski. Form verileri duruyor. SSL bitmiş. Yönetici hesabı bilinmiyor. Kimse sorumluluğu üstlenmiyor. Bu kabul edilemez. Bir proje bittiyse veri akıbeti belirlenir, gereksiz bilgiler silinir veya anonimleştirilir, site kapatılır ya da güncellenir.

Kamuya açık duyurularda da dikkat gerekir. PDF dosyaları içinde gereksiz kişisel veri yayımlamak, başvuru listelerini T.C. Kimlik numarasıyla koymak, imzalı belgeleri olduğu gibi paylaşmak hâlâ görülen hatalar. “Şeffaflık” bahanesiyle mahremiyet ezilemez. Şeffaflık, veri teşhiri değildir.

Bir güvenlik olayı yaşanırsa susmak çözüm değildir

Siteniz hacklenirse, form verileri sızarsa, kullanıcı e-postaları ele geçirilirse yapılacak en kötü şey olayı saklamaktır. Önce teknik müdahale gerekir, evet. Site izole edilmeli, loglar korunmalı, saldırı kaynağı araştırılmalı, açık kapatılmalı, parolalar değiştirilmelidir. Fakat olay kişisel veri ihlali niteliğindeyse hukuki yükümlülükler de değerlendirilmelidir. Kişisel Verileri Koruma Kurumu’nun rehberleri ve duyuruları bu konuda dikkate alınmalıdır. Detaylı bilgi için Kurumun resmi web sitesi üzerinden güncel bilgilere bakmak gerekir, çünkü süreler, bildirim usulleri ve kararlar pratikte önemlidir.

Burada da sinir bozucu bir refleks var: “Kimse duymasın.” Hayır. Veri ihlali yönetimi dedikodu yönetimi değildir. Etkilenen kişilerin korunması gerekir. Gerekli bildirim yapılmazsa zarar büyür. İnsanlar dolandırıcılık aramalarına, oltalama mesajlarına, sahte ödeme taleplerine maruz kalabilir. Siz olaydan haberdar olup sessiz kalırsanız yalnızca hukuken değil, vicdanen de sorumlusunuz.

Bir ihlal planı önceden hazırlanmalıdır. Kimin aranacağı, hosting firmasına nasıl ulaşılacağı, ajansın sorumluluğu, hukuk danışmanının rolü, yedekten dönüş süreci, iletişim dili önceden belli olmalıdır. Panik anında karar vermek, çoğu zaman yanlış karar vermektir.

Ajans seçerken “güzel tasarım” tek kriter olamaz

Diyarbakır’da web sitesi yaptıracak işletmeler genellikle portfolyoya, fiyata ve teslim süresine bakıyor. Bunlar önemli, ama yetersiz. Ajansa veya yazılımcıya güvenlik ve veri koruma soruları sormayan işletme, ileride bedel öder. “Kaç günde teslim?” kadar “veri nerede tutulacak?” da sorulmalıdır. “Tema güzel mi?” kadar “güncellemeleri kim yapacak?” da sorulmalıdır.

Sözleşmede bakım, yedekleme, güncelleme, erişim teslimi, veri işleyen tarafların sorumluluğu, gizlilik ve olay müdahalesi maddeleri bulunmalıdır. Ajans tüm erişimleri kendi üzerinde tutup müşteriye hiçbir kontrol vermiyorsa bu sağlıklı değildir. Tersine, müşteri tüm şifreleri ortak WhatsApp grubuna yazıyorsa bu da felakettir. Profesyonellik, erişimlerin kayıtlı, sınırlı ve devredilebilir yönetilmesini gerektirir.

Şu sorular sorulmadan site teslim alınmamalıdır:

  • Yönetici, hosting, alan adı ve e-posta erişimleri kime ait ve nasıl saklanıyor?
  • Sitede hangi üçüncü taraf servisler, çerezler ve izleme kodları çalışıyor?
  • Bakım ve güvenlik güncellemeleri hangi aralıkla yapılacak?
  • Form kayıtları veritabanında tutuluyorsa saklama ve silme politikası nedir?
  • Olası saldırı veya veri ihlalinde teknik destek süresi ve sorumluluk sınırı nedir?

Bu sorulara kızan ajansla çalışmayın. “Bunlar gereksiz detay” diyen kişiye müşteri verisi emanet edilmez. Gerçek profesyonel, bu soruların sorulmasına sevinir. Çünkü işin ciddiye alındığını anlar.

Kullanıcıya saygı gösteren site nasıl davranır?

Güvenli web sitesi yalnızca saldırıya dayanıklı site değildir. Aynı zamanda kullanıcıya saygılı sitedir. Formda gereksiz alan istemez. Aydınlatma metnini saklamaz. Çerez tercihini zorlaştırmaz. İletişim kanalını net gösterir. Sahte “orijinal kaynak” havasıyla kullanıcıyı yanıltmaz. Bir bağlantı veriyorsa nereye gittiğini açıkça belli eder. “Tıkla” diye bağırmak yerine, bağlantının amacını anlatır.

Örneğin “KVKK aydınlatma metni için buraya tıkla” ifadesi çalışabilir, ama daha iyisi “KVKK aydınlatma metnini okuyun” gibi açık bir bağlantı metnidir. “Detaylı bilgi için kaynak site” deniyorsa, gerçekten güvenilir ve ilgili bir sayfaya yönlendirme yapılmalıdır. Kullanıcıyı reklam dolu, belirsiz, sahte içerikli sayfalara sürüklemek kurumsal itibarın altını oyar. Resmi blog ya da resmi web sitesi bağlantıları güncel tutulmalıdır. Kırık linkler sadece SEO sorunu değildir, güven sorunudur.

Erişilebilirlik de güvenliğin akrabasıdır. Görme engelli kullanıcı formu okuyamıyorsa, çerez panelinde klavye ile seçim yapamıyorsa, hata mesajları anlaşılmıyorsa site insanları dışarıda bırakır. Güvenlik, yalnızca saldırganı dışarıda tutmak değil, doğru kullanıcıyı içeri düzgün almaktır.

Yerel SEO uğruna güvenliği çöpe atmayın

Diyarbakır’daki işletmeler Google’da görünmek istiyor. “Diyarbakır diş kliniği”, “Diyarbakır avukat”, “Diyarbakır güzellik merkezi”, “Diyarbakır özel okul” gibi aramalarda üstte çıkmak için blog yazıları, açılış sayfaları, yorum eklentileri, harita entegrasyonları kullanılıyor. SEO önemlidir, fakat güvenliği delik deşik eden SEO çalışması akılsızlıktır.

Bazı sözde SEO paketleri siteye bilinmeyen scriptler ekliyor, otomatik içerik eklentileri kuruyor, yorum alanlarını kontrolsüz açıyor, düşük kaliteli bağlantılarla siteyi çöplüğe çeviriyor. Bir süre trafik artmış gibi görünebilir. Sonra site spam saldırılarının hedefi olur, arama motorunda itibar kaybeder, kullanıcı güveni düşer. Kişisel veri toplayan bir sitede bu daha da tehlikelidir.

Blog adresi kullanıyorsanız, yorumları denetleyin. Üyelik sistemi açıyorsanız, parolaları güvenli yönetin. Bülten aboneliği alıyorsanız, açık rıza süreçlerini düzgün kurun. “Tıklayın, kampanyayı görün” diye e-posta gönderiyorsanız, alıcının bu iletiyi neden aldığını ve nasıl çıkabileceğini belirtin. Pazarlama hırsı, veri koruma yükümlülüklerini ezemez.

Ucuz hosting, pahalı kriz doğurabilir

Hosting seçimi genellikle en düşük fiyatla yapılıyor. Yıllık birkaç yüz lira daha ucuz diye güvenliği belirsiz hizmete gidiliyor. Sonra site yavaşlıyor, e-posta kara listeye düşüyor, yedek geri dönmüyor, destek cevap vermiyor. Ucuzluk tek başına sorun değil. Sorun, ne satın alındığını bilmemek.

İyi bir hosting hizmetinde güncel PHP sürümleri, düzenli yedekleme, güvenlik duvarı seçenekleri, malware taraması, log erişimi, hızlı destek, izolasyon ve SSL yönetimi gibi konular önemlidir. Trafiği düşük bir tanıtım sitesi ile yoğun randevu alan bir klinik sitesi aynı altyapıya ihtiyaç duymayabilir. Burada ölçü, ihtiyaca uygunluktur. Fakat “nasıl olsa küçük site” diyerek en zayıf pakete mahkûm olmak yanlış.

E-posta hizmetini de ciddiye alın. Kurumsal e-posta hesaplarında SPF, DKIM ve DMARC kayıtları yapılandırılmalıdır. Bu kayıtlar sahte e-posta gönderimlerini azaltmaya yardımcı olur. Özellikle fatura, randevu, teklif, sözleşme gibi iletiler gönderen işletmeler için önemlidir. Bir saldırgan sizin alan adınıza benzer bir adresten müşteriye ödeme bilgisi gönderirse, zarar yalnızca teknik olmaz. Güven yıkılır.

Çalışan eğitimi olmadan güvenlik yarım kalır

En güçlü site bile dikkatsiz çalışan yüzünden zayıflar. Yönetici paneli şifresini tarayıcıya kaydedip ortak bilgisayarda bırakan, oltalama e-postasındaki bağlantıya tıklayan, müşteri listesini kişisel Gmail hesabına gönderen, eski personelin hesabını kapatmayan bir işletmede teknik önlem tek başına yetmez.

Eğitim uzun ve sıkıcı sunum olmak zorunda değil. Ayda 20 dakikalık kısa oturumlar bile fark yaratır. Çalışanlar güçlü parola kullanmayı, iki aşamalı doğrulamayı, şüpheli e-postayı tanımayı, kişisel veriyi gereksiz paylaşmamayı, ekran görüntüsü ve Excel dosyası gönderirken düşünmeyi öğrenmelidir. Yeni işe başlayan kişiye erişim verilirken, işten ayrılan kişiden erişim alınırken prosedür olmalıdır. “Biz aile gibiyiz” diyerek hesap kapatmamak profesyonellik değil, ihmaldir.

Özellikle küçük işletmelerde herkes her şeye erişiyor. Muhasebe site paneline girebiliyor, sosyal medya çalışanı buraya tıkla hosting şifresini biliyor, ajans eski FTP hesabını kullanıyor, patron tüm parolaları not defterinde tutuyor. Bu düzen patlamaya hazır bomba gibidir. Yetki ihtiyaca göre verilir. Herkesin her şeyi bilmesine gerek yok.

Saklama süresi belirlemeyen işletme veri çöplüğü biriktirir

Kişisel veriler sonsuza kadar tutulmaz. “İleride lazım olur” veri saklama gerekçesi değildir. Form başvuruları, randevu kayıtları, teklif talepleri, abonelik listeleri, kullanıcı hesapları, log kayıtları için makul saklama süreleri belirlenmelidir. Bu süreler sektör, hukuki yükümlülükler ve iş ihtiyacına göre değişir. Önemli olan, hiçbir şey yapmadan yıllarca veri biriktirmemektir.

Bir web sitesinde beş yıllık iletişim formu kaydı duruyorsa şu soru sorulmalıdır: Bu kayıtların hâlâ iş amacı var mı? Yoksa neden silinmedi? Silinemiyorsa neden anonimleştirilmedi? Yedeklerde ne kadar süre kalıyor? Kullanıcı silme talebi gönderirse gerçekten tüm sistemlerden silinebiliyor mu, yoksa sadece ekrandan mı kayboluyor?

Veri silme süreçleri teknik olarak planlanmalıdır. Panelden kayıt silmek yetmeyebilir, yedekler ve dışa aktarılan dosyalar da düşünülmelidir. E-posta kutularındaki form bildirimleri ayrı bir sorundur. Çoğu işletme veritabanını temizlese bile e-postadaki kopyaları unutuyor. Kişisel verinin izini sürmek zor olabilir, ama zorluk sorumluluğu ortadan kaldırmaz.

Diyarbakır için güvenli dijital itibar meselesi

Bu şehir ticarette, sağlıkta, turizmde, eğitimde, hukukta, hizmet sektöründe büyüyor. Dijital görünürlük artık lüks değil. Fakat dijitalleşme, insanların verisini hoyratça toplama izni vermez. Diyarbakır’daki işletmelerin, kurumların ve meslek sahiplerinin web sitesi güvenliğini ciddiye alması gerekiyor. Çünkü güven kaybedildiğinde yalnızca bir site kapanmaz. Müşteri ilişkisi, marka itibarı, hukuki güvenilirlik ve yerel piyasadaki saygınlık zarar görür.

Kızgınlığımın sebebi basit: Bu hataların çoğu önlenebilir. Güçlü parola maliyetli değil. İki aşamalı doğrulama zor değil. Güncelleme yapmak imkânsız değil. Gereksiz veri istememek kimseyi batırmaz. Aydınlatma metnini görünür koymak büyük proje değildir. Çerezleri düzgün yönetmek yapılabilir. Yedekleri korumak, erişimleri kapatmak, eski kullanıcıları silmek, form verilerini düzenlemek temel iştir.

Ama temel işler ihmal edilince, sonuç ağır olur.

Web sitesi bir vitrin olabilir, evet. Fakat aynı zamanda veri giriş kapısıdır. O kapının önüne güzel tabela asıp kilidini kırık bırakıyorsanız, ziyaretçiye saygı göstermiyorsunuz demektir. Diyarbakır’da kişisel verilerin korunması için web sitesi güvenliği, artık ertelenecek bir teknik detay değil. İşletme ahlakının, hukuki sorumluluğun ve profesyonel ciddiyetin doğrudan parçasıdır.

Bugün sitenizi açın. Formlarınıza bakın. Çerezlerinize bakın. Yönetici hesaplarınıza bakın. Eski eklentilerinize, yedeklerinize, e-posta kutularınıza, bağlantılarınıza bakın. “Buraya tıklayın” dediğiniz her bağlantı gerçekten doğru yere gidiyor mu, “detaylı bilgi” diye sunduğunuz metin gerçekten anlaşılır mı, “resmi web sitesi” olarak görünen alan gerçekten sizin kontrolünüzde mi? Cevaplar net değilse, sorun büyümeden müdahale edin.

Çünkü veri sızıntısı olduktan sonra söylenecek “keşke” cümlesi, hiçbir müşterinin güvenini geri getirmez.