Yazılım Geliştirme Sürecinde Kritik Hata: İnternet Servis Sağlayıcısına 300.000 TL Ceza (Karar: 2020/213)
Kişisel Verileri Koruma Kurulu (Kurul), 12/03/2020 tarihli bu kararıyla, özellikle teknoloji ve yazılım tabanlı hizmet veren şirketler için hayati bir uyarıda bulunmuştur. Karar, yazılım güncellemelerinin “canlı ortamda” test edilmeden yapılmasının ve siber güvenlik prosedürlerinin ihmal edilmesinin ağır sonuçlarını ortaya koymaktadır.
1. Olayın Özeti: “Debug” Yaparken Veri Sızdırmak
Olay: Bir internet servis sağlayıcısının Online İşlem Merkezi’nde fatura ödeme sorunu yaşanmıştır. Şirket yazılımcıları, sorunu çözmek ve hataları ayıklamak (debug) amacıyla sisteme yeni özellikler eklemişlerdir. Ancak bu müdahale sırasında ciddi bir güvenlik açığı oluşmuştur.
İhlalin Detayları:
- Fatura ödemeye çalışan müşteriler, başka müşterilerin kredi kartı bilgilerini görmeye başlamıştır.
- İhlalden 69 kişinin kredi kartı bilgisi etkilenmiş ve bu bilgiler 649 farklı müşteri tarafından görüntülenmiştir.
- Şirket, ihlali “yazılım geliştirme sürecindeki bir hata” olarak Kurul’a bildirmiştir.
2. Kurulun Hukuki Değerlendirmesi: “Canlı Ortamda Test Yapılamaz”
Kurul, veri sorumlusunun teknik süreçlerini inceleyerek profesyonel yazılım dünyasında kabul edilemez bulunan şu hataları tespit etmiştir:
A. Test Ortamı vs. Canlı Ortam Ayrımı
Şirket, yazılım değişikliği taleplerini yazılımcılara sözlü aktarmış ve bu değişiklikler test (sandbox) ortamında denenmeden doğrudan canlı (production) ortama alınmıştır.
- Kusur: Yazılımın son kullanıcıya ulaşmadan önce izole bir ortamda test edilmemesi, temel bir teknik tedbir eksikliğidir.
B. Maskeleme ve Arayüz Güvenliği
Şirket, verilerin normalde maskelendiğini (yıldızlandığını) iddia etse de, yapılan bir yazılım hatasıyla finansal verilerin kabak gibi ortaya çıkması, maskeleme sisteminin teknik olarak yetersiz veya kararsız olduğunu kanıtlamıştır.
C. Geç Kalan Güvenlik Politikası
Şirketin bir “Veri Güvenliği Politikası” olduğu saptanmıştır; ancak bu politikanın yürürlük tarihinin ihlalden sonra olduğu görülmüştür. Yani olay anında şirketin rehberlik edici bir güvenlik prosedürü fiilen bulunmamaktadır.
D. İdari ve Teknik Tedbirlerin İhlali (Md. 12)
Kurul; log yönetimi, yazılım geliştirme prosedürleri ve uygulama güvenliği konularında şirketin sınıfta kaldığına hükmetmiştir.
3. Karar Sonucu: 300.000 TL İdari Para Cezası
Kurul inceleme neticesinde;
- Uygulama güvenliği için gerekli teknik ve idari tedbirlerin alınmaması,
- Yazılım süreçlerinin kontrolsüz yönetilmesi,
- Kritik finansal verilerin (kredi kartı) sızmasına sebebiyet verilmesi,Gerekçeleriyle, şirket hakkında 300.000 TL (2020 yılı değeri) idari para cezası uygulanmasına karar vermiştir.
4. Özgür Eralp Perspektifi: “Hızlı Çözüm Değil, Güvenli Çözüm Esastır”
Bilişim hukuku alanındaki tecrübemizde, teknik ekiplerin üzerinde hissettiği “sorunu hemen çözme” baskısının bazen felaketle sonuçlandığını görüyoruz. Bu karardaki en büyük ders şudur: “Canlı sistem üzerinde cerrahlık yapılmaz.” Yazılımda yapılan en ufak bir “debug” (hata ayıklama) işlemi, yetkisiz erişimlerin kapısını sonuna kadar açabilir.
Bir yatırımcı avukat vizyonuyla uyarım şudur: Şirketler, yazılım geliştirme süreçlerini (SDLC) mutlaka yazılı prosedürlere bağlamalıdır. “Sözlü talimatla kod yazmak” veya “test etmeden yayına almak” sadece teknik bir risk değil, doğrudan hukuki bir intihardır. Kredi kartı verisi sızdığında Kurul, kullanıcı sayısının azlığına (bu olayda 69 kişi) bakmaksızın, verinin niteliği ve sürecin ihmalkarlığı nedeniyle en üst sınırları zorlayan cezalar vermektedir.
Sıkça Sorulan Sorular
1. Online işlem merkezinde başka birinin kartını görürsem ne yapmalıyım?
Bu durum ciddi bir veri ihlalidir. Hemen ekran görüntüsü alın ve durumu şirkete bildirin. KVKK kapsamında verilerinizin güvenliğinin ihlal edildiğine dair açıklama isteyin ve Kurul’a şikayette bulunun.
2. Şirketin “Hata oldu, düzeltirken sızdı” demesi onu kurtarır mı?
Hayır. KVKK uyarınca veri sorumlusu, sistemin düzeltilmesi sırasında bile verilerin güvenliğini korumakla yükümlüdür. Test edilmemiş her müdahale “hukuki kusur” sayılır.
3. Kredi kartı bilgisi sızanlar bankalarını aramalı mı?
Kesinlikle. Kart numarası ve son kullanma tarihi gibi bilgilerin başkaları tarafından görüntülenmesi, kartın kopyalanması veya internet harcamalarında kullanılması riskini doğurur. Kartın derhal kapatılması gerekir.
4. 300.000 TL ceza 2026’da ne kadar olur?
Yeniden değerleme oranları ile 2020’deki bu ceza, günümüzde (2026) milyonlarca liraya karşılık gelen ve orta ölçekli bir şirketi sarsabilecek bir tutara ulaşmıştır.
5. Bir yazılım firması veri sızıntısından nasıl korunur?
Sadece teknik altyapıyla değil; yazılım geliştirme politikaları, düzenli sızma testleri (pentest) ve “canlıya alım” onay mekanizmalarıyla korunur.
Kaynaklar
- KVKK Kurumu – 2020/213 Sayılı Karar Özeti
- 6698 Sayılı KVKK (Madde 12 ve 18)
- Bilgi Güvenliği Yönetim Sistemi (ISO 27001) Standartları
Avukat-Hukuk Danışmanı,
Dijital İçerik oluşturucu,
Kitle fonlama girişimci ve yatırımcısı,
ODTÜ Felsefe Öğrencisi:)
AÖF Yönetim Bilişim Sistemleri Öğrencisi:),