Veri Akış Diyagramları (DFD) ve KVKK Haritalama: Kişisel Verinin Kurum İçi Yolculuğunun Görselleştirilmesi
Nisan 7, 2026
KVKK,Siber Savunma,Veri Güvenliği
Bir kurumun hangi kişisel verileri işlediğini bilmesi yeterli değildir; bu verilerin nereden geldiğini, hangi sistemlerden geçtiğini, kimlerle paylaşıldığını ve nerede imha edildiğini de bilmesi gerekir. Veri Akış Diyagramları (Data Flow Diagrams – DFD), karmaşık veri süreçlerini görselleştirerek verinin yaşam döngüsünü somutlaştıran teknik bir modelleme yöntemidir. Kişisel Verilerin Korunması Kanunu (KVKK) kapsamında hazırlanan “Veri İşleme Envanteri”nin teknik sağlaması DFD’ler ile yapılır. Verinin izlediği yolu kağıt üzerinde göremeyen bir kurumun, o veriyi teknik olarak koruması imkansızdır. Bu makalede, DFD’lerin KVKK uyumundaki stratejik önemi, teknik haritalama süreçleri ve olası sızıntı noktalarının tespiti ele alınacaktır.
Konunun Temel Açıklaması
DFD ve KVKK Haritalama, bir kişisel veri unsurunun (örneğin; müşterinin telefon numarası) kuruma giriş yaptığı andan (input), işlendiği (process), saklandığı (storage) ve dışarı aktarıldığı (output) ana kadar olan tüm “duraklarını” belirleme sürecidir. KVKK Madde 4’teki “Belirli, açık ve meşru amaçlar için işlenme” ilkesi, DFD’ler sayesinde teknik bir karşılık bulur. Eğer bir veri akışı, envanterde belirtilen amacın dışına çıkan bir sisteme (örneğin; bir test sunucusuna) uğruyorsa, bu durum DFD üzerinde bir “uyumsuzluk” veya “güvenlik açığı” olarak anında tespit edilebilir.
Çalışma Mantığı / Teknik Arka Plan Teknik bir DFD hazırlarken dört temel bileşen kullanılır:
- Dış Aktörler (Entities): Veriyi gönderen veya alan kişi/kurumlar (Müşteri, Banka, Vergi Dairesi).
- Süreçler (Processes): Veri üzerinde yapılan işlemler (Kayıt oluşturma, Maaş hesaplama, Maskeleme).
- Veri Depoları (Data Stores): Verinin durakladığı yerler (SQL Veritabanı, Excel dosyası, Bulut depolama).
- Veri Akışı (Data Flows): Verinin bir noktadan diğerine gidiş yönü (Oklar).
Teknik süreçte, “Sıfırıncı Seviye” (Context Diagram) ile sistemin genel çerçevesi çizilirken, alt seviyelerde (Level 1, Level 2) her bir mikro hizmetin veriyi nasıl işlediği detaylandırılır. KVKK haritalamasında ise bu diyagramın üzerine; “Veri Kategorisi” (Kimlik, İletişim), “Saklama Süresi” ve “Güvenlik Önlemi” (Şifreleme, TLS) gibi hukuki katmanlar eklenir.
Kullanım Senaryoları veya Saldırı Perspektifi
Saldırı perspektifinden bakıldığında, DFD’ler “Saldırı Yüzeyi Analizi” (Attack Surface Analysis) için kullanılır. Bir saldırgan, sistemdeki en zayıf veri duraklarını (örneğin; şifrelenmemiş geçici klasörler veya log dosyaları) hedefler. Haritalama yapılmış bir sistemde, güvenliğin unutulduğu bu “ara duraklar” net bir şekilde görülür. Kullanım senaryosunda; bir e-ticaret sitesi müşteri verilerini alırken verinin doğrudan ana veritabanına gittiğini sanabilir. Ancak DFD çizildiğinde görülür ki; veri önce bir ara belleğe (Cache) yazılıyor, oradan bir log sunucusuna kopyalanıyor ve en son veritabanına ulaşıyor. Eğer bu ara duraklar (cache/log) korunmuyorsa, veri sızıntısı kaçınılmazdır. DFD bu gizli risk noktalarını gün yüzüne çıkarır.
Riskler ve Etkileri
Veri akışlarındaki hataları ve uyumsuzlukları saptamak için şu yöntemler kullanılır:
- Veri Keşfi ve Envanter Taraması: Otomatik araçlarla ağ taranarak, DFD’de görünmeyen gizli veri depolarının tespit edilmesi.
- Trafik Analizi: Sunucular arasındaki veri alışverişinin izlenerek, haritada tanımlanmamış “anormal” veri akışlarının (okların) saptanması.
- Süreç Mülakatları: İlgili departmanlarla (İK, Finans, Pazarlama) yapılan görüşmelerle, fiili veri akışının teorik diyagramla uyuşup uyuşmadığının doğrulanması.
- Kod Analizi (SAST): Yazılım kodunun incelenerek, verinin kod seviyesinde hangi fonksiyonlar ve API’lar üzerinden nereye aktarıldığının haritalandırılması.
Önleme ve Güvenlik Önlemleri
Veri akışını güvenli hale getirmek için şu adımlar atılmalıdır:
- Veri Minimizasyonu: DFD üzerinde verinin gereksiz yere uğradığı her bir durak (hop) elenmeli veya bu duraklarda veri maskelenmelidir.
- Şifreleme (In-Transit): Akış oklarının geçtiği her noktada (özellikle dış sistemlere giden yollarda) uçtan uca şifreleme zorunlu tutulmalıdır.
- Sıkı Erişim Kontrolü: Verinin durakladığı her bir “Veri Deposu” (Data Store) için sadece o süreci yürüten sisteme yetki verilmelidir.
- Dinamik Güncelleme: Sistemde yapılan her mimari değişiklikte DFD’ler otomatik veya manuel olarak güncellenmeli; harita her zaman canlı tutulmalıdır.
Kurumsal Perspektif / Gerçek Hayat Kullanımı
Kurumsal yönetim ve KVKK uyumu açısından DFD, “Hesap Verebilirlik” ilkesinin görsel kanıtıdır. KVKK Madde 12 kapsamında, veri sorumlusu verilerin hukuka aykırı erişimini engellemekle yükümlüdür. Bir denetim sırasında veya “İlgili Kişi” (veri sahibi) başvurusunda, “Verim hangi sistemlerinizde işleniyor?” sorusuna verilecek en profesyonel yanıt, güncel bir veri akış haritasıdır.
Gerçek hayatta birçok kurum, veri envanterini sadece Excel listesi olarak tutar; ancak bu listeler verinin “hareket halindeki” risklerini göstermez. Başarılı bir kurum, envanterindeki her bir satırı bir DFD görseliyle eşleştirir. Bu sayede, yeni bir sistem kurulduğunda veya bir tedarikçiyle veri paylaşılacağında, bu değişikliğin mevcut veri güvenliği haritasını nasıl etkileyeceği önceden simüle edilebilir.
Sonuç
Sonuç olarak Veri Akış Diyagramları ve KVKK Haritalama, kurumsal verinin “GPS”idir. Verinin nereden gelip nereye gittiğini bilmeyen bir kurumun, “veriyi koruyoruz” iddiası teknik bir temele dayanmaz. DFD’ler, görünmez riskleri görünür kılarak kurumun savunma stratejisini nokta atışı yapacak şekilde güçlendirir. KVKK uyumu sadece kağıt üzerindeki maddelere uymak değil, verinin her bir adımını teknik olarak takip edebilmektir. Dijital dünyada veriyi yönetmek, onun yolculuğunu haritalandırmakla başlar.
Tags :
#DataFlowDiagram,#DFD,#KVKK,#ShadowIT,#SiberSavunma,#VeriEnvanteri,#VeriGüvenliği,#VeriHaritalama
Share This :