TCMB, SPK, BDDK Denetimleri, Canlı Loglar, Zaman Damgası (5070 sayılı Kanun) ve Geçerlilikleri
Denetim, yönetmelik ve kanunlar açısından SIEM ve logların T.C. mahkemelerince geçerliliği ile ilgili bazı hususları değerlendireceğim. Aşağıda SPK, BDDK ve TCMB tebliğleri ve loglarla ilgili maddelerini bulacaksınız.
Sermaye Piyasası Kurulu “BİLGİ SİSTEMLERİ YÖNETİMİ TEBLİĞİ”:
22- (4) Denetim izleri asgari 5 yıl saklanır.
Bankacılık Düzenleme ve Denetleme Kurumunun “FİNANSAL KİRALAMA, FAKTORİNG VE FİNANSMAN ŞİRKETLERİNİN BİLGİ SİSTEMLERİNİN YÖNETİMİNE VE DENETİMİNE İLİŞKİN TEBLİĞİ:”
9- (6) Bilgi ve belge saklamaya ilişkin diğer mevzuat hükümleri saklı kalmak kaydıyla denetim izleri asgari 3 yıl süreyle denetime hazır bulundurulur ve yedek alınması suretiyle, yaşanacak olası felaketler sonrasında da erişilebilir olmaları temin edilir.
Türkiye Cumhuriyet Merkez Bankası “ÖDEME VE ELEKTRONİK PARA KURULUŞLARININ BİLGİ SİSTEMLERİ İLE ÖDEME HİZMETİ SAĞLAYICILARININ ÖDEME HİZMETLERİ ALANINDAKİ VERİ PAYLAŞIM SERVİSLERİNE İLİŞKİN TEBLİĞ”
13- (2) Denetim izleri, ayrıntılı incelemeye ve taramaya imkân verecek, denetime hazır, gizliliği, bütünlüğü, güvenliği sağlanarak yedekli bir şekilde ve zaman damgalı olarak en az on yıl süreyle saklanır.
KVKK:
Kişisel Verilerinin Yer Aldığı Ortamlara İlişkin Yaptığı Erişimlerin Log Kayıtları: En Az 2 Yıl Olmak Suretiyle İş Davalarına Konu Olabilmesi Sebebiyle 10 Yıl
5651 Sayılı Yasa:
2 Yıl
Aşağıda TCMB, SPK ve BDDK tebliğlerinin loglarla ilgili maddelerine dikkatlice bakılırsa:
Sermaye Piyasası Kurulu “BİLGİ SİSTEMLERİ YÖNETİMİ TEBLİĞİ”:
22- (4) Denetim izleri asgari 5 yıl saklanır.
Bankacılık Düzenleme ve Denetleme Kurumunun “FİNANSAL KİRALAMA, FAKTORİNG VE FİNANSMAN ŞİRKETLERİNİN BİLGİ SİSTEMLERİNİN YÖNETİMİNE VE DENETİMİNE İLİŞKİN TEBLİĞİ:”
9- (6) 3 yıl süreyle denetime hazır bulundurulur
Türkiye Cumhuriyet Merkez Bankası “ÖDEME VE ELEKTRONİK PARA KURULUŞLARININ BİLGİ SİSTEMLERİ İLE ÖDEME HİZMETİ SAĞLAYICILARININ ÖDEME HİZMETLERİ ALANINDAKİ VERİ PAYLAŞIM SERVİSLERİNE İLİŞKİN TEBLİĞİ”:
13- (2) Denetim izleri, ayrıntılı incelemeye ve taramaya imkân verecek, denetime hazır, gizliliği, bütünlüğü, güvenliği sağlanarak yedekli bir şekilde ve zaman damgalı olarak en az on yıl süreyle saklanır
SPK 5 yıl saklanır diyor TCMB ve BDDK ise 3 yıl süreyle denetime hazır bulundurulur diyor. Yani TCMB ve BDDK 3 yıl saklanır demek yerine 3 yıl süreyle denetime hazır bulundurulur diyor. Sizce fark nedir? İkisinin arasında bir fark olduğu açık değil mi?
Denetime hazır ibaresi logların canlıda durması olarak yorumlanabilir mi?
Burada logların denetim sırasında makul sürede gelmesini isteyen denetmenler olduğu gibi buna dikkat etmeyenler de olabiliyor. Mesela ben “Bankacılık Düzenleme ve Denetleme Kurumunun “FİNANSAL KİRALAMA, FAKTORİNG VE FİNANSMAN ŞİRKETLERİNİN BİLGİ SİSTEMLERİNİN YÖNETİMİNE VE DENETİMİNE İLİŞKİN TEBLİĞİ” içerisindeki 3 yılı canlı üç yıl olarak isteyen denetim süreçlerine tanık oldum.
Ayrıca denetim sırasında şirketlerin uygulamak istedikleri pratikler var. Mesela Sermaye Piyasası Kurulu denetimi son 1 yılı kapsadığı için ve son 1 yıldan rastgele günler seçildiği için, log arşivdeyse geri yükleme vs. ile uğraşmamak için bazı firmaların Teftiş birimi 1 yıllık log canlıda olsun, hızlıca cevap verelim diyor denetim taleplerine.
Bir de mahkemelerde logların delil olabilmesi durumu var. Bu konuda 5651 sayılı yasa ile ilgili
Resmî Gazetenin 30 Kasım 2007 CUMA tarihli 26716 Sayısındaki
İNTERNET ORTAMINDA YAPILAN YAYINLARIN DÜZENLENMESİNE DAİR USUL VE ESASLAR HAKKINDA YÖNETMELİK İçerik Sağlayıcıları, Yer Sağlayıcıları ile Erişim Sağlayıcılarının
Sorumluluk ve Yükümlülükleri kısmında “Dosya bütünlük değerlerini zaman damgası ile birlikte saklamak ve gizliliğini temin etmekle,” yükümlüdür diyor.
Burada logların kriptografik yöntemler, hash alma veya başka bir yöntemle sadece log bütünlüğü ve değişmezliğini sağlamanın yetmeyeceği bilinmeli.
Yine tebliğlerde mesela Türkiye Cumhuriyet Merkez Bankası “ÖDEME VE ELEKTRONİK PARA KURULUŞLARININ BİLGİ SİSTEMLERİ İLE ÖDEME HİZMETİ SAĞLAYICILARININ ÖDEME HİZMETLERİ ALANINDAKİ VERİ PAYLAŞIM SERVİSLERİNE İLİŞKİN TEBLİĞİ” Oturum özellikleri ve denetim izleri kısmında
“25 — (5) Zaman damgası, 5070 sayılı Kanun kapsamında tanımlanan zaman damgasına dayanır” deniyor. Dolayısı ile TCMB denetimine tabi firmaların sadece hash alma veya başka bir yöntemle sadece log bütünlüğü ve değişmezliğini sağlamanın yetmeyeceği ve bir T0 anında zaman damgası da sorulacağını ve böyle tutmak yerine sadece sadece log bütünlüğü ve değişmezliğini sağlamanın riski hesap etmeleri faydalarına olur.
Logların mahkemece istenmesi durumunda eğer lehte bir avantaj sağlayacaksa şirket avukatlarını veya hukuki mercileri karşı tarafın logları ile birlikte zaman damgalarını da mahkemece istenmesi sağlanmalı. Ben birebir böyle bir durumda zaman damgalı log tutan firmanın sadece SIEM ile değişmezlik ve bütünlük garantisi veren başka bir firmaya göre geçerli sayıldığın tecrübe ettim.
Ayrıca GDPR, PCI, Basel II, HIPAA, SOX, NISPOM, CISP gibi uluslararası pek çok regülasyon da logların 1 ila 7 yıla kadar saklanması gerektiğini söylüyor. Bunlardan PCI bunu ayırmış mesela ve 90 gün canlı olmalı sonrasını nasıl istersen öyle derken diğerleri canlı veya arşiv diye ayırmadan süre belirtmiş.
Dolayısı ile bir SIEM veya içinde Bir SIEM olan hizmet alırken şu sorular depremi hatırlayarak diyorum ki ev alırken sorulması gereken, kritik ama atlanan sorular gibidir.
Logları 1 yıl canlıda tutabiliyor muyuz?
Eğer bir yılı canlıda tutulabiliyorsak 1 yıl için toplamda ne kadar disk kullanıyoruz?
Eğer birkaç aydan sonrası arşivde ise:
Arşivden 1 günü arama ne kadar sürüyor?
Arşivden 1 haftayı arama ne kadar sürüyor?
Arşivden 1 ayı arama ne kadar sürüyor?
Logların kriptografik yöntemler, hash alma veya başka bir yöntemle sadece log bütünlüğü ve değişmezliğini mi sağlıyoruz yoksa bununla birlikte logların T.C. Mahkemelerince Geçerliliği sağlamak için 5651 sayılı yasaya uygun olarak zaman damgası basıyor muyuz?
Bazı sektörlerde şu soru da sorulmalı. TÜBİTAK KAMU SM gibi BTK Tarafından yetkilendirilmiş Zaman Damgası Sağlayıcılarından alınmış zaman damgalarını kullanabiliyor muyuz?
