Ana Sayfa »

DataSecurity Plus ile POPI
Yasasına Uyumluluk

Kişisel Bilgilerin Korunması Yasası (POPI Yasası veya POPIA olarak da bilinir), Güney Afrika Parlamentosu tarafından çıkarılmış olan bir verileri koruma yasasıdır. Güney Afrika'da yerel ve yabancı kuruluşların kişisel bilgileri nasıl toplayacağını, kullanacağını, saklayacağını, sileceğini ve başka şekillerde işleyeceğini belirtir.


ManageEngine DataSecurity Plus, aşağıdaki şekilde POPI Yasasının gerekliliklerinin karşılanmasına yardımcı olur:

  • Kurumsal depolama ortamlarında bulunan kişisel bilgilerin keşfedilmesi.
  • Hassas veriler içeren dosyalarda kullanıcı etkinliğinin izlenmesi.
  • Dosyaların kazara ve kötü amaçlı veri sızıntılarına karşı korunması.
  • Güvenlik izinleri ve dosya depolamaya ilişkin gelişmiş içgörülerin sağlanması.
  • Ayrıntılı raporlarla POPIA denetimlerinin sadeleştirilmesi.

Ve çok daha fazlası.

DataSecurity Plus'ın POPIA uyumluluğunun sağlanmasına nasıl yardımcı olduğu

Bu tabloda, POPIA'nın DataSecurity Plus tarafından ele alınan çeşitli kısımları listelenmektedir.

POPIA bölümünde belirtilen Yapmanız gerekenler DataSecurity Plus'ın nasıl yardımcı olduğu

Bölüm 10

Kişisel bilgiler yalnızca işlenme amacı göz önüne alındığında yeterli, alakalı olduğu ve aşırı olmadığı takdirde işlenebilir.

 Faaliyetleriniz için gerekli olmayan kişisel bilgileri toplamadığınızdan emin olun.
Sakladığınız kişisel bilgiler yalnızca işlerini yapmak için bu bilgilere erişmesi gereken çalışanlar tarafından işlenmelidir.
Veri keşfi:
Veri sahibinin kuruluşunuz tarafından saklanan kişisel bilgilerini bulun. Daha sonra uygulama sorumlularının yalnızca gerekli verilerin saklandığından emin olmalarını sağlayacak bir envanter oluşturur.

İzin analizi:
Verileri barındıran dosyalara erişimi olan kullanıcıları, her bir kullanıcının bu dosyalar üzerinde gerçekleştirebileceği işlemlerle alakalı ayrıntılarla birlikte listeler.

ROT veri analizi:
Eski, kullanılmayan ve değiştirilmemiş dosyaları tespit edin ve kişisel bilgilerin amaçlanan saklama süresini aşacak biçimde saklanmadığından emin olun.

Bölüm 11(4)

Bir veri sahibinin kişisel bilgilerin işlenmesine itiraz etmesi sonrasında sorumlu taraf artık kişisel bilgileri işleyemez.

 Veri sahibinin kişisel bilgilerinin tüm örneklerini bulun ve verilerin işlenmesini durdurmak için gereken şekilde eyleme geçin.
Anahtar sözcük eşleşmesi:
Silinmesi gereken kişisel bilgilerin doğru ve hızlı bir şekilde getirilmesini sağlayacak şekilde hedef anahtar sözcükle eşleşen verileri tanımlar.

Yanıt otomasyonu:
Anahtar sözcük eşleşmesi tespit edildiğinde, uygulayan taraflar ilgili verinin silinmesini otomatik hale getirebilir, veriyi karantinaya alabilir veya toplu dosyaları çalıştırarak verilerin kullanımını sınırlamak üzere özelleştirilmiş bir eylem gerçekleştirebilir.

Bölüm 14(1)

Kişisel bilgilerin kayıtları, bilgilerin toplanma veya ardından işlenme amacına ulaşmak için gerekli olandan daha uzun süre boyunca saklanmamalıdır.

 Kuruluşlar, kişisel bilgileri gerekenden daha uzun süre boyunca saklamamalı ve amaçlanan süreyi aşacak şekilde saklanan verileri tespit etmek ve ele almak üzere periyodik incelemeler yapmalıdır.
Dosya analizi:
Veri depolama alanlarınızdaki yedekli, eski ve önemsiz verileri bularak ve saklama süresini aşan dosyaları kaldırarak bir veri saklama ilkesi oluşturulmasına yardımcı olur.

Bölüm 14(2)

Sorumlu tarafın kayıtların başka amaçlarla kullanılmasına karşı uygun koruma önlemlerini alması şartıyla, kişisel bilgilerin kayıtları, tarihsel, istatistiksel veya araştırma amaçları doğrultusunda (14(1)) alt bölümünde öngörülen süreleri aşacak şekilde saklanabilir.

 Hassas kişisel bilgiler uzun süreyle saklanacağında, kuruluşların verilerin güvenliğini, bütünlüğünü ve gizliliğini sağlamak için kontroller uygulaması gerekir.
Dosya bütünlüğü izlemesi:
  1. Bir dosya için oluşturma, okuma, yazma, silme, izinleri değiştirme, taşıma, yeniden adlandırma, kopyalama veya yapıştırma işlemlerine yönelik her başarılı ve başarısız girişimi gerçek zamanlı olarak denetler.
  2. Ayrıntılı analiz amaçlı olarak ve düzenleyici kurumların gerekliliklerine uyumluluğun kanıtlanması için ayrıntılı bir denetim kaydı tutar.

Veri güvenliği:
  1. Şüphe uyandıracak kadar yüksek miktarda dosya değişikliği olması ya da bir kullanıcının kritik bir dosyayı mesai saatleri dışında değiştirmesi durumunda anlık uyarıları tetikler.
  2. Hassas dosyaları uç noktalar aracılığıyla dışarı sızdırma girişimlerini engeller.

Etkili izin değerlendirmesi:
Etkili izinleri analiz ederek verilerin gizliliğinin sağlanmasına yardımcı olur. Bu şekilde, veri yöneticileri kullanıcıların rolleri için gerekenden daha fazla ayrıcalığa sahip olmadığını teyit edebilir.

Bölüm 14(4)

Sorumlu taraf, sorumlu tarafın kaydı saklama yetkisinin sona ermesinin ardından makul olarak mümkün olan en kısa sürede kişisel bilgilerin kaydını imha etmeli veya silmeli ya da kimlik bilgilerini kaldırmalıdır.

 Sınırlama süresine ulaşması, artık işlenmesine gerek kalmaması veya veri sahibinin silinmesini talep etmesi durumunda hassas kişisel bilgileri silin.
Veri keşfi:
Anahtar sözcük eşleştirmeyi ve normal ifadeleri kullanarak veri sahibinin sakladığınız kişisel bilgilerini tanımlayın ve bunları kurumsal depolama alanından temizleyin.

ROT veri analizi:
Eski dosyaları tespit eder ve bunların silinmesini otomatikleştirir.

Bölüm 14(6)

Sorumlu taraf kişisel bilgilerin işlenmesini kısıtlamalıdır.

 İhtilaf durumunda hassas kişisel bilgilere erişimin sınırlı olduğundan emin olun ve bunlara yalnızca gerektiğinde erişim sağlayın.
En az ayrıcalık ilkesi (POLP):
  1. POLP'un uygulanmasına yardımcı olmak için izin değişikliklerini takip eder, etkili izinleri listeler, her çalışanın erişebileceği dosyaları belirler, Tam kontrol ayrıcalıklarına sahip olan kullanıcıları bulur, dosyaların güvenlik açığını değerlendirir ve daha fazlasını yapar.
  2. Gerektiğinde bu izin raporlarını oluşturabilir veya dosya izinlerini düzenli aralıklarla gözden geçirmek üzere rapor iletim zamanlamaları oluşturabilirsiniz.

Bölüm 15(1)

Kişisel bilgilerin ek işlemeleri, bilgilerin toplanma amacına uygun veya bu amaçla uyumlu olmalıdır.

 Kişisel bilgilerin anormal kullanımını tespit etmek ve sınırlamak için önlemler alın.
Anlık uyarılar, otomatikleştirilmiş yanıtlar:
  1. Dosya sunucuları, yük devretme kümeleri, çalışma grubu sunucuları veya iş istasyonlarındaki kullanıcı etkinlikleri yapılandırılmış veri işleme ilkelerini ihlal ettiğinde uyarıları tetikler.
  2. Ayrıca bilgisayarları, son kullanıcı oturumlarını veya daha fazlasını otomatik olarak kapatmak için komut dosyaları çalıştırabilirsiniz.

Bölüm 16(1)

Sorumlu taraf, kişisel bilgilerin eksiksiz, doğru olmasını, yanıltıcı olmamasını ve gerektiğinde güncellenmesini sağlamak üzere makul düzeyde uygulanabilir adımlar atmalıdır.

 Kuruluşunuz tarafından saklanan kişisel bilgilerin doğruluğunu tespit ve teyit edin.
Veri keşfi:
  1. Ulusal kimlik numarası, kredi kartı ayrıntıları, e-posta kimlikleri gibi benzersiz bir anahtar sözcük kümesini kullanarak veri sahibinin kişisel bilgilerini bulmak üzere veri keşfini kullanır.
  2. Kişisel bilgilerin konumu ve buraya atanan izinler hakkında ayrıntılı raporlar sunar.

ROT veri analizi:
Kullanıcı tarafından sağlanan tarihten daha eski olan dosyaların konumunu belirler; bu da güncellenmesi gereken verileri bulmanıza yardımcı olur.

Bölüm 17

Sorumlu taraf, tüm işleme süreçlerinin belgelerini saklamalıdır.

 Kişisel bilgilerin toplanmasından silinmesine kadar atılan her adımı takip edin.
Dosya değişikliği izlemesi:
  1. Kimin, hangi dosyaya, ne zaman ve nereden eriştiğine dair bilgilerle dosya ve klasörlerde yapılan değişiklikleri gerçek zamanlı olarak denetler.
  2. Uyumluluk denetimleri için ayrıntılı raporlar sunar.
  3. Daha fazla analiz yapmak ve uyumluluk ihtiyaçlarını karşılamak için ayrıntılı bir denetim kaydı tutar.

Bölüm 19(1)

Sorumlu bir taraf, aşağıdakileri önlemek için uygun, makul teknik ve kuruluş ile ilgili önlemleri alarak, elindeki veya kontrolü altındaki kişisel bilgilerin bütünlüğünü ve gizliliğini güvence altına almalıdır:

  1. kişisel bilgilerin kaybı, hasar görmesi veya izinsiz şekilde imha edilmesi ve
  2. kişisel bilgilere yasa dışı bir biçimde erişilmesi veya bunların işlenmesi.
 Hassas kişisel bilgilerin kazara veya kötü niyetli olarak sızmasını önlemek için bir veri kaybı önleme (DLP) çözümü uygulayın.
İzin analizi:
Ayrıcalığın gerekli olup olmadığını doğrulamak için kişisel bilgiler içeren bir dosyaya erişebilecek her kullanıcıyı listeler.

Uç nokta veri kaybını önleme:
  1. Uç noktalardaki çıkarılabilir depolama cihazlarının kullanımını izler.
  2. Hassas dosyaların USB cihazlarına veya e-posta yoluyla ek olarak hareketini engeller.
  3. Kritik verilerin taşınma riskiyle ilgili sistem uyarılarını tetikleyerek verilerin kazara sızmasını önler.
  4. Anlık uyarılar ve otomatik tehdit yanıtı mekanizmasıyla olaya müdahale sürelerini azaltır.

Fidye yazılımlarını algılama ve yanıtlama:
Potansiyel fidye yazılımı saldırılarını tespit eder ve virüs bulaşmış sunucuları otomatik olarak kapatır, bozuk dosyaları karantinaya alır ve fidye yazılımının yayılmasını sınırlar.

Bölüm 19(2)

Sorumlu taraf aşağıdakileri gerçekleştirmek için makul önlemleri almalıdır:

  1. mülkiyetinde olan veya kontrolü altındaki kişisel bilgilere yönelik makul olarak öngörülebilir tüm iç ve dış riskleri tanımlamak;
  2. tespit edilen risklere karşı uygun önlemleri uygulamak ve sürdürmek.
 sakladığınız kişisel bilgilere yönelik riskleri tanımlamak ve değerlendirmek. Riski azaltacak önlemleri uygulamak.
Veri riski değerlendirmesi:
Denetim ayrıntılarını ve daha fazlasıyla birlikte kişisel bilgiler içeren dosyaların izinlerini, hacimlerini ve ihlal edilen kural türlerin analiz ederek risk puanını hesaplar.

Uç nokta veri kaybını önleme:
İş açısından kritik dosyaları hassasiyet derecelerine göre sınıflandırır ve bunların e-posta, USB, yazıcı vb. yoluyla sızdırılmasını önler.

Bölüm 22(2)

Bir ihlal bildiriminde, güvenlik ihlalinin kapsamını belirlemek ve sorumlu tarafın bilgi sisteminin bütünlüğünü yeniden sağlamak üzere makul olarak gerekli olan her türlü önlem dikkate alınmalıdır.

 Bir veri ihlalinin potansiyel nedenlerini ve kapsamını yasal amaçlar kapsamında inceleyin.
Ayrıntılı denetim kaydı:
İhlalin temel nedeninin ve ele geçirilen verilerin etkili bir şekilde analiz edilmesine yardımcı olacak şekilde veri ihlaline yol açan her eylemin eksiksiz bir denetim kaydını tutar.

Bölüm 23(1)

Bir veri sahibi aşağıdaki haklara sahiptir:

  1. sorumlu taraftan, sorumlu tarafın veri sahibi hakkındaki kişisel bilgileri elinde bulundurup bulundurmadığını teyit etmesini talep etmek ve
  2. sorumlu taraftan, bilgilere erişimi olan ya da geçmişte olmuş tüm tarafların kimlik bilgilerini de içeren biçimde, veri sahibi hakkında sorumlu tarafın elinde bulundurduğu kişisel bilgilerin kaydını veya açıklamasını talep etme.
 Veri sahibi hakkındaki kuruluşunuz tarafından saklanan tüm bilgilerin yanı sıra, bu bilgilere erişen kişilere ilişkin bilgileri bulun ve paylaşın.
Veri keşfi:
  1. Windows dosya sunucularında ve yük devretme kümelerinde saklanan kişisel bilgilerin örneklerini bulun.
  2. Önceden yapılandırılmış veri keşfi kurallarını ve ilkelerini kullanarak ulusal kimlik numaraları, kredi kartı ayrıntıları, e-posta kimlikleri ve ellinin üzerinde diğer hassas kişisel veri türü için tarama yapar.

Güvenlik izni analizi:
Kişisel bilgiler barındıran dosyalar üzerinde kimin hangi izne sahip olduğunu bulur.

Dosya erişimi denetimi:
Dosyalardaki kullanıcı etkinliğini denetler ve kimin hangi dosyaya, ne zaman ve nereden eriştiği ile ilgili ayrıntıları sağlar.

Bölüm 24(1)

Bir veri sahibi, sorumlu taraftan veri sahibi hakkında elinde bulundurduğu kişisel bilgilerin düzeltilmesini veya silinmesini talep edebilir.

 Veri sahibi hakkındaki tüm doğru olmayan bilgi örneklerini bulun ve düzeltin.
Veri sahibinin itiraz ettiği verileri silin.
Veri keşfi:
Veri sahibinin kişisel bilgilerini bulmak için veri keşfini kullanır ve bunları silmek veya ilaveten işlemek için güvenli bir konuma taşımak üzere toplu dosyaları çalıştırabilir.

Bölüm 26

Sorumlu taraf, POPIA'nın 27-31 arası bölümleri kapsamında izin verilmedikçe, bir veri sahibinin dini veya felsefi inançları, ırkı veya etnik kökeni, sendika üyeliği, siyasi inancı, sağlığı veya cinsel hayatı, biyometrik bilgileri veya suç teşkil eden davranışlarıyla ilgili kişisel bilgileri işleyemez.

Kuruluşlar, açıklanan kişisel bilgileri gerekli izin olmadan toplayamaz veya saklayamaz.
Veri keşfi:
Veri depolama alanlarını bir normal ifadeyle veya anahtar sözcük grubuyla eşleşen içerik açısından tarar. Bu, gerekli yetkiye sahip olmayan kuruluşların ilgili kişisel bilgi örneklerini tespit edip düzeltmelerine ve uyumsuzluk nedeniyle verilebilecek cezalardan kaçınmalarına yardımcı olur.

Veri riski değerlendirmesi:
Konumu, erişim sahibi olan kişiler, risk puanı ve daha fazlasını içeren şekilde kişisel bilgileri içeren dosyalara ilişkin raporlar.

Yasal Uyarı: POPIA'ya tam uyum sağlanması, çeşitli çözümler, süreçler, kişiler ve teknolojiler gerektirmektedir. Bu sayfa yalnızca bilgilendirme amaçlıdır ve POPI Yasası uyumluluğu konusunda yasal tavsiye olarak görülmemelidir. ManageEngine, bu materyaldeki bilgilerle ilgili olarak herhangi bir açık, zımni veya yasal garanti sunmamaktadır.

Veri güvenliğini sağlayın ve   uyumluluğu elde edin

DataSecurity Plus, kullanımda olmayan, kullanımda olan ve hareket halindeki verileri koruyarak birçok uyumluluk düzenlemesinin gerekliliklerinin karşılanmasına yardımcı olur.

Aynı zamanda tümleştirilmiş DLP özellikleri de sunan birleşik bir SIEM çözümü mü arıyorsunuz? Log360'ı hemen bugün deneyin!

Ücretsiz 30 günlük deneme