Bloga geri dön
RUENZHESARPTDEFRJAKOITTRIDVIFAHI

Proxy Kullanımını Uyum İçin Belgelendirme: Şablonlar ve Güvenlik Politikaları

Proxy sunucularının kullanımını belgelemek için uyum gereksinimlerine uygun tam kılavuz: politika şablonları, erişim günlükleri ve pratik öneriler.

📅3 Mart 2026
```html

Şirketiniz müşteri kişisel verileriyle çalışıyorsa, ödemeleri kabul ediyorsa veya güvenlik denetimine tabi ise, proxy sunucularının kullanımını belgelendirmek zorunlu bir gereklilik haline gelir. Doğru belgelerin eksikliği, GDPR kapsamında 20 milyon euroya kadar para cezasına veya PCI DSS sertifikasının kaybına yol açabilir.

Bu kılavuzda, düzenleyicilerin gerekliliklerine uyum sağlamak için proxy kullanımını nasıl doğru bir şekilde belgelendireceğinizi, hangi politikaların oluşturulması gerektiğini ve erişim günlüklerinin nasıl tutulacağını ele alacağız. Uygulama için hazır belge şablonları ve kontrol listeleri alacaksınız.

Neden proxy belgelendirmesi uyumluluk için kritik

Proxy sunucuları genellikle kurumsal güvenlik belgelerinde "kör nokta" haline gelir. Şirketler veri tabanlarıyla çalışma süreçlerini dikkatlice tanımlar, ancak çalışanlarının veya sistemlerinin proxy üzerinden dış kaynaklara nasıl eriştiğini belgelendirmeyi unutur.

Sorun birkaç durumda kritik hale gelir:

  • Bilgi güvenliği denetimi: ISO 27001 veya SOC 2 denetçileri, veriye erişim kanallarının belgelenmiş ve kontrol altında olduğunu doğrulamak ister. Proxy, bir erişim kanalıdır.
  • Olay araştırması: Veri sızıntısı veya dolandırıcılık şüphesi durumunda, belirli kaynaklara erişim için proxy'yi kimin, ne zaman ve neden kullandığını kanıtlamanız gerekir.
  • GDPR denetimi: Eğer proxy üzerinden AB vatandaşlarının verilerini başka ülkelerde işliyorsanız, veri transferinin yasal olduğunu belgelendirmeniz gerekir.
  • PCI DSS sertifikası: Kart ödemelerini kabul eden şirketler için, kart verilerine erişim noktalarının tamamı belgelenmeli, proxy sunucuları da dahil.

Gerçek bir örnek: 2022 yılında bir Avrupa fintech şirketi, risk izleme sisteminin işlemleri kontrol etmek için proxy kullandığına dair belgelerin eksikliği nedeniyle düzenleyiciden uyarı aldı. Cezadan ancak 12 aylık geriye dönük günlükler ve belgeler oluşturulduktan sonra kaçınıldı.

Önemli: Belgeler, proxy kullanmaya başlamadan önce oluşturulmalıdır, denetim sırasında değil. Geriye dönük belgelerin oluşturulması her zaman denetçilerin şüphelerini artırır.

Hangi düzenleyici gereklilikler proxy'leri etkiler

Farklı düzenleyici standartlar, proxy sunucularının kullanımını belgelendirme konusunda özel gereklilikler getirir. İşletmelerin karşılaştığı başlıca gereklilikler şunlardır:

GDPR (Genel Veri Koruma Yönetmeliği)

Eğer proxy kullanarak AB vatandaşlarının kişisel verilerini işliyorsanız, belgelendirmeniz gerekenler:

  • Proxy kullanım amaçları (madde 5.1.b — amaç sınırlaması)
  • Proxy sunucularının coğrafi konumu (madde 44 — sınır ötesi veri transferi)
  • Proxy üzerinden veri transferi sırasında veri koruma önlemleri (madde 32)
  • Veri işleyici olarak proxy sağlayıcı ile yapılan sözleşmeler (madde 28)
  • Hesap verebilirliği sağlamak için erişim günlükleri (madde 5.2)

Pratik bir örnek: Eğer pazarlama departmanınız, konut proxy'leri kullanarak AB ülkelerindeki rakiplerin fiyatları veya ürün yelpazesi hakkında veri topluyorsa (bu veriler dolaylı olarak kişisel verileri içerebilir), GDPR uyumlu bir proxy kullanımı politikası gerekmektedir.

PCI DSS (Ödeme Kartı Endüstrisi Veri Güvenliği Standardı)

Ödeme işlemleri gerçekleştiren şirketler için PCI DSS 4.0 gereklilikleri şunları içerir:

  • Gereklilik 1.2.1: Kart verileri ortamı ile dış ağlar arasındaki tüm izin verilen bağlantıların belgelenmesi (proxy, böyle bir bağlantıdır)
  • Gereklilik 10.2: Proxy yönetimi de dahil olmak üzere, yönetici haklarına sahip kullanıcıların tüm eylemlerinin günlüklerinin tutulması
  • Gereklilik 12.3: Teknolojilerin kullanımı politikası, proxy sunucuları dahil

ISO 27001 (Bilgi Güvenliği Yönetim Sistemi)

Standart, A.13.1.1 kontrolü bağlamında belgelendirme gerektirir (ağ güvenlik bileşenlerinin yönetimi):

  • Tüm proxy sunucularının ve yapılandırmalarının envanteri
  • Proxy erişim yönetim prosedürleri
  • Kullanımın izlenmesi ve anormalliklerin tespiti
  • Politikaların düzenli gözden geçirilmesi (yılda en az bir kez)

152-FZ "Kişisel Veriler Hakkında" (Rusya)

Rus yasaları, belgelendirmenizi gerektirir:

  • Kişisel verilerin güvenliği için tehdit modeli (proxy, koruma aracı veya potansiyel tehdit olarak)
  • Bilgi sisteminin oluşturulması veya modernizasyonu için teknik şartname (eğer proxy bunun bir parçasıysa)
  • Bilgi sistemlerinin sınıflandırılması ve kategorize edilmesi belgeleri
Standart Ana belge Güncelleme sıklığı
GDPR Veri İşleme Kaydı (ROPA) Değişikliklerde
PCI DSS Veri Akış Diyagramı Yıllık
ISO 27001 Bilgi Güvenliği Politikası Yıllık
152-FZ Tehdit Modeli Her 3 yılda bir

Proxy sunucuları kullanım politikası şablonu

Proxy kullanım politikası, kurallar, sorumluluklar ve prosedürleri belirleyen temel bir belgedir. İşte uyumluluk gerekliliklerine göre uyarlanmış bir politika yapısı:

1. Genel Hükümler

Belge Adı: Proxy Sunucuları Kullanım Politikası

Sürüm: 1.0

Onay Tarihi: [tarih]

Onaylayan Kişi: [görev ve ad-soyad, örneğin: Bilgi Güvenliği Müdürü]

Son Gözden Geçirme Tarihi: [12 ay sonra tarih]

Politikanın Amacı: Dış kaynaklara erişim ve veri işleme sırasında güvenliği, gizliliği ve düzenleyici gerekliliklere uyumu sağlamak için proxy sunucularının kullanım kurallarını belirlemek.

Uygulama Alanı: Politika, proxy sunucularını internet kaynaklarına erişim veya veri işleme amacıyla kullanan tüm çalışanlar, yükleniciler ve otomatik sistemler için geçerlidir.

2. Proxy Kullanımına İzin Verilen Amaçlar

Proxy sunucuları yalnızca aşağıdaki iş amaçları için kullanılabilir:

  • Rakiplerin İzlenmesi: Pazar analizi için rakiplerin fiyatları, ürün yelpazesi ve pazarlama faaliyetleri hakkında kamuya açık bilgilerin toplanması (departmanlar: pazarlama, ürün).
  • Web Hizmetlerinin Test Edilmesi: Farklı coğrafi bölgelerden kendi web kaynaklarının erişilebilirliğinin ve doğru çalıştığının kontrol edilmesi (departmanlar: geliştirme, QA).
  • Reklam Kampanyalarının Doğrulanması: Farklı bölgelerde ve cihazlarda reklamların görüntülenmesinin kontrol edilmesi (departman: pazarlama).
  • DDoS'tan Koruma: Dış API'lere erişim sırasında kurumsal sistemlerin IP adreslerinin gizlenmesi (departman: IT).
  • Anonimlik Sağlama: Araştırmalar veya hassas bilgilerle çalışırken çalışanların kişisel verilerinin korunması (departman: güvenlik, uyumluluk).

Yasak: Proxy'lerin kurumsal güvenlik politikalarını aşmak, yasaklı kaynaklara erişmek, yetkisiz etkinlikleri gizlemek veya yasaları ihlal eden herhangi bir eylem için kullanılması.

3. Proxy Türleri ve Kullanım Alanları

Proxy Türü İzin Verilen Görevler Veri Gereksinimleri
Konut Proxy'leri Rakiplerin izlenmesi, reklam doğrulaması, farklı bölgelerden test etme Sadece kamuya açık veriler, kişisel veri olmadan
Mobil Proxy'ler Mobil uygulamaların test edilmesi, mobil reklamların kontrol edilmesi Sadece kamuya açık veriler, kişisel veri olmadan
Veri Merkezi Proxy'leri Otomatik veri çekme, kaynakların toplu erişilebilirliğinin kontrolü Sadece kamuya açık veriler, yüksek hız

4. Proxy Erişim Alma Prosedürü

Proxy sunucularına erişim gereksinimi olan her çalışan aşağıdaki prosedürü izlemelidir:

  1. Başvuru Yapma: İş gerekçesi, proxy türü ve kullanım süresi belirtilerek erişim talep formunun doldurulması.
  2. Yönetici ile Onaylama: Birim yöneticisi tarafından onaylanması.
  3. Uyumluluk Kontrolü: Bilgi güvenliği veya uyumluluk departmanı tarafından talebin politika ile uyumlu olup olmadığının değerlendirilmesi.
  4. Kullanıcı Bilgilerinin Verilmesi: IT departmanı, her kullanıcı için benzersiz kimlik bilgileri ile erişim sağlar.
  5. Eğitim: Çalışan, proxy kullanımının güvenliğine dair kısa bir eğitim alır (video veya belge şeklinde olabilir).

Başvuru Değerlendirme Süresi: Başvuru tarihinden itibaren en fazla 3 iş günü.

5. Sorumluluklar ve Roller

  • Bilgi Güvenliği Müdürü (CISO): Politikanın onaylanması, uyum kontrolü, denetimlerin koordinasyonu.
  • IT Departmanı: Teknik uygulama, erişim sağlama, proxy altyapısının izlenmesi.
  • Uyumluluk Yetkilisi: Proxy kullanımının düzenleyici gerekliliklere uygunluğunu kontrol etme, belgeleri tutma.
  • Birim Yöneticileri: Çalışanlarının taleplerini onaylama, hedefe yönelik kullanımın kontrolü.
  • Son Kullanıcılar: Politikalara uyma, herhangi bir olay veya şüpheli aktivite hakkında derhal bildirimde bulunma.

Erişim Günlükleri ve İzleme: Neyi Kaydetmelisiniz

Proxy kullanımına ilişkin günlüklerin tutulması, yalnızca teknik bir gereklilik değil, aynı zamanda çoğu uyumluluk standardının zorunlu bir gereğidir. Günlükler, kimin, ne zaman ve hangi amaçlarla proxy kullandığını takip etmenizi sağlar ve anormallikleri veya yetkisiz erişimleri tespit etmenize yardımcı olur.

Erişim Günlüğü İçin Zorunlu Alanlar

Her günlük kaydı aşağıdaki bilgileri içermelidir:

Alan Açıklama Örnek
Zaman Damgası Bağlantı tarihi ve saati (UTC) 2024-01-15 14:23:45 UTC
Kullanıcı ID'si Kullanıcının benzersiz kimlik numarası user_12345 veya ivanov@company.com
Proxy IP Kullanılan proxy'nin IP adresi 185.123.45.67
Proxy Konumu Proxy'nin coğrafi konumu DE, Frankfurt
Hedef URL Hedef kaynak (alan adı, gizlilik için tam URL olmadan) example.com
Oturum Süresi Oturum süresi 00:15:32
Veri Hacmi Gönderilen veri hacmi 15.3 MB
Amaç Kodu Politikadan alınan kullanım amacı kodu COMP_MONITOR (rakip izleme)
Durum Oturum tamamlama durumu BAŞARILI / HATA / ENGELLENDİ

Günlüklerin Toplanmasının Otomasyonu

Çoğu proxy sağlayıcısı, kullanım istatistiklerini almak için API sağlar. Bu verileri SIEM sisteminize (Güvenlik Bilgisi ve Olay Yönetimi) veya merkezi bir günlük deposuna entegre edin.

Günlüklerin toplanması ve analizi için önerilen araçlar:

  • ELK Stack (Elasticsearch, Logstash, Kibana): Küçük ve orta ölçekli işletmeler için ücretsiz bir çözüm, proxy kullanımını gerçek zamanlı olarak görselleştirir.
  • Splunk: Olayların korelasyonu ve anormalliklerin tespiti için güçlü özelliklere sahip ticari bir platform.
  • Graylog: Basit bir arayüze sahip açık kaynaklı Splunk alternatifi.
  • Azure Monitor / AWS CloudWatch: İlgili platformları kullanan şirketler için bulut çözümleri.

Alerjlerin (Bildirimlerin) Ayarlanması

Otomatik bildirimler, politika ihlallerini veya şüpheli etkinlikleri tespit etmeye yardımcı olur:

  • Alışılmadık Veri Hacmi: Eğer bir çalışan, bir oturumda proxy üzerinden 1 GB'dan fazla veri aktardıysa (veri tabanlarının indirilmesine işaret edebilir).
  • Mesai Dışı Erişim: Önceden onay olmadan gece saatlerinde veya hafta sonlarında proxy kullanımı.
  • Coğrafi Konum Değişikliği: Bir kullanıcı, kısa bir süre içinde 5'ten fazla farklı ülkeden proxy kullanıyor.
  • Yasaklı Kaynaklara Erişim: Şirketin kara listesinde bulunan alan adlarına bağlanma girişimi.
  • Birden Fazla Başarısız Deneme: Bir saat içinde 10'dan fazla başarısız kimlik doğrulama girişimi (kimlik bilgileri olası bir tehlike altında).

Tavsiye: Her birimin yöneticilerine, çalışanlarının proxy kullanımına dair bilgileri içeren haftalık otomatik raporlar ayarlayın. Bu, farkındalığı ve disiplini artırır.

Proxy Üzerinden Kişisel Verilerin Korunmasını Belgelendirme

Eğer sistemleriniz, proxy üzerinden kişisel verileri işliyorsa (örneğin, kullanıcıları doğrulama, dolandırıcılık işlemlerini kontrol etme veya analiz toplama amacıyla), bu verilerin korunmasına yönelik önlemleri belgelendirmeniz gerekir.

Proxy için Veri İşleme Etki Değerlendirmesi (DPIA)

GDPR, kişisel haklar ve özgürlükler için yüksek risk taşıyan işleme faaliyetleri için veri koruma etki değerlendirmesi (DPIA) yapılmasını gerektirir. Proxy kullanımı, aşağıdaki durumlarda bu gerekliliğe tabi olabilir:

  • Hassas kişisel verileri işliyorsanız (sağlık, finans, biyometri)
  • Proxy'leri, veri koruma düzeyinin yetersiz olduğu ülkelerde kullanıyorsanız (AB dışı)
  • Büyük ölçekli veri işliyorsanız (10,000'den fazla veri sahibi)

Proxy kullanımı için DPIA yapısının ana hatları:

  1. İşlemenin Tanımı: Proxy üzerinden hangi verilerin aktarıldığı, hangi amaçlarla, hangi veri sahibi kategorilerinin etkilendiği.
  2. Gerekli ve Orantılılık: Proxy kullanımının neden gerekli olduğu ve daha az riskli alternatiflerin neden mevcut olmadığına dair gerekçe.
  3. Veri Sahipleri İçin Riskler: Nelerin yanlış gidebileceği (veri sızıntısı, yetkisiz erişim, veri kontrolünün kaybı).
  4. Riskleri Azaltma Önlemleri: Şifreleme, erişimin kısıtlanması, proxy sağlayıcı ile sözleşmeler, düzenli denetimler.
  5. DPO ile Danışma: Eğer bir Veri Koruma Görevlisi varsa, onun görüşü belgelenmelidir.

Proxy Sağlayıcı ile Veri İşleyici Olarak Sözleşme

Eğer proxy sağlayıcısı, sunucuları üzerinden geçen kişisel verilere teknik olarak erişim imkanı varsa, hukuken "veri işleyici" (data processor) olarak kabul edilir.

Sağlayıcı ile yapılan sözleşmede belirtilmesi gerekenler:

  • İşleme Konusu ve Süresi: Hangi verilerin işlendiği, ne kadar süreyle.
  • İşleyicinin Yükümlülükleri: Güvenliğin sağlanması, gizliliğin korunması, veri sahiplerinin haklarının uygulanmasına yardımcı olunması.
  • Alt İşleyiciler: Sağlayıcının üçüncü şahısları kullanıp kullanamayacağı, onay gerektirip gerektirmediği.
  • Sınır Ötesi Veri Transferi: Proxy sunucularının bulunduğu ülkeler, hangi koruma mekanizmalarının uygulandığı (Standart Sözleşme Maddeleri, Yeterlilik Kararı).
  • Olay Bildirimi: Sağlayıcının herhangi bir veri güvenliği ihlali durumunda derhal bildirimde bulunma yükümlülüğü.
  • Denetim ve İncelemeler: Sağlayıcının sözleşme şartlarına uyumunu kontrol etme hakkınız.

Önemli: Birçok proxy sağlayıcısı, "no-log" prensibiyle çalışır (trafik günlüklerini tutmazlar). Bu politikanın yazılı onayını alın ve uyumluluk belgelerinize ekleyin.

Proxy Üzerinden Veri Transferinde Şifreleme

Hangi şifreleme yöntemlerinin uygulandığını belgelendirin:

  • HTTPS Proxy: Sizin sisteminiz ile proxy sunucusu arasındaki tüm trafik TLS 1.2 veya daha üstü ile şifrelenir.
  • SOCKS5 ile SSH Tüneli: Özellikle hassas veriler için ek bir şifreleme katmanı.
  • Uçtan Uca Şifreleme: Veriler, gönderici tarafında şifrelenir ve yalnızca alıcı tarafında çözülür, proxy yalnızca şifrelenmiş trafiği görür.

Belgelerde, protokol sürümlerini ve şifreleme algoritmalarını belirtin (örneğin: "TLS 1.3 ile AES-256-GCM").

Denetim İçin Belgelerin Hazırlanması

Dış veya iç denetim zamanı geldiğinde, proxy kullanımının uyumunu kanıtlayan tam bir belge paketi sunmanız gerekir. İşte önceden hazırlanması gerekenler:

Denetim İçin Belge Paketi

  1. Proxy Sunucuları Kullanım Politikası (onaylayan kişinin imzası ile güncel sürüm)
    • Politika değişiklik geçmişi
    • Çalışanların bilgilendirilmesine dair belgeler (imzalı veya elektronik onaylar)
  2. Proxy Sunucularının Envanteri
    • Kullanılan tüm proxy'lerin listesi (IP adresleri, coğrafi konumlar, türler)
    • Sağlayıcılar hakkında bilgi (şirket adları, iletişim bilgileri, sözleşme detayları)
    • Her proxy'nin kullanım başlangıç tarihi
  3. Erişim Günlükleri
    • Son 12 ayın günlükleri (veya standartlarınızın gerektirdiği süre)
    • Tespit edilen anormalliklere dair raporlar ve alınan önlemler
    • Birimlere göre kullanım istatistikleri
  4. Sağlayıcılarla Yapılan Sözleşmeler
    • Proxy hizmeti sağlama sözleşmesi
    • GDPR uyumlu Veri İşleme Sözleşmesi (DPA)
    • Proxy'ler AB dışındaysa Standart Sözleşme Maddeleri (SCC)
    • Erişim ve güvenlik garantileri ile SLA (Hizmet Seviyesi Anlaşması)
  5. DPIA (Veri Koruma Etki Değerlendirmesi) — geçerliyse
  6. Erişim Yönetim Prosedürleri
    • Proxy erişim talep formu
    • Onaylanan ve reddedilen taleplere dair örnekler
    • Çalışan işten ayrıldığında erişimin geri alınması prosedürü
  7. Olaylar ve Araştırmaları
    • Proxy ile ilgili olayların kaydı (varsa)
    • Araştırma raporları
    • Düzeltici eylemler
  8. Eğitim ve Farkındalık
    • Proxy kullanımının güvenliğine dair eğitim materyalleri
    • Çalışanların eğitim aldıklarına dair kayıtlar

Denetçilerin Tipik Soruları

Aşağıdaki sorulara (kanıtlarla birlikte) yanıt vermeye hazırlıklı olun:

  • "Proxy'lerin yalnızca izin verilen amaçlar için kullanıldığını nasıl kontrol ediyorsunuz?" — Günlükleri ve izleme prosedürünü gösterin.
  • "Kişisel verilerin proxy sağlayıcısına ulaşmadığını nasıl sağlıyorsunuz?" — DPA, şifreleme politikası, no-log onayını gösterin.
  • "Proxy erişimi olan çalışanların listesini ne sıklıkla gözden geçiriyorsunuz?" — Üç ayda bir gözden geçirme prosedürünü gösterin.
  • "Eğer proxy sağlayıcısı çalışmayı durdurursa veya tehlikeye girerse ne olur?" — İş sürekliliği planını (BCP) ve alternatif sağlayıcıların listesini gösterin.
  • "Sınır ötesi veri transferinde uyumu nasıl sağlıyorsunuz?" — SCC ve proxy'lerin bulunduğu ülkelerin analizini gösterin.

Denetim Hazırlığını Otomatikleştirme

Tüm belgelerin güncel sürümlerini içeren bir "denetim dosyası" (fiziksel veya elektronik) oluşturun. Güncellemelerden sorumlu bir kişi atayın (genellikle uyumluluk yetkilisi veya CISO).

GRC platformlarını (Yönetim, Risk, Uyumluluk) otomatikleştirmek için kullanın:

  • OneTrust: Politikaların yönetimi, belge gözden geçirme hatırlatmaları.
  • ServiceNow GRC: IT süreçleri ile entegrasyon, uyumluluk kanıtlarının otomatik toplanması.
  • Vanta / Drata: SOC 2, ISO 27001 için otomatik uyumluluk, sürekli izleme ile.

Belgelerin ve Günlüklerin Saklama Süreleri

Farklı standartlar ve yasalar, belgelerin ve günlüklerin saklama sürelerini belirler. Bu sürelerin ihlali, para cezasına veya bir soruşturma durumunda uyumluluğun kanıtlanamamasına yol açabilir.

Belge Türü Minimum Saklama Süresi Dayanak
Proxy Kullanım Politikası Sürekli (değişiklik geçmişi ile) ISO 27001, iç politika
Proxy Erişim Günlükleri 12 ay (minimum) GDPR, ISO 27001
Erişim Günlükleri (finansal veriler) 7 yıl PCI DSS, vergi yasası
Sağlayıcılarla Yapılan Sözleşmeler Sözleşme süresi + 5 yıl Medeni hukuk
DPIA (etki değerlendirmesi) İşleme geçerli olduğu sürece + 3 yıl GDPR
Proxy Erişim Talepleri 3 yıl İç denetim
Olay Raporları 5 yıl ISO 27001, iç politika
Çalışan Eğitim Sertifikaları Çalışma süresi + 1 yıl İş hukuku

Tavsiye: Proxy erişim günlüklerini en az 24 ay saklayın, standart yalnızca 12 ay gerektirse bile. Bu, geriye dönük analiz yapma ve uzun vadeli kötüye kullanım kalıplarını tespit etme imkanı sağlar.

Güvenli Silme Prosedürü

Saklama süresi sona erdiğinde, belgeler ve günlükler güvenli bir şekilde silinmelidir, böylece eski verilerin sızma riski en aza indirilir:

  • Elektronik Belgeler: Güvenli silme yöntemlerini kullanın (sadece "Sil" değil, verileri en az 3 kez yeniden yazın).
  • Kağıt Belgeler: P-4 veya daha yüksek gizlilik seviyesine sahip bir shredder ile imha edin (DIN 66399'a göre).
  • Yedeklemeler: Verilerin tüm yedeklerden silindiğinden emin olun, yalnızca ana depodan değil.
  • Silme Belgeleri: Silme işlemlerini kaydedin.
```