7/24 Destek
SSS
 Kontrol Paneli
Hesap Bakiyesi:    
Sunucunuz Hacklendiyse: Hosting Sağlayıcılarının Bilmesi Gereken Yasal Adımlar

Sunucunuz Hacklendiyse: Hosting Sağlayıcılarının Bilmesi Gereken Yasal Adımlar

May 13, 2026 security breach response compliance gdpr ccpa data protection hosting providers incident response regulatory requirements cyber security

Server Hacklenmişse Ne Yapmalısın? Hosting Sağlayıcılarının Bilmesi Gereken Hukuki Çerçeve

Sunucun hacklendi. İlk panik geçti, ekibin hasarı kontrol altına aldı, sistemler yeniden çalışıyor. Ama çoğu hosting sağlayıcı ve müşteri bunu fark etmiyor: asıl zorluk şimdi başlıyor. Güvenlik ihlali açığı kapatmakla bitmiyor—tüm yasal gereklilikleri yerine getirdiğinde bitiyorsun.

İlk 24-48 Saat Belirleyicidir

Yetkisiz erişimi ya da veri sızıntısını fark ettiğin andan itibaren zaman akmaya başlıyor. Çoğu ülkenin yasaları sana haftalar vermiyor. Avrupa'daki GDPR, Kaliforniya'daki CCPA ve dünya çapındaki benzer düzenlemeler hızlı bildirim zorunlu tutuyor—çoğunlukla coğrafyana bağlı olarak 30-72 saat içinde.

Bu bir tavsiye değil. Bu kanun.

"Hızlı" ne demek? Bunlara ihtiyacın var:

  • İhlâlin ne zaman meydana geldiğinin net tarihi
  • Hangi verilerin tehlikeye girdiğinin belgesi
  • Kontrol altına alma çabalarının kanıtı
  • Hazır müşteri bildirim planı

NameOcean olarak, ihlâl durumunu yaşamadan önce yanıt planı hazırlamanı tavsiye ediyoruz. Her yıl test et. Kim kimi araması, nelerin kayıt altına alınması ve müşteri bildirimlerinin nasıl yazılacağını bil.

Zorunlu İhlâl Bildirimi Yasaları: Karışık Gerçeklik

İşte burada işler karmaşıklaşıyor. Tek bir küresel kural yok—bunun yerine çakışan, bazen çelişkili gereksinimlerle uğraşıyorsun:

Avrupa Birliği (GDPR): AB sakinlerinin verilerini barındırıyorsan, Veri Koruma Otoritesi ve etkilenen kişileri bilgilendirmen gerekir. Eşik? Hakları ve özgürlükleriyle ilgili risk oluşturan herhangi bir ihlâl. Zaman? Otoritelerine 72 saat içinde (ihlâl düşük risk taşırsa daha az gereklilik).

Birleşik Devletler: ABD eyalet-eyalet mozaiği. Kaliforniya'nın CCPA ve CPRA en katı olanları, ama New York, Massachusetts ve Virginia'nın kendi çerçeveleri var. Çoğu makul olmayan bir gecikmeden kaçınarak bildirim istenir—genellikle haftalar değil günler demek.

Diğer Küresel Standartlar: Kanada'nın PIPEDA'sı, Avustralya'nın Gizlilik Yasası, Brezilya'nın LGPD'si ve diğerleri benzer desenleri takip ediyor ama bölgesel varyasyonlarla.

Pratik gerçeklik? Birden fazla ülkeya hizmet veren bir hosting sağlayıcıysan, müşteri tabanına uygulanan en katı standardı takip ediyorsun.

İnsanlara Aslında Ne Söylemelisin?

Belirsiz bildirimler artık işe yaramıyor. Denetçiler ve mahkemeler şeffaflık bekliyor. İhlâl bildirimin şunları içermeli:

  • Ne oldu: Yetkisiz erişim ya da veri sızıntısının açık tanımı
  • Ne zaman oldu: İhlâlin zaman dilimi ve ne zaman keşfettiğin
  • Hangi veriler etkilendi: Spesifik kategoriler (isimler, e-postalar, ödeme bilgisi vb.)—"biraz veri" değil
  • Bunu nasıl çözüyorsun: Onarım adımların ve güvenlik geliştirmelerin
  • Onlar ne yapmalı: Etkilenen kişiler için öneriler (şifre değiştirme, kredi izleme vb.)
  • İletişim bilgisi: Seninle sorular için bağlantı kurabilecekleri yol

Bundan kaçın:

  • Birşeyler saklıyormuş gibi görünen hukuki jargon
  • İhlâli minimizasyon ("sadece küçük bir olay")
  • Belirsiz zaman dilimleri ya da net olmayan veri açıklamaları
  • Eksik iletişim bilgisi

Dokümantasyon Yükü: En İyi Savunman

Çoğu hosting şirketini yanıltıyor olan şey: denetçiler sadece sözüne inanmıyor. Şunların belgeli kanıtına ihtiyacın var:

  1. İhlâli hızlı keşfettin - Sunucu logları, IDS/IPS uyarıları, izleme zaman damgaları
  2. Iyice araştırdın - Adli tıp raporları, olay zaman çizelgesi, temel neden analizi
  3. Hasarı kontrol altına aldın - İzolasyon adımları, uygulanan yamalar, yeniden saldırının imkânsız olduğu doğrulaması
  4. Doğru ve zamanında bildirdin - E-posta kayıtları, bildirim içeriği, teslimat onayı
  5. Düzeltme uyguladın - Güvenlik geliştirmeleri, mimarî değişiklikleri, personel eğitim kayıtları

Bu belgeleri sunamazsan, ihlâli sorumlu bir şekilde yönettiğini iddia ediyorsun—kanıtsız. Denetçiler buna inanmayacak. Bir jüri de.

Bildirimin Ötesine Uyum

Bildirim sadece başlangıç çizgisi. Aynı zamanda şunlara uymanız lazım:

Veri Koruma Etki Değerlendirmeleri (DPIA): GDPR altında, verileri ileri de nasıl koruduğunu belgelemek ve gelecekteki işleme riskleri değerlendirmek zorunda olabilirsin.

Güvenlik Denetleri: Pek çok düzenleme örtülü olarak "makul" güvenlik önlemleri uyguladığını kanıtlamanı istemiyor. Bu, düzenli penetrasyon testi, zafiyet taraması ve güvenlik değerlendirmesi anlamına gelir—belgeli sonuçlarla.

Düzenleyici İşbirliği: Bazı yetkililer ihlâlini bağımsız olarak araştıracak. Dokümantasyon, teknik detaylar ve personel görüşmeleri için hazır olman lazım.

Aşağı Yöndeki Bildirimler: Müşterisi veri breachı yaşayan bir hosting sağlayıcıysan, müşteri kendi müşterilerine haber vermek zorunda. Sen onlara bunu doğru yapabilmeleri için ihtiyaç duydukları bilgiyi sağlamaktan sorumlusun.

Yanlış Yapmak Maliyeti

Uyumsuzluk artık hafif uyarı değil:

  • GDPR cezaları: 20 milyon € ya da yıllık küresel gelirin %4'ü, hangisi yüksekse
  • CCPA cezaları: Kasıtlı ihlâl başına 7.500 $ 'a kadar
  • Eyalet düzeyinde işlemler: Ek para cezaları ve zorunlu güvenlik geliştirmeleri
  • Medeni davalar: Etkilenen kişilerden sınıf eylemleri, çoğunlukla düzenleyici cezaları aşan uzlaşmalarla sonuçlanan
  • İtibar hasarı: Müşteri kaybı ve hasar görmüş marka güveni

Hosting şirketlerinin, uygun dokümantasyon ve zamanında bildirimle önlenebilecek olan aylar süren davalar ve düzenleyici soruşturmalar yapmasını gördük.

İhlâl Yanıt Planını Oluştur

Bunu henüz yapmıyorsan, bugün başla:

  1. Veri akışlarını belirle: Platformun hangi müşteri verilerini işliyor? Nerede depolanan? Kimin erişimi var?

  2. Yasal yükümlülüklerini eşle: İşletmene hangi ülkelerin yasaları uygulanıyor? Her biri için bildirim süreleri neler?

  3. Yanıt oyun kitabı oluştur: İhlâl keşfi, kontrolü, araştırması ve bildiriminin belgelenmiş süreci. Rolleri ve sorumlulukları ata.

  4. Teknik güvenlikler uygula: İhlâlları erken yakalayan şifreleme, segmentasyon, erişim kontrolleri ve izleme sistemleri.

  5. Her şeyi dokümante et: Güvenlik kararlarının ve geliştirmelerin kayıt tutulduğu bir kültür yarat. Bu sonra önemli.

  6. Ekibini eğit: Personeliniz ihlâl teşkil edenleri, yükseltiş prosedürlerini ve hukuk müşaviri kararlarını anlamalı.

  7. Yıllık test et: Masa başı egzersizleri ve simülasyonlar yap. Planın baskı altında gerçekten çalışıyor mu?

NameOcean olarak, Vibe Hosting altyapımız, keşif ile onarım arasındaki pencereyi minimize etmek için tasarlanan güvenlik izlemesi ve ihlâl yanıt protokolleri içeriyor. Ama en iyi teknik sistem bile güçlü bir yasal ve örgütsel temele ihtiyaç duyuyor.

Kısacası

Güvenliği ihlal edilen bir sunucu yaşanabilir. Asıl tehlike, güvenliği ihlal edilen sunucu artı batılı bir yanıt. Denetçiler ve mahkemeler ihlâlerin yaşandığını anlıyorlar—aradıkları, bunu hızlı keşfettiğin, insanları hemen bilgilendirdiğin ve temel sorunu düzelttiğin kanıtı.

Bu hazırlanmayı, dokümantasyonu ve ihlâl meydana gelmeden önce yükümlülüklerini anlamayı gerekli kılıyor.

İhlâl planını oluşturmak için bir olay bekleme. Hazırlanmanın zamanı şimdi.

Hosting altyapınız için güvenlik uyumluluğu hakkında sorularınız mı var? NameOcean'daki ekibimiz, hosting sağlayıcılarına ve dijital işletmelere güvenlik standartlarını korumada ve ihlâl hazırlığında yardımcı olmada uzmanlaşmıştır. Danışma için bize ulaş.

Read in other languages:

RU BG EL CS UZ SV FI RO PT PL NB NL HU IT FR ES DE DA ZH-HANS EN