SAP KVKK Çözümü: PDP

Birlikte
Başarıyoruz!

SAP KVKK Çözümü: PDP

Günümüzde kurumların ve işletmelerin yönetmek durumunda kaldığı veri boyutu ve kişisel veri hassaslığı oldukça arttı. Buna ek olarak; KVKK ve GDPR gibi yerel ve uluslararası regülasyonlar ile kişisel veri güvenliği denetimlerinin başlaması ve veri hırsızlığı gibi siber suçların artması ile beraber, kurumlar için güvenli ve detaylı bir veri yönetimi ve yetkilendirme yapısı kaçınılmaz hale geldi.

Peki, gerek SAP içi gerekse SAP dışı sistemler ve fiziksel ortamlarda kaydedilip işlenen kişisel verilerin detaylı yönetiminin sağlanması için kurumların ne gibi teknolojik ve fonksiyonel yetenekler kazanması gereklidir? Ve dahası, bu kapsamda ihtiyaç duyulan tüm iş süreçlerininin merkezi bir sistemle yönetilmesi mümkün müdür?

KVKK’ya Uyumluluk İçin İhtiyaç Duyulan Fonksiyonlar

KVKK ve GDPR gibi regülasyonlara uyumlu olabilmek için hassas kişisel verilere erişimin kontrol altına alınması gerekmektedir. Bunun için de ERP yazılımlarında kullanılan Rol Bazlı Yetkilendirme (Role Based Access Control) fonksiyonlarına ek olarak, bir ekrandaki her bir alan için kurallar tanımlanmasına olanak tanıyan Alan Bazlı Yetkilendirme (Attribute Based Access Control) fonksiyonları gereklidir.

Bu kapsamda günümüz ihtiyaçlarını karşılayabilmek için firmalar; veri yönetimi, veri erişimi yönetimi, anonimleştirme, silme, maskeleme ve imha, görev yönetimi, orkestrasyon ve denetim yönetimi gibi önemli konularda aşağıdaki kuralları yerine getirebilmelidir:

  • Kişisel veri kullanım amaçlarının tanımlanması ve meşru bir amaç ile ilişkilendirilemeyen kişisel verilerin sistemlerden yok edilmesi
  • Kişisel veri işleme envanterinin oluşturulması ve versiyonlarının takibi
  • VERBİS (Veri Sorumluları Sicil Bilgi Sistemi) formatında kişisel veri işleme envanteri takibi
  • Veri sahibinin kişisel veri kullanımlarıyla ilgili olarak aydınlatılması
  • Kişisel verilerin işlenmesi için açık rıza alınması gerekenlerin belirlenmesi, bunlarla ilgili veri sahibinin rızasının alınması ve takip edilmesi
  • Veri tutma süresi sona eren kişisel verilerin anonimleştirilmesi, imha edilmesi,
  • Kişisel verilere kişilerin ve dış sistemlerin erişimlerinin kayıt altına alınması (log)
  • Veri sahibinin talebiyle veya yasal gereklilikleri karşılamak amacıyla kişisel verilerin anonimleştirilmesi
  • Anonimleştirilen kişisel verilere erişimin engellenmesi
  • Resmi kurumlar ve veri sahibi ile veri sorumlusu arasındaki tüm bilgi ve belge akış süreçlerinin eksiksiz takip edilmesi

Nasıl bir sisteme ihtiyaç var?

Büyük Veri’nin halihazırdaki operasyonlar için işlenmesi ve takibinin zorluğunu göz önünde bulundurduğumuzda, bahsi geçen fonksiyonların yerine getirilmesi ve yönetimi de işletmelere başlı başına bir iş yükü yaratmaktadır. Bu sebeple kaydedilen ve işlenen kişisel verilerin tek bir noktadan yönetilmesi de çok önemli bir ihtiyaç olarak karşımıza çıkmaktadır.

SAP KVKK Çözümü PDP ile Tanışın

Bahsettiğimiz ihtiyaçlar doğrultusunda işletmelerin SAP içerisinde çok yönlü güçlü bir yetkilendirme çözümüne ihtiyacı olduğunu belirleyerek, MBIS Ar-Ge Merkezimiz PDP (Personal Data Protector) ürününü geliştirdi. Geliştirme sürecinin sonunda hedeflenen başarının elde edilmesi ile birlikte, PDP SAP Türkiye’nin CPD (Custom Development Package) portföyüne dahil edildi ve lisanslaması SAP Türkiye tarafından yapılmaya başlandı.

SAP PDP (Personal Data Protector) Nedir?

Bahsettiğimiz ihtiyaçlar doğrultusunda işletmelerin SAP içerisinde çok yönlü güçlü bir yetkilendirme çözümüne ihtiyacı olduğunu belirleyerek, MBIS Ar-Ge Merkezimiz PDP (Personal Data Protector) ürününü geliştirdi. Geliştirme sürecinin sonunda hedeflenen başarının elde edilmesi ile birlikte, PDP SAP Türkiye’nin CPD (Custom Development Package) portföyüne dahil edildi ve lisanslaması SAP Türkiye tarafından yapılmaya başlandı.

SAP PDP (Personal Data Protector) organizasyonlara, KVKK ve GDPR kapsamındaki kişisel veriler ile bunlara ilişkin süreçlerin merkezi ve bütünsel bir yaklaşımla yönetilmesini; SAP, SAP dışı sistemler ve fiziksel ortamlar için orkestrasyonunun yapılmasını sağlayarak önemli avantajlar sağlayan, özel olarak geliştirilmiş bir SAP çözümüdür.

SAP PDP, KVKK ve GDPR kapsamında kabul edilen verilerin yönetilmesi için içerisinde hazır bir kural seti ile gelir ve işletmelerin kritik ya da hassas verilerinin kolayca yönetilmesini sağlar. Ayrıca KVKK tarafından yayınlanmış özet teknik ve idari tedbirlerin önemli bir kısmının doğrudan veya dolaylı olarak yönetilmesini sağlayarak kurumlara çok önemli avantajlar sunar.

Personal Data Protector İşletmenize Ne Tür Faydalar Sağlar?

SAP’nin global gücünün garantisini ve yatırım taahhüdünü arkasına alan Personal Data Protector; geleceğe dönük ihtiyaçlar ve regülatif değişiklikler doğrultusunda sürekli gelişen ve kendini yenileyen bir sistemdir. SAP PDP; KVKK tedbirlerinin hem kişisel veri güvenliği hem de tüm ilgili süreçleri kapsayacak şekilde alınabilmesi ve yönetilmesini sağlar. Yani veri güvenliği regülasyonlarıyla ilişkili süreçlerin ve kişisel veri işleme envanterinin yönetilmesi için merkezi bir platform sunar. Ayrıca bütünleşik altyapısı ile SAP dışındaki sistem ve ortamların KVKK kapsamında orkestrasyonunu da sağlamaktadır. 


Bu kazanımlara ek olarak SAP PDP;

  • Bir çok sisteme yatırım yapmak yerine tek bir sistem ile orta ve uzun vadede Toplam Sahip Olma Maliyeti avantajı sağlar.
  • SAP sistemlerinde alan bazlı yetkilendirme ihtiyacını uçtan uca karşılar.
  • PDP’nin beraberinde getirdiğikullanıma hazır veri, süreç ve deneyimler ile KVKK’ya tam uyumluluk ve gerçek risk yönetimi yapmanıza olanak tanır.
  • SAP standart dışı ekran ve geliştirmelerinde de çalışmaktadır. Hangi programlarda kullanılırsa kullanılsın, kişisel verilerin her zaman gizlenmesi veya anonimleştirilmesini sağlar.
  • Kişisel verilere erişen kullanıcıları gerçek zamanlı raporlayan bir uyarı sistemi sunar. Bu uyarı yapısı da SAP’nin standart ya da standart olmayan tüm programlarında çalışmaktadır.
  • SAP GRC Access Control ile entegre olup alanlara erişimi SAP GRC üzerinden de raporlanmasına olanak tanır.
  • Alt yapısında kullandığı SAP UI Masking Çözümü ile veri maskeleme ihtiyaçlarını karşılamaktadır.

SAP PDP Bu Avantajları Nasıl Sağlar?

Personal Data Protector Temel KVKK Faaliyetleri

SAP PDP, KVKK ile ilgili Açık Rıza Toplama, Aydınlatma Metinleri Yönetimi, Veri Erişim Log’laması, Bilgi Taleplerinin Karşılanması, Veri Anonimleştirme ve benzer süreçlerin yönetilmesine olanak tanır. KVKK yönetiminde işletmenize aşağıdaki faaliyetlerle yardımcı olur:

1- Kişisel Veri Taraması ve Ham Veri Listesinin Oluşturulması

SAP PDP, önceden tanımlanmış veri keşfi kataloğunda yer alan veri öğeleri (data element) bazında SAP veri tabanlarında yer alan kişisel verileri tespit eder ve bir liste yaratır. SAP dışındaki sistemlerde ve fiziksel ortamlarda bulunan veriler de bu listeye girilirse “Ham Kişisel Veri İşleme Envanteri” oluşturulmuş olur.

  • SAP Kişisel veri taramasının yapılması (Z’li alanlar dahil)
  • Kişisel veri bulunan noktaların tespiti

2- Risk Minimizasyonu

Keşif süreci sonrasında oluşturulan Ham Kişisel Veri İşleme Envanteri analiz edilerek veri tekilleştirme ve veri minimizasyonu çalışmaları yürütülür. Sistem kullanıcılarının kişisel veri erişim yetkileri kontrol edilerek, yetki minimizasyonuna göre düzenlenir.

  • Veri minimizasyonu
  • İşlenen fazla verilerin sistemden temizlenmesi; veri saklama noktalarının tekilleştirilmesi
  • Yetki Minimizasyonu
  • Yetki ihtiyacı olmayan kullanıcıların saptanması, yetki kısıtlamaları

3- Kişisel Veri İşleme Envanterinin Oluşturulması

Amaç ve prosedürler belirlendikten sonra Kişisel Veri İşleme Envanteri’nin final versiyonu PDP’ye tanımlanır. SAP PDP, envanterin kontrolüne ve doğrulanmasına yardımcı olur. PDP ayrıca her bir şirketin kendine özgü envanter uyarlaması yapmasına olanak verir.

SAP PDP Kontrol Programı, kişisel veri işleme envanteri ile SAP veri tabanını karşılaştırır ve tutarsızlıkları raporlar. Sistemde envanteri etkileyen bir değişiklik olması durumunda otomatik görev yaratır. Raporlama fonksiyonu, resmi bildirimler öncesi envanterin kontrol edilmesi, uygun formatta dışa aktarımı ve versiyonların incelenmesine olanak tanır.

  • Veri işleme amaçların tanımlanması
  • Özel nitelikli alanların seçilmesi
  • Periyodik imha süreleri bakımı
  • Entegrasyon ilişkili amaçların belirlenmesi
  • Amaç bazlı rollerin oluşturulması
  • Veri kategorilerinin tanımlanması
  • VERBİS parametrelerinin girişi (Yurt dışı aktarım, Alıcı grupları vb.)
  • Veri kategorisi bazında tedbirlere karar verilmesi
  • Sistem kontrolü, hatalı ve eksik envanter kayıtlarının tespiti

4- Aydınlatma ve Açık Rıza Yönetimi

PDP, KVKK rehberlerine göre önceden sistem içine konulmuş şablonlar kullanılarak oluşturulan veya kullanıcının baştan yaratacağı aydınlatma metinlerinin e-posta ile ilgili kişilerle paylaşılması, versiyonlanması, takibi ve raporlamasını sağlayarak şirketlerin aydınlatma yükümlülüklerini yerine getirmesine yardımcı olur. Açık rızalar e-posta yoluyla otomatik olarak toplanabileceği gibi PDP manuel açık rıza kaydı girişlerine de imkan vererek bunların takip ve raporlamasını yapar.

  • (Otomatik) Aydınlatma metinlerinin oluşturulması ve versiyonlama
  • Metinlerin paylaşımı ve raporlaması
  • e-Posta ile veya diğer yöntemlerle toplanan açık rızaların kayıt altına alınması

5- Anonimleştirme ve İmha

PDP, anonimleştirmeve periyodik imha taleplerinin sisteme girilmesini, girilen talep için risk yöneticisinin bilgilendirilmesini, onay sürecinin işletilmesini, onaylanan veriler için maskeleme fonksiyonunun devreye alınmasını, tamamlanan taleplerin otomatik olarak kapatılmasını ve talep durumlarının takip ve raporlamasını sağlar; dış sistemler için anonimleştirme görevleri oluşturur.

  • Anonimleştirme sürecinin (iş akışı ve onaylar dahil) belirlenmesi
  • Anonimleşmiş verilerin otomatik maskelenmesinin sağlanması
  • Periyodik veri silme ve imha sürecinin belirlenmesi ve uygulamaya alınması

6- Yönetim ve Orkestrasyon

PDP, Kişisel Verilere Erişim yetkilendirmesi ve maskeleme işlemlerini veri işleme amaçları bazında gerçekleştirerek, verilerin yetkisi olmayanlar tarafından erişilmesini ve görüntülenmesinin önüne geçer. SAP sisteminde tanımlanmış kişisel verilere erişimleri detaylı olarak log veritabanına işler ve gereksinim halinde erişen kişi ve kişisel verilerine erişilen kişi bazında raporlayabilir.

SAP PDP, kişisel verilerin korunması ile ilgili süreçler, kişisel veri bilgi talepleri, görev akış kontrolü, kişisel veri erişimleri konularında zengin ve detaylı raporlama fonksiyonuna sahiptir.

  • Kurum ve bireylerden gelen bilgi taleplerinin yönetilmesi
  • İlgili kişinin kişisel verileriyle detay raporu oluşturma
  • Görev yönetimi Kişisel veri erişim log’laması
  • VERBİS raporlaması

MBIS olarak, müşterilerimize katma değerli hizmetler sunmak için kuruluşumuzdan itibaren her sektörden yüzlerce firmanın başta SAP çözümleri olmak üzere kurumsal yazılım sistemlerinin kurulmasında ve geliştirilmesinde rol oynadık. Her zaman bütünsel çözümlere odaklanma hedefimiz doğrultusunda, SAP PDP ile, işletmelerin KVKK’ya uyumluluğu ve bu kapsamdaki süreçlerini etkin olarak yönetebilmelerine destek olmaktan mutluluk duyuyoruz.

SAP PDP’nin Teknik Özellikleri

PDP’nin bazı önemli teknik özellikleri aşağıda özetlenmiştir:

  • Yetkilendirme: SAP’de amaç-alan bazlı yetkilendirme özelliği
  • Fiori: Standart SAP GUI dışında Fiori ekranlarını kullanabilme
  • Çoklu Dil Desteği: Türkçe ve İngilizce dil seçenekleri. Yeni dil ekleme özelliği
  • S/4HANA: ECC ve S/4HANA’da çalışabilme
  • ERP + HR + CRM: ERP, HR, CRM, SRM sistemlerinde çalışabilme
  • Z’li uygulamalar: SAP’de std. veri öğesi kullanılmış Z’li uygulamalarda keşif
  • Erken uyarı: SAP’de KV içeren yeni geliştirmeler için erken uyarı sistemi
  • Versiyonlama: Kişisel veri envanteri, aydınlatma metinleri vb. için versiyonlama
  • Entegrasyon: Hazır Web servisler aracılığıyla dış sistemlerle iletişim kurabilme
  • Erişim log’laması: Kişisel verilere erişimlerin detaylı olarak log’lanması
  • SAP GRC: SAP GRC Access Control modülü ile doğal entegrasyon
  • Diğer: Onay akış süreci DLP desteği (Excel tags)
  • Dağıtık yapıdaki SAP sistemleri ile çalışabilme
  • Kişisel veriler özelinde SAP uyumlu kullanıcı rolleri yaratabilme

Siz de Personal Data Protector’la tanışmak veya daha detaylı bilgi almak için bizimle iletişime geçin.


Blog Yazıları Blog

Ayşe Akın
MBIS AR-GE Merkezi Çözüm Yöneticisi
SAP KVKK Çözümü: PDP
Günümüzde kurumların ve işletmelerin yönetmek durumunda kaldığı veri boyutu ve kişisel veri hassaslığı oldukça arttı. Buna ek olarak;...
MBIS
Gaziantep’te ‘Dijital Ticaret Zirvesi’ düzenlendi
...
Ziya Tokinan
Yönetici Ortak - Kıdemli Süreç Danışmanı
SAP Temelli Vergi Teknolojileri İle Şirketinize Değer Katın
Bir şirketin kurumsal kaynak planlama sisteminin (Örneğin SAP) temel amaçlarından birisi, ticari faaliyetlerini daha verimli hale getirmek için...
Emre Demirel
Çözüm Mimarı - Monotect
SAP Commerce Cloud nedir?
SAP Commerce Cloud, eski adıyla Hybris, bulut tabanlı bir omni-channel e-ticaret çözümüdür. Tüm müşterilerin özel ihtiyaçlarına göre...

Mailiniz başarıyla gönderilmiştir en kısa sürede sizinle iletişime geçilecektir.

Mesajınız ulaştırılamadı! Lütfen daha sonra tekrar deneyin.