SAP PDP

KVKK (Kişisel Verileri Koruma Kanunu) uyumluluğunu sağlamak amacıyla SAP tarafından özel olarak sunulan PDP (Personal Data Protector) çözümü ile hassas verilerinizi güvence altına alın ve ilgili süreçleri kurum genelinde yönetin. MBIS, gerçekleştirdiği pek çok başarılı PDP projesinde edindiği deneyim ile KVKK uyumluluğu için en iyi uygulamaların kurumunuzda devreye alınmasını sağlıyor.

SAP veya SAP dışı sistemlerde veya fiziksel ortamlarda bulunan kişisel verileri, alınması gereken teknik ve idari tedbirleri ve ilgili tüm süreçleri tek bir noktadan bütünleşik olarak yöneten PDP’yi MBIS ile haftalar içinde canlı kullanıma geçirin ve kurumunuzun KVKK uyumluluğunu gerçekleştirin.

Daha fazla bilgi

SAP PDP nedir?

SAP PDP (Personal Data Protector) organizasyonlara, KVKK kapsamındaki kişisel veriler ile bunlara ilişkin süreçlerin merkezi ve bütünsel bir yaklaşımla yönetilmesini; SAP, SAP dışı sistemler ve fiziksel ortamlar için orkestrasyonunun yapılmasına önemli avantajlar sağlayan, özel olarak geliştirilmiş bir SAP çözümüdür.

    • SAP sistemleri

      Kişisel Veriler
      ECC | S/4HANA
      HR, CRM, SRM
      KVKK Süreçleri
    • SAP dışı sistemler

      Kişisel Veriler
      İş uygulamaları, Çağrı Merkezleri, Analitik Sistemler, Doküman Yönetim Sistemleri vb.
      KVKK Süreçleri
    • Fiziksel ortamlar

      Kişisel Veriler
      İK odaları, Arşivler, Revir vb.
      KVKK Süreçleri

Kurumlar, KVKK uyumluluğunu sağlamak için
nasıl bir sisteme ihtiyaç duyuyor?

Veri yönetimi

  • SAP sistemlerinde otomatik veri keşfi ve tespiti
  • Veri işleme amaçlarının kişisel verilerle ilişkilendirilmesi
  • Kişisel veri işlenen sistem ve ortamların belirlenmesi
  • Sistem ve ortamlar için rol ve sorumlulukların atanması
  • Kişisel verilerin KVKK kapsamında sınıflandırılması
  • SAP dışı sistem ve ortamlarda bulunan kişisel verilerin etiketlenerek tek bir platformda konsolide edilmesi
  • Kişisel Veri İşleme Envanteri’nin oluşturulması, güncellenmesi, versiyonlanması; süreç ve akışların bu envanter üzerinden yürütülmesi

Süreç yönetimi

  • Aydınlatma Yükümlülüğü yönetimi
  • Açık Rıza toplanması ve yönetimi
  • Kişisel veri ihlali sürecinin yönetilmesi
  • Organizasyonun verisi işlenen bireyler ve resmi kurumlarla etkileşiminine yönelik süreçlerin yönetimi
  • Her sürecin çıktılarının ve durumlarının takibi ve raporlanması

Veri erişimi yönetimi

  • Veri maskelemenin devreye alınması ve işletilmesi
  • Açık Rıza alınmamış veriler için SAP’de maskelemenin yapılması
  • Açık Rıza alınmamış veriler için SAP dışı sistemlerde için otomatik olarak anonimleştirme görevlerinin oluşturulması
  • Kişisel veriye erişim yetkilendirmesinin yapılması ve uygulanması
  • SAP sistemlerinde Kişisel veriye erişimin kayıt altına alınması
  • SAP dışı sistemlerdeki Kişisel veri erişim kayıtlarının (Log) tek bir platformda konsolide edilmesi

Anonimleştirme ve imha

  • Belirlenen Kişisel verilerin SAP’de maskelenerek gösterilmesi
  • Bireylerin talepleri doğrultusunda kişisel verilerin anonimleştirilmesi
  • Belirlenen kurallar dahilinde, SAP’deki verilere erişimin bloklanması
  • Yasa veya politikalar gereği belirlenen periyotlar sonunda kişisel verilerin silinmesi ve imhasının eşgüdümlü olarak yapılması
  • Fiziksel ortamlar için kişisel veri imhasının yönetilmesi

Görev yönetimi

  • SAP, SAP dışı sistemler ve fiziksel ortamlarda tutulan kişisel verilerin güvenliğini sağlamak ve KVKK ilişkili süreçleri yönetmek için manuel veya otomatik olarak ilgili görevlerin oluşturulması, kişilere atanması, takibi ve raporlanması

Yönetim ve orkestrasyon

  • Kapsamlı ve etkili entegrasyon işlevleri ile dış sistemlerin yönetilmesi
  • Süreç izlenebilirliği
  • Raporlama ve izleme fonksiyonları ile denetimlerde destek

SAP PDP’nin temel fonksiyonları

KVKK, belirli alanlarda çok ayrıntılı ve hassastır. MBIS ile SAP PDP’yi kullanıma alarak hızlı gelişen dijital dünyadaki
kişisel veri risklerini bütünsel bakış açısıyla kontrol altına alın ve yönetin.

Aydınlatma yükümlülüğü

PDP, KVKK rehberlerine göre önceden sistem içine konulmuş şablonlar kullanılarak oluşturulan veya kullanıcının baştan yaratacağı aydınlatma metinlerinin e-posta ile ilgili kişilerle paylaşılması, versiyonlanması, takibi ve raporlamasını sağlayarak şirketlerin aydınlatma yükümlülüklerini yerine getirmesine yardımcı olur.

Açık Rıza toplama ve yönetimi

SAP PDP, Açık Rıza ilişkili amaçlar için e-posta ile Açık Rızaları otomatik olarak toplar, manuel açık rıza kaydı girişlerine de imkan vererek bunların takip ve raporlamasını yapar. SAP dışı sistemler aracılığıyla toplanan açık rızaların da Web Servis entegrasyonu da dahil olmak üzere farklı yöntemlerle konsolide edilmesine izin verir.

Anonimleştirme ve maskeleme

PDP, anonimleştirme ve periyodik imha taleplerinin sisteme girilmesini, onay sürecinin işletilmesini, onaylanan veriler için maskeleme fonksiyonunun devreye alınmasını, tamamlanan taleplerin otomatik olarak kapatılmasını ve talep durumlarının takip ve raporlamasını sağlar; dış sistemler için anonimleştirme görevleri oluşturur.

SAP’de otomatik kişisel veri keşfi

SAP PDP, önceden tanımlanmış veri keşfi kataloğunda yer alan veri öğeleri (data element) bazında SAP veri tabanlarında yer alan kişisel verileri tespit eder ve bir liste çıkartır. (Z’li nesneler dahil). SAP dışındaki sistemlerde ve fiziksel ortamlarda bulunan veriler de bu listeye girilerek Ham Kişisel Veri İşleme Envanteri oluşturulur.

Kişisel veri ve erişim minimizasyonu

Keşif süreci sonrasında oluşturulan Ham Kişisel Veri İşleme Envanteri analiz edilerek yapılan kişisel veri ve kişisel veri erişim yetkileri minimizasyonu çalışmalarına ürettiği raporlarla destek verir.

Görev yönetimi

PDP, kişisel verilerin korunması ile ilgili tekil, periyodik veya dış sistemler için görevlerin oluşturulmasını sağlar; ilgili kişileri bilgilendirir, görevlerle ilgili hatırlatmalarda bulunur, görev durum hiyerarşisine göre görevlerin yönetilmesini ve raporlanmasını sağlar.

Kişisel veri ihlal yönetimi

Kişisel veri ihlali oluşması durumunda PDP, ihlalin kayıt altına alınmasına, etkilenen sistemlerde gerekli araştırma çalışmalarının yapılarak sonuçların girilmesine, versiyonlanarak raporların oluşturulup resmi kurumlara gönderilmesine ve ihlalden etkilenen bireylere gerekli bilgilendirmelerin yapılmasına olanak sunar.

Raporlama ve izleme

PDP, KVKK süreçlerinin durumlarının izlenmesine, Kişisel Veri Envanteri’nin bütünlüğüne, bilgi talepleri doğrultusunda sağlanması gereken bilgilere ilişkin geniş raporlama fonksiyonları sunar ve Verbis tarafından talep edilen zorunlu raporların kolaylıkla ve istenen formatta alınmasına imkan verir.

Yönetim ve orkestrasyon

PDP, görev yönetimi, raporlama fonksiyonları, süreç durum takibi yetenekleri ve en önemlisi beraberinde getirdiği hazır ana veri, süreç tanımları ve gelişmiş entegrasyon katmanı sayesinde, kurumlara sadece SAP’deki kişisel verilere ilişkin süreçleri değil, SAP dışındaki sistem ve ortamları da tek bir noktadan yönetebilme yetkinliği sağlar.

Bilgi talep yönetimi

PDP, ilgili kişi veya kurumlardan gelen bilgi taleplerinin sisteme girilmesini, onaylanan talepler için otomatik görev oluşturulmasını, tamamlanmayan bilgi talepleri için ilgililere hatırlatma yapılmasını, özet ve detay kişisel veri bilgi raporunun oluşturulmasını ve bilgi talep durumlarının takip ve raporlamasını sağlar.

Kişisel veri işleme envanteri

PDP, ham kişisel veri envanterinin Verbis tarafından belirlenen veri gruplarına atanarak Kişisel Veri İşleme Envanteri’nin oluşturulmasını ve versionlanarak yaşayan bir doküman olarak yönetilmesini sağlar. Veri tipleri ile amaçların eşleşmesini, veri grubu tanımlamalarının bütünlüğünü kontrol eder. SAP’de yeni kişisel veri alanlarının tanımlanması durumunda, otomatik olarak bilgilendirme yapar.

Kişisel veri özelinde erişim loglaması

PDP, SAP sisteminde tanımlanmış kişisel verilere erişimleri detaylı olarak loglamasını yapar ve gereksinim halinde kişisel verilerine erişilen kişi bazında detaylı raporlamalar yapar. SAP dışı sistemlerde tutulan kişisel veri erişim logları farklı yöntemlerle (FTP, Web Servisler veya gerçek zamanlı erişim) PDP’de konsolide edilerek raporlamalara dahil edilebilir.

SAP PDP'nin bazı teknik özellikleri

SAP PDP, bir kurumun GDPR / KVKK yükümlülüklerini hem işlevsel hem de teknik açıdan yerine getirmesini sağlayacak birçok avantaj sunar.

Müşteri ihtiyaçlarına adaptasyon

PDP, müşterilerimizin özel ihtiyaçları doğrultusunda geliştirilebilir, uyarlanabilir bir teknik mimari üzerinde çalışmaktadır.

Kullanıcı yetkilendirme

PDP’nin SAP’de amaç-alan bazlı yetkilendirme özelliği ile kişisel verilere yetkisiz erişimin önüne geçer, kurumunuzu güvence altına alır.

“Yeni Alan” uyarı mekanizması

PDP, SAP sistemlerinize yeni kişisel veri alanlarının eklenmesi durumunda sizi uyararak gerekli aksiyonları almanıza imkan verir.

SAP alan maskeleme

PDP, belirleyeceğiniz kurallara ve Açık Rıza uygunluğuna göre SAP UI Masking modülü ile kişisel verilerin otomatik olarak maskelenerek görüntülenmesini sağlar.

Fiori ekranları

PDP’yi standart SAP GUI ekranları dışında Fiori ekranlarıyla da çok daha verimli ve keyifli kullanmanız mümkün.

Dil seçenekleri

PDP, Türkçe ve İngilizce dil seçenekleri ile gelmekle birlikte arzu edilen dilde kullanılabilme altyapısına da sahiptir.

Versiyonlama

PDP, Kişisel Veri İşleme Envanteri başta olmak üzere, aydınlatma ve Açık Rıza metinleri gibi bilgileri versiyonlarak tutma özelliğine sahiptir.

Desteklenen SAP sistemleri

PDP, ECC veya S/4HANA’da sorunsuz olarak çalışır. Ayrıca SAP HR, CRM, SRM gibi ABAP’ı destekleyen tüm sistemlerde kurulması mümkündür.

BW desteği

PDP, SAP’den BW’ya, veri setleri içindeki kişisel verilerin, belirleyeceğiniz kurallara bağlı olarak, silinerek veya maskelenerek aktarılmasını sağlayabilmektedir

Dış sistem entegrasyonları

PDP, SAP dışı sistemlerle entegrasyonu sağlayan çok kapsamlı ve etkin, Web Servislerden oluşan bir katman ile birlikte gelmektedir.

SAP GRC entegrasyonu

SAP PDP ile kişisel verilere yönelik tanımlanan özel roller, SAP GRC Access Control modülü ile entegre ve uyumlu olarak çalışmaktadır.

DLP desteği

PDP, Data Loss Prevention sistemleri ile uyumlu olarak kullanılabilmektedir. Örneğin Excel’e çıkılacak kişisel verilerin etkilenmesi gibi işlevleri yerine getirmektedir.

PDP’nin KVKK tedbirleri
açısından kapsamı nedir?

KVKK, hem kanun metninde ve yönetmeliklerde hem de yayınlanan rehberlerlerde belirttiği pek çok teknik ve idari tedbir bulunmaktadır.
Bunların özetini ve PDP’nin doğrudan veya dolaylı olarak bu tedbirlerin hangilerinde fonksiyonel olduğu bilgisini, diğer bir deyişle kapsamını,
aşağıda bulabilirsiniz.

Teknik Tedbirler

  • Güvenlik duvarları ve ağ güvenliği
  • Güncel anti-virüs/anti-spam sistemleri
  • Disk şifreleme ve anahtar yönetimi
  • Sızma testleri
  • Siber saldırı savunma sistemleri
  • Kullanıcı hesap ve yetki yönetimi
  • Yazılım uygulamaları güvenliği
  • Veri şifreleme
  • Veri kaybı önleme sistemleri (DLP)
  • Sistem tehdit ve ihlallerine karşı koruma sistemleri
  • Açık Rıza toplama ve yönetimi
  • Kişisel veriye erişimin kayıt altına alınması (Logging)
  • Kişisel verilerin maskelenerek gösterilmesi
  • Kişisel veri silme, anonimleştirme ve imhası

İdari Tedbirler

  • Kurumsal politikalar
  • Şirket içi anlaşmalar (örn. Veri sorumlusu * Veri işleyenler arasında)
  • 3. partilerle gizlilik anlaşmaları
  • Çalışanlarla yapılan iş sözleşmeleri
  • Farkındalık yaratma faaliyetleri
  • Eğitim faaliyetleri
  • Disiplin yönetmeliği ve prosedürler
  • Kurumsal İletişim (örn. İtibar yönetimi)
  • Risk analizi ve risk minimizasyonu
  • Planlı ve rastgele denetimler
  • Kurumsal İletişim (Birey veya kurumlardan gelen bilgi talepleri ve veri ihlali kriz yönetimi)
  • Kişisel Veri İşleme Envanteri’nin oluşturulması
  • Aydınlatma Yükümlülüğü’ne ilişkin faaliyetler
  • Verbis’e kayıt

 

Listedeki kırmızı satırlar, PDP uygulaması kapsamında gerçekleştirilebilen KVKK gereklilikleridir.

PDP’yi devreye almak ne kadar zaman alıyor?

Her projenin uygulama süresi; kapsam, özel talepler, bilgi sistemlerinin yabancı ülkede yönetiliyor olması, seçilen entegrasyon yöntemleri,
toplam şirket sayısı ve benzer parametrelere bağlı olarak değişiklik gösterebilmektedir. Aşağıdaki Genel Proje Planı, proje adımları
konusunda genel bir fikir oluşması amacıyla verilmektedir. (Canlıya geçiş sonrası 2 haftalık destek süresi dahil edilmemiştir.)

Neden SAP PDP?

Kişisel verilere erişen kullanıcıları gerçek zamanlı raporlayan bir uyarı sistemi sunmaktadır.

KVKK tedbirlerinin, parça parça değil, hem kişisel veri güvenliği hem de tüm ilgili süreçleri kapsayacak şekilde merkezi olarak alınabilmesi ve yönetilmesi

Bir çok sisteme yatırım yapmak yerine tek sistem ile orta ve uzun vadede Toplam Sahip Olma Maliyeti avantajı

PDP gibi geleceğe dönük ihtiyaçlar ve regülatif değişiklikler doğrultusunda sürekli gelişen ve kendini yenileyen bir sisteme yatırım

PDP’nin beraberinde getirdiği kullanıma hazır veri, süreç ve deneyimler ile KVKK’ya tam uyumluluk ve gerçek risk yönetimi

PDP’nin büyük ve karmaşık yapıları sorunsuz olarak yönetebildiğini gösteren başarılı projeler ve güçlü referanslar

Bütünleşik bir altyapı ile SAP dışındaki sistem ve ortamların KVKK kapsamında orkestrasyonunun sağlanması

SAP’nin sağlam global gücünün garantisi

Müşterilerimizin Görüşleri

Daha başarılı olmanız için neler yapıyoruz?

Kadir Sakarya
Sepaş, Bilgi Teknolojileri Altyapı Müdürü
“SAP’nin KVKK konusundaki en iyi uygulamalarını kendimize adapte ederek son derece başarılı bir proje ile birlikte, ekosistemimiz içindeki kişisel verilerin korunmasını ve ilgili süreçlerin tüm ortamlar için merkezi olarak yönetilmesini sağladık. SAP PDP ile kanuni gerekliliklerin çok önemli bir kısmını yerine getirmeyi başardığımız bu projede MBIS’in uzman ekibi ile çalıştık. Özverili çalışmalarından dolayı birlikte bu projeye imza attığımız MBIS’e çok teşekkür ederiz.”
Fehmi Murat DERİCİOĞLU
Çimsa, CIO
“SAP ile stratejik ortaklığımız kapsamında yürüttüğümüz Dijital Dönüşüm yolculuğumuzun Kişisel Verilerin Korunması ile ilgili kısmını da PDP (Personal Data Protector) çözümü ile tamamlamış bulunuyoruz. SAP’nin KVKK konusundaki deneyimlerini ve en iyi uygulamalarını kendimize adapte ederek son derece başarılı bir projeyle birlikte, ekosistemimiz içindeki kişisel verilerin korunmasını ve ilgili süreçlerin tüm ortamlar için merkezi olarak yönetilmesini sağlayarak, kanuni gerekliliklerin çok önemli bir kısmını yerine getirmeyi başardık. “

Bizimle iletişime geçin