PII & Veri Gizliliği Sözlüğü
Sektörde kullanılan temel gizlilik, uyum ve veri koruma terimlerinin net tanımları.
Gizlilik & Uyum Terimleri
Kişisel Olarak Tanımlanabilir Bilgi (PII)
İsimler, e-posta adresleri, sosyal güvenlik numaraları veya telefon numaraları gibi belirli bir bireyi tanımlayabilen herhangi bir veri.
Anonimleştirme
Bireylerin doğrudan veya dolaylı olarak tanımlanamayacak şekilde verilerin değiştirilmesi süreci.
Taklitleme
Tanımlanabilir verilerin, yeniden tanımlama için ayrı bir anahtar gerektiren yapay tanımlayıcılar (taklitler) ile değiştirilmesi.
Kimlik Bilgisi Kaldırma
Verilerden kişisel tanımlayıcıların kaldırılması veya gizlenmesi, böylece ek bilgi olmadan belirli bir bireyle ilişkilendirilememesi.
Veri Sahibi
Kişisel verileri bir kontrolör veya işleyici tarafından işlenen tanımlanmış veya tanımlanabilir gerçek kişi.
Veri Kontrolörü
Kişisel verilerin işlenme amaçlarını ve araçlarını belirleyen varlık.
Veri İşleyici
Bir veri kontrolörü adına kişisel verileri işleyen, kontrolörün talimatlarına uyan varlık.
Rıza
Bir veri sahibinin kişisel verilerinin işlenmesine yönelik özgürce verilen, belirli, bilgilendirilmiş ve belirsiz olmayan onay belirtimi.
Yasal Dayanak
Kişisel veri işlenmesinin izin verildiği yasal bir zemin, örneğin rıza, sözleşme gerekliliği, yasal yükümlülük veya meşru menfaat.
Veri Minimizasyonu
Toplanan kişisel verilerin, amacına uygun, yeterli, ilgili ve sınırlı olmasını gerektiren ilke.
Silme Hakkı
Bir veri sahibinin, artık gerekli olmadığında kişisel verilerinin silinmesini talep etme hakkı; GDPR kapsamında 'unutulma hakkı' olarak da bilinir.
Veri Taşınabilirliği
Veri sahiplerinin kişisel verilerini yapılandırılmış, yaygın olarak kullanılan bir formatta alma ve başka bir kontrolöre aktarma hakkı.
Veri Koruma Görevlisi (DPO)
Bir kuruluşun veri koruma stratejisini denetlemek ve gizlilik düzenlemelerine uyumu sağlamakla sorumlu atanan kişi.
Veri Koruma Etki Değerlendirmesi (DPIA)
Bir projenin veri koruma risklerini belirlemek ve en aza indirmek için bir süreç; yüksek riskli işleme faaliyetleri için GDPR gereğidir.
Veri İhlali
Kişisel verilere yetkisiz erişim, ifşa, değiştirme veya yok etme durumunu ifade eden bir güvenlik olayı.
Regülatif Çerçeveler
GDPR (Genel Veri Koruma Yönetmeliği)
Avrupa Ekonomik Alanı içindeki bireylerin kişisel verilerinin işlenmesini düzenleyen AB yönetmeliği, Mayıs 2018'den beri geçerlidir.
CCPA (California Tüketici Gizliliği Yasası)
Tüketicilere işletmeler tarafından toplanan kişisel bilgileri üzerinde haklar veren Kaliforniya eyalet yasası, Ocak 2020'den beri geçerlidir.
HIPAA (Sağlık Sigortası Taşınabilirlik ve Hesap Verebilirlik Yasası)
Hassas hasta sağlık bilgilerinin izinsiz ifşasından korunmasına yönelik standartlar belirleyen ABD federal yasası.
ISO 27001
Bilgi güvenliği yönetim sistemleri (ISMS) için uluslararası bir standart, güvenlik kontrollerinin kurulması, uygulanması ve sürekli iyileştirilmesi için gereklilikleri belirler.
SOC 2 (Sistem ve Organizasyon Kontrolleri 2)
Hizmet organizasyonları için güvenlik, kullanılabilirlik, işleme bütünlüğü, gizlilik ve mahremiyetle ilgili kontrolleri değerlendiren bir denetim çerçevesi.
Teknik Terimler
Adlandırılmış Varlık Tanıma (NER)
Metin içinde adlandırılmış varlıkları tanımlayan ve sınıflandıran bir NLP tekniği; kişi isimleri, yerler ve organizasyonlar gibi önceden tanımlanmış kategorilere ayrılır.
Doğal Dil İşleme (NLP)
Bilgisayarların insan dilini anlamasını, yorumlamasını ve üretmesini sağlayan yapay zeka dalı.
Desen Tanıyıcı
Belirli veri desenlerini tanımlamak için düzenli ifadeler ve bağlam ipuçları kullanan kural tabanlı bir dedektör; örneğin kredi kartı numaraları veya sosyal güvenlik numaraları.
Güven Skoru
Bir tespit motorunun belirli bir varlık türüne ait bir metin parçasının eşleştiğinden ne kadar emin olduğunu gösteren 0 ile 1 arasında bir sayısal değer.
Düzenli İfade (Regex)
Bir arama desenini tanımlayan karakter dizisi; genellikle telefon numaraları veya e-posta adresleri gibi yapılandırılmış veri formatlarını doğrulamak ve tespit etmek için kullanılır.
AES-256-GCM
256 bit anahtar kullanan ve şifrelenmiş verilerin hem gizliliğini hem de bütünlüğünü doğrulayan Galois/Sayaç Modu kullanan bir kimlik doğrulamalı şifreleme algoritması.
Sıfır Bilgi Şifrelemesi
Sadece kullanıcının şifre çözme anahtarını elinde tuttuğu bir şifreleme mimarisi; bu, hizmet sağlayıcının düz metin veriye erişememesi anlamına gelir.
Tokenizasyon
Hassas verilerin, orijinal verilere güvenli bir arama ile geri dönülebilen, hassas olmayan yer tutucu jetonlarla değiştirilmesi.
Veri Maskelenmesi
Hassas bilgilerin gizlenmesi için bir veri kümesindeki belirli verilerin bulanıklaştırılması; verilerin test veya analiz için kullanılabilir kalmasını sağlar.
Kırmızı İşaretleme
Bir belge veya veri kümesinden hassas bilgilerin kalıcı olarak kaldırılması; bunun yerine [KIRMIZI İŞARET] gibi bir işaretleyici ile değiştirilmesi.
Anonimleştirme Yöntemleri
Değiştir
Tespit edilen PII'yi aynı varlık türünde genel bir yer tutucu ile değiştirmek; örneğin 'John Smith' yerine '<KİŞİ>' ile değiştirmek.
Maskele
Karakterleri maskeleme sembolleri ile değiştirerek PII'yi kısmen gizlemek; örneğin '123-45-6789' numarasını '***-**-6789' haline getirmek.
Kırmızı İşaretle
Tespit edilen PII'yi metinden tamamen kaldırmak; orijinal değerin hiçbir izini bırakmamak.
Hash
PII'yi sabit uzunlukta bir kriptografik hash'e dönüştürmek; bu, tutarlı bir değişim sağlarken tersine çevirmeyi hesaplama açısından imkansız hale getirir.
Şifrele
PII'yi kullanıcı tarafından tutulan bir anahtar ile AES-256-GCM şifrelemesi kullanarak dönüştürmek; gerektiğinde yetkili tersine çevirme (de-anonimleştirme) sağlar.
Sıkça Sorulan Sorular
Anonimleştirme ile taklitleme arasındaki fark nedir?
Anonimleştirme, yeniden tanımlamanın imkansız olduğu şekilde tüm tanımlayıcı bilgileri geri dönüşümsüz olarak kaldırır. Taklitleme, tanımlayıcıları yapay olanlarla değiştirirken, yeniden tanımlama için ayrı bir anahtar bulundurur. GDPR kapsamında, taklitlenmiş veriler hala kişisel veri olarak kabul edilir.
Neden PII tespiti hem NLP hem de desen tanıyıcıları kullanıyor?
NLP modelleri, sabit bir formata sahip olmayan kişi isimleri ve yerler gibi bağlama bağlı varlıkları tespit eder. Desen tanıyıcıları, sosyal güvenlik numaraları, kredi kartı numaraları ve telefon numaraları gibi yapılandırılmış tanımlayıcıları yakalamak için düzenli ifadeleri kullanır. Her iki yaklaşımın birleştirilmesi, tüm varlık türlerinde tespit doğruluğunu maksimize eder.
Sıfır bilgi şifrelemesi nedir ve neden önemlidir?
Sıfır bilgi şifrelemesi, yalnızca sizin şifre çözme anahtarını elinizde bulundurmanız anlamına gelir; hizmet sağlayıcısı verilerinizi okuyamaz. Bu önemlidir çünkü bir sunucu ihlali durumunda bile, şifrelenmiş verileriniz anahtarınız olmadan okunamaz kalır ve en güçlü veri korumasını sağlar.
Tersine çevrilebilir şifreleme ile hashing arasındaki fark nedir?
Hashing, tek yönlü bir dönüşümdür; veri hash'lenince, orijinal geri alınamaz. Tersine çevrilebilir şifreleme (AES-256-GCM kullanarak), doğru anahtara sahip yetkili kullanıcıların şifre çözmesine ve orijinal veriyi geri almasına olanak tanır; bu, de-anonimleştirmenin gerekli olduğu iş akışlarını mümkün kılar.