Hosting firmaları için 5651 yükümlülükleri, yalnız “log cihazı aldık mı?” sorusuyla kapatılamaz. Hosting hizmeti veren şirketler çoğu senaryoda 5651 bakımından yer sağlayıcı rolüne yaklaşır; bu da tanıtıcı bilgilerin güncel tutulması, hukuka aykırı içerik bildirimlerine doğru süreçle yanıt verilmesi, trafik bilgilerinin mevzuattaki süre ve güvenlik beklentileriyle saklanması, kayıtların doğruluk, bütünlük ve gizliliğinin korunması gibi operasyonel sorumluluklar üretir.
Bu rehber, hosting ve veri merkezi hizmeti sunan teknik ekipler için pratik bir uyum çerçevesi sunar. Somut hukuki yorum için şirketinizin hukuk danışmanıyla çalışılmalıdır; burada amaç teknik ve operasyon ekiplerinin hangi kontrol alanlarını kurması gerektiğini netleştirmektir.
Hızlı Özet
- 5651 sayılı Kanun, içerik sağlayıcı, yer sağlayıcı, erişim sağlayıcı ve toplu kullanım sağlayıcıların yükümlülüklerini rol bazlı düzenler.
- Yer sağlayıcı, hizmet ve içerikleri barındıran sistemleri sağlayan veya işleten gerçek ya da tüzel kişiyi ifade eder; hosting firmaları bu kapsamda değerlendirilir.
- Yer sağlayıcı, yer sağladığı içeriği genel olarak kontrol etmekle yükümlü değildir; ancak hukuka aykırı içerikten kanundaki usule uygun haberdar edilirse aksiyon almak zorundadır.
- Yer sağlayıcı trafik bilgisini
1 yılile2 yılarasında saklamak ve bu bilgilerin doğruluğunu, bütünlüğünü ve gizliliğini sağlamakla yükümlüdür. - BTK'nın yer sağlayıcı listesi ve bildirim süreçleri, hosting firmaları için operasyonel envanter ve iletişim bilgisinin güncel kalmasını gerektirir.
- 5651 kayıtları çoğu zaman KVKK açısından kişisel veri içerebilir; bu nedenle log güvenliği, erişim kontrolü ve imha planı birlikte tasarlanmalıdır.
İçindekiler
- Hosting Firması 5651 Kapsamında Hangi Role Girer?
- Yer Sağlayıcının Temel Yükümlülükleri Nelerdir?
- Trafik Bilgisi ve Log Saklama Nasıl Tasarlanmalı?
- İçerik Çıkarma ve Erişim Engelleme Bildirimleri Nasıl Yönetilir?
- KVKK ve 5651 Kesişimi Hosting Firmasını Nasıl Etkiler?
- 90 Günlük Uyum Planı
- İlgili İçerikler
- LeonX ile Sonraki Adım
- Sık Sorulan Sorular
- Kaynaklar
Görsel: Wikimedia Commons - Rack with varoius servers. WebP olarak optimize edilmiştir.
Hosting Firması 5651 Kapsamında Hangi Role Girer?
5651 sayılı Kanun'da yer sağlayıcı, hizmet ve içerikleri barındıran sistemleri sağlayan veya işleten kişi olarak tanımlanır. Bu tanım, web hosting, sunucu barındırma, sanal sunucu, bayi hosting veya yönetilen barındırma hizmeti veren şirketler için doğrudan önemlidir.
Hosting firması açısından ilk kontrol rol analizidir:
| Hizmet modeli | Muhtemel 5651 rolü | Operasyonel yorum |
|---|---|---|
| paylaşımlı web hosting | yer sağlayıcı | müşteri içerikleri ve hosting logları ayrıştırılmalı |
| VPS/VDS veya cloud sunucu | yer sağlayıcı, bazı akışlarda ek rol analizi gerekir | trafik bilgisi ve müşteri izolasyonu netleşmeli |
| colocation | sözleşme ve teknik işletim modeline göre analiz gerekir | fiziksel barındırma ile servis yönetimi ayrıştırılmalı |
| kendi sitesi için hosting | içerik sağlayıcı ağırlıklı | barındırma dışarıdaysa rol zinciri değişebilir |
| internet erişimi sunma | erişim sağlayıcı veya toplu kullanım sağlayıcı boyutu doğabilir | access log ile hosting logu karıştırılmamalı |
Bu ayrım yapılmadan “5651 uyumluyuz” demek zayıftır. Çünkü içerik sağlayıcı, yer sağlayıcı ve erişim sağlayıcı yükümlülükleri aynı değildir. Hosting firması önce hangi hizmet için hangi rolü üstlendiğini dokümante etmelidir.
Yer Sağlayıcının Temel Yükümlülükleri Nelerdir?
5651 kapsamında hosting firmalarının pratikte karşılaştığı ana başlıklar şunlardır:
Tanıtıcı bilgilerin güncel tutulması
Kanun, içerik, yer ve erişim sağlayıcıların yönetmelikle belirlenen esaslar çerçevesinde tanıtıcı bilgilerini kullanıcıların ulaşabileceği şekilde güncel bulundurmasını öngörür. Hosting firması için bu, yalnız web sitesinde iletişim sayfası olması değil; ticari unvan, iletişim kanalı, destek ve yasal bildirim akışının doğru çalışması anlamına gelir.
Hukuka aykırı içerik bildirimlerine süreçle yanıt verilmesi
Yer sağlayıcı, barındırdığı içeriği sürekli kontrol etmek zorunda değildir. Ancak hukuka aykırı içerikten kanundaki usule uygun biçimde haberdar edilirse gerekli işlemi yapabilecek operasyon akışına sahip olmalıdır. Bu yüzden abuse desk, ticket sınıflandırması, müşteri bildirimi ve aksiyon kaydı teknik servis sürecinin parçası olmalıdır.
Trafik bilgisinin saklanması
Yer sağlayıcıların trafik bilgisini mevzuat çerçevesinde saklaması ve bu bilgilerin doğruluğunu, bütünlüğünü ve gizliliğini sağlaması beklenir. Burada en sık hata, yalnız web server access log tutup bunun tüm 5651 ihtiyacını karşıladığını varsaymaktır.
BTK bildirim ve envanter disiplini
BTK'nın yer sağlayıcı listesi ve yer sağlayıcılık bildirimi alanı, hosting firmaları için dış dünyaya açık bir uyum göstergesidir. Bildirim, unvan, alan adı, IP kaynağı, iletişim kanalı ve teknik sorumluluk değişiklikleri yönetilmezse denetim ve olay müdahalesinde gecikme oluşur.
Trafik Bilgisi ve Log Saklama Nasıl Tasarlanmalı?
5651 tarafında trafik bilgisi yalnız “metin log dosyası” değildir. Kanun tanımı; IP adresi, port bilgisi, hizmetin başlama ve bitiş zamanı, hizmet türü, aktarılan veri miktarı ve varsa abone kimlik bilgisi gibi unsurları kapsar. Hosting firması için bu veriler farklı katmanlarda oluşabilir:
- web server access logları
- control panel ve müşteri oturum kayıtları
- NAT, firewall ve load balancer kayıtları
- DNS ve proxy logları
- hypervisor, sanal ağ ve cloud panel olayları
- destek/ticket ve abuse aksiyon kayıtları
Güçlü bir teknik model şu kontrolleri içermelidir:
- merkezi zaman senkronizasyonu ve NTP standardı
- log kaynağı envanteri
- değiştirilemez veya bütünlüğü doğrulanabilir arşivleme
- erişim yetkisi ayrımı
- müşteri bazlı ilişkilendirme ve arama kabiliyeti
- saklama süresi ve imha prosedürü
- SIEM veya log yönetim platformunda korelasyon
Bu katmanda Donanım ve Yazılım Çözümleri altındaki SIEM ve Güvenlik Olay Yönetimi Entegrasyonu, logların yalnız saklanmasını değil olay inceleme ve bütünlük kontrolünü de güçlendirir. Yönetim ve kontrol boşluklarını görmek için İş ve Yönetim Hizmetleri altında Siber Güvenlik Değerlendirme Hizmeti doğrudan tamamlayıcıdır.
İçerik Çıkarma ve Erişim Engelleme Bildirimleri Nasıl Yönetilir?
Hosting firması açısından riskli alanlardan biri, resmi veya hukuki bildirimin teknik destek kuyruğunda sıradan bir müşteri talebi gibi kalmasıdır. 5651 süreçlerinde hız, kayıt bütünlüğü ve yetki ayrımı önemlidir.
Pratik iş akışı şöyle kurulmalıdır:
- bildirim kanalı ayrıştırılır: abuse, hukuk, destek, resmi tebligat.
- talep türü sınıflandırılır: içerik çıkarma, erişim engelleme, bilgi talebi, müşteri şikayeti.
- müşteri ve hizmet ilişkisi doğrulanır.
- yasal talep ve teknik aksiyon ayrı kaydedilir.
- işlem tarihi, yapan kişi, ilgili domain/IP ve delil seti saklanır.
- müşteri bilgilendirme ve iç eskalasyon politikası uygulanır.
Erişim Sağlayıcıları Birliği'nin resmi açıklamalarında, 5651'in 6/A maddesi çerçevesinde belirli erişim engelleme ve içerik çıkarma kararlarının uygulanmasında koordinasyon rolü olduğu belirtilir. Hosting firması doğrudan ESB üyesi erişim sağlayıcı olmasa bile, bu karar zincirinin kendi müşterileri ve barındırılan içerikler üzerindeki etkisini operasyonel olarak takip etmelidir.
KVKK ve 5651 Kesişimi Hosting Firmasını Nasıl Etkiler?
Hosting firmaları için 5651 logları çoğu zaman kişisel veri boyutu da taşır. IP adresi, zaman damgası, kullanıcı hesabı, müşteri numarası, destek talebi ve erişim kaydı bir araya geldiğinde KVKK açısından ayrıca korunması gereken veri seti oluşabilir.
Bu nedenle şu ayrım önemlidir:
- 5651 neden kayıt tutulacağını söyler.
- KVKK kaydın kişisel veri boyutunu, erişim yetkisini, güvenliğini ve gerekli süre yönetimini etkiler.
Teknik olarak yapılması gerekenler:
- loglara erişimi rol bazlı sınırlayın
- müşteri destek ekiplerinin tüm ham loglara erişmesini engelleyin
- hassas log aramalarını kayıt altına alın
- yedekleme ve arşiv kopyalarında aynı güvenlik seviyesini koruyun
- saklama süresi biten kayıtlar için imha veya anonimleştirme prosedürü çalıştırın
Bu konu 5651 ile KVKK Arasındaki Fark Nedir? yazısıyla birlikte okunmalıdır. Hosting firması için güçlü uyum, iki mevzuatı birbirinin yerine koymak değil, aynı kayıt seti üzerinde birlikte işletmektir.
90 Günlük Uyum Planı
Gün 1-15: Rol ve envanter
- hosting hizmet modellerini listeleyin.
- hangi hizmette yer sağlayıcı, içerik sağlayıcı veya erişim sağlayıcı boyutu doğduğunu hukuk ekibiyle doğrulayın.
- domain, IP, müşteri, sunucu, sanal sunucu ve log kaynağı envanterini çıkarın.
Gün 16-35: Log mimarisi
- trafik bilgisi üreten tüm katmanları belirleyin.
- NTP, bütünlük, saklama, erişim yetkisi ve yedekleme standardını yazın.
- SIEM veya merkezi log yönetimi üzerinde kaynak doğrulama testleri yapın.
Gün 36-60: Bildirim ve operasyon
- abuse ve resmi talep iş akışlarını ayrı kuyruklara alın.
- içerik çıkarma, erişim engelleme ve bilgi talebi senaryoları için runbook hazırlayın.
- müşteri bildirimi, delil saklama ve iç eskalasyon sorumlularını belirleyin.
Gün 61-90: Denetim paketi
- BTK bildirimi ve yer sağlayıcı bilgilerini gözden geçirin.
- son 90 günlük log erişimi, işlem kaydı ve içerik aksiyonu örneklerini denetim dosyasına alın.
- sapmaları risk kabulü, düzeltici aksiyon veya proje planına bağlayın.
İlgili İçerikler
- 5651 ile KVKK Arasındaki Fark Nedir?
- KVKK için Dell Server Loglama Gereksinimleri
- KVKK için VMware Loglama Nasıl Yapılır?
- FortiGate SSL VPN Kurulumu
LeonX ile Sonraki Adım
Hosting firmaları için 5651 uyumu, hukuk metnini bilmek kadar log mimarisi, bildirim süreci ve güvenlik kontrollerini birlikte işletmeyi gerektirir. LeonX, İş ve Yönetim Hizmetleri kapsamında Siber Güvenlik Değerlendirme Hizmeti ile rol, süreç ve kontrol boşluklarını görünür hale getirir. Teknik tarafta Donanım ve Yazılım Çözümleri ve SIEM ve Güvenlik Olay Yönetimi Entegrasyonu ile log toplama, korelasyon, saklama ve denetim kanıtı mimarisini güçlendirir. Mevcut hosting altyapınızı değerlendirmek veya teklif almak için İletişim sayfasından ilerleyebilirsiniz.
İlgili sayfalar:
- İş ve Yönetim Hizmetleri
- Siber Güvenlik Değerlendirme Hizmeti
- Donanım ve Yazılım Çözümleri
- SIEM ve Güvenlik Olay Yönetimi Entegrasyonu
- İletişim
Sık Sorulan Sorular
Hosting firması 5651 kapsamında yer sağlayıcı mıdır?
Çoğu hosting hizmetinde yer sağlayıcı rolü doğar; ancak kesin değerlendirme hizmet modeli, sözleşme ve teknik işletim yapısına göre yapılmalıdır.
Yer sağlayıcı müşterinin içeriğini sürekli kontrol etmek zorunda mı?
Genel kural olarak yer sağladığı içeriği sürekli kontrol etmekle yükümlü değildir. Ancak hukuka aykırı içerikten usulüne uygun haberdar edilirse gerekli süreci işletmelidir.
5651 için hangi loglar tutulmalı?
Tek bir dosya adıyla sınırlı değildir. IP, port, zaman, hizmet türü, veri miktarı ve varsa abone/müşteri ilişkisi gibi trafik bilgisi unsurlarını üreten katmanlar birlikte değerlendirilmelidir.
5651 logları KVKK kapsamına girer mi?
IP, kullanıcı, müşteri veya abone bilgisiyle ilişkilendirilebilen kayıtlar kişisel veri boyutu taşıyabilir. Bu yüzden log güvenliği ve erişim kontrolü KVKK ile birlikte ele alınmalıdır.
Sadece log saklamak yeterli mi?
Hayır. Doğruluk, bütünlük, gizlilik, erişim yetkisi, zaman senkronizasyonu, saklama süresi, imha ve olay inceleme süreci birlikte tasarlanmalıdır.
