Kullanıcı kendi verisini sızdırırsa suçlu kim olur?

I

IDaRKLoRD

Megapat
Zamanın Tanığı
Katılım
8 Ağustos 2016
Mesajlar
1.619
Çözümler
15
Merhaba, bir web sitesi geliştiriyorum. Bu sitede sipariş sorgulama sistemi mevcut. Üye olmayan kullanıcılar, sipariş kodu ile siparişlerini sorgulayabiliyor. Sorgulama sonucunda, sipariş içeriğinin yanı sıra telefon numarası, isim ve adres görüntüleniyor. Yalnızca o siparişe özel olarak ürettiğim sipariş kodu, müşteri hatasıyla başkasına ulaşır (örneğin müşteri kodu birine gönderirse) ve bunun sonucunda sipariş sorgulama ekranında ilgili bilgiler başkaları tarafından görüntülenirse, bu durumda KVKK ihlali yapmış olur muyum? Nasıl bir süreç işler?
 
IDaRKLoRD dedi:
Merhaba, bir web sitesi geliştiriyorum. Bu sitede sipariş sorgulama sistemi mevcut. Üye olmayan kullanıcılar, sipariş kodu ile siparişlerini sorgulayabiliyor. Sorgulama sonucunda, sipariş içeriğinin yanı sıra telefon numarası, isim ve adres görüntüleniyor. Yalnızca o siparişe özel olarak ürettiğim sipariş kodu, müşteri hatasıyla başkasına ulaşır (örneğin müşteri kodu birine gönderirse) ve bunun sonucunda sipariş sorgulama ekranında ilgili bilgiler başkaları tarafından görüntülenirse, bu durumda KVKK ihlali yapmış olur muyum? Nasıl bir süreç işler?
Genişletmek için tıkla...

Sürekli yenilenen veya sabit bir güvenlik koduyla çözebilirsin, mesela oraları xxxxxxx olarak gösterirsin. Yanında göstermek için kod giriniz desin mesela siparişi veren kimse artık sabit veya tek kullanımlık koduyla bakabilir, başında belaya girmez.
 
EmirKadirO dedi:
Sorunun cevabini tam olarak bilmiyorum ancak direk boyle bir risk almak yerine ismi, numaralari vs. sansurleyerek gosterebilirsiniz (E*** K**** gibi).
Genişletmek için tıkla...
Teknik olarak sen başta "müşteri/işlem yapan telefon numarası sahibine özel" bir kod veriyorsun, bu kodun sorumluluğu kişiye ait olur diye yorumluyorum.

Yani evimin anahtarını keyfi olarak neden sana vereyim, yanlışlıkla da olsa? Ancak tüm bilgileri @EmirKadirO'nun dediğine katılarak şifreli göstermen daha doğru olur.
 
IDaRKLoRD dedi:
Yalnızca o siparişe özel olarak ürettiğim sipariş kodu,
Genişletmek için tıkla...
Örneğin, ben müşterilerin birkaçından bu kodu aldım veya kendim birden fazla sipariş verdim, kodun örüntüsünü çözdüm ve ardından diğer müşterilerin bilgilerine eriştim. İmkansız değil, gayet mümkün o yüzden bence başınızı ağrıtacak yöntemler yerine sansür uygulamanız en sağlıklısı olacaktır :)

Sorunuza tam cevap vermem gerekirse sorumluluk size ait olacaktır diye düşünüyorum. Tabii ki yine de araştırmak gerekecek.
 
Mert Can Urcan dedi:
Teknik olarak sen başta "müşteri/işlem yapan telefon numarası sahibine özel" bir kod veriyorsun, bu kodun sorumluluğu kişiye ait olur diye yorumluyorum.

Yani evimin anahtarını keyfi olarak neden sana vereyim, yanlışlıkla da olsa? Ancak tüm bilgileri @EmirKadirO'nun dediğine katılarak şifreli göstermen daha doğru olur.
Genişletmek için tıkla...

Hocam bu tam uyar mi bilmiyorum ama veri guvenligi rehberinde gecen bir bilgide her turlu teknik ve idari tedbirleri alma zorunlulugundan bahsediliyor,

1767796627540.png


Yani sanirim, musterinin hatasi olsa bile eger isin sonunda musterinin verileri baskasinin eline geciyorsa suclu yine sen oluyorsun.

https://www.kvkk.gov.tr/yayinlar/veri_guvenligi_rehberi.pdf, sayfa 13.
 
Öncelikle yorumlarınız için teşekkürler. Halihazırda veriyi sansürlü gösteriyorum ancak işletme bunu istemiyor. Hukuki açıdan kesin sonuca varana kadar sansürlü göstermeye devam edeceğim.

Zakramoreas dedi:
Örneğin, ben müşterilerin birkaçından bu kodu aldım veya kendim birden fazla sipariş verdim, kodun örüntüsünü çözdüm ve ardından diğer müşterilerin bilgilerine eriştim. İmkansız değil, gayet mümkün o yüzden bence başınızı ağrıtacak yöntemler yerine sansür uygulamanız en sağlıklısı olacaktır :)

Sorunuza tam cevap vermem gerekirse sorumluluk size ait olacaktır diye düşünüyorum. Tabii ki yine de araştırmak gerekecek.
Genişletmek için tıkla...
Evet imkansız değil ancak önlem almayı seven biri olarak bol bol önlem aldım :) Bunun örüntüsünü çıkarabilene tüm veri helaldir :D

@EmirKadirO ucu çok açık bırakılmış. Şimdi ben birinin hesabına erişsem (örn; amazon hesabı) ve adres, telefon numarası gibi verilere ulaşsam, bunu da sistem açığından değil kullanıcının hatasından faydalanarak yapsam ve kimliğim tespit edilemese bu durumdan firma mı sorumlu olacak? Bunu netleştiremedim bir türlü.
 
Son düzenleme:
Hocam Amazon sistemiylr sizin sisteminiz cok farkli, Amazon sana hesabını koruman icin 2FA gibi secenekler sunuyor, ama sizin sistemde sadece kodu girmek yeterli oluyor, eger SMS onay 2FA onaylamalar eklerseniz KVKK ihlali olmayabilir,

Benim fikrimce KVKK ihlali olur, cunku olasi bir senaryoda tamamen kullanici kaynakli hatadan olusan bir sebeple 3. bir kisi takip sistemine giris yapti, eger siz verileri maskelemis olsaydiniz, 3. kisi verilere erisemeyecekti ancak siz verileri maskelemediginiz icin verilere eristi.

Bu yuzden gene basa yani her turlu teknik ve idari tedbirlerin alinmasi fikrasina donuyoruz.
 

Benzer konular

Nicodoz
Kazada suçlu kim?
2 3
Mesaj
20
Görüntüleme
2.493
Azyer-Çokişyapar
Azyer-Çokişyapar
Y
Laptopun bozulmasında kim suçlu?
2 3
Mesaj
20
Görüntüleme
927
xanysta
xanysta
H
Bu olayda suçlu kim?
4 5 6
Mesaj
56
Görüntüleme
3.553
supprime
S
Emir Bozat
  • Kilitli
Kavgada suçlu olan kim?
2
Mesaj
12
Görüntüleme
1.445
Enes_Tiryaki
Enes_Tiryaki
370728
Trafik kazasında kim suçlu?
2 3
Mesaj
20
Görüntüleme
2.052
Amazing Jaagub
Amazing Jaagub

Bu konuyu görüntüleyen kullanıcılar

Toplam: 2 (üye: 0, misafir: 2)

Technopat Haberler

Yeni konular

Yeni mesajlar

Geri
Yukarı