deomis.com
deomis.com/blog
  • Digital Omnibus Nedir? Çerez Yönetimi ve Veri Kuralları Sil Baştan Yazılıyor

    Digital Omnibus Nedir? Çerez Yönetimi ve Veri Kuralları Sil Baştan Yazılıyor

    Avrupa Birliği, dijital pazarlamanın anayasasını değiştirmeye hazırlanıyor. KVKK veya GDPR uyumluluğunu sadece “bir çerez banner’ı koymaktan ibaret” sanan işletmeler için alarm zilleri çalıyor. Usercentrics CEO’su Donna Dror’un 20 Kasım 2025 tarihinde yayınladığı bildiri, yaklaşan “Digital Omnibus” düzenlemesinin sadece hukuki bir metin değil, bir kullanıcı deneyimi (UX) devrimi olduğunu ortaya koydu. Peki, bu yeni düzenleme Türk ihracatçısını ve dijital pazarlama dünyasını nasıl etkileyecek?

    1. “Rıza Yorgunluğu” (Consent Fatigue) Devri Bitiyor İnternet kullanıcıları olarak hepimiz aynı dertten muzdaribiz: Her girdiğimiz sitede karşımıza çıkan, kapatması zor, karmaşık ve bıktırıcı “Kabul Et” kutucukları. Donna Dror’un vurguladığı gibi, Digital Omnibus önerisi tam olarak bu “sürtünmeyi” (friction) hedef alıyor.

    Amaç net: Kullanıcıyı bezdirerek zorla onay almak değil, şeffaf ve kolay yönetilebilir panellerle gerçek güveni kazanmak. Artık “Reddet” butonunu saklayan, kullanıcıyı dolambaçlı yollara sokan tasarımlar (Dark Patterns) sadece etik dışı değil, yasadışı hale gelecek.

    2. Yasak Savmak Değil, “Privacy-Led Marketing” Eskiden şirketler “Veriyi toplayalım da nasıl olursa olsun” derdi. Yeni dünyada ise “Privacy-Led Marketing” (Gizlilik Odaklı Pazarlama) kavramı öne çıkıyor.

    Usercentrics’in vizyonuna göre; şeffaflık, performansı düşüren bir engel değil, aksine dönüşüm oranlarını artıran bir kaldıraçtır. Kullanıcı, verisinin nereye gittiğini net bir şekilde anladığında, markaya güveniyor ve verisini paylaşmaktan çekinmiyor. Bu da sizin Google ve Meta reklamlarınızda daha kaliteli, daha doğru hedeflenmiş veri kullanmanızı sağlıyor.

    3. Türk Şirketleri Neden Endişelenmeli? (Ve Ne Yapmalı?) “Biz Türkiye’deyiz, AB yasası bizi bağlamaz” demeyin. Eğer:

    • Avrupa’ya ürün satıyorsanız (E-İhracat),
    • AB vatandaşı turistlere hizmet veriyorsanız (Turizm/Otelcilik),
    • Global veri işleyen bir SaaS firmanız varsa;

    Digital Omnibus sizi doğrudan kapsıyor. Uygunsuz bir çerez yönetimi, milyonlarca Euro’luk cezaların yanı sıra, en büyük pazarınızdaki itibarınızı bir gecede silebilir.

    4. Çözüm: Akıllı ve Otomatize Rıza Yönetimi Deomis olarak Türkiye iş ortağı olduğumuz Usercentrics, bu yeni dalgaya en hazır teknoloji.

    • Otomatik Tarama: Sitenizdeki çerezleri ve izleyicileri (trackers) düzenli olarak tarayıp sınıflandırır.
    • Google Consent Mode v2: Google’ın yeni reklam standartlarıyla %100 uyumludur, veri kaybını önler.
    • Cross-Device Consent: Kullanıcının mobilde verdiği onayı masaüstünde de hatırlar, tekrar tekrar sormaz.

    Sonuç: Erken Kalkan Yol Alır Digital Omnibus henüz tasarı aşamasındayken harekete geçen firmalar, rakipleri panik halindeyken güvenli limanda olacaklar. Deomis ve Usercentrics iş birliğiyle, web sitenizi bugünden geleceğin standartlarına taşıyın.

  • Şifreniz Kırık Bir Kilit Gibidir. Modern Güvenliğin Cevabı: Duo MFA

    Şifreniz Kırık Bir Kilit Gibidir. Modern Güvenliğin Cevabı: Duo MFA

    Finans departmanınızdaki bir çalışan, sabah kahvesini yudumlarken “BT Departmanı’ndan Gelen Acil Güvenlik Uyarısı” başlıklı bir e-posta alır. Linke tıklar, her zamanki gibi görünen Microsoft 365 giriş ekranına şifresini yazar ve çalışmaya devam eder. Hiçbir şey olmamıştır.

    Aslında her şey olmuştur. O an, bir siber saldırgan şirketinizin en kritik verilerine erişim sağlayan bir anahtarı kopyalamıştır.

    Bu senaryo size tanıdık geliyorsa, siber güvenliğin en temel gerçeğiyle yüzleşme vaktiniz gelmiş demektir: Parolalar artık tek başına yeterli değil. Hatta en büyük güvenlik açığınız haline geldiler.

    Parola Paradoksu: Neden En Güçlü Şifre Bile Zayıftır?

    IT ekipleri olarak yıllardır kullanıcılara daha karmaşık şifreler kullanmalarını söyledik: “En az 12 karakter olsun, büyük harf, küçük harf, rakam, sembol içersin!” Peki bu işe yaradı mı? Pek sayılmaz. Karmaşık şifreler unutulur, not kağıtlarına yazılır ve en önemlisi, çalındıklarında hiçbir anlamları kalmaz.

    Yukarıdaki senaryoda çalışanın şifresinin ne kadar karmaşık olduğunun hiçbir önemi yoktur. Çünkü hackerlar artık şifre kırmaya çalışmıyor; kullanıcıları kandırarak şifrelerini kendi elleriyle vermelerini sağlıyorlar. Buna “Phishing” veya “Oltalama” diyoruz ve günümüzdeki veri ihlallerinin bir numaralı sebebidir.

    Eski Çözüm Neden Yetersiz? SMS ile Gelen Kodlar

    “Bizde iki faktörlü kimlik doğrulama var, SMS ile kod geliyor” diyebilirsiniz. Bu, hiç olmamasından iyidir, ancak bu yöntem de artık eskidi. Hackerlar, “SIM Swapping” adı verilen yöntemlerle telefon numaranızı ele geçirip SMS kodlarını kendilerine yönlendirebiliyorlar. Kısacası, kalenizin kapısına ikinci bir ahşap kilit takmak gibi; biraz daha güvenli ama hala kırılabiliyor.

    Modern Çözüm: “Asla Güvenme, Her Zaman Doğrula” (Zero Trust) ve Duo MFA

    Modern siber güvenlik, “Sıfır Güven” (Zero Trust) adını verdiğimiz basit ama güçlü bir prensibe dayanır: Ağın içinden veya dışından gelsin, her erişim talebi şüphelidir ve doğrulanmalıdır.

    İşte Cisco Duo Security, bu felsefeyi hayata geçiren en kullanıcı dostu ve en etkili araçtır. Duo, bir kullanıcının sadece “bildiği bir şeye” (parola) değil, aynı zamanda “sahip olduğu bir şeye” (genellikle cep telefonu) dayanan Çok Faktörlü Kimlik Doğrulama (Multi-Factor Authentication – MFA) sağlar.

    Peki Duo bunu nasıl yapar ve neden farklıdır?

    1. Tek Dokunuşla Onay: Kullanıcı şifresini girdikten sonra, telefonuna “Giriş isteğini onaylıyor musunuz?” diye basit bir anlık bildirim (push notification) gelir. Kullanıcı bildirime dokunur ve “Onayla”ya basar. SMS kodu girmekle, karmaşık sayılarla uğraşmakla vakit kaybetmez.
    2. Cihaz Sağlığı Kontrolü: Duo sadece “kimsin?” diye sormaz, aynı zamanda “hangi cihazla bağlanıyorsun?” diye de sorar. Eğer çalışanın bağlandığı bilgisayarın işletim sistemi güncel değilse veya güvenlik yazılımı eksikse, erişimi engelleyebilir. Bu, virüslü bir cihazdan ağınıza sızılmasını önler.
    3. Geniş Koruma: VPN, bulut uygulamaları (Microsoft 365, Google Workspace), sunucu erişimleri… Şifre ile korunan neredeyse her sistemi Duo ile güvence altına alabilirsiniz.

    Parola Hırsızlığını İmkansız Hale Getirin

    Duo MFA devredeyken, oltalama saldırısıyla şifrenizi çalan bir hacker hiçbir şey yapamaz. Çünkü şifreyi girdikten sonra onay isteği, çalışanın gerçek telefonuna gider. Hacker’ın elinde o telefon olmadığı için, giriş denemesi başarısız olur. Bu kadar basit ve bu kadar etkilidir.

  • Şirketinizin Anahtarları Kimde? Yetkili Erişim Yönetimi (PAM) Neden Lüks Değil, Zorunluluktur?

    Şirketinizin Anahtarları Kimde? Yetkili Erişim Yönetimi (PAM) Neden Lüks Değil, Zorunluluktur?

    Bir anlığına düşünün: Şirketinizin en kritik sunucularına, tüm müşteri verilerinin tutulduğu veritabanına, bulut altyapınıza erişim sağlayan o sihirli “admin” şifreleri nerede duruyor? Bir Excel dosyasında mı? IT ekibindeki birkaç kişinin aklında mı? Ya da daha kötüsü, işten ayrılan bir çalışanın hala bildiği o eski şifre mi?

    Eğer bu sorunun cevabı sizi biraz rahatsız ettiyse, siber güvenliğin en çok ihmal edilen ama en kritik konusuna hoş geldiniz: Yetkili Erişim Yönetimi (Privileged Access Management – PAM).

    Herkes Eşit Değildir: “Yetkili Hesap” Nedir?

    Bir şirketteki her kullanıcı hesabı aynı güce sahip değildir. Normal bir kullanıcının hesabı en fazla kendi dosyalarına zarar verebilirken, “yetkili” veya “ayrıcalıklı” hesaplar, tüm krallığın anahtarlarına sahiptir.

    Bu hesaplar şunlar olabilir:

    • Sunuculardaki “root” veya “Administrator” hesabı
    • Veritabanı yönetici (DBA) hesabı
    • Network cihazlarının (firewall, switch) yönetim şifreleri
    • Microsoft 365 veya Google Workspace gibi bulut servislerinin global yönetici hesabı

    Bu hesaplara sahip olan kişi, tüm verileri silebilir, sistemleri kapatabilir, kısacası işinizi durma noktasına getirebilir. İşte bu yüzden bu anahtarları korumak, ofisinizin kapısını kilitlemekten çok daha önemlidir.

    Sorun Sadece Hackerlar Değil: Şifre Kasası Neden Gerekli?

    “Bizim çalışanlarımız güvenilir, bir sorun olmaz” düşüncesi, siber güvenlikte yapılan en tehlikeli varsayımdır. Risk sadece dışarıdan gelen hackerlar değildir. Kontrolsüz bırakılan yetkili şifreler, şu senaryolara kapı aralar:

    • Paylaşılan Şifre Kaosu: Acil bir iş için paylaşılan “admin” şifresi asla değiştirilmez ve zamanla kimin bildiği unutulur.
    • İç Tehditler: Kötü niyetli veya ihmalkar bir çalışan, bu güçle şirkete geri dönülemez zararlar verebilir.
    • İşten Ayrılanlar: Sistemden erişimi kaldırılsa bile, aklında kalan bir servis hesabı şifresiyle ağınıza sızabilir.
    • Phishing (Oltalama) Saldırıları: Bir hacker, normal bir çalışanın şifresini çalarsa hasar sınırlı kalır. Ama bir IT yöneticisinin şifresini çalarsa, tüm anahtarları ele geçirmiş olur.

    Bu riskleri ortadan kaldırmanın tek yolu, şifreleri insanların aklından veya Excel dosyalarından alıp, merkezi ve güvenli bir şifre kasasına kilitlemektir.

    Çözüm: Securden ile Yetkili Erişim Yönetimi (PAM)

    İşte bu noktada Securden gibi modern PAM platformları devreye girer. Securden, yetkili hesaplarınızı ve şifrelerinizi dijital bir banka kasasına koyar ve o kasayla kimin, ne zaman ve ne şartlarda etkileşime gireceğini belirleyen kurallar koymanızı sağlar.

    Peki Securden tam olarak ne yapar?

    1. Güvenli Şifre Kasası: Tüm yönetici şifrelerinizi şifrelenmiş bir kasada saklar. Artık kimse şifreyi doğrudan bilmek zorunda kalmaz.
    2. Erişim Yönetimi: Bir IT uzmanının bir sunucuya erişmesi gerektiğinde, Securden üzerinden talepte bulunur. Onaylanırsa, Securden şifreyi çalışana göstermeden, doğrudan sunucuya bir oturum açar.
    3. Oturum Kaydı: Securden, yetkili bir kullanıcının sunucuda yaptığı her şeyi bir video gibi kaydeder. Bir sorun olduğunda, “kim ne yapmış?” sorusunun cevabı saniyeler içinde bulunur.
    4. Otomatik Şifre Değişimi: Bir şifre kullanıldıktan sonra Securden’in otomatik olarak o şifreyi değiştirmesini sağlayabilirsiniz. Bu, paylaşılan şifre riskini tamamen ortadan kaldırır.

    Sadece Bir Güvenlik Aracı Değil, Bir İş Sürekliliği Garantisi

    Yetkili Erişim Yönetimi’ni (PAM) sadece bir siber güvenlik yatırımı olarak görmeyin. Bu, işinizin sürekliliğini, veri itibarınızı ve yasal uyumluluğunuzu (ISO 27001, PCI-DSS vb.) sağlayan temel bir sigortadır.

  • Web Siteniz KVKK’ya Uyumlu mu? Gözden Kaçan Tehlike: Çerezler ve Açık Rıza

    Web Siteniz KVKK’ya Uyumlu mu? Gözden Kaçan Tehlike: Çerezler ve Açık Rıza

    Web siteniz için bir gizlilik politikası hazırladınız, iletişim formunuza bir onay kutusu eklediniz ve “KVKK uyumluluğunu sağladık” diye düşündünüz. Çoğu işletme sahibi gibiyseniz, muhtemelen bu adımları attıktan sonra arkanıza yaslandınız. Peki, size sitenizin en çok ziyaretçi alan bölümünün, yani ana sayfanızın, her saniye KVKK’yı ihlal ediyor olabileceğini söylesem?

    Endişelenmeyin, yalnız değilsiniz. Bu durumun sebebi genellikle gözden kaçan ama Kişisel Verileri Koruma Kurumu’nun (KVKK) en çok önem verdiği konulardan biri: Çerezler (Cookies) ve “Açık Rıza”nın doğru alınması.

    KVKK’nın Kalbindeki Kavram: “Açık Rıza” Gerçekten Ne Demek?

    KVKK, kişisel veri işlemenin temel şartı olarak “açık rıza”yı gösterir. Bu, kullanıcının “özgür iradesiyle, yeterli bilgiye sahip olarak ve belirli bir konuya ilişkin” onay vermesi demektir.

    Şimdi bunu web sitenizdeki çerezlere uyarlayalım. Ziyaretçiniz sitenize girdiği anda Google Analytics, Facebook Pixel, HubSpot gibi pazarlama ve analiz araçları çerezler aracılığıyla veri toplamaya başlar. Bu veriler, kullanıcının IP adresi, gezdiği sayfalar, tıkladığı ürünler gibi bilgilerdir ve evet, bunların tamamı KVKK kapsamında kişisel veridir.

    Yani, bu araçların çerezlerini kullanıcının cihazına yerleştirmeden önce, ondan geçerli bir “açık rıza” almanız gerekiyor.

    Çoğu Web Sitesinin Yaptığı O Kritik Hata: “Kabul Et” Butonu Neden Yeterli Değil?

    Sitenizin altında çıkan ve sadece “Sitemizdeki deneyiminizi iyileştirmek için çerezleri kullanıyoruz. Kabul Et” yazan o küçük banner var ya? İşte o, KVKK’nın “açık rıza” tanımını karşılamaktan çok uzak. Neden mi?

    1. “Yeterli Bilgi” Yok: Hangi çerezlerin (analitik, pazarlama, fonksiyonel) ne amaçla veri topladığını şeffaf bir şekilde açıklamıyor.
    2. “Seçim Özgürlüğü” Yok: Kullanıcıya pazarlama çerezlerini reddedip sadece fonksiyonel olanlara izin verme gibi granüler bir kontrol sunmuyor. Sadece “hepsini kabul et ya da siteyi terk et” seçeneği sunuyor.
    3. Rızadan Önce Engelleme Yok: En önemlisi de bu. Çoğu site, kullanıcı daha “Kabul Et” butonuna basmadan önce bile çerezleri çoktan yüklemiş oluyor. Bu, eve hırsız girdikten sonra kapıyı kilitlemeye benziyor.

    KVKK, rızanın özgür iradeyle verilmesini şart koşar. Kullanıcıyı her şeyi kabul etmeye zorlamak, özgür iradeyi ortadan kaldırır ve bu da alınan onayı geçersiz kılar.

    Doğru Çözüm: Usercentrics Gibi Bir Rıza Yönetim Platformu (CMP)

    İşte tam bu noktada, teknik altyapıyı hukukla birleştiren Usercentrics gibi profesyonel Rıza Yönetim Platformları (Consent Management Platforms – CMP) devreye giriyor.

    Usercentrics, web sitenize eklenen akıllı bir katman gibidir. Yaptığı şey basittir ama hayati önem taşır:

    • Otomatik Engelleme: Ziyaretçi onay verene kadar, zorunlu olmayan tüm çerezleri (Analytics, Pixel vb.) otomatik olarak engeller.
    • Şeffaf Bilgilendirme: Kullanıcıya hangi çerezlerin ne işe yaradığını anlatan, anlaşıılır bir dilde bir banner sunar.
    • Granüler Kontrol: Kullanıcıya hangi çerez kategorilerine (örneğin sadece analitik) izin verip hangilerini reddedeceğini seçme imkanı tanır.
    • Onay Kaydı: Verilen tüm rızaları yasal bir delil olarak zaman damgasıyla kaydeder ve olası bir denetimde sizi korur.

    Sadece Yasal Bir Yükümlülük Değil, Bir Güven Sinyali

    Usercentrics’i sadece olası bir KVKK cezasından korunmak için bir kalkan olarak görmeyin. Kullanıcı verilerine saygı duyduğunuzu göstermek, markanızın şeffaflığını ve güvenilirliğini artıran en önemli adımlardan biridir. Ziyaretçileriniz, verileri üzerinde kontrol sahibi olduklarını bildiklerinde sitenizde daha rahat gezer ve markanıza daha fazla güvenirler.

    Deomis Olarak Size Nasıl Yardımcı Olabiliriz?

    Web sitenizin mevcut çerez yönetiminin KVKK risklerini taşıyıp taşımadığından emin değil misiniz? Hangi adımları atmanız gerektiğini bilmiyor musunuz?

    Deomis olarak, Usercentrics’in sertifikalı iş ortağıyız. Sitenizin teknik analizini yapmaktan, doğru CMP yapısını kurmaya ve tüm süreci sizin için yönetmeye kadar her adımda yanınızdayız. Gözden kaçan bir çerez banner’ı yüzünden büyük cezalarla karşılaşma riskini almayın.

    Gelin, bugün sitenizin KVKK uyumluluğunu birlikte ve doğru bir şekilde sağlayalım.