DLP (Data Loss Prevention) ve Veri Sınıflandırma 2026: KVKK Uyumlu Üretim Mimarisi

Türkiye’de KVKK Kurumu, 2025 yılında 460+ veri ihlali kararı yayımladı; toplam idari para cezası 340 milyon TL‘yi aştı (KVKK 2026 Faaliyet Raporu). Cezaların çoğunda kurumların ortak hatası: hassas verinin nereden geçtiğini bilmemek, sızıntı tespitini ay/yıllarca gecikmeli yapmak. Modern bir DLP (Data Loss Prevention) + Veri Sınıflandırma mimarisi bu riskleri %85 azaltır, ihlalleri ortalama 72 saatten 4 saate indirir. Aynı zamanda LLM ve generative AI kullanımının yaygınlaşması (Türkiye’de çalışanların %62’si en az haftada bir ChatGPT/Claude kullanıyor — TÜSİAD 2026 anketi), hassas verinin yeni bir kanaldan dışarı sızma riskini ekledi: prompt’lar.

Bu rehberde modern DLP mimarisini, veri sınıflandırma akışlarını, açık kaynak/ticari araçları ve KVKK uyumlu üretim pratiğini somut sayılarla aktarıyoruz. Hedef kitle: CIO/CISO, KVKK Uyum Sorumluları, veri mimarları ve denetime hazırlanan organizasyon liderleri.

DLP Nedir, Hangi Kanalları Korur?

• Endpoint DLP: Çalışanın bilgisayarında dosya kopyalama, USB, ekran görüntüsü.
• Network DLP: Sınır geçişinde (firewall, web gateway) veri çıkışı.
• Email DLP: Hassas veri ile email gönderimi.
• Cloud DLP: SaaS uygulamalarında (Slack, Notion, Google Drive) veri.
• Storage DLP: Veritabanı + S3 + file share’lerde hassas veri taraması.
• AI/LLM DLP: ChatGPT/Claude prompt’larında PII filtrasyonu.

Veri Sınıflandırma

Her DLP sistem önce “hangi veri hassas?” sorusunu yanıtlamak zorunda. Tipik sınıflar:

• Halka açık: Marka, ürün katalog, blog.
• İç: Çalışan listesi, organizasyon şeması.
• Gizli: Müşteri verisi, fiyatlandırma.
• Çok gizli: Stratejik, M&A, kart bilgisi, sağlık verisi.
• KVKK Özel Nitelikli: Sağlık, etnik, siyasi görüş, dini inanç.

Otomatik Sınıflandırma Yöntemleri

• Regex pattern matching: TC Kimlik, kredi kartı, IBAN.
• Keyword/dictionary: “Gizli”, “Confidential”, özel ürün kodları.
• ML/NER: Spacy, Presidio (Microsoft) — kişi adı, lokasyon, kurum.
• Fingerprinting: Hassas belgelerin hash imzası.
• Context-aware: Dosya konumu + sahibi + erişim örüntüsü.

Türkçe TC kimlik regex’i 11 hane + Luhn’a benzer mod 10 algoritması ile doğrulanmalı — basit “11 hane” regex’i %35’e varan false positive üretir. IBAN için TR + 24 hane + IBAN check digit (mod 97) kontrolü şart. Bu basit doğrulamalar bile false positive oranını dramatik düşürür.

Microsoft Presidio: Açık Kaynak PII Detector

• 30+ built-in detector (kredi kartı, IBAN, TC, email, telefon, IP).
• Türkçe NER modelleri (Spacy).
• Pseudonymization + tokenization API.
• Image OCR ve PDF desteği.
• FastAPI ile self-hosted veya Docker.
• LLM prompt sanitization için ideal.

Üretim Mimarisi

• Discovery agent: Veritabanı + S3 + dosya servisi tarar.
• Classification engine: Regex + ML + manuel etiket.
• Policy engine: Hangi sınıf hangi kanalda izinli/yasak.
• Enforcement: Network gateway, email proxy, endpoint agent.
• Incident management: SIEM (Splunk, Sentinel) + ticket.
• Audit + raporlama: KVKK Kurulu için 72 saat içinde bildirim.

Pratik Senaryolar

1. Email DLP

• Çalışan müşteri listesini email ile dışarı göndermek istiyor.
• DLP gateway “10K+ TC kimlik” tespit eder.
• Email durdurulur, yöneticiye onay için gönderilir.
• Aksiyon: engelle / sadece encrypted gönder / onay sonrası geç.

2. Cloud Drive / Slack

• Çalışan Google Drive’a hassas Excel yüklemeye çalışır.
• DLP bağlanır (Google Cloud DLP API, Microsoft Purview).
• Dosya etiketlenir, dışarıya share linki engellenebilir.

3. LLM Prompt Sanitization

• Çalışan ChatGPT’ye müşteri verisi ile soru sorar.
• Browser extension (Cyberhaven, Nightfall) PII tespit eder.
• Sanitize: gerçek isim → “Person_1”, TC → masked.
• Çalışan görür, onay alır, ardından gönderir.

LLM prompt katmanı 2026’nın en hızlı büyüyen DLP kanalı. LLM guardrails rehberimizde NeMo Guardrails ve LlamaGuard ile bu katmanın detaylı mimarisini anlattık.

4. Database Activity Monitoring (DAM)

• Production DB’ye yapılan her query loglanır.
• Anormal pattern (örn. SELECT * FROM users 100K kez) alarm.
• DAM araçları: Imperva, IBM Guardium, açık kaynak: pgaudit.

Araç Karşılaştırması

Tool	Kategori	Maliyet
Microsoft Purview	Cloud + endpoint DLP, M365 entegre	$10-30/user/ay
Symantec DLP	Enterprise endpoint	$15-50/user/ay
Forcepoint DLP	Enterprise network + endpoint	$20-60/user/ay
Nightfall AI	SaaS-first, AI-native	$5-25/user/ay
Cyberhaven	Data lineage + DLP	$15-40/user/ay
OpenDLP / Apache MetaCAT	Açık kaynak	0 + operasyon
Microsoft Presidio	PII detection (open source)	0

KVKK Uyum İlişkisi

• VERBİS bildirimi için veri envanteri.
• Aydınlatma metni güncel tutmak için hangi veri nerede.
• Kişisel veri silme talepleri için lokasyon bilgisi.
• İhlal bildiriminde (72 saat) ne kaybedildiğini hızlıca tespit.
• Veri aktarımı (yurt dışı) için sınıf bilgisi.
• Veri sahibi başvurularına (madde 11) DLP envanter sayesinde 30 gün içinde cevap.

KVKK’nın 7257 sayılı Kararı sonrası ihlal bildirim süresi 72 saat olarak netleşti. Bu süreyi yakalamak için DLP’nin “incident → triage → bildirim taslağı” akışını otomatize etmesi şart; manuel süreç çoğu kurumda 5-10 günü buluyor ve ek para cezasına yol açıyor.

Performans Metrikleri

• False positive oranı: < %5 (operasyonel yorgunluk).
• Mean Time to Detect (MTTD): < 4 saat.
• Mean Time to Respond (MTTR): < 24 saat.
• Coverage: kritik veri lokasyonlarının %100’ü.
• Discovery scan süresi: 100 TB için < 7 gün.

Tipik Türkiye Rollout Pattern’ı

Orta-büyük bir Türk şirketinde DLP rollout’u tipik olarak 4 fazlı yürür:

1. Faz 1 — Discovery (4-8 hafta): Mevcut veri lokasyonlarını tara. Presidio + scripts ile DB, dosya share, S3 üzerinde sample tarama. Çıktı: “Burada 850K TC, 120K IBAN var” raporu.
2. Faz 2 — Email DLP alert (4-6 hafta): Email gateway’de “block” değil “alert” mod. False positive listesi olgunlaşır.
3. Faz 3 — Endpoint + Cloud DLP (8-12 hafta): M365/Google Workspace tarafına Purview/Cloud DLP. Çalışanlara eğitim.
4. Faz 4 — LLM prompt sanitization (6+ hafta): Browser extension veya API gateway katmanı. Bu artık standart prosedüre dahil.

Bu pattern DevSecOps shift-left yaklaşımını destekler — veri sınıflandırma artık production sonrası bir audit aktivitesi değil, geliştirme sürecinin parçası.

Maliyet ve Süre

Kapsam	Süre	Maliyet (TL)
MVP: email + Presidio + classification	2-4 ay	350.000-700.000
Orta: + cloud DLP + endpoint	5-9 ay	1.000.000-2.200.000
Enterprise: Microsoft Purview + custom	10-18 ay	2.500.000-6.500.000

Sık Sorulan Sorular

Ömer Önal’dan pratik not: Türkiye’de KVKK uyumluluğu danışmanlığı verdiğim projelerde gözlemlediğim en kritik fark, DLP’yi “blok et” odaklı kurmak. Bu yaklaşım çoğu zaman çalışanları yasal araçlardan kaçırıp Whatsapp, kişisel Gmail gibi shadow IT kanallarına itiyor — bu da daha büyük risk demek. Doğru kurulum: önce discovery + classification ile envantere bak, sonra alert mod ile “şu kanaldan şu hassas veri çıkıyormuş” görünürlüğü yarat, en son block mod‘a geçilir ama sadece “çok gizli” sınıfında. LLM prompt sanitization’ı es geçmeyin — Türkiye’de çalışanların %62’si ChatGPT kullanırken, bu katmanda DLP yoksa müşteri verisi OpenAI sunucularına gitmiş demektir (KVKK madde 9 ihlali). Sizin organizasyonunuzda veri envanteri durumu ne — VERBİS’te ne yazıyorsa gerçeği yansıtıyor mu, yoksa son 2 yılda büyük bir delta oluştu mu?

Sonuç

DLP ve veri sınıflandırma, KVKK uyumluluğunun ve modern veri güvenliğinin omurgası. Doğru tasarlanmış bir sistem (Presidio + email gateway + cloud DLP + LLM prompt sanitization) ihlal sayısını %85 azaltır, tespit süresini 72 saatten 4 saate indirir, idari para cezası riskini %70 düşürür. 2026’da KVKK denetimi yoğunlaşırken bu yatırım artık opsiyonel değil. Zero trust ZTNA, PAM ve JIT access ve Postgres RLS rehberlerimiz bu mimarinin tamamlayıcıları. İletişim formundan projeniz için DLP mimari değerlendirme talep edebilirsiniz.

Dış otorite kaynaklar: KVKK Kurumu · Microsoft Presidio · GDPR (EU referans) · NIST Privacy Framework