B2B pazaryerleri yapıları gereği yoğun kişisel ve kurumsal veri taşır: bayi sahiplerinin iletişim bilgileri, kurumsal alıcıların yetkili kişi bilgileri, satıcıların evrak ve banka bilgileri, sipariş ve cari hesap geçmişleri. Bu veriler KVKK kapsamına girdiği için B2B platform sahibinin "veri sorumlusu" sıfatıyla belirli yükümlülükleri vardır.
#KVKK perspektifinden B2B pazaryerindeki veri kategorileri
KVKK kapsamına giren tipik veri grupları şunlardır: - Bayi/satıcı yetkilisinin ad, soyad, telefon, e-posta, T.C. kimlik numarası - Kurumsal alıcı temsilcisinin iletişim bilgileri - Satıcıların imza sirküleri, vergi levhası, faaliyet belgesi gibi evrakları - Banka hesap bilgileri ve ödeme verileri - Sipariş geçmişi (tüketim alışkanlıkları içerebilir) - Sistem giriş kayıtları (IP, tarih, cihaz)
#Aydınlatma metni ve açık rıza
KVKK'nın temel gerekliliği veri sahibini bilgilendirmek ve gerekli durumlarda açık rızasını almaktır. B2B pazaryerinde kayıt formunda aydınlatma metni gösterilmeli, pazarlama amaçlı veri kullanımı için ayrı bir onay kutusu sunulmalıdır. Açık rıza alınmadan pazarlama e-postası gönderilmesi veya verilerin üçüncü taraflara aktarılması ihlal sayılır.
#Rol bazlı yetkilendirme
Pazaryeri içindeki iç kullanıcıların (operasyon, finans, depo, müşteri ilişkileri) hangi veriyi göreceği rol bazlı sınırlandırılmalıdır. Örneğin müşteri ilişkileri ekibi sipariş geçmişini görebilir ama banka bilgilerini göremez. Finans bankayı görebilir ama detaylı sipariş içeriğini değil. Bu yetki yapısı yalnızca veri güvenliği için değil, KVKK denetiminde "veri minimizasyonu" ilkesini karşılamak için de gereklidir.
#Veri silme, anonimleştirme ve sınırlı erişim
Veri sahibi (bayi, kurumsal alıcı, satıcı) silme talebi gönderdiğinde sistem bunu işleyebilmelidir. Tamamen silme bazı durumlarda mümkün değildir (örneğin yasal saklama yükümlülüğü olan fatura verisi); bu durumda anonimleştirme uygulanır: kişisel veri sütunları temizlenir, ancak istatistik amaçlı sayısal veri korunur. Bu süreç manuel değil, sistemsel bir akış olarak tanımlanmalıdır.
#Loglama ve denetim izi
Hangi iç kullanıcının hangi veriyi ne zaman görüntülediği veya değiştirdiği log altına alınmalıdır. KVKK denetim talep ettiğinde bu loglar sunulur. Loglar belirli süre saklanır (genellikle 2 yıl) ve sadece yöneticilerin erişebileceği şekilde korunur. Manipüle edilemeyecek log yapısı için ayrı bir log servisi (örneğin SIEM) kullanılması önerilir.
#Yedekleme ve felaket kurtarma
Veri kaybı KVKK ihlali olarak da değerlendirilebilir. Bu yüzden günlük tam yedek + saatlik artımlı yedek standart olmalıdır. Yedekler şifrelenmiş şekilde saklanır; ikinci bir bölgede ayna yedek bulunması felaket kurtarma için kritiktir. Yedekten geri dönüş senaryosu yılda en az bir kez test edilmelidir.
#Üçüncü taraf entegrasyonları ve veri aktarımı
ERP, kargo, e-fatura, ödeme sağlayıcı gibi entegrasyonlarda veri aktarımı yapılır. Bu aktarımların hangi veriyi içerdiği, sağlayıcının yurtdışında olup olmadığı (yurtdışına veri aktarımı ek izin gerektirir) ve sözleşmesel garantilerin sağlanıp sağlanmadığı dikkate alınmalıdır. KVKK aydınlatma metninde bu aktarımların açıkça belirtilmesi gerekir.
#Teknik güvenlik kontrolleri
KVKK uyumu sadece evrak değil, somut teknik kontrol ister: - HTTPS/TLS zorunluluğu - Şifrelerin hash'lenmiş saklanması (bcrypt, Argon2) - İki faktörlü doğrulama (özellikle iç kullanıcı için) - WAF, DDoS koruması, rate limiting - Düzenli güvenlik testi (penetrasyon testi) - Yazılım kütüphanelerinin güncel tutulması - Veritabanı erişiminin VPN/IP whitelist arkasında olması
#Veri ihlali bildirimi
Olası bir veri ihlalinde KVKK Kurumu'na 72 saat içinde bildirim yapılması zorunludur. Bu yüzden ihlal tespit ve müdahale planı baştan yazılmalıdır: kim ne yapacak, hangi loglar bakılacak, kim Kurum'a yazılacak, etkilenen veri sahipleri nasıl bilgilendirilecek.
#i-Pazaryeri yaklaşımı
i-Pazaryeri çekirdeği KVKK gerekliliklerini standart olarak içerir. Aydınlatma metni şablonu, rol bazlı yetkilendirme sistemi, log altyapısı, veri silme/anonimleştirme süreci, yedekleme planı ve teknik güvenlik kontrolleri kurulumla birlikte gelir. Sektörünüze özel ek gereklilikler (örneğin sağlık verisi için ek koruma, finansal veri için ek şifreleme) proje kapsamında planlanır.
