Kişisel veri (PII) nedir

Giriş

Kişisel veri (PII), doğrudan veya dolaylı olarak bir kişiyi tanımlayabilen tüm bilgi türlerini ifade eder. Günümüzde pii, kurumların güvenlik, gizlilik ve uyumluluk politikalarının merkezinde yer alır. SAP altyapıları ve kurumsal yapay zeka platformları gibi veri yoğun ortamlar için PII’nin doğru yönetimi hem teknik bütünlük hem de kurumsal güven açısından zorunludur.

Kişisel veri (PII) nedir tanımı

PII (Personally Identifiable Information), bir şahsın kimliğini belirlemeye olanak tanıyan ya da belirlenebilir hale getiren her türlü veri kümesidir. Ad, kimlik numarası, IP adresi, konum bilgisi, biyometrik veri veya kullanıcı oturum token’ları bu kapsamda değerlendirilir. SAP sistemlerinde PII bileşenleri genellikle müşteri, çalışan veya tedarikçi verilerinde ortaya çıkar ve bu verilerin işlenmesi, KVKK ve GDPR gibi düzenlemelere tabidir.

pii nasıl çalışır

PII’nin doğru işlenmesi, veri sınıflandırması, erişim kontrolü ve maskeleme politikalarıyla başlar. SAP veya BTP tabanlı mimarilerde bu süreç, veri modellerinde etiketleme ve meta veri yönetimi aracılığıyla yürütülür.

Temel parametreler ve ayarlar

• Veri etiketleme: Kişisel veri alanları, sistemde “sensitive” veya “restricted” olarak işaretlenir.
• Erişim kontrolü: Yetki nesneleri (authorization objects) ile hangi kullanıcının hangi PII alanına erişebileceği belirlenir.
• Şifreleme: Hem dinamik (data at rest) hem aktarım (data in transit) halinde AES veya TLS tabanlı şifreleme uygulanır.

Sık yapılan hatalar ve kaçınma yöntemleri

• PII alanlarının yanlış sınıflandırılması veya anonimleştirme işleminin yalnızca maskeleme olarak anlaşılması.
• Veri saklama politikalarının zamana bağlı güncellenmemesi.
• Çözüm: Veri sınıflandırma politikalarını merkezi governance sistemi altında sürekli senkronize tutmak.

Gerçek sistemlerde uygulama örnekleri

Bir SAP S/4HANA ortamında müşteri verisi, BTP üzerindeki bir yapay zeka modeli için eğitim verisine dönüştürülmeden önce depersonalize edilir. Pseudonymisation işlemi, veri koruma katmanında otomatikleştirilir. Bu sayede modele sağlanan veri işlevsel kalırken, kişisel bilgi açığa çıkmaz.

Teknik açıklama (derin seviye)

PII yönetimi, veri yaşam döngüsünü (oluşturma, işleme, depolama, silme) kapsayan uçtan uca bir güvenlik mimarisi gerektirir. SAP sistemlerinde bu süreç genellikle Data Privacy Governance modülleri üzerinden yönetilir.

Veri, oluşturulduğu anda sınıflandırma motoruna girer. Ardından, güvenlik politikaları veri kategorisine göre otomatik uygulanır. BTP entegrasyonlarında, veri servisleri (CAP, API Management vb.) pii alanlarını tanıyacak şekilde tanımlanır. Bu sayede hem iç hem de dış sistemlerle yapılan entegrasyonlarda gizlilik ve uyumluluk standartları korunur.

İşletmeler için neden kritiktir

• Performans: Gereksiz PII yükünü azaltmak, veri işleme süreçlerini hızlandırır.
• Güvenilirlik: Doğru sınıflandırılmış kişisel veriler, tutarsız veri senaryolarını önler.
• Maliyet: Gereksiz veri replikasyonunu önleyerek saklama maliyetini düşürür.
• Ölçekleme: Governance süreçleri otomatikleştiğinde sistem yükü dengelenir.
• Otomasyon: PII maskeleme ve temizleme görevleri RPA veya script bazlı otomasyonlarla yürütülebilir.
• Karar alma: Yalnızca anonimleştirilmiş verilerle yapılan analizler daha güvenli ve yasal olarak geçerlidir.
• Operasyonel verimlilik: Uyumluluk ihlallerinin önlenmesi, operasyonel aksamaların önüne geçer.

Bu kavram NeKuDos Teknoloji içinde nasıl uygulanır

NeKuDos Teknoloji, SAP BTP üzerinde çalışan NeKu.AI çözüm mimarilerinde kişisel verilerin korunmasına yönelik governance katmanları uygular. Tüm veri akışları, merkezi veri haritası (data lineage) üzerinden takip edilir ve PII alanları için maskeleme, loglama ve erişim politikaları önceden tanımlanır.

Organizasyonun politika, mimari ve dokümantasyon sayfaları, PII yönetimine ilişkin güncel süreçleri ve rol tanımlarını barındırır. Böylece güvenlik, gizlilik ve uyumluluk adımları sistematik biçimde yönetilir.

CIO, CISO, IT yöneticileri, hukuk ve uyumluluk ekipleri için gerçek bir senaryo

1. Sorun: Kurum, üretim sistemlerindeki müşteri verilerini BTP tabanlı bir makine öğrenmesi modelinde kullanmak istiyor.
2. Bağlam: PII içeren veri setleri KVKK’ya tabi ve dış sistemlere direkt aktarım riskli.
3. Kavramın uygulanması: SAP Data Intelligence üzerinden gelen veri akışları öncelikle anonimleştirme işlemlerine tabi tutulur. Governance politikaları altında veri etiketleri otomatik tanımlanır.
4. Sonuç: Model eğitim verisine yalnızca maskelenmiş veri erişir.
5. İş etkisi: Veri sızıntısı riski ortadan kalkar; güvenlik, gizlilik ve uyumluluk süreçleri denetlenebilir hale gelir.

Sık yapılan hatalar ve en iyi uygulamalar

Hatalar:

• Veri koruma politikalarının yalnızca hukuk departmanına bırakılması.
• PII maskeleme işleminin üretim dışı ortamlarda atlanması.
• Log yönetiminde kişisel veri sızıntılarının göz ardı edilmesi.

En iyi uygulamalar:

• Tüm sistemlerde PII tespitini merkezi bir veri yönetişim aracıyla gerçekleştirmek.
• Anonimleştirme yöntemlerini düzenli olarak test etmek.
• Uyumluluk denetimlerini sürekli izlenebilir hale getirmek.

Sonuç

Kişisel veri (PII), modern kurumsal bilişim altyapılarında yalnızca bir güvenlik meselesi değil, aynı zamanda stratejik bir yönetişim unsurudur. SAP ekosistemlerinde doğru tanımlanmış ve yönetilen PII, gizlilik, governance ve uyumluluk hedeflerinin somut temellerini oluşturur. NeKuDos Teknoloji benzeri kurumlar için bu yaklaşım, hem yapay zeka projelerinde güvence sağlar hem de veri kaynaklı operasyonel riskleri minimize eder.