Bankacılık ve Finans

KVKK ve GDPR Uyumunda Veri Maskeleme Stratejileri

Production verisi test ortamında nasıl güvenle kullanılır? Maskeleme, pseudonymization ve synthetic data yaklaşımları karşılaştırmalı.

BIART Ekibi2 dk okuma4 görüntüleme
Dijital güvenlik ve uyum görseli

Geliştirici ekibin gerçek test verisine ihtiyacı vardır — ama KVKK ve GDPR kişisel veriyi paylaşmayı kısıtlar. Bu ikilem her veri yoğun kurumun karşılaştığı temel bir gerilimdir. Çözüm üç yaklaşımdan birinde yatar: statik maskeleme, dinamik maskeleme ve sentetik veri üretimi.

Statik Maskeleme

Production veri test ortamına kopyalanırken bir defalık dönüştürülür. Örneğin tüm isimler "Müşteri 12345" formatına, tüm TC numaraları rastgele ama format-koruyan sayılara dönüşür. Avantajı basitliği, dezavantajı her yeni test kopyasında süreci tekrarlamak zorunluluğu.

Dinamik Maskeleme

Veri tabanı seviyesinde, kullanıcının rolüne göre canlı maskeleme. SQL Server Dynamic Data Masking, Oracle Redaction ve Snowflake Dynamic Masking bu kategoride. Geliştirici SELECT * FROM customers çağrısında TC'yi xxx-xxx-xxxx olarak görür, full-access rolündeki analist gerçek değeri. Avantaj: tek kopya, çoklu görünüm. Dezavantaj: query optimization karmaşıklaşır.

Pseudonymization

Kişisel veri bir alias ile değiştirilir ama alias → gerçek değer haritası ayrı bir güvenlik duvarı arkasında tutulur. GDPR'ın Article 4(5) tanımına uyar ve yasal olarak kişisel veri değildir (ama nemli alanda kalır). Bankacılık risk modellemesinde en yaygın tercih.

Sentetik Veri

Gerçek dağılımları öğrenen bir modelle (GAN, variational autoencoder veya istatistiksel sampling) üretilen tamamen fiktif kayıtlar. Test senaryoları gerçekçi, veri ise fiktif. Performans testleri için idealdir; ancak nadir kombinasyonlar öğrenilemeyebilir, bu yüzden korner case test için yetersiz kalabilir.

Hangi Yaklaşım Hangi Durumda?

  • Fonksiyonel test ve geliştirme: statik maskeleme yeterli.
  • Analitik raporlama ve BI ortamı: dinamik maskeleme.
  • Risk modelleme ve 3. taraf paylaşımı: pseudonymization zorunlu.
  • Performans ve yük testi: sentetik veri ile birleşik yaklaşım.

Saha Örneği

Tipik bir bankacılık senaryosunda üç katmanlı bir yaklaşım sık tercih edilir: statik maskeleme dev/test için, dinamik maskeleme production BI için, pseudonymization üçüncü taraf model geliştirme partneri için. Bu üç katman birlikte çalışınca hem KVKK hem BDDK denetimlerinde sorunsuz geçiş sağlandı.

Sonuç

KVKK / GDPRVeri AmbarıVeri YönetişimiUyum
Paylaş

İlgili yazılar