Dijital arşiv projelerinde güvenlik, “klasöre şifre koymak” değildir. Güvenli ve sürdürülebilir yapı; kullanıcıların yalnızca görevleriyle ilgili belgelere eriştiği, erişimlerin kayıt altına alındığı ve KVKK gereksinimlerinin sistematik şekilde karşılandığı rol bazlı yetkilendirme (RBAC) tasarımıyla kurulur. Doğru kurgulanmamış yetkilendirme; ya arşivi kilitler (kimse belge bulamaz) ya da fazla açık bırakır (veri sızıntısı riski büyür).
Serinin ana yol haritası: Dijital Arşiv Sistemine Geçiş Nasıl Olur?
Rol Bazlı Yetkilendirme (RBAC) Nedir?
RBAC; kullanıcıya tek tek izin vermek yerine, kullanıcının bağlı olduğu role izin vererek erişimi yönetir. Örnek roller:
- İnsan Kaynakları
- Muhasebe
- Satın Alma
- Hukuk
- Yönetim
- Denetim
RBAC ile hedef:
- En az yetki (least privilege) prensibi
- Standart erişim kuralları
- Kolay yönetim (kullanıcı değişse bile rol aynı kalır)
1) Neden RBAC Şart? (Kurumsal Risk)
RBAC tasarımı olmayan sistemlerde sık görülen sorunlar:
- Eski çalışanların yetkileri unutulur, erişim açık kalır
- “Acil lazım” diye herkese erişim verilir, geri alınmaz
- Belgeler gizlilik seviyesine göre ayrılmadığı için KVKK riski büyür
- Denetimde “kim erişti?” sorusu net yanıtlanamaz
KVKK mimarisi ve güvenlik yaklaşımı:
KVKK Uyumlu Dijital Arşiv Mimarisi
2) RBAC Tasarımının 5 Bileşeni
1) Rol kataloğu (Role Catalog)
Kurumdaki rollerin listesi ve kapsamı yazılı olmalıdır:
- Rol adı
- Sorumlu birim
- Erişmesi gereken belge türleri
- Erişmemesi gereken kritik alanlar
2) Kaynak modeli (Resource Model)
Yetki, “klasör” üzerinden değil; mümkünse aşağıdaki kırılımlarla yönetilir:
- Belge türü
- Birim/departman
- Dönem
- Gizlilik seviyesi
Meta veri standardı burada belirleyicidir:
Kurumsal Meta Veri Standardı Nasıl Oluşturulur?
3) İzin türleri (Permissions)
Kurumsal projelerde izinler genellikle şu başlıklarla ayrılır:
- Görüntüle (view)
- İndir (download)
- Düzenle (edit metadata)
- Yükle (upload)
- Sil (delete)
- Paylaş (share)
- Dışa aktar (export)
- Yönet (admin)
4) Gizlilik seviyesi (Confidentiality Labels)
Belgelere gizlilik etiketi eklemek; yetki tasarımını basitleştirir. Pratik etiketleme örneği:
- R0: Genel
- R1: Kurum içi
- R2: Gizli
- R3: Çok gizli / KVKK hassas
5) Loglama ve izlenebilirlik
Yetki kadar önemli olan şey, erişimin kayıt altına alınmasıdır:
- Kim erişti?
- Ne zaman erişti?
- Ne yaptı? (görüntüledi/indirdi/yazdırdı)
Loglama: Dijital Arşivde Loglama ve İzlenebilirlik
3) Erişim Matrisi Nasıl Kurulur? (Snippet Uyumlu)
Erişim matrisi, “rol × belge grubu” tablosudur. En hızlı uygulama adımları:
- Belge türlerini listele (sözleşme, fatura, özlük, yazışma vb.)
- Gizlilik seviyelerini tanımla (R0–R3)
- Rollerini çıkar (İK, Muhasebe, Hukuk…)
- Her rol için izinleri belirle (view/download/edit/export)
- İstisnaları yaz (ör. yönetim, denetim, dış danışman)
- Log raporlarını ve alarm kurallarını ekle
Bu yapı; arama performansını da iyileştirir çünkü kullanıcı yalnızca yetkili olduğu havuzda arama yapar:
Arama Performansını Artıran 7 Teknik
4) RBAC’te En Sık Yapılan 7 Hata
- Rol yerine kişiye özel yetki vermek
- Gizlilik seviyesi olmadan yetki kurgulamak
- İndirme/dışa aktarmayı kontrol etmemek
- “Geçici yetki”yi geri almamak
- Logları tutup raporlamamak
- Denetim/üst yönetim rollerini net tanımlamamak
- Pilot yapmadan canlıya almak
Sistem kararını pilota bağlamak gerekir:
Dijital Arşiv Pilot Çalışması Nasıl Yapılır?
5) RBAC ile Saklama–İmha Politikası Nasıl Uyumlanır?
Erişim yetkisi kadar önemli bir diğer konu; belgenin yaşam döngüsüdür. Saklama süresi dolan belgenin:
- erişimi kısıtlanmalı
- imha süreci kayıt altına alınmalı
- imha sonrası kanıtlanabilirlik korunmalıdır
Bu yaklaşımı netleştirmek için:
Saklama ve İmha Politikası Nasıl Oluşturulur?
6) Mini Kontrol Listesi
- Rol kataloğu yazılı mı?
- Belge türü + gizlilik seviyesi ile kaynak modeli kuruldu mu?
- İzin türleri (view/download/export) net mi?
- Erişim matrisi oluşturuldu mu?
- Loglar raporlanabiliyor mu?
- Geçici yetki süresi var mı?
- Pilot ile doğrulandı mı?
RBAC Tasarımınızı Kurumunuza Özel Netleştirelim
Kurumsal operasyon modeli: Kurumsal Dijital Arşiv Hizmetleri
Planlama ve teklif için: Fiyat Teklifi Alın
