Massachusetts Eyaleti Veri Güvenliği Kanunu

Acı internet bankacılığı tecrübemden sonra bu haberi BThaber’de vermek iyi fikir olmaz diye bayağı çekiniyorum. Ancak yazacağım. Okurlardan tek isteğim bu yazımdan Ankaralı bürokratlara, BDDK gibi anlamadığı işlere burnunu sokan ve Sovyet uygulamaları ile karşımıza çıkan önemli kurumlara ve Massachusetts eyaletinin 201 CMR 17.00 numaralı ve 1 Mart 2010 tarihinde yürürlüğe giren kanunundan bahsetmemeleri. Lütfen.
Sonunun ne olacağı belli değil kanun çok ciddi uygulamaları zorunlu kılıyor. Amaç kimlik çalınmasına karşı kendi vatandaşlarını korumak. Ancak, kanun sadece eyalet içindeki kurum ve kişileri değil, başka eyaletlerde (belki de başka ülkelerde) Massachusetts eyaleti vatandaşlarının kimlik bilgilerini bir şekilde işlemek durumunda olan her kurum ve kişiyi de bağlıyor. Bir eyalet vatandaşının kimlik bilgilerini (ad, soyad, sosyal sigorta numarası, adres, vb.) bir dokümana koymuşsanız ve dokümani bir yere gönderme durumundaysanız, onu şifrelemeniz gerekiyor. Kaçış yok!! Dokümanı bir sunucuda tutsanızda, yine şifreleyeceksiniz.
Bir SQL veritabanında bu bilgileri tutuyorsanız, veritabanını şifrelemeniz gerekir. Bir yere iletecekseniz, HTTPS kullanmanız gerekli, HTTP değil! Diyelim ki şifrelemediniz ve bir şekilde çalındı. O zaman her kişi bilgisi başına ödeyeceğiniz ceza 5 bin dolar!! İçinde bin kişinin isim, adres veya kredi kartı bilgisi olan bir dokümanı çaldırmışsanız, cezası 5 milyon dolar! Evet, bin kişi için 5 milyon dolar. İşten çıkardığınız biri, elindeki USB diske bunları koyup, karşı semtteki markete satarsa, sizin cezanız 5 milyon dolar.
Her şeyden önce, işyeri bir Yazılı Bilgi Güvenliği Planı (Written Information Security Plan – WISP) oluşturup, bunu eyalet hükümetine vermek ve onaylatmak zorunda. Bunu yapmamışsanız, şifreli bile olsa, veritabanını çaldırmışsanız, başınız milyonlarca dolarlık dertte.
Bakalım, Massachusetts bu garip ve “draconian” kanunla daha mı güvenli olacak. Göreceğiz.