İki AB Düzenlemesi, İki Farklı İş
GDPR ve AB Siber Dayanıklılık Yasası'nı (CRA) bir torbaya koymak kolay — ikisi de AB düzenlemesi, ikisi de ciddi cezalar taşıyor, ve ikisi de aynı "uyumluluk kontrol listesi" konuşmalarında geçiyor. Ama gerçekte farklı şeyleri düzenliyorlar, ve onları değiştirilebilir gibi ele almak gerçek boşluklar bırakıyor.
GDPR veri ile ilgili: hangi kişisel bilgiyi topluyorsun, neden, ne kadar süre tutuyorsun, ve o verinin arkasındaki insanların ne hakları var. CRA yazılım güvenliği ile ilgili: bir dijital ürünün ne kadar güvenli inşa edildiği, güvenlik açıklarının nasıl bildirildiği, ve güvenlik güncellemelerinin ürünün ömrü boyunca nasıl teslim edildiği.
Bir WordPress sitesi tamamen GDPR uyumlu olabilir — düzgün çerez onayı, açık bir gizlilik politikası, veri işleme sözleşmeleri — ve CRA'nın beklediği hiçbir şeye sahip olmayabilir. Tersi de doğru. Aynı listede çakışan onay kutuları değiller; iki ayrı liste onlar.
GDPR Gerçekte Neyi Kapsıyor
2018'den beri yürürlükte olan Genel Veri Koruma Yönetmeliği, kişisel verilerin nasıl toplandığını, saklandığını, işlendiğini ve paylaşıldığını yönetir. Tipik bir WordPress sitesi için bu şunlara dokunur:
- Çerez onayı — analitik, reklam ve takip çerezleri yüklenmeden önce sadece bir bildirim banner'ı değil, açık opt-in onayı gerektirir.
- Gizlilik politikası — hangi verileri (iletişim formları, yorumlar, analitik, e-ticaret siparişleri) topladığının ve onlarla ne yaptığının açık, erişilebilir bir açıklaması.
- Veri sahibi hakları — ziyaretçilerin verilerini talep etmesi, düzeltme istemesi veya silme talep etmesi için mekanizmalar.
- Veri işleme sözleşmeleri — adına veri işleyen herhangi bir üçüncü taraf hizmetle (e-posta sağlayıcıları, analitik araçları, hosting) sözleşmeler.
- İhlal bildirimi — kişisel veri ifşa olduysa, ilgili yetkiliye 72 saat içinde veri ihlallerini bildirme süreci.
Bunların hiçbiri kodunun, eklentilerinin güvenliğiyle veya güvenlik açıklarının nasıl bildirildiğiyle ilgili değil. GDPR, iletişim formu eklentinin yamanmamış bir SQL injection hatası olup olmadığını önemsemiyor — toplandıktan sonra o veriden geçen şeye ne olduğunu önemsiyor.
CRA Gerçekte Neyi Kapsıyor
2027'ye kadar aşamalı olarak uygulanan Siber Dayanıklılık Yasası, AB pazarında satılan dijital öğeli ürünlerin güvenliğini yönetir. Birincil olarak üreticileri hedefliyor — WordPress eklenti ve tema geliştiricileri dahil yazılım satıcılarını kapsıyor — her web sitesi operatörünü değil. Bir geliştirici veya satıcı için bu şu demek:
- Tasarımdan güvenli (secure-by-design) geliştirme — güvenliği baştan dikkate alarak yazılım inşa etmek, sonradan eklemek değil.
- Güvenlik açığı bildirim politikası — güvenlik araştırmacılarının güvenlik açıklarını bildirmesi için belgelenmiş, herkese açık bir süreç (burada security.txt devreye giriyor).
- Güvenlik güncellemeleri — belirli bir destek süresi için bilinen güvenlik açıklarını yamalama ve bir güvenlik güncellemesi mevcut olduğunda kullanıcıları bilgilendirme taahhüdü.
- Yazılım Malzeme Listesi (SBOM) — çoğu ürün için, kullanılan yazılım bileşenleri ve bağımlılıklarının belgelenmiş bir listesi, böylece kullanıcılar ve düzenleyiciler bir bileşende bilinen bir güvenlik açığı olduğunda riski değerlendirebilir.
- Olay bildirimi — aktif olarak istismar edilen güvenlik açıklarını sıkı zaman çerçeveleri içinde ilgili yetkililere (ENISA) bildirme.
Yazılım inşa edip dağıtan biri değil de sadece WordPress.org'dan eklenti kuran bir site operatörüysen, CRA'nın doğrudan yükümlülükleri sana değil eklenti geliştiricilerine daha çok düşer — ama işin bir eklenti, tema veya AB müşterisi olan herhangi bir dijital ürün inşa edip satıyorsa, bu sana doğrudan uygulanır.
Yan Yana Karşılaştırma
| GDPR | AB Siber Dayanıklılık Yasası | |
|---|---|---|
| Ne düzenliyor | Kişisel veri işleme | Yazılım ürün güvenliği |
| Kimi hedefliyor | AB sakinlerinin verisini işleyen herkes | Dijital öğeli ürün üreticileri |
| Temel belgeler | Gizlilik politikası, veri işleme sözleşmeleri | Güvenlik açığı bildirim politikası, SBOM |
| Temel gereklilik | Veri işleme için yasal dayanak | Tasarımdan güvenli, sürekli güvenlik güncellemeleri |
| Uygulama | 20M avroya veya küresel cironun %4'üne kadar | 15M avroya veya küresel cironun %2,5'ine kadar |
| Yürürlükte | 2018'den beri | 2027'ye kadar aşamalı |
İkisinin de Neden Bir WordPress İşi İçin Önemli Olduğu
Bir WordPress ajansı işletiyorsan, eklenti veya tema geliştiriyorsan, veya AB ziyaretçi verisi işleyen bir site işletiyorsan, her iki düzenleme de gerçekçi olarak ilgili — sadece operasyonunun farklı kısımları için:
- Sitenin veri toplaması (iletişim formları, analitik, e-ticaret) GDPR kapsamına giriyor.
- İnşa edip dağıttığın herhangi bir yazılım — bir eklenti, bir tema, bir SaaS ürünü — CRA kapsamına giriyor.
Çoğu WordPress işi GDPR tarafını zaten halletmiş, çünkü 2018'den beri uygulanıyor ve çoğu ajans bunu yıllar önce sürecine dahil etti. CRA daha yeni ve çok daha az yaygın olarak ele alınıyor, ki boşluk genellikle tam olarak burada.
CRA Boşluğunu Kapatmak
Bir WordPress eklentisi veya teması geliştirip dağıtıyorsan, CRA hazırlığı için pratik başlangıç noktası belgelendirme: bir güvenlik açığı bildirim politikası, bir security.txt dosyası, ve ideal olarak bağımlılıklarını listeleyen bir SBOM. Erdo CRA Compliance, bir WordPress sitesini CRA, GDPR ve NIS2 gerekliliklerine karşı tarar ve CRA'nın beklediği belgeleri — güvenlik açığı bildirim politikası, SBOM, security.txt — her parçayı manuel inşa etmek yerine tek geçişte üretir.
Özetle
GDPR ve CRA birbiriyle yarışan düzenlemeler veya aynı gerekliliğin iki versiyonu değil — tamamen farklı riskleri kapsıyorlar. "GDPR uyumluyuz"u daha geniş bir uyumluluğun kanıtı olarak ele almak yazılım güvenliği tarafını tamamen ele alınmamış bırakır. WordPress işin yazılım inşa ediyor veya dağıtıyorsa, ikisi de ayrı ilgi, ayrı belgelendirme, ayrı riskleri ele alma gerektirir.