Türkiye’de bir kafenin, otelin, restoranın, AVM’nin veya hastanenin Wi-Fi sunması artık bir lüks değil, neredeyse bir zorunluluktur. Ne var ki bu hizmet, sadece bir router kurup şifreyi paylaşmak değildir. Misafirinize internet sunuyorsanız aynı anda 5651 sayılı kanunun yüklediği yasal sorumlulukları, KVKK kapsamındaki kişisel veri yükümlülüklerini ve operasyonel olarak çalışan, güvenli, denetlenebilir bir hotspot altyapısını birlikte düşünmeniz gerekir. Bu pillar sayfası tam da bu üçgenin merkezinde duruyor: yasal uyum + teknik altyapı + kullanıcı deneyimi.

Bir eğitmen ve danışman olarak yıllardır onlarca KOBİ ile çalıştım ve şunu net olarak söyleyebilirim: 5651 ihlallerinden dolayı kesilen cezaların büyük bir kısmı, işletme sahibinin “böyle bir yükümlülüğüm olduğunu bilmiyordum” demesiyle başlıyor. Bu rehber o cümlenin söylenmemesi için yazıldı. Aşağıda sırayla 5651 yasal çerçevesini, hotspot türlerini, SMS doğrulama yöntemlerini, hash imzalı loglamayı ve KVKK ile olan ilişkisini derinleştiriyoruz; her bölüm ilgili uygulama yazımıza yönlendiriyor.

Bu Rehber Kimin İçin?

Bu pillar üç ana kitle düşünülerek yazıldı. Birincisi, kafe, restoran, otel, fitness merkezi, AVM, hastane, üniversite gibi mekanları işleten işletme sahipleri ve genel müdürler. Yani “ben technical bir insan değilim, ama yasaya uymak istiyorum” diyenler. İkincisi bu işletmelerin BT sorumlusu veya dış BT danışmanı olan, kurulumun ana yükünü taşıyan kişiler. Üçüncüsü ise BT eğitmenleri, MSP’ler ve sistem entegratörleri; yani aynı çözümü onlarca müşterisine standartlaştırarak sunmak isteyenler.

Hangi grupta olursanız olun, bu sayfa bir başvuru noktasıdır. Aşağıdaki başlıklardan ihtiyacınız olana doğrudan inebilir, oradaki yazılara yönlendirebilirsiniz. Sayfayı bookmark’lamanızı, ekibinizle paylaşmanızı tavsiye ediyorum; çünkü 5651 alanı 2007’den bu yana defalarca güncellendi ve önümüzdeki yıllarda da güncellenmeye devam edecek.

Bir kafede misafir hotspot Wi-Fi kullanan müşterilerin 5651 uyumlu altyapı üzerindeki bağlantısı

5651 Sayılı Kanun: Temel Yasal Çerçeve

5651 sayılı kanunun resmî adı “İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun”dur. Halk arasında “internet kanunu” olarak da bilinir. Yasanın iki ana paydaşı vardır: içerik sağlayıcılar (websiteleri, platformlar) ve toplu kullanım sağlayıcılar (siz, yani Wi-Fi sunan mekanlar). Bizi ilgilendiren ikinci grup.

Kanun, toplu kullanım sağlayıcının iki temel yükümlülüğü olduğunu söyler. Birincisi, sunduğu internet erişiminin loglarını tutmak; ikincisi ise bu logları belirli bir süre boyunca, talep edildiğinde sunulacak biçimde saklamaktır. Süre 2014 sonrası 2 yıl olarak belirlenmiş olsa da bazı il emniyet müdürlüklerinin 5 yıllık talepleri olabildiği için 2 yılın altında saklama yapmayın. Cezalar 10.000 TL’den başlar ve tekrarlanan ihlallerde 50.000-200.000 TL bandına çıkar.

“Hangi işletme bu kapsama girer” sorusunun cevabı son güncellemelerle daha da geniştir: 5 kişilik bir kafe de, 500 odalı bir otel de aynı kapsamdadır. Misafire (üye olmayan üçüncü kişiye) internet sunuyorsanız siz bir toplu kullanım sağlayıcısınız. Bu yükümlülüğün uçtan uca, gerçek bir teknik mimari ile nasıl karşılanacağını detaylı şekilde anlatan 5651 sayılı kanun uyumlu loglama: KOBİ için MikroTik tabanlı tam çözüm yazımız bu konunun “kitabı” niteliğindedir; mutlaka okuyun.

Hotspot Türleri: Hangi Senaryo, Hangi Kurulum?

“Hotspot” tek bir şey değildir. Sunduğunuz hizmet türüne, müşteri profilinize ve operasyonel kaynaklarınıza göre farklı hotspot mimarileri vardır. Üç ana tür ayırt edebiliriz:

  • Ücretsiz açık hotspot: Kullanıcı bir captive portal sayfası görür, kabul eder ve girer. Maliyeti düşük, operasyonu basit. Ancak 2024’ten itibaren BTK kullanıcı kimliklendirmesinin daha kuvvetli olmasını tavsiye ediyor.
  • SMS doğrulamalı hotspot: Kullanıcı cep telefonu numarasını girer, gelen kodla onaylayarak giriş yapar. Hem yasal kimliklendirme tarafını güçlendirir hem de kullanıcı bilgisi sağlar.
  • Ücretli / kupon kodlu hotspot: Oteller ve uzun süreli misafir ağırlayan mekânlar için. Resepsiyon kupon basar, kullanıcı kupon ile sınırlı süre / sınırlı kotada internet kullanır.

Her türün kendi avantajı vardır. Bir kafe için SMS doğrulamalı hotspot dengeli bir tercihken, bir otel için kupon tabanlı sistem daha pratiktir. Tüm bu seçenekleri MikroTik üzerinde nasıl kurabileceğinizin profesyonel ve adım adım anlatımı için MikroTik hotspot kurulumu: misafir Wi-Fi’yi yasal ve profesyonel sunmak yazımıza göz atın. Bu yazı tek başına kuracağınız hotspot’un %80’ini kapsar.

SMS Doğrulama: Yasal Kimliklendirmenin Belkemiği

BTK’nın 2024 sonrası tavsiyesi ve birçok il emniyet müdürlüğünün uygulamada aradığı kriter şu yöndedir: misafir Wi-Fi sunan işletmeler kullanıcıyı sadece “kabul ediyorum” butonuyla içeri almamalı, en azından bir kimliklendirme katmanı eklemelidir. Pratikte bunun en uygulanabilir yöntemi SMS doğrulamadır.

SMS doğrulama mantığı sadedir: Kullanıcı captive portal’a düşer, telefon numarasını girer; arka planda bir SMS API’ye (Verimor, NetGSM, Twilio, İletiMerkezi, Vodafone Mesaj gibi) istek gider, kullanıcıya 4-6 haneli kod iletilir; kullanıcı kodu girer ve hotspot oturumu başlar. Bu süreçte saklanan veri sadece “telefon numarası + giriş zamanı + IP/MAC” gibi minimal bilgilerdir; ama bu bilgi sayesinde adli bir talep geldiğinde “bu IP’yi o saatte hangi numaralı kişi kullanıyordu” sorusuna cevap verebilirsiniz.

SMS doğrulamada dikkat edilmesi gereken bazı noktalar vardır: API çağrılarının başarısız olması durumu (timeout, kredisiz kalma), aynı numaranın aynı gün defalarca giriş yapması durumunda re-send’i sınırlandırma (rate limit) ve uluslararası numara desteği için country code kontrolü. MikroTik tarafında bu işi UAM (Universal Access Method) veya RADIUS üzerinden kuran kurumlar da var. Detaylı kurulum adımlarını hotspot kurulum yazımızda ele aldık.

Hash İmzalı Loglama: Log Bütünlüğünün Kanıtı

5651 kapsamında log tutmak yeterli değil; log dosyasının değiştirilmediğini de kanıtlayabilmeniz gerekiyor. Aksi takdirde adli bir vakada savunma yaparken “bu log gerçek mi yoksa siz mi düzenlediniz” sorusuyla karşılaşmanız mümkün. Burada devreye hash imzalı arşivleme giriyor.

Pratikte uygulama şudur: günlük log dosyaları kapanır, SHA-256 hash’i alınır, bu hash bir manifest dosyasına eklenir; manifest de günlük olarak imzalanır (GPG ile veya HSM ile). Bazı kurumlar bu süreci blockchain timestamp servisleriyle (OriginStamp, OpenTimestamps) zenginleştiriyor. Böylece “X tarihinde Y içeriğe sahip log dosyası vardı” iddiası matematiksel olarak kanıtlanabiliyor.

Bu mimariyi MikroTik üzerinde syslog + Ubuntu sunucu + cron + sha256sum + gpg kombinasyonuyla nasıl kurabileceğinizin örnek konfigürasyonları için 5651 uyumlu loglama: tam çözüm yazımızdaki “Hash İmzalı Arşivleme” bölümüne bakın. Orada günlük rotasyon, manifest oluşturma, GPG ile imzalama ve yedekleme döngüsünün her satırını paylaştık.

KVKK ile 5651’in İlişkisi

Burada yaygın bir kavram kargaşası var. 5651 size “log tut” der; KVKK ise “kişisel veriyi keyfine göre işleme” der. Görünüşte çelişen iki yasa aslında birbirini tamamlar. KVKK’nın 5. maddesi, “kanun gereği” yapılan veri işlemelere hukuki dayanak sunar. Yani siz 5651 nedeniyle (yani bir kanun gereği) loglama yapıyorsunuz; bu loglama KVKK ihlali değildir. Yeter ki belirli kurallara uyun:

  • Amaç sınırlaması: Topladığınız telefon numarasını, MAC adresini sadece 5651 amaçları için kullanın; pazarlama mesajı atmayın.
  • Süre sınırlaması: Yasal saklama süresi (2 yıl) dolunca verileri silin veya anonimleştirin.
  • Şeffaflık: Captive portal’ınızda kullanıcıya hangi verilerin neden toplandığını açıkça anlatan bir aydınlatma metni gösterin.
  • Güvenlik: Log sunucunuzu sıkılaştırın, erişim kontrolü uygulayın, şifreleme yapın.

Pratikte en kritik nokta captive portal üzerindeki aydınlatma metni‘dir. Bu metin olmadan SMS toplamanız KVKK ihlali sayılabilir. Aydınlatma metni şablonları ve örnek captive portal HTML’leri için yine hotspot kurulum yazımıza başvurabilirsiniz; orada bir örnek metin de paylaştık.

Operasyonel Sürdürülebilirlik: Loglama Sadece Kurmak Değil

Bir hotspot+5651 mimarisi kurmak işin başlangıcıdır; gerçek mücadele iki yıl boyunca o mimariyi çalışır halde tutmaktır. Sunucu diski dolar mı, NTP senkronizasyonu bozulur mu, hash zinciri kırılır mı, syslog UDP paketleri yolda kaybolur mu, hotspot kullanıcı manager veritabanı şişer mi? Tüm bu sorulara önceden cevap üretmiş olmanız gerekir.

Pratik tavsiyemiz şudur: aylık bir kontrol prosedürü oluşturun. Bu prosedürde şunları kontrol edin: diskte kalan alan miktarı, son N gün için hash imzaların eksiksiz olması, syslog sunucu uptime’ı, NTP saat senkronizasyonu, hotspot oturum sayısı trendleri ve son yedekleme tarihi. Bu kontrol bir checklist ile bir saat içinde tamamlanabilir; ama yapmadığınız her ay, gelecekteki bir adli talebe yanıt verememe riskini artırır.

Donanım Önerisi: Hangi MikroTik Hangi Boyutta?

Çok küçük bir mekan (5-15 eşzamanlı kullanıcı) için hAP ax2 veya hAP ax3 yeterlidir. Orta ölçek (20-80 eşzamanlı kullanıcı) için RB4011 veya CCR2004-1G-12S+2XS; otel, AVM, hastane gibi büyük (100+ eşzamanlı kullanıcı) ortamlar için CCR2216 sınıfı cihazlar ve dış syslog sunucu öneriyoruz. Wi-Fi yayın tarafında ise mesh capable Wi-Fi 6/Wi-Fi 6E AP’leri (cAP ax veya wAP ax) tavsiye edilir; tek bir hAP ile büyük alan kaplamaya kalkmayın.

Boyutlandırma yaparken sadece eşzamanlı kullanıcı sayısına değil, beklenen log hacmine de bakın. 80 kullanıcılı bir kafede günlük 400-800 MB log üretildiğini varsayarsak iki yıllık saklama için yaklaşık 600 GB disk alanı gerekir. Yedeklemelerle birlikte 1 TB’lık bir başlangıç deposu mantıklıdır.

Sık Sorulan Sorular (SSS)

Misafir Wi-Fi sunmayan, sadece personeline Wi-Fi sağlayan bir işletme 5651 kapsamında mı?

Hayır. 5651, “toplu kullanım” tanımına giren senaryoları kapsar; yani üçüncü kişilere internet sunmayı. Sadece kendi personelinize sunduğunuz internet, “iş yeri ağı” sayılır ve 5651 kapsamı dışındadır. Yine de personel logları farklı bir disiplin (iş hukuku, KVKK) altında ele alınmalıdır.

Loglarımı bulutta tutabilir miyim?

Evet, fakat bulut sağlayıcının veri merkezi tercihen Türkiye’de olmalı, AB’de ise minimum şifreleme + KVKK uyumu sağlanmalıdır. AWS Frankfurt veya yerli bulutlar (Turkcell, Türk Telekom, Vodafone Bulut) sıkça tercih edilir. Yine de tüm logu sadece bulutta tutmayın; yerel bir kopya da bulundurmak operasyonel risklere karşı kalkandır.

SMS doğrulama yerine TC kimlik numarası alabilir miyim?

Hayır. TC kimlik numarası “özel nitelikli olmasa da” hassas bir kişisel veridir ve hotspot oturumu için açık rıza alınmadan toplanması KVKK ihlalidir. SMS doğrulama hem yasal hem pratik bir yöntemdir; TC istemek hem yasal risk yaratır hem de kullanıcı kaybına yol açar.

VPN üzerinden gelen bir kullanıcı için 5651 yükümlülüğüm devam ediyor mu?

Site-to-site VPN ile gelen ve kurum içinde sayılan trafik genelde 5651 kapsamı dışındadır; bu trafik kurumsal iş trafiğidir. Ancak hotspot üzerindeki misafir trafiği için yükümlülük bağımsızdır. VPN konusunu detaylı şekilde MikroTik VPN ve uzak erişim rehberi pillar sayfamızda ele aldık.

2 yıl saklama süresi dolduğunda logları imha etmek zorunda mıyım?

Zorunlu değil; ama KVKK’nın amaç sınırlaması ilkesi açısından önemlidir. 2 yıl sonra logları ya imha etmeli ya da anonimleştirmelisiniz. Pratikte birçok danışman 2 yıl + 6 aylık tampon süresi öneriyor; sonra otomatik imha cron’u devreye giriyor.

Sonuç ve Sonraki Adımlar

5651 + KVKK + hotspot üçgeni, modern bir Türk KOBİ’sinin Wi-Fi sunarken karşılaştığı en temel uyum meselesidir. Yasal yükümlülüğünüz açık: misafire internet sunuyorsanız loglama yapacaksınız, bu logu 2 yıl saklayacaksınız ve değişmediğini kanıtlayabileceksiniz. Bu zorluğu MikroTik ekosisteminde hAP ax3’ten CCR2216’ya kadar farklı boyutlarda, gerçekçi maliyetlerle çözmek mümkündür.

Bu pillar size bir harita sundu. Şimdi sırada uygulama var: önce hotspot kurulum yazımızı okuyup mimarinizi seçin, sonra 5651 uyumlu loglama tam çözüm yazımıza geçip syslog + hash + manifest döngüsünü kurun. Bu iki yazıyı sırasıyla uyguladığınızda iki yıl boyunca rahat uyuyabileceğiniz bir altyapıya sahip olursunuz.

Kurumsal ağınız bir VPN omurgası gerektiriyorsa, örneğin merkez ofis ile şubeler arasında, mutlaka MikroTik VPN ve uzak erişim rehberi pillar sayfamıza da göz atın. Birlikte ele alındığında bu iki pillar, MikroTik tabanlı bir KOBİ ağının yasal ve teknik omurgasının önemli bir kısmını kapsar. Sorularınız olduğunda yorumlardan veya iletişim sayfamızdan ulaşabilirsiniz; her bir mekan farklıdır ve danışmanlık ihtiyacı duyabilirsiniz.