KVKK Uyumlu Rezervasyon Görüşmeleri: Otel Çağrı Merkezinde Veri Güvenliği Nasıl Sağlanır?

Rezervasyon hattında risk genellikle “veriyi almak”tan çok, veriyi yanlış kanalla paylaşmak, yetkisiz erişim veya gereksiz detay kaynaklı büyür. Otellerde çağrı merkezi; PMS/CRM ekranlarında misafir verilerine geniş erişimle çalıştığı için, güvenlik “insan + süreç + sistem” üçlüsüdür.

En sık risk alanları (pratik)

• •Kart bilgisinin WhatsApp/e-posta gibi kanallardan istenmesi veya paylaşılması
• •Ekran görüntüsü/ekran paylaşımıyla hassas bilginin sızması
• •Yetkisiz personelin çağrı kaydı ve PMS notlarını görmesi
• •Uzun ve kontrolsüz notlarla gereksiz kişisel veri tutulması
• •Loglama/saklama politikası belirsizliği

“Telefonda hangi kişisel verileri sorabilirim?” sorusunun operasyonel cevabı şudur: rezervasyon ve hizmeti yürütmek için gerekli minimum veri. Gereksiz sorular hem deneyimi kötüleştirir hem riski artırır. En iyi yaklaşım; “neden soruyorum?” çerçevesiyle şeffaflık sağlamaktır.

Veri türleri ve pratik yaklaşım

• •Temel kimlik: ad-soyad (rezervasyon kaydı için)
• •İletişim: telefon/e-posta (onay ve iletişim için)
• •Konaklama parametreleri: tarih, kişi sayısı, çocuk yaşları (fiyat/uygunluk için)
• •Tercihler: oda konumu, yatak tipi (deneyim için)
• •Özel gereksinimler: diyet/erişilebilirlik gibi “gereksinim” formatında (detay/teşhis değil)

Ödeme bilgisi (kritik çizgi)

Kart bilgisi ve benzeri ödeme verileri; mümkünse güvenli ödeme altyapısı veya kurumun onaylı yöntemiyle alınmalıdır. Mesajlaşma üzerinden kart görseli/numarası istemek, operasyonel açıdan yüksek riskli bir davranıştır.

Çağrı kaydı (Call Recording) kalite ve eğitim için değerli olabilir; ama aynı zamanda hassas içerik barındırabilir. Bu nedenle kayıt yaklaşımı; maskeleme (masking/redaction) ve erişim yetkileriyle birlikte tasarlanmalıdır. Ayrıca ekran paylaşımı ve yazılı kanallarda veri sızıntısı riski, sadece IT’nin değil operasyonun sorumluluğudur.

Maskeleme (operasyonel mantık)

• •Kart numarası, CVV gibi bölümlerin kayıtta görünmemesi / saklanmaması
• •Yetkisiz personelin hassas alanları görememesi
• •Görüşme içinde hassas bilgi geçiyorsa “kayıt durdurma / güvenli kanala geçiş” akışı

Yetki mantığı (rol bazlı)

• •Agent: sadece görev için gerekli ekranlar
• •Team lead/QA: dinleme ama sınırlı detay
• •IT/Security: log ve erişim denetimi
• •Yönetim: özet rapor (kişisel veri içermeyen)

“Çağrı kayıtları KVKK’ya göre ne kadar saklanmalı?” sorusuna tek bir sayı vermek doğru olmaz; saklama süresi, amaç, iş ihtiyacı ve yasal/kurumsal yükümlülüklere göre belirlenir. Operasyonel prensip: gerektiği kadar, gerektiği süre, gerektiği yetkiyle. Ne kadar uzun saklarsanız, risk yüzeyi de o kadar genişler (yönlü).

Retention planı nasıl kurulur? (pratik)

• •Amaç: kalite/eğitim/uyuşmazlık çözümü
• •Kapsam: hangi çağrılar (tümü mü, örneklem mi?)
• •Saklama: süre planı + otomatik silme
• •Erişim: kim, ne zaman, hangi gerekçeyle
• •Denetim: log incelemesi + örneklem kontrol

En iyi teknik önlemler, ekip yanlış alışkanlıklarla veri toplarsa boşa gider. Bu yüzden “KVKK uyumu” eğitim, script ve denetimle yaşar. Agent’ın zihninde şu net olmalı: hangi veri gerekli, hangi veri yasak/riski yüksek, hangi kanal güvenli, hangi durum eskale edilir.

Eğitim modülleri (pratik)

• •Minimum veri ve amaç çerçevesi
• •Ödeme/kimlik hassas veride kırmızı çizgiler
• •Sosyal mühendislik (social engineering) örnekleri
• •Yetkisiz erişim ve ekran paylaşımı riskleri
• •Kayıt/durdurma/kanal değiştir SOP’u
• •After-call notlama: gereksinim formatı

Denetim (audit) ritmi

• •Aylık: örneklem çağrı/ekran denetimi
• •Haftalık: log anomali kontrolü (yönlü)
• •Dönemsel: rol/erişim matrisinin yeniden gözden geçirilmesi

1. Bilgilendir: Görüşmenin amacı ve gerekiyorsa kayıt bilgisi hakkında kısa ve net bilgilendirme yap.
2. Minimum veri: Rezervasyon için gerekli minimum bilgiyi al; gereksiz detay sorma.
3. Güvenli ödeme: Kart bilgisi gibi hassas verileri güvenli yöntemle al; mesajlaşma/e-posta ile isteme.
4. Maskele & yetkilendir: Kayıt/ekranlarda maskeleme uygula; rol bazlı erişim ver.
5. Logla: Erişim ve işlem kayıtlarını tut; anomaliyi takip et.
6. Saklama politikasını uygula: Amaçla uyumlu sakla; otomatik silme planı yap.
7. Denetle & eğit: Periyodik denetim ve eğitimle davranışı standardize et.

Bu akış, “hukuki metin”den önce günlük operasyonu güvenli hale getirir. Amaç; misafir verisini korurken, rezervasyon sürecini de sorunsuz yürütmektir.

Bu bölüm, ekibin hızlıca tarayıp uygulaması için “kırmızı çizgi” olarak tasarlanmalıdır.

Yapılmaması gerekenler (net)

• •Kart numarası/CVV/kimlik görseli gibi hassas verileri WhatsApp/e-posta üzerinden istemek veya almak
• •Ekran görüntüsü paylaşmak, ekranı yetkisiz kişiye göstermek
• •PMS/CRM’de gereksiz kişisel detayları uzun notlarla biriktirmek
• •Yetkisiz erişim (ortak kullanıcı hesabı, paylaşılan şifre vb.)
• •Log/saklama politikasını belirsiz bırakmak