Ödeme ve Elektronik Para Kuruluşları
TCMB Tebliği’ne Uygun TSE TS 13638/T2 Onaylı Sızma Testi
Nesil Teknoloji olarak, TCMB Tebliği ve Topluluk Bulutu Uygunluk Rehberi (Ek-5) hükümlerine
tam uyumlu şekilde TSE TS 13638/T2 onaylı sızma testleri gerçekleştiriyor; çıktıları
TCMB’ye sunulabilir resmî formatta raporluyoruz.
Nesil Teknoloji — Düzenleyici Uyum Odaklı
Kimler İçin?
Ödeme Kuruluşları
POS, sanal POS, ödeme geçidi, cüzdan, havale/virman servisleri.
POS, sanal POS, ödeme geçidi, cüzdan, havale/virman servisleri.
Elektronik Para Kuruluşları
Cüzdan, kart, para transferi, merchant servisleri.
Cüzdan, kart, para transferi, merchant servisleri.
Topluluk Bulutu Kullananlar
TCMB Topluluk Bulutu Uygunluk Rehberi (Ek-5) kapsamındaki hizmetler.
TCMB Topluluk Bulutu Uygunluk Rehberi (Ek-5) kapsamındaki hizmetler.
1+
Yılda en az bir kez pentest (regülasyon gereği önerilen periyot)
Yasal/Regülasyon Çerçevesi
TCMB Tebliği & Rehber
- Ödeme ve E-Para Kuruluşlarının Bilgi Sistemleri Tebliği ile uyum
- Topluluk Bulutu Uygunluk Rehberi (Ek-5) gereksinimlerinin karşılanması
- Raporların TCMB’ye ibraz edilebilir formatta hazırlanması
Tarafsızlık & Yetkinlik
- TSE TS 13638/T2 onaylı/denk yetkinlikte ekiplerle icra
- CREST/OSCP/OSCE vb. sertifikalı kıdemli pentester kadrosu
- ISO/IEC bilgi güvenliği ilkelerine uygun süreçler
ROE (Rules of Engagement) — Yetkilendirme, kapsam ve zamanlama yazılı olarak onaylanır.
Test Kapsamı (Asgari Başlıklar)
İletişim Altyapısı & Aktif Cihazlar
FW/Router/Switch, DMZ
FW/Router/Switch, DMZ
DNS Servisleri
Alan adı & kayıt güvenliği
Alan adı & kayıt güvenliği
Etki Alanı & Uç Noktalar
AD/M365/Endpoint
AD/M365/Endpoint
E-posta Servisleri
Kimlik avı, SPF/DKIM/DMARC
Kimlik avı, SPF/DKIM/DMARC
Veritabanı Sistemleri
Yetki/sorgu güvenliği
Yetki/sorgu güvenliği
Web Uygulamaları & API
OWASP + API testleri
OWASP + API testleri
Mobil Uygulamalar
iOS/Android
iOS/Android
Kablosuz Ağ
Şifreleme, izolasyon
Şifreleme, izolasyon
ATM Sistemleri
(Varsa) şube/ATM segmenti
(Varsa) şube/ATM segmenti
DDoS
Koordineli kapasite testi
Koordineli kapasite testi
Sosyal Mühendislik
Phishing/Vishing
Phishing/Vishing
Bulut Bileşenleri
Topluluk bulutu kontrolleri
Topluluk bulutu kontrolleri
Not: Asgari kapsam, kurumun ölçeği ve risk profiline göre genişletilir.
Metodoloji — Erişim Noktaları & Profiller
Erişim Noktaları
- İnternet: Dış lokasyondan açık servisler
- İç Ağ: Kurum LAN/WAN
- Şube Ağı: Şube segmenti & erişimler
Kullanıcı Profilleri
- Anonim (misafir/dış kullanıcı)
- Müşteri (giriş yetkili)
- Misafir (Guest Wi-Fi)
- Çalışan (standart + local admin)
Temel Adımlar
- Sistem Tespiti (OS/Banner/Config)
- Servis Tespiti (Port/Service Envanteri)
- Açıklık Taraması & Doğrulama
1
Keşif & Envanter — Pasif/aktif keşif, varlık doğrulama
2
Tarama — Port/vuln taramaları (otomatik + manuel doğrulama)
3
Kontrollü Sömürü — Kritik/yüksek açıkların ispatı (PoC) ve etki analizi
4
Yanal Hareket — Erişim genişletme senaryoları (koşullar elverirse)
5
Raporlama — Yönetim özeti, teknik bulgular, öneriler
6
Retest — Düzeltme doğrulama ve kapanış kanıtları
Bulgu Dereceleri & Rapor Formatı
| Seviye | Tanım |
|---|---|
| Acil | Dış ağdan niteliksiz saldırganla dahi tam ele geçirmeye yol açan açık |
| Kritik | Dış ağdan nitelikli saldırganla tam ele geçirmeye yol açan açık |
| Yüksek | Dış ağdan kısmi hak yükseltme/hizmet dışı kalma; yerelden hak yükseltme |
| Orta | Yerel ağ/sunucudan hizmet dışı bırakılma riski doğuran açıklık |
| Düşük | Etki belirsiz; sıkılaştırma eksikliği kaynaklı bulgular |
Rapor Başlıkları
- Yönetim Özeti (risk panoraması & öncelikler)
- Bulgular (Ref No, Ad, Derece, Etki, Erişim Noktası, Profil, Bileşen, Açıklama, Çözüm)
- PoC kanıtlar ve etki analizi
Süreç & Bildirim
- Rapor tamamı — TCMB’ye sunulabilir format
- Yönetim onaylı aksiyon planı ve kapanış takip
- Kritik/Acil bulgular için ivedi kapanış ve retest
Uygunluk Matrisi (Özet)
| Gereksinim | Yaklaşımımız | Çıktı |
|---|---|---|
| Yetkilendirme & ROE | Yazılı kapsam, sınırlar, iletişim planı | ROE belgesi |
| Periyot | Yıllık en az 1; major değişiklikte ara test | Test takvimi |
| Kapsam | Ağ, uygulama, API, mobil, bulut, DDoS, sosyal müh. | Kapsam listesi |
| Metodoloji | Keşif → Tarama → Exploit (kontrollü) → Etki | Metod dokümanı |
| Raporlama | Bulgular + PoC + öneriler (TCMB format) | Rapor paketi |
| Takip | Aksiyon planı + retest + kapanış kanıtı | Onaylı plan & retest raporu |
Sık Sorulanlar
Üretimde kesinti olur mu?
Kesinti riski olan testler yalnızca kurum koordinasyonu ve uygun pencere ile yürütülür.
Veri gizliliği nasıl sağlanır?
Tüm veriler KVKK/GDPR ve sözleşmesel gizlilik kapsamında işlenir; PoC’ler maskelenir.
TCMB’ye rapor sunumu?
Rapor formatı ve ekler TCMB’ye ibraz edilebilir nitelikte hazırlanır ve kurum onayıyla paylaşılır.
Retest süreci nasıl?
Düzeltme sonrası doğrulama testleri gerçekleştirilir; kapanış kanıtları raporlanır.
Neden Nesil Teknoloji?
TSE TS 13638/T2 Yetkinlik
Regülasyonun aradığı tarafsızlık ve uzmanlık.
Regülasyonun aradığı tarafsızlık ve uzmanlık.
Sektör Odağı
Ödeme/E-para akışlarını ve riskleri bilen ekip.
Ödeme/E-para akışlarını ve riskleri bilen ekip.
Denetime Hazır Çıktı
TCMB’ye sunulabilir rapor paketi ve ekler.
TCMB’ye sunulabilir rapor paketi ve ekler.
Uçtan Uca Destek
Kapsam → icra → aksiyon planı → retest.
Kapsam → icra → aksiyon planı → retest.
TCMB Uyumlu Pentest — Teklif & Örnek Rapor
Kapsamı birlikte netleştirelim; zaman planı ve TCMB’ye uygun rapor seti ile dönüş yapalım.