Güven Damgası İçin Sızma Testi: Kapsamlı Başvuru ve Denetim Rehberi
E-ticaret siteleri için Güven Damgası, tüketicinin dijital alışveriş sürecindeki endişelerini gideren en güçlü teknik doğrulama aracıdır. Ancak bu damgayı almak sadece bir sertifika başvurusu değildir; arka planda ciddi bir siber güvenlik denetimi gerektirir.
Elektronik Ticarette Güven Damgası Hakkında Tebliğ uyarınca, işletmelerin teknik altyapısının siber saldırılara karşı direncini kanıtlaması şarttır. Bu direncin en somut ispatı ise periyodik olarak gerçekleştirilen Sızma Testleridir (Pentest).
Başvuru Şartı: Test raporu son 3 aya ait olmalıdır.
Yıllık Zorunluluk: Damga sonrası her yıl test tekrarlanmalıdır.
Kritik Bulgular: “Kritik” ve “Yüksek” riskli bulgular kapatılmadan damga verilmez.
Kapsam: Web, Mobil, Network ve Sosyal Mühendislik (Opsiyonel).
2. Sızma Testi Takvimi ve Yasal Periyotlar
Güven Damgası süreci statik değildir. Mevzuat, sızma testlerinin hem başvuru anında hem de damga kullanımı boyunca güncel tutulmasını emreder.
| Durum | Zamanlama Kriteri | Zorunluluk Seviyesi |
|---|---|---|
| İlk Başvuru | Başvurudan en fazla 3 ay önce tamamlanmış olmalı. | Zorunlu |
| Yıllık Yenileme | Her takvim yılı içinde en az 1 kez tekrarlanmalı. | Zorunlu |
| Altyapı Güncellemesi | Ödeme sistemleri veya sunucu mimarisi değişiminde. | Tavsiye Edilen |
| Siber Olay Sonrası | Olası bir veri ihlali veya saldırı girişimi sonrası. | Kritik |
3. Teknik Denetim Listesi: Pentest Kapsamı Neleri İçermeli?
Güven damgası sızma testi, standart zafiyet taramalarından daha derine iner. Denetim sırasında aşağıdaki başlıklar mutlaka test edilmelidir:
Uygulama Güvenliği (L7)
- OWASP Top 10 listesindeki tüm zafiyetler.
- Injection saldırıları (SQLi, NoSQLi).
- Hatalı Yetkilendirme ve Oturum Yönetimi.
- Güvenli olmayan doğrudan nesne referansları (IDOR).
- Cross-Site Scripting (XSS) kontrolleri.
Altyapı ve Ağ Güvenliği
- Sunucu tarafındaki açık servislerin tespiti.
- SSL/TLS sertifika ve şifreleme konfigürasyonları.
- Veri tabanı erişim güvenliği.
- DNS ve e-posta sunucu (SPF, DKIM, DMARC) güvenliği.
- Kritik portların (SSH, RDP vb.) dış dünyaya kapalılığı.
4. Uzman Yetkinliği ve Rapor Standartları
Herkesin hazırladığı rapor Güven Damgası Sağlayıcısı (GDS) tarafından kabul edilmez. Testi gerçekleştiren kişi veya kurumun belirli akreditasyonlara sahip olması gerekir.
- TSE Onayı: Testi yapan personelin TSE Sızma Testi Uzmanı belgesine sahip olması en güçlü kabul kriteridir.
- Uluslararası Sertifikalar: OSCP (Offensive Security Certified Professional), CEH (Certified Ethical Hacker) gibi belgeler uzmanlık kanıtı sayılır.
- Rapor Formatı: Rapor; yönetici özeti, teknik bulgular, risk skorlaması (CVSS) ve çözüm önerilerini içermelidir.
5. Zafiyet Giderme ve Doğrulama (Retest) Süreci
Sızma testi yapılması yeterli değildir; bulunan açıkların kapatılması asıl hedeftir. Süreç şu şekilde sonlandırılır:
| Risk Seviyesi | Eylem Planı | Damga İçin Durum |
|---|---|---|
| Kritik / Yüksek | Derhal kapatılmalı ve kod seviyesinde önlem alınmalı. | Engelleyici |
| Orta | Makul bir sürede (30-60 gün) iyileştirme yapılmalı. | Gözetim Altında |
| Düşük / Bilgi | İyi uygulama örnekleri kapsamında değerlendirilmeli. | Engel Değil |
Zafiyetler giderildikten sonra, uzmanlar tarafından bir Doğrulama Testi yapılır. Bu testin amacı, kapatıldığı iddia edilen açıkların gerçekten güvenli hale gelip gelmediğini teyit etmektir.
6. Sık Sorulan Sorular
Sızma testi yaptırmanın maliyeti nedir?
Maliyet; sitenin büyüklüğüne, kullanılan teknolojilere ve testin kapsamına (web + mobil + network gibi) göre değişkenlik gösterir. Kurumsal bir teklif almanı öneririm melisam.
Sadece sızma testi raporuyla damga alabilir miyim?
Hayır çiçeğim. Sızma testi teknik şartlardan sadece biridir. Ayrıca KVKK uyumu, tüketici hakları taahhütnamesi ve ETBİS kaydı gibi idari süreçlerin de tamamlanması gerekir.
Cloud (Bulut) sistemler kullanıyorsam test gerekli mi?
Evet. AWS, Azure veya Google Cloud kullanman altyapıyı güvenli kılar ancak senin üzerine yazdığın kodların ve yapılandırmaların güvenliği hala senin sorumluluğundadır.
