Pentest · Yasallık · KVKK Uyum

Penetrasyon Testi: Yasallık, KVKK ve Sözleşmesel Güvenceler

Bu rehber; TCK 243–244, KVKK Madde 12, kapsam & RoE, üçüncü taraf izinleri, etik ilkeler ve sertifikasyonlar dahil — mümkün olduğunca az içerik kaybı ile geniş bir özet sunar.

Özet: Tanım & amaç · Neden yasallık sorgulanır? · Yazılı rıza ve sözleşme · Kapsam/angajman kuralları · TCK 243/244 farkları · KVKK rolü · Hukuki riskler · Etik hacker ilkeleri · Son söz

1) Penetrasyon Testi Nedir ve Yasallığı Neden Sorgulanır?

Penetrasyon Testinin Tanımı ve Amacı

Penetrasyon testi (sızma testi), bir kurumun veya bireyin dijital altyapısına ve bilişim sistemlerine yönelik kontrollü ve yetkilendirilmiş bir siber saldırı simülasyonudur. Amaç; sistem, ağ veya uygulamadaki güvenlik zafiyetlerini kötü niyetli aktörler tarafından istismar edilmeden önce tespit etmek ve kapatmaya yönelik öneriler sunmaktır. Ayrıca kurum politikalarının etkinliği, personel farkındalığı ve olay tespit/yanıt yetkinliği de değerlendirilir.

Zafiyet taramasından farkı: Tarama, bilinen açıklıkları listelerken; pentest tespit edilen zafiyetleri kontrollü biçimde istismar eder ve olası etkinin boyutunu ölçer. Bu aktif yaklaşım, hukuki boyutu hassaslaştırır.

Yasallık Sorununun Kaynağı: Yetkisiz Erişim Benzerliği

Test sürecinde erişim engellerini aşma, verileri değiştirme veya hizmeti geçici kesme gibi eylemler Türk Ceza Kanunu’ndaki (TCK) bilişim suçlarına benzer görünür. Geçerli yetkilendirme yoksa bu eylemler suçtur. Pentestin hukukiliği, doğru usul ve yazılı rızaya dayanır.

2) Yasallığın Temeli: Açık ve Yazılı Yetkilendirme

Mağdurun Rızasının Hukuki Niteliği

TCK 243 ve 244 kapsamında suçun oluşması için eylemin “hukuka aykırı” olması gerekir. Sistem sahibinin bilgilendirilmiş ve açık rızası, hukuka aykırılık unsurunu ortadan kaldırır; eylem suç olmaz.

Rıza zımni değil, yazılı ve bilgilendirilmiş olmalıdır.

Yazılı Sözleşme ve Onayın Gerekliliği

Sözlü anlaşmalar yetersizdir. Resmî sözleşme ile kapsam ve onay net yazılmalıdır. Bu belge, uyuşmazlıklarda rızayı ve sınırları kanıtlar; kurum rehberleri de yazılı koordinasyonu vurgular.

3) Sözleşmesel Çerçeve: Kapsam, Sınırlar ve Angajman Kuralları (RoE)

Test Kapsamı (Scope)

Hedefler: IP’ler/aralıklar, alan adları, sunucular, ağ cihazları, web/mobil uygulamalar, veritabanları, gerekirse fiziksel alanlar.
Metodoloji: Black/White/Grey-box.
Zamanlama: Tarih ve saat aralıkları.

Angajman Kuralları (RoE)

İzinli/Yasaklı eylemler: İstismar seviyesi, DoS/DDoS, veri çıkarımı, sosyal mühendislik.
Hassas veri yönetimi: Erişim ve minimizasyon.
Acil durum: Kesinti/kararsızlıkta iletişim prosedürü.
Kritik bulgu bildirimi: Anlık-escalation akışı.
Test saatleri: İş yükü düşük zaman dilimleri.

Üçüncü Parti & Bulut Sistemleri

Bulut/SaaS/tedarikçi altyapılarında altyapı sahibinden ayrıca yazılı izin zorunludur. Müşteri onayı tek başına yeterli değildir.

Uyarı: Kapsam veya RoE dışına çıkmak, rızayı geçersiz kılar ve TCK sorumluluğu doğurabilir.

4) Türk Ceza Kanunu (TCK) Açısından Değerlendirme

TCK 243 — Bilişim Sistemine Girme

“Hukuka aykırı” giriş cezalandırılır. Yazılı rıza ile hukuka aykırılık kalkar. 243(3) veriye zarar halinde ağırlaşır; bu yüzden RoE kritik.

TCK 244 — Sistemi Engelleme/Veriyi Bozma

Amaç zarar vermek değildir. Potansiyel yıkıcı testler (örn. DoS) RoE’de açıkça tanımlanmalı, onaylanmalı ve uygun zamanda yapılmalıdır. 244(4) haksız çıkarı ayrıca düzenler.

Tablo 1: TCK Maddeleri ve Yetkili Penetrasyon Testi

TCK Maddesi	Suç Özeti	Örnek Yetkisiz Eylem	Yetkili Testte Hukuka Uygunluk Nedeni
TCK 243	Bilişim sistemine hukuka aykırı olarak girme/kalma	İzinsiz şirket sunucusuna sızma	Sistem sahibinin açık, yazılı rızası ve sözleşmeyle tanımlı kapsam
TCK 244	Sistemi engelleme/bozma, veriyi yok etme/değiştirme	Rakip sitenin çökertilmesi, veritabanının silinmesi	Zarar amacı yok; RoE ile etki kontrolü, kasıtsız zarar için sözleşmesel düzen

Kanun yetkisiz müdahaleyi cezalandırır; usule uygun pentest meşru güvenlik değerlendirmesidir.

5) KVKK Kapsamında Penetrasyon Testi

Veri Sorumlusu & Veri İşleyen

Pentest müşterisi Veri Sorumlusu, test firması Veri İşleyen’dir. İlişki veri işleme sözleşmesi ile düzenlenmeli; test firması yalnızca talimatlar dahilinde hareket eder.

Madde 12 — Veri Güvenliği

KVKK Madde 12 gereği uygun teknik/idari tedbirler alınmalıdır. Kurum rehberlerinde düzenli zafiyet taraması ve sızma testleri teknik tedbirler arasında sayılır.

Kişisel Verilere Erişim & Gizlilik

Testte kişisel verilere erişim olabilir. Gizlilik taahhütleri, minimizasyon ve güvenli imha/iade şarttır.

Tablo 2: KVKK Kapsamında Sorumluluklar

Sorumluluk Alanı	Veri Sorumlusu (Müşteri)	Veri İşleyen (Test Firması)
Amaç/Kapsam	Test amacını/kapsamını ve etkilenecek verileri belirler	Talimatlara ve kapsam kurallarına uyar
Talimat/Uygulama	İşlenmeye yönelik talimat verir	Talimatları RoE/sözleşmeye uygun uygular
Madde 12 Güvenlik	Tedbirleri almak/aldırmakla birincil sorumlu	Yeterli güvenlik güvencesi, güvenli ortam ve yetkin personel sağlar
Gizlilik	Gizlilik taahhüdü alır	Veri gizliliğine ve KVKK’ya uyar
Raporlama/Bildirim	Sonuçları değerlendirir, tedbir alır; ihlalde Kurul’a bildirim	Bulguları eksiksiz/ doğru biçimde raporlar

Not: Pentest, yanlış yönetilirse risk; doğru yönetilirse KVKK 12 kapsamındaki gerekli teknik tedbirdir.

6) Potansiyel Hukuki Riskler ve Dikkat Edilmesi Gerekenler

Kapsam Dışına Çıkma

Kapsam/RoE dışı eylem rızayı geçersiz kılar; TCK 243/244 sorumluluğu ve sözleşme ihlali doğurur.

Kasıtsız Zarar & Sorumluluk

Sözleşmede sorumluluk, tazmin ve sigorta maddeleri açık olmalı; yıkıcı testler düşük yoğunlukta ve koordineli yapılmalı.

Yasa Dışı İçerik Tespiti

Sözleşmede prosedür yazılı olmalı (testi durdurma, yetkili kişiye raporlama, bildirim sorumluluğu vb.).

Gizlilik İhlalleri

İfşa/kötüye kullanım tazminat, KVKK cezaları ve cezai sorumluluk doğurur. Gizliliğe tam uyum gerekir.

7) Etik Hackerlık: İlkeler, Sorumluluklar ve Sertifikasyonlar

Temel İlkeler

Yasallık ve yazılı izin
Kapsama bağlılık
Gizlilik ve zarar vermeme
Eksiksiz/şeffaf raporlama

Sertifikasyonların Rolü

CEH, OSCP, GPEN ve ulusal MYK yeterlilikleri; teknik yetkinlik ve profesyonellik göstergesidir. Hukuki zorunluluk değildir; risk azaltımı ve güvenilirlik sağlar.

8) Özetle: Pentest Yasal Zorunluluk mı, Suç mu?

Doğru Koşullarda Yasallık

Meşru sahibinden açık, bilgilendirilmiş, yazılı rıza
Kapsam, sınırlar ve RoE içeren resmî sözleşme
Kapsama/kurallara bağlı, etik ve profesyonel icra
KVKK yükümlülüklerine tam uyum

Bu şartlarda pentest yalnız yasal değil; gereklidir. Düzenleyiciler (BDDK, SPK vb.) ve rehberlerce de desteklenir.

Yetkisiz Testler Suç Teşkil Eder

Yetkilendirme/sözleşme olmadan sistemlere erişim veya müdahale, iyi niyet olsa dahi TCK 243–244 kapsamında suçtur. İnce çizgiyi, rıza ve kurallara bağlılık çizer.