TSE TS 13638 A-Sınıfı Yetkili Sızma Testi Firması

Regülasyona Uyumlu Sızma Testleri

BDDK, SPK, TCMB ve EPDK’dan CBDDO BİGR ve bulut mimarilerine kadar her sektörün özgün mevzuatına tam hakimiz. TSE A-Sınıfı yetki belgemiz ve OSCP sertifikalı uzman kadromuzla, regülasyonların zorunlu kıldığı tüm sızma testi ve uyumluluk raporlaması süreçlerinizi uçtan uca tek elden yönetiyoruz.

Uygar Y. AYDIN
Uygar Y. AYDIN
Siber Güvenlik Ekibi
OSCP

Sızma testi kapsamını 30 dakikalık online görüşmede netleştirelim.

Online Toplantı Planla Kapsam formunu indir (PDF)

Finans, Ödeme & Bankacılık 5 hizmet

Sermaye Piyasası Kurulu

SPK Uyumlu Bilgi Sistemleri Sızma Testi

Aracı kurum ve portföy yönetim şirketlerinin bilgi sistemlerini SPK Bilgi Sistemleri Tebliği’nin yıllık periyodik test gereksinimlerine göre test ediyoruz. Sermaye Piyasası Kurulu kapsamındaki testlerde ağ, uygulama, yapılandırma ve gerektiğinde sosyal mühendislik bileşenlerini OWASP ve NIST metodolojisiyle değerlendiririz. Bulgular; risk seviyesi, kanıt ve çözüm önerileriyle düzenleyici kuruma sunulabilecek formatta raporlanır ve giderme sonrası yeniden test ile doğrulanabilir.

Bankacılık Düzenleme ve Denetleme Kurumu

BDDK BSD-2012/1 Uyumlu Sızma Testleri

Banka ve ödeme kuruluşlarında BDDK BSD-2012/1 kapsamında ağ, uygulama ve sosyal mühendislik testlerini yürütüyoruz. Bu hizmette Bankacılık Düzenleme ve Denetleme Kurumu gereksinimlerine uygun olarak ağ, web/uygulama ve dış saldırı yüzeyini manuel ve otomatik tekniklerle test ederiz. Test sonunda yönetici özeti ve teknik bulgu raporu teslim edilir; talep halinde yeniden test ile açıkların kapatıldığı doğrulanır.

TCMB Tebliği · TSE TS 13638 T2

TCMB Tebliğine Uygun Pentest Hizmeti

Ödeme kuruluşlarının sistemlerini TCMB ödeme sistemi tebliği ve TSE TS 13638 T2 kapsamında akredite olarak test ediyoruz. TCMB Tebliği · TSE TS 13638 T2 kapsamında kimlik doğrulama, yetkilendirme, yapılandırma ve veri güvenliği kontrollerini uçtan uca inceleriz. Bulgular; risk seviyesi, kanıt ve çözüm önerileriyle düzenleyici kuruma sunulabilecek formatta raporlanır ve giderme sonrası yeniden test ile doğrulanabilir.

Ödeme Kartı Sektörü · PCI-DSS

PCI-DSS Sızma Testi & ASV Taraması

Ödeme geçidi, e-ticaret ve banka ortamlarında PCI-DSS’in gerektirdiği iç/dış sızma testi ve çeyreklik ASV taramalarını gerçekleştiriyoruz. Ödeme Kartı Sektörü · PCI-DSS kapsamındaki testlerde ağ, uygulama, yapılandırma ve gerektiğinde sosyal mühendislik bileşenlerini OWASP ve NIST metodolojisiyle değerlendiririz. Test sonunda yönetici özeti ve teknik bulgu raporu teslim edilir; talep halinde yeniden test ile açıkların kapatıldığı doğrulanır.

SWIFT Customer Security Programme

SWIFT CSP Sızma Testi

SWIFT ağına bağlı kurumların SWIFT altyapısında CSP gerekliliklerine yönelik teknik zafiyet değerlendirmesi ve sızma testi yapıyoruz. Bu hizmette SWIFT Customer Security Programme gereksinimlerine uygun olarak ağ, web/uygulama ve dış saldırı yüzeyini manuel ve otomatik tekniklerle test ederiz. Bulgular; risk seviyesi, kanıt ve çözüm önerileriyle düzenleyici kuruma sunulabilecek formatta raporlanır ve giderme sonrası yeniden test ile doğrulanabilir.

Kamu & Düzenleyici Kurumlar 5 hizmet

CBDDO · Bilgi ve İletişim Güvenliği Rehberi

CBDDO BİGR Uyumlu Sızma Testi

Kamu kurumları ve kritik altyapılarda (enerji, su, sağlık, ulaştırma) BİGR’nin öngördüğü düzenli zafiyet taraması ve sızma testlerini yürütüyoruz. CBDDO · Bilgi ve İletişim Güvenliği Rehberi kapsamında kimlik doğrulama, yetkilendirme, yapılandırma ve veri güvenliği kontrollerini uçtan uca inceleriz. Test sonunda yönetici özeti ve teknik bulgu raporu teslim edilir; talep halinde yeniden test ile açıkların kapatıldığı doğrulanır.

Bilgi Teknolojileri ve İletişim Kurumu

BTK Uyumlu Şebeke & Bilgi Güvenliği Sızma Testi

Elektronik haberleşme operatörleri ve internet servis sağlayıcılarında şebeke ve bilgi güvenliği sızma testlerini gerçekleştiriyoruz. Bilgi Teknolojileri ve İletişim Kurumu kapsamındaki testlerde ağ, uygulama, yapılandırma ve gerektiğinde sosyal mühendislik bileşenlerini OWASP ve NIST metodolojisiyle değerlendiririz. Bulgular; risk seviyesi, kanıt ve çözüm önerileriyle düzenleyici kuruma sunulabilecek formatta raporlanır ve giderme sonrası yeniden test ile doğrulanabilir.

Kişisel Verileri Koruma Kurumu

KVKK Teknik Tedbirler Sızma Testi

Kişisel Veri Güvenliği Rehberi’ndeki teknik tedbirler doğrultusunda BT sistemlerinde sızma testi ve zafiyet yönetimi sağlıyoruz. Bu hizmette Kişisel Verileri Koruma Kurumu gereksinimlerine uygun olarak ağ, web/uygulama ve dış saldırı yüzeyini manuel ve otomatik tekniklerle test ederiz. Test sonunda yönetici özeti ve teknik bulgu raporu teslim edilir; talep halinde yeniden test ile açıkların kapatıldığı doğrulanır.

T.C. Sağlık Bakanlığı

HBYS & Sağlık Bilişimi Sızma Testi

HBYS ve e-Nabız ile entegre çalışan sağlık bilişim sistemlerinde gereken bilgi güvenliği testlerini yapıyoruz. T.C. Sağlık Bakanlığı kapsamında kimlik doğrulama, yetkilendirme, yapılandırma ve veri güvenliği kontrollerini uçtan uca inceleriz. Bulgular; risk seviyesi, kanıt ve çözüm önerileriyle düzenleyici kuruma sunulabilecek formatta raporlanır ve giderme sonrası yeniden test ile doğrulanabilir.

Savunma Sanayii Başkanlığı · EYDEP

SSB & EYDEP Uyumlu Sızma Testi

Savunma sanayii yüklenici ve alt yüklenicilerinde EYDEP süreçleri ve kurum yönergelerine uygun proje bazlı sızma testleri yürütüyoruz. Savunma Sanayii Başkanlığı · EYDEP kapsamındaki testlerde ağ, uygulama, yapılandırma ve gerektiğinde sosyal mühendislik bileşenlerini OWASP ve NIST metodolojisiyle değerlendiririz. Test sonunda yönetici özeti ve teknik bulgu raporu teslim edilir; talep halinde yeniden test ile açıkların kapatıldığı doğrulanır.

Enerji, Ulaştırma & Endüstriyel Sistemler (OT/ICS) 4 hizmet

Enerji Piyasası Düzenleme Kurumu

EPDK SCADA & OT/ICS Sızma Testi

Elektrik, doğal gaz ve petrol piyasası şirketlerinin SCADA ve OT/ICS altyapılarında sızma testi ve güvenlik denetimi yapıyoruz. Bu hizmette Enerji Piyasası Düzenleme Kurumu gereksinimlerine uygun olarak ağ, web/uygulama ve dış saldırı yüzeyini manuel ve otomatik tekniklerle test ederiz. Bulgular; risk seviyesi, kanıt ve çözüm önerileriyle düzenleyici kuruma sunulabilecek formatta raporlanır ve giderme sonrası yeniden test ile doğrulanabilir.

Sivil Havacılık Genel Müdürlüğü

SHGM Uyumlu Havalimanı & Havayolu Sızma Testi

Havalimanı operatörleri ve havayolu şirketlerinde SHGM Siber Güvenlik Talimatı ve ICAO Annex 17 doğrultusunda kritik altyapı testlerini yürütüyoruz. Sivil Havacılık Genel Müdürlüğü kapsamında kimlik doğrulama, yetkilendirme, yapılandırma ve veri güvenliği kontrollerini uçtan uca inceleriz. Test sonunda yönetici özeti ve teknik bulgu raporu teslim edilir; talep halinde yeniden test ile açıkların kapatıldığı doğrulanır.

Denizcilik · ISPS Kod (IMO)

ISPS Kod Liman & Gemi OT Sızma Testi

Liman işletmeleri ve gemi sistemlerinde ISPS Kod ve IMO kararları kapsamında IT/OT sızma testi ve risk analizi yapıyoruz. Denizcilik · ISPS Kod (IMO) kapsamındaki testlerde ağ, uygulama, yapılandırma ve gerektiğinde sosyal mühendislik bileşenlerini OWASP ve NIST metodolojisiyle değerlendiririz. Bulgular; risk seviyesi, kanıt ve çözüm önerileriyle düzenleyici kuruma sunulabilecek formatta raporlanır ve giderme sonrası yeniden test ile doğrulanabilir.

Demiryolu · CTC / Sinyalizasyon

Demiryolu Sinyalizasyon & OT Sızma Testi

Merkezi Trafik Kontrol (CTC) ve demiryolu haberleşme ağlarında endüstriyel SCADA/OT güvenlik testlerini yürütüyoruz. Bu hizmette Demiryolu · CTC / Sinyalizasyon gereksinimlerine uygun olarak ağ, web/uygulama ve dış saldırı yüzeyini manuel ve otomatik tekniklerle test ederiz. Test sonunda yönetici özeti ve teknik bulgu raporu teslim edilir; talep halinde yeniden test ile açıkların kapatıldığı doğrulanır.

Bulut Güvenliği 3 hizmet

Amazon Web Services · Cloud & Network

AWS Cloud & Network Penetration Test

AWS altyapılarında IAM, S3, VPC ve API Gateway yapılandırmalarını AWS sızma testi politikasına uygun şekilde test ediyoruz. Amazon Web Services · Cloud & Network kapsamında kimlik doğrulama, yetkilendirme, yapılandırma ve veri güvenliği kontrollerini uçtan uca inceleriz. Bulgular; risk seviyesi, kanıt ve çözüm önerileriyle düzenleyici kuruma sunulabilecek formatta raporlanır ve giderme sonrası yeniden test ile doğrulanabilir.

Google Cloud Platform

GCP Sızma Testi Hizmeti

Google Cloud ortamlarında IAM, Cloud Storage, GKE ve BigQuery güvenlik testlerini GCP kurallarına uygun olarak yapıyoruz. Google Cloud Platform kapsamındaki testlerde ağ, uygulama, yapılandırma ve gerektiğinde sosyal mühendislik bileşenlerini OWASP ve NIST metodolojisiyle değerlendiririz. Test sonunda yönetici özeti ve teknik bulgu raporu teslim edilir; talep halinde yeniden test ile açıkların kapatıldığı doğrulanır.

Microsoft Azure · Cloud

Microsoft Azure Sızma Testi

Microsoft Azure ortamlarında ‘Rules of Engagement’ kurallarına uygun olarak kimlik, depolama, ağ ve servis yapılandırmalarını test ediyoruz. Bu hizmette Microsoft Azure · Cloud gereksinimlerine uygun olarak ağ, web/uygulama ve dış saldırı yüzeyini manuel ve otomatik tekniklerle test ederiz. Bulgular; risk seviyesi, kanıt ve çözüm önerileriyle düzenleyici kuruma sunulabilecek formatta raporlanır ve giderme sonrası yeniden test ile doğrulanabilir.

E-Ticaret, Entegratör & Gümrük 4 hizmet

Ticaret Bakanlığı · Güven Damgası

Güven Damgası (TRGO) Sızma Testi

E-ticaret platformları için Güven Damgası Tebliği’nin öngördüğü yıllık zorunlu sızma testini TSE yetkili firma olarak gerçekleştiriyoruz. Ticaret Bakanlığı · Güven Damgası kapsamında kimlik doğrulama, yetkilendirme, yapılandırma ve veri güvenliği kontrollerini uçtan uca inceleriz. Test sonunda yönetici özeti ve teknik bulgu raporu teslim edilir; talep halinde yeniden test ile açıkların kapatıldığı doğrulanır.

Gelir İdaresi Başkanlığı · Özel Entegratör

GİB e-Belge Entegratör Sızma Testi

e-Fatura, e-Defter ve e-Arşiv entegratörlerinde canlı ortam öncesi ve sonrası sızma testlerini ISO 27001, 20000-1 ve 22301 gereksinimleriyle birlikte yürütüyoruz. Gelir İdaresi Başkanlığı · Özel Entegratör kapsamındaki testlerde ağ, uygulama, yapılandırma ve gerektiğinde sosyal mühendislik bileşenlerini OWASP ve NIST metodolojisiyle değerlendiririz. Bulgular; risk seviyesi, kanıt ve çözüm önerileriyle düzenleyici kuruma sunulabilecek formatta raporlanır ve giderme sonrası yeniden test ile doğrulanabilir.

İYS
İleti Yönetim Sistemi · Entegratör

İYS Entegratör Sızma Testi

İYS API’lerine bağlanan iş ortakları ve rıza yönetimi (CMP) altyapılarında sızma testi ve bilgi güvenliği doğrulaması yapıyoruz. Bu hizmette İleti Yönetim Sistemi · Entegratör gereksinimlerine uygun olarak ağ, web/uygulama ve dış saldırı yüzeyini manuel ve otomatik tekniklerle test ederiz. Test sonunda yönetici özeti ve teknik bulgu raporu teslim edilir; talep halinde yeniden test ile açıkların kapatıldığı doğrulanır.

Ticaret Bakanlığı · Yetkilendirilmiş Yükümlü

YYS Tedarik Zinciri Sızma Testi

YYS statüsü için tedarik zinciri güvenliği kapsamında bilişim sistemleri ve otomasyonların teknik sızma testlerini yürütüyoruz. Ticaret Bakanlığı · Yetkilendirilmiş Yükümlü kapsamında kimlik doğrulama, yetkilendirme, yapılandırma ve veri güvenliği kontrollerini uçtan uca inceleriz. Bulgular; risk seviyesi, kanıt ve çözüm önerileriyle düzenleyici kuruma sunulabilecek formatta raporlanır ve giderme sonrası yeniden test ile doğrulanabilir.

Sızma Testi Sürecimiz

Tüm regülasyona uyumlu sızma testlerimizi OWASP Testing Guide ve NIST SP 800-115 metodolojilerine göre yürütürüz. Süreç altı aşamadan oluşur:

  1. Kapsam ve Planlama — Test sınırları, hedef sistemler ve ilgili mevzuat gereksinimleri tanımlanır.
  2. Keşif — Pasif ve aktif bilgi toplama ile saldırı yüzeyi çıkarılır.
  3. Zafiyet Tespiti — Otomatik tarama ve manuel analizle güvenlik açıkları belirlenir.
  4. Sömürü — Tespit edilen açıklar kontrollü biçimde doğrulanır ve gerçek iş riski ölçülür.
  5. Raporlama — Yönetici özeti, teknik bulgular, risk seviyeleri, kanıtlar ve çözüm önerileri düzenleyici kuruma sunulabilecek formatta hazırlanır.
  6. Yeniden Test — Giderilen açıkların kapatıldığı doğrulanır.

Sektör ve Mevzuat Eşleşmesi

Sektörİlgili Düzenleme / StandartTest Odağı
Finans, Ödeme & BankacılıkSPK, BDDK (BSD-2012/1), TCMB, PCI-DSS, SWIFT CSPBilgi sistemleri, ödeme altyapısı, ağ ve uygulama
Kamu & Düzenleyici KurumlarCBDDO BİGR, BTK, KVKK teknik tedbirlerKurumsal bilgi sistemleri ve kişisel veri güvenliği
Enerji, Ulaştırma & Endüstri (OT/ICS)EPDK (SCADA), SHGM, ISPS Kod, demiryolu sinyalizasyonOT/ICS, SCADA ve kritik altyapı
Bulut GüvenliğiAWS, Microsoft Azure, GCPBulut yapılandırması, kimlik ve ağ güvenliği
E-Ticaret, Entegratör & GümrükİYS, GİB e-Belge, YYS, Güven Damgası (TRGO)Entegratör altyapısı ve tedarik zinciri
Standartlar & Yetki BelgeleriISO/IEC 27001, TS 13638 (A-Sınıfı)Yönetim sistemi kapsamında periyodik test

Neden Nesil Teknoloji?

  • TSE A-Sınıfı Yetki Belgesi (TS 13638/T2) — En geniş kapsamda sızma testi yetkisi.
  • ISO/IEC 27001, 27701, 20000 ve 22301 sertifikalı bilgi güvenliği ve süreç yönetimi.
  • CREST üyeliği ve OSCP, CEH, CISSP, CISA sertifikalı uzman kadro.
  • 400+ kurumsal referans — Finanstan kamuya geniş sektör deneyimi.
  • Uçtan uca uyum — Test, raporlama ve düzenleyici kuruma sunum tek elden.

Resmi Mevzuat Kaynakları

Hizmet kapsamlarımız ilgili düzenleyici kurumların güncel mevzuatına dayanır: BDDK, SPK, TCMB, EPDK, KVKK, PCI SSC, TSE.

Hangi mevzuata tabi olduğunuzu birlikte netleştirelim

30 dakikalık ücretsiz ön görüşmede kapsamınızı ve uyum yükümlülüklerinizi değerlendirelim.

Teklif Al

Sıkça Sorulan Sorular

Regülasyona uyumlu sızma testi nedir?

Regülasyona uyumlu sızma testi; BDDK, SPK, TCMB ve EPDK gibi düzenleyici kurumların ve PCI-DSS, ISO 27001 gibi standartların zorunlu kıldığı kapsam, yöntem ve raporlama gereksinimlerine göre yürütülen bir güvenlik testidir. Amaç hem güvenlik açıklarını tespit etmek hem de ilgili mevzuata uyum yükümlülüğünü belgelendirmektir.

PCI-DSS kapsamında sızma testi ne sıklıkla yapılmalıdır?

PCI DSS v4.0 gereksinimleri uyarınca sızma testleri en az yılda bir kez ve kapsamı etkileyen önemli değişikliklerden sonra tekrarlanır. ASV (Approved Scanning Vendor) zafiyet taramaları ise en az üç ayda bir gerçekleştirilir.

TSE A-Sınıfı sızma testi yetki belgesi ne anlama gelir?

TS 13638 standardı kapsamında verilen A-Sınıfı yetki belgesi, firmanın sızma testi hizmetini tanımlı en geniş kapsamda sunma yetkinliğine sahip olduğunu gösterir. Nesil Teknoloji, TS 13638/T2 kapsamında A-Sınıfı yetki belgesine sahiptir.

Sızma testi sonunda hangi çıktılar teslim edilir?

Test sonunda yönetici özeti; zafiyetlerin risk seviyesi, kanıtları ve çözüm önerileriyle sunulduğu teknik bulgu raporu ve düzenleyici kuruma sunulabilecek uyum raporu teslim edilir. Talep halinde giderme sonrası yeniden test (retest) doğrulaması da sağlanır.

Hangi sektörler ve mevzuatlar için sızma testi sunuyorsunuz?

Finans, ödeme ve bankacılık (SPK, BDDK, TCMB, PCI-DSS, SWIFT CSP); kamu ve düzenleyici kurumlar (CBDDO BİGR, BTK, KVKK); enerji, ulaştırma ve endüstriyel OT/ICS (EPDK, SHGM, ISPS); bulut (AWS, Azure, GCP) ile e-ticaret, entegratör ve gümrük (İYS, GİB e-Belge, YYS) alanlarında regülasyona uyumlu sızma testi hizmeti veriyoruz.

Sızma testi ile zafiyet taraması arasındaki fark nedir?

Zafiyet taraması, otomatik araçlarla bilinen açıkların tespit edilmesidir. Sızma testi ise uzman bir ekibin bu açıkları manuel olarak doğrulayıp istismar ederek gerçek etkiyi ve iş riskini ortaya koyduğu, OWASP ve NIST metodolojilerine dayanan kapsamlı bir değerlendirmedir.