SPK Uyumlu Hizmet

SPK Kapsamında Bilgi Sistemleri
Sızma Testleri

Nesil Teknoloji – SPK Bağımsız Denetçi Lisanslı

Sermaye piyasası kurumları ve portföy yönetim şirketleri için Bilgi Sistemleri Sızma Testleri'ni, ilgili Tebliğ'de tariflenen usul ve esaslara eksiksiz uyum ile gerçekleştiriyoruz.

Test Kapsamı Raporlama & Takip

Amaç (Tebliğ ile uyumlu)

Sızma testlerinin amacı; Kurum, Kuruluş ve Ortaklıkların bilgi sistemlerinde olası güvenlik açıklarının sızma girişimlerinden önce tespit edilmesi, birleşik risklerin analiz edilmesi ve iyileştirici faaliyetlerin belirlenmesidir.

Kapsam (Asgari)

İletişim Altyapısı ve Aktif Cihazlar

Firewall/Router/Switch yapılandırmaları, DMZ

DNS Servisleri

Alan adı servisleri güvenliği

Etki Alanı & Kullanıcı Bilgisayarları

AD, uç nokta ilkeleri

E-posta Servisleri

İçerik güvenliği, kimlik avı senaryoları

Veritabanı Sistemleri

Yetkilendirme, sorgu güvenliği

Web Uygulamaları

Uygulama/API denetimleri

Mobil Uygulamalar

iOS/Android güvenlik kontrolleri

Kablosuz Ağ Sistemleri

WLAN şifreleme ve izolasyon

Dağıtık Servis Dışı Bırakma

DDoS testleri (koordineli)

Sosyal Mühendislik

Kimlik avı, sahte doğrulama

Bu başlıklar Tebliğ'deki asgari kapsamtır; kurumun ölçeği ve risklerine göre genişletilebilir.

Metodoloji – Erişim Noktaları & Kullanıcı Profilleri

Erişim Noktaları

  • İnternet: Kurumun internete açık sunucu/servislerine dış lokasyondan test
  • İç Ağ: Kurum iç ağındaki sunuculara kurum içinden erişerek test

Kullanıcı Profilleri

  • Anonim kullanıcı: Üye olmayan dış kullanıcı
  • Müşteri profili: Web uygulamalarına giriş yetkili kullanıcı
  • Çalışan profili: En yaygın kullanıcı + local admin

Sistem Tespiti

Sunucu ve ağ cihazlarının sistem/yapılandırma bilgilerinin belirlenmesi.

Servis Tespiti

Port taraması ve dışa açık servislerin envanteri.

Açıklık Taraması

Bileşenlerin güncel zafiyetlere karşı taranması.

Bulgu Önem Dereceleri (Tebliğ)

SeviyeTanım
AcilNiteliksiz saldırganın dış ağdan sistemin tamamen ele geçirilmesine sebep olan açıklıklar
KritikNitelikli saldırganın dış ağdan sistemin tamamen ele geçirilmesine sebep olan açıklıklar
YüksekDış ağdan kısıtlı hak yükseltme/hizmet dışı kalma veya yerelden hak yükseltme
OrtaYerel ağdan/sunucudan hizmet dışı bırakılmaya yol açan açıklıklar
DüşükEtkisi tam belirlenemeyen; sıkılaştırma eksikliklerinden kaynaklanan durumlar

Raporlama & Takip (Tebliğ ile uyumlu)

Rapor İçeriği

  • Her başlık altında tespitler ve birleşik risk değerlendirmesi
  • Bulgu Formatı: Referans No, Ad, Önem Derecesi, Etki, Bileşen(ler), Çözüm Önerisi
  • Test ekibi bilgileri ve ilgili yeterlilik belgeleri

Süreç & Bildirim

  • Rapor tamamlandıktan sonra 1 ay içinde Kurula gönderime hazır
  • Yönetim Kurulu onaylı aksiyon planı
  • "Acil" ve "Kritik" bulguların ivedilikle kapatılması

Neden Nesil Teknoloji?

SPK Bağımsız Denetçi Lisansı

Resmî yetkinlik; Tebliğ'e tam uyumlu süreç ve raporlama

Finans Sektörü Odağı

Portföy yönetimi, aracı kurum, fintech deneyimi

Denetimde Kullanılabilir Rapor

Bulgu formatı, önem dereceleri Tebliğ ile uyumlu

Gizlilik & Güvenlik

İş sürekliliğini riske atmayacak yöntem; koordineli testler

Uzman Kadro & Akreditasyonlar

TSE Onaylı Sızma Testi Firması
Belge No: TSE-STF-065
Nesil Teknoloji A.Ş., Türk Standardları Enstitüsü tarafından TS 13638/T2 standardı kapsamında "Onaylı Sızma Testi Firması" olarak belgelendirilmiştir.

Ekibimizin Sahip Olduğu Sertifikalar

Uluslararası Sertifikalar
CEHCertified Ethical HackerEC-Council
OSCPOffensive Security Certified ProfessionalOffensive Security
Security+CompTIA Security+CompTIA
CISSPCertified Information Systems Security Professional(ISC)²
CISACertified Information Systems AuditorISACA
GPENGIAC Penetration TesterSANS/GIAC
LPTLicensed Penetration TesterEC-Council
TSE Sızma Testi Uzmanları
2
Kıdemli Sızma Testi UzmanıTSE Sertifikalı
4
Sertifikalı Sızma Testi UzmanıTSE Sertifikalı
3
Kayıtlı Sızma Testi UzmanıTSE Kayıtlı
Tüm Sertifika ve Belgelerimiz Detaylı bilgi ve belge görüntüleme için tıklayın

Referanslarımız

Tera Portföy Yönetimi A.Ş
Tera Yatırım Menkul Değerler A.Ş

SPK kapsamındaki testler tamamlandı; raporlar kabul edildi.

IKON Menkul Değerler A.Ş.

İnternet & iç ağ, web/API ve e-posta testleri; birleşik risk analizi.

Perform Portföy Yönetimi A.Ş.

Web/mobil, veritabanı ve kablosuz ağ testleri.

Gizlilik sözleşmeleri gereği unvan paylaşımı sınırlıdır; detaylı liste talep üzerine sunulur.

SPK Uyumlu Sızma Testi – Teklif Alın

Test kapsamı, metodoloji ve raporlama sürecini birlikte planlayalım.

[email protected] Test Kapsamını İncele
Uygar Aydın – Siber Güvenlik Ekibi
Siber Güvenlik Ekibi – Uygar Aydın ile Online Toplantı
SPK Bilgi Sistemleri Sızma Testleri kapsamını birlikte netleştirelim. 30 dakikalık çevrimiçi görüşmede, Tebliğ’e uyumlu kapsam, test takvimi ve teslim süreçlerini belirleyip teklifimizi paylaşalım.
  • Ön keşif & kapsam doğrulama (kurumunuza özel)
  • Tebliğ uyumlu bildirim ve raporlama planı
  • Hızlı tekliflendirme ve başlangıç tarihi
Uygar ile Online Toplantı Planla Kapsam Belirleme Formunu İndir (PDF)
Formu doldurup [email protected] adresine iletebilirsiniz.