Ödeme Kuruluşlarında Sızma Testi: TCMB ve PCI DSS Neden Birlikte Düşünülmeli?
Online alışveriş yapıyoruz, QR kod okutarak ödüyoruz, telefonumuzdan para gönderiyoruz. Tüm bu işlemlerin arkasında “ödeme kuruluşları” var. Bu şirketler paramızın ve kart bilgilerimizin güvenliğinden sorumlu. Türkiye Cumhuriyet Merkez Bankası (TCMB) bu sorumluluğu yasal bir zemine oturtmuş ve ödeme kuruluşlarından yılda en az bir kez sızma testi yaptırmalarını zorunlu hâle getirmiştir. Bir de üstüne bunu kart ödemelerinin uluslararası güvenlik standardı olan PCI DSS v4.0 ekleyin — ve karmaşık görünen ama aslında birbiriyle çok iyi örtüşen iki kural seti karşınıza çıkar.
Bu rehberde, her iki kuralın ne istediğini, sızma testinin pratikte nasıl yapıldığını ve kurumların bu süreçte sık düştüğü hataları sade bir dille anlatıyoruz.
TCMB Zorunluluğu: Yılda en az 1 kez dış sızma testi; yeni sistemler için kullanıma açılmadan önce ayrıca test.
PCI DSS v4.0: Yılda en az 1 kez; kart verisi işleyen hizmet sağlayıcılar için ağ bölümleme testi 6 ayda bir.
Uzman Şartı: TSE onaylı firmalar ve belgeli uzmanlar gerekli.
Kritik Alanlar: Ağ güvenliği, web ve mobil uygulamalar, QR kod, sahte e-posta testleri.
1. TCMB Ne İstiyor? Yasal Zorunluluklar
2020 yılına kadar ödeme kuruluşlarını denetleyen kurum BDDK’ydı. O tarihten itibaren bu görev TCMB’ye geçti ve 1 Aralık 2021’de yeni bir Bilgi Sistemleri Tebliği yayımlandı. Bu tebliğ, ödeme kuruluşlarının dijital sistemlerini nasıl koruması gerektiğini ayrıntılı biçimde düzenledi. Sızma testleri bu düzenlemenin merkezinde yer alıyor.
6493 sayılı Ödeme ve Menkul Kıymet Mutabakat Sistemleri Kanunu kapsamındaki tüm ödeme kuruluşları — yani para transferi yapan, kart ödemesi işleyen, dijital cüzdan sunan şirketler — bu kurallara uymak zorunda.
1.1. Ne Zaman Test Yapılmalı?
TCMB sadece yılda bir kez değil, belirli durumların tetiklediği ek testleri de zorunlu kılıyor. Bunu bir arabanın periyodik bakımına benzetebilirsiniz: yıllık muayene zorunlu, ama kaza geçirdikten ya da büyük tadilat yaptıktan sonra da kontrol gerekir.
| Ne Zaman? | Neden? | Yasal Dayanak |
|---|---|---|
| Yılda en az 1 kez | Düzenli güvenlik denetimi | TCMB Bilgi Sistemleri Tebliği Md. 21 |
| Yeni sistem devreye almadan önce | Yeni bir uygulama veya hizmet açılıyorsa, önce test | TCMB Sızma Testleri Genelgesi |
| Açıklar kapatıldıktan sonra | Düzeltmenin gerçekten işe yarayıp yaramadığını doğrulamak için | TCMB Genel Prensipleri |
1.2. Nereleri Kapsamalı?
TCMB, testlerin sadece internet üzerinden erişilebilen sistemlerle sınırlı kalmamasını istiyor. Kuruluşun kendi iç ağı, şubeler veya iş ortağı ağları ve kablosuz sistemler de kapsama giriyor. Üstelik testler farklı gözlerden yapılmalı: dışarıdan bir saldırgan, bir çalışan, bir iş ortağı ve bir müşteri — her profilin neler yapabileceği ayrı ayrı test ediliyor.
Buradaki amaç sadece “bir açık var mı yok mu” sorusuna cevap bulmak değil. Küçük görünen birkaç açığın bir araya geldiğinde büyük bir kapıyı aralayıp aralayamayacağını da sorgulamak gerekiyor. Bu nedenle test ekibinin gerçek bir saldırgan gibi yaratıcı düşünmesi bekleniyor.
2. PCI DSS v4.0: Kart Güvenliğinin Uluslararası Kuralları
Kredi veya banka kartıyla ödeme alan ya da bu işlemlere aracılık eden her kuruluş, Visa ve Mastercard’ın ortak olarak oluşturduğu PCI DSS (Ödeme Kartı Sektörü Veri Güvenliği Standardı) kurallarına uymak zorundadır. Mart 2024’te eski sürüm tamamen emekliye ayrılarak yeni sürüm olan v4.0 yürürlüğe girdi. Bu yeni sürüm, güvenliği bir kez yapılıp geçilen bir kontrol değil, sürekli devam eden bir süreç olarak yeniden tanımlıyor.
2.1. “11. Gereksinim”: Sistematik Test Zorunluluğu
PCI DSS’nin 11. maddesi, “Sistemleri ve ağları düzenli olarak test et” diyor. Ama burada bahsedilen, bir yazılımın otomatik olarak çalıştırdığı tarama değil. Gerçek bir uzmanın elle sisteme girmeye çalışması, yani aktif sızma testi zorunlu. Otomatik tarama araçları başlangıç noktası olabilir; ama tek başına yeterli sayılmaz.
2.2. Ağ Bölümlendirme Testi: Neden Bu Kadar Önemli?
Birçok kuruluş, kart bilgilerinin işlendiği sistemi diğer sistemlerden ayırarak denetim kapsamını daraltır. Bu “ağ bölümlendirme” olarak adlandırılır. Ancak bölümlendirme yaptım demek yetmez — düzgün yapıldığını kanıtlamak gerekir. PCI DSS v4.0, bu kanıtı her yıl test yoluyla sunmayı zorunlu kılıyor. Kart işleyen hizmet sağlayıcılar için bu süre 6 aya kadar inebilir.
⚠ Bölümlendirme Hataları Pahalıya Patlayabilir
Eğer ağ bölümlendirmesi düzgün yapılmamışsa, küçük bir hata tüm kurumsal ağı denetim kapsamına sokar. Bu da hem uyumluluk maliyetini hem de veri sızıntısı riskini dramatik biçimde artırır. Tek bir yanlış güvenlik duvarı kuralı, yüzlerce ek gereksinimin devreye girmesine yol açabilir.
2.3. Ödeme Sayfalarına Özel Yeni Kural
v4.0 ile gelen önemli yeniliklerden biri de ödeme sayfalarının sürekli izlenmesidir. Son yıllarda saldırganlar, online alışveriş sitelerinin ödeme formlarına gizli bir kod yerleştirerek kart bilgilerini çalıyor. Bu saldırı türüne “Magecart” adı veriliyor ve oldukça yaygın. Yeni kural, ödeme sayfasındaki her kodun ve ayarın izlenmesini zorunlu kılıyor. Sızma testleri artık bu izleme sisteminin gerçekten çalışıp çalışmadığını da doğrulamak zorunda.
3. İki Kuralı Aynı Anda Karşılamak Mümkün mü?
İki farklı kurala ayrı ayrı uyum sağlamak hem zahmetli hem pahalı görünebilir. Ama aslında bu iki düzenleme birbirleriyle çok iyi örtüşüyor ve doğru planlandığında tek bir kapsamlı test her ikisini de karşılayabilir.
| Konu | TCMB (Türkiye) | PCI DSS v4.0 (Dünya Geneli) |
|---|---|---|
| Temel Hedef | Tüm bilgi sistemlerinin genel güvenliği | Kart bilgilerinin korunması |
| Test Sıklığı | Yılda en az 1 kez | Yılda en az 1 kez (kart işleyiciler için bölümleme testi 6 ayda 1) |
| Sahte E-posta Testi | Zorunlu kapsam | Önerilen ve sıkça uygulanan bir bileşen |
| Raporlama Kime? | TCMB’ye BADES sistemi üzerinden | Denetçilere ve kart şirketlerine (Visa, Mastercard vb.) |
| Uzman Şartı | TSE onaylı firma ve uzman | Bağımsız ve nitelikli uzman (iç veya dış ekip) |
TCMB, kuruluşun tüm sistemlerini ve iş ortağı bağlantılarını genel olarak korumayı hedeflerken, PCI DSS kart verisinin geçtiği her noktayı derinlemesine güvence altına almaya odaklanır. En akıllıca yaklaşım şudur: TCMB için yapılan kapsamlı sızma testinin içine, PCI DSS’nin istediği ağ bölümleme doğrulaması ve kart sistemleri testini entegre etmek. Böylece iki işi tek seferde, daha az maliyet ve daha az zamanla halledebilirsiniz.
4. Sızma Testi Adım Adım Nasıl Yapılır?
Sızma testi rastgele bir “sisteme saldırma denemesi” değildir. Belirli bir sıraya ve kurallara göre yürütülen, iyi planlanmış bir mühendislik çalışmasıdır. Hem TCMB hem de PCI DSS, testlerin uluslararası kabul görmüş yöntemlere (NIST, OWASP gibi) dayanmasını bekler.
4.1. Testlerin Dört Ana Adımı
1. Sınırları Belirle: Her şeyden önce, neyin test edileceği ve neyin dışarıda bırakılacağı netleştirilir. Tıpkı bir yangın tatbikatı öncesinde “hangi binalar dahil, hangileri hariç” diye planlanması gibi. Yoğun iş saatlerinde yapılacak testlerde sistem aksatılmamak için zaman ve koordinasyon da bu adımda belirlenir.
2. Sistemi Tanı: Test ekibi, kurumu dışarıdan araştırır. Web sitesi, e-posta adresleri, çalışanların sosyal medya bilgileri, internete açık sistemler — gerçek bir saldırganın kurumu hedef almadan önce toplayacağı tüm bilgiler bu aşamada derlenir.
3. Açıkları Bul ve Dene: Otomatik araçlar potansiyel açıkları listeler. Ardından uzmanlar her birini elle deneyerek gerçekten kullanılabilir olup olmadığını test eder. Önemli olan şu: küçük bir açık tek başına önemsiz görünebilir, ama birkaç küçük açık bir araya gelince büyük bir kapı açabilir. PCI DSS testlerinde temel soru şudur: kart numarası veya güvenlik koduna yetkisiz erişim mümkün mü?
4. Belgele ve Raporla: Her bulgu, kanıtıyla birlikte (ekran görüntüsü, komut çıktısı vb.) raporlanır. Sadece “bu açık var” değil, “bu açık ne kadar tehlikeli ve nasıl kapatılır” sorusu da yanıtlanır.
4.2. Nerelere Bakılır?
| Test Alanı | Ne İncelenir? | Önem Seviyesi |
|---|---|---|
| Ağ Güvenliği | Güvenlik duvarı kuralları, ağ bölümlendirme, saldırı tespit sistemleri | Kritik |
| Web Uygulamaları | Giriş güvenliği, oturum yönetimi, veri doğrulama, bilinen açıklar | Kritik |
| Mobil Uygulamalar | Telefonda saklanan veriler, şifreli bağlantı, uygulama tersine mühendislik | Yüksek |
| Veritabanları | Yetkisiz erişim, kötü amaçlı sorgular, veri şifreleme | Kritik |
| Bulut Sistemleri | Yanlış yapılandırma, kullanıcı yetkileri, açık depolama alanları | Yüksek |
| Sahte E-posta Testi | Çalışanların oltalama saldırılarına karşı direnci | Orta-Yüksek |
5. Doğru Uzmanı Nasıl Seçersiniz?
Sızma testinin işe yaraması, onu yapan uzmanın gerçekten yetkin olmasına bağlıdır. Kötü bir sızma testi, var olan açıkları gözden kaçırır ve kurumu sahte bir güvenlik hissine sürükler. Bu yüzden hem TCMB hem de PCI DSS, uzman seçimi konusunda net kriterler belirlemiştir.
5.1. TSE Belgelendirmesi: Devletin Kalite Onayı
Türk Standartları Enstitüsü (TSE), sızma testi yapan firmaları üç seviyede değerlendirir. TCMB tebliği, testlerin ulusal veya uluslararası belgeye sahip uzmanlar tarafından yapılmasını şart koşar. TSE belgesi bu konudaki en güvenilir Türk devlet güvencesidir.
Uzmanlar da üç kademede değerlendirilir:
- Stajyer Uzman: Deneyimi sınırlı; TCMB raporlarını tek başına hazırlayamaz, mutlaka gözetim gerektirir.
- Kayıtlı Uzman: En az bir yıl deneyim ve TSE sınavlarından geçmiş profesyoneller. Bağımsız rapor hazırlayabilir.
- Sertifikalı (Kıdemli) Uzman: Yüksek deneyim, makale veya güvenlik açığı keşfi gibi ek kanıtlarla desteklenmiş en üst seviye uzmanlar.
5.2. Uluslararası Sertifikalar Ne Anlama Gelir?
PCI denetçileri ve uluslararası kuruluşlar aşağıdaki sertifikalara büyük önem verir:
- OSCP: Sızma testi dünyasının “altın standardı.” 24 saatlik uygulamalı bir sınavı geçmeyi gerektirir. Bu sertifikası olan biri gerçekten sahaya çıkabiliyordur.
- CISSP: Hem teknik hem yönetimsel güvenlik konularında geniş bilgi birikimini belgeler.
- CREST: Özellikle Avrupa’daki finans kuruluşlarında yüksek itibar gören standart.
- CEH: Etik hackleme tekniklerinde temel yetkinliği belgeler.
6. Test Sonrası Ne Olur? Raporlama ve Takip
Test bitti, rapor hazır. Şimdi ne yapacaksınız? Burada pek çok kuruluş yanılır: raporu alır, dolar rafa. Oysaki sızma testinin asıl değeri, bulgular ciddiye alındığında ortaya çıkar.
6.1. TCMB’ye Nasıl Bildirilir?
TCMB, sızma testi sonuçlarının BADES (Bağımsız Denetim Takip Sistemi) adlı elektronik sisteme yüklenmesini istiyor. Raporun formatı, içeriği ve yükleme zamanlaması tebliğde belirtilen standartlara uygun olmalıdır. Eksik veya standart dışı raporlar iade edilebilir ya da ek açıklama istenebilir.
6.2. Bulgular Nasıl Sınıflandırılır?
Her açık tehlike düzeyine göre kategorize edilir. Bunu acil servisteki triaj sistemine benzetebilirsiniz: kimin önce müdahale göreceği, durumun ciddiyetine göre belirlenir.
- Acil: Neredeyse herkesin dışarıdan sistemi ele geçirebileceği çok ciddi açıklar. Derhal kapatılmalı.
- Kritik: Yetenekli bir saldırganın kart verisi veya hassas bilgilere ulaşmasını sağlayan açıklar.
- Yüksek: Sınırlı hasar yaratabilecek ama yine de kısa sürede kapatılması gereken açıklar.
- Orta: Yalnızca iç ağdan istismar edilebilen veya az bilgi sızdıran açıklar.
- Düşük: Güvenlik en iyi pratiklerinden sapma durumları; acil değil ama görmezden gelinmemeli.
6.3. Aksiyon Planı ve Doğrulama Testi
Her bulgu için bir sorumlu, bir kapatma tarihi ve gerekiyorsa geçici önlemler belirlenir. Bu plan yönetim kurulunun onayından geçer. Kapatma çalışmaları tamamlandıktan sonra bağımsız ekip geri dönüp doğrulama testi yapar. “Düzelttik” demek yetmez; kanıtlamak gerekir. Bu adım atlanırsa süreç hukuki olarak da eksik sayılır.
7. QR Kod ve Uygulama Güvenliği: Yeni Riskler
Artık kafelerde, restoranlarda, markette kasada — her yerde QR kodla ödeme yapılıyor. Mobil uygulamalar üzerinden para transferi yapılıyor. Bu yeni ödeme kanalları, yeni güvenlik testlerini de zorunlu kılıyor.
7.1. Uygulama Programlama Arayüzleri (API)
Fintech uygulamalarının temeli API’lardır — yani farklı sistemlerin birbirleriyle konuşmasını sağlayan dijital köprüler. Para transfer uygulamanız bankadan bilgi alırken, bu bilgi bir API üzerinden geçer. Bu köprülerde bir açık varsa, saldırgan sizin adınıza işlem yapabilir ya da kart bilgilerinize erişebilir.
TCMB rehberi, bu API bağlantılarının da teste dahil edilmesini istiyor. Test edilmesi gerekenler:
- Kimlik doğrulama: Yalnızca yetkili kişiler bu köprüden geçebiliyor mu?
- İşlem limitleri: Sisteme çok sayıda istek gönderilerek kilitlenebilir mi?
- Veri sızıntısı: API yanıtları gereksiz kişisel bilgi döndürüyor mu?
- Şifreli bağlantı: Tüm veri transferleri güvenli protokollerle mi yapılıyor?
7.2. TR-QR Karekod Güvenliği
Türkiye’nin ortak QR ödeme standardı olan TR-QR da sızma testi kapsamına girmeli. Bu testlerde incelenen konular arasında sahte QR kod üretimi, karekodun okunması sırasındaki uygulama açıkları ve fiziksel manipülasyon senaryoları yer alıyor.
Özellikle şu senaryo son derece gerçekçi: Bir kafede duvara asılı QR kodun üzerine, başka bir hesaba yönlendiren sahte bir QR kodu yapıştırılır. Müşteri farkında olmadan doğru yere değil, saldırganın hesabına para gönderir. Bu tür “fiziksel ve dijital saldırıların birleşimi” giderek daha yaygın hâle geliyor ve test senaryolarına mutlaka dahil edilmeli.
8. En Sık Yapılan Hatalar ve Çözümleri
8.1. “Ya Test Sistemi Çökertirse?” Korkusu
Ödeme kuruluşları 7 gün 24 saat çalışmak zorunda. Test sırasında bir aksaklık yaşanması ciddi zarara yol açabilir. Bu korku zaman zaman testlerin ertelenmesine ya da kapsamının daraltılmasına neden olur.
Çözüm: Testler iş saatleri dışında yapılır, öncesinde sistem yedeği alınır ve test ekibi ile sistem yöneticileri arasında anlık iletişim hattı açık tutulur. En güvenli yöntem ise üretim sistemiyle birebir aynı bir “test ortamı” kurmak ve sızma testini burada yapmaktır.
8.2. Raporların Anlaşılamaması
Teknik uzmanların hazırladığı yüzlerce sayfalık raporlar, yöneticilerin elinde okunmadan rafa kaldırılabiliyor. İyi bir rapor hem teknik ekibin anlayacağı detayları içermeli, hem de yöneticilerin şu anda sistemin kaç numaralı hasta olduğunu bir bakışta görebileceği kısa bir özet sunmalı. Eğer raporunuzun ilk sayfası genel müdürünüze sunulamıyorsa, rapor eksik demektir.
8.3. Bulut Sistemlerinin Gözden Kaçırılması
Pek çok ödeme kuruluşu artık AWS, Azure veya yerel bulut sağlayıcılarını kullanıyor. “Güvenlik onların işi” diye düşünmek büyük bir hata. Kuruluşun kendisinin yönettiği katmanlar — uygulama kodu, kullanıcı yetkileri, depolama alanı ayarları — mutlaka teste dahil edilmeli. Ayrıca dışarıdan hizmet alınan firmaların da güvenlik sertifikalarını düzenli kontrol edin.
8.4. Sahte E-posta Testlerini Atlamak
En gelişmiş güvenlik sistemleri bile tek bir çalışanın dikkatsizliğiyle aşılabilir. Saldırganlar, çalışanlara gerçekmiş gibi görünen sahte e-postalar göndererek şifre veya kart bilgisi çalıyor. Buna “oltalama” ya da “phishing” deniyor. Bu testler hem bir güvenlik ölçümüdür hem de en etkili farkındalık eğitim aracıdır. Kaç kişi sahte bağlantıya tıkladı, kaçı bilgilerini paylaştı — bu sayılar hem raporlanmalı hem de eğitim planlamasına yansımalıdır.
9. Sık Sorulan Sorular
Yılda bir kez test yaptırmak yeterli mi?
Yasal olarak “asgari yeterli”, ama risk yönetimi açısından yeterli değil. Büyük sistem değişiklikleri, yeni uygulama başlatmaları veya güvenlik olayları sonrasında ek test yapılması hem zorunluluk hem de iyi pratik. En olgun yaklaşım: yılda bir büyük kapsamlı test + önemli değişiklikler sonrası hedefli test.
Kurumun kendi ekibi testi yapabilir mi?
PCI DSS açısından iç ekip test yapabilir, ancak sistemi geliştiren ekipten bağımsız olmaları şart. TCMB ise dış sızma testini net bir zorunluluk olarak tanımlıyor. Büyük kuruluşlarda genellikle her iki yaklaşım birlikte yürütülür: iç ekip sürekli mini testler, dış ekip yıllık resmi denetim.
Raporu TCMB’ye nasıl iletiyoruz?
TCMB, sonuçların BADES (Bağımsız Denetim Takip Sistemi) adlı elektronik platform üzerinden iletilmesini istiyor. Raporun format ve içeriği tebliğe uygun olmalıdır. Uygun olmayan raporlar iade edilebilir veya ek açıklama istenebilir. Bu yüzden testi yapan firmanın BADES gerekliliklerini bilen biri olması önemlidir.
Bulunan açıkların kapatılması için ne kadar süre var?
Yasada kesin bir gün sayısı belirlenmemiş olsa da sektörün kabul gördüğü standartlar şöyle: Acil ve kritik açıklar 30 gün, yüksek öncelikli açıklar 60–90 gün içinde kapatılmalı. Teknik olarak hemen kapatılamayacak açıklar için geçici koruma önlemleri alınmalı ve bu durum aksiyon planına yazılı olarak eklenmeli.
Sızma testi ile zafiyet taraması aynı şey mi?
Hayır, çok farklılar. Zafiyet taraması bir yazılımın otomatik olarak ürettiği açık listesidir — bir katalog gibi. Sızma testi ise bu açıkların gerçekten kullanılabilir olup olmadığını bir uzmanın elle denemesidir. TCMB ve PCI DSS, otomatik taramayı değil gerçek sızma testini zorunlu kılıyor. Sadece tarama yaptırmak denetimde kabul görmez.
Test sırasında gerçek müşteri verileri risk altında olur mu?
Profesyonelce yapılan bir sızma testinde müşteri verileri riske girmez. Test öncesinde imzalanan gizlilik ve kapsam sözleşmesi, uzmanın yetki sınırlarını net biçimde belirler. Hassas sistemlerde testler üretim yerine test ortamında gerçekleştirilir. Bu nedenle TSE belgeli ve deneyimli bir firma seçimi kritik önem taşır.
