TCMB Tebliğine Uygun Sızma Testi Nedir?
Nisan 20, 2026
Siber Güvenlik,Siber Savunma,Sızma Testi,Zaafiyet Yönetimi
Ödeme kuruluşları ve elektronik para kuruluşları, finansal sistemin dijitalleşmesiyle birlikte kritik bir konuma ulaşmıştır. Bu kurumlar, kullanıcıların finansal işlemlerini gerçekleştirdiği, hassas verilerin işlendiği ve gerçek zamanlı para hareketlerinin yönetildiği sistemleri barındırır. Bu nedenle siber saldırganlar için oldukça cazip hedeflerdir. Türkiye’de bu alandaki düzenleyici otorite olan Türkiye Cumhuriyet Merkez Bankası (TCMB), yayımladığı tebliğler ile bu kuruluşların bilgi sistemleri güvenliğini belirli standartlara bağlamıştır.
TCMB tebliğine uygun sızma testi, ödeme ve elektronik para kuruluşlarının sistemlerinin yalnızca teknik olarak değil, aynı zamanda regülasyonlara uygunluk açısından da değerlendirilmesini sağlayan kapsamlı bir güvenlik testidir. Bu testler, klasik pentest çalışmalarından farklı olarak hem teknik zafiyetleri hem de süreçsel eksiklikleri ortaya koymayı amaçlar.
TCMB Düzenlemelerinin Temel Yaklaşımı
TCMB’nin bilgi sistemleri güvenliğine yönelik yaklaşımı, risk bazlı ve sürekli iyileştirme odaklıdır. Kurumların yalnızca belirli güvenlik önlemlerini uygulaması yeterli görülmez; bu önlemlerin etkinliği de düzenli olarak test edilmelidir.
Bu kapsamda TCMB, ödeme kuruluşları ve elektronik para kuruluşlarının:
- Bilgi sistemlerini düzenli olarak test etmesini
- Zafiyetleri tespit edip gidermesini
- Güvenlik süreçlerini dokümante etmesini
- Denetime hazır bir yapı oluşturmasını
zorunlu kılar. Sızma testleri bu sürecin en kritik parçalarından biridir.
Hangi Kurumları Kapsar?
TCMB tebliğine uygun sızma testi zorunluluğu, belirli finansal kuruluşları kapsar. Bunlar arasında:
- Ödeme kuruluşları
- Elektronik para kuruluşları
- Açık bankacılık hizmeti sunan platformlar
- Bu sistemlere altyapı sağlayan kritik teknoloji sağlayıcılar yer alır.
Özellikle API tabanlı çalışan finansal sistemlerde, bir zafiyet yalnızca ilgili kurumu değil, entegre olduğu tüm ekosistemi etkileyebilir. Bu nedenle kapsam, yalnızca kurum içi sistemlerle sınırlı kalmaz; dış entegrasyonlar da değerlendirmeye dahil edilir.
TCMB Uyumlu Pentest’in Temel Amacı
Bu testlerin temel amacı, finansal sistemlerin güvenliğini sağlamak ve kullanıcı verilerini korumaktır. Ancak bunun ötesinde, TCMB uyumlu pentest süreçleri şu hedefleri de içerir:
- Kritik zafiyetlerin erken tespit edilmesi
- İş sürekliliğini tehdit eden risklerin belirlenmesi
- Mevcut güvenlik kontrollerinin etkinliğinin ölçülmesi
- Regülasyonlara uyum seviyesinin değerlendirilmesi
Bu yönüyle pentest, yalnızca teknik bir test değil, aynı zamanda kurumsal risk yönetimi aracıdır.
Test Kapsamı ve Kritik Sistemler
TCMB uyumlu sızma testlerinde kapsam oldukça geniş tutulur. Özellikle aşağıdaki sistemler öncelikli olarak değerlendirilir:
- Web uygulamaları (ödeme ekranları, kullanıcı panelleri)
- Mobil uygulamalar (Android ve iOS platformları)
- API servisleri (ödeme entegrasyonları, açık bankacılık servisleri)
- Ağ altyapısı (firewall, router, iç ağ sistemleri)
- Kimlik doğrulama ve yetkilendirme mekanizmaları
Özellikle API güvenliği bu süreçte kritik bir rol oynar. Çünkü modern ödeme sistemleri büyük ölçüde API’ler üzerinden çalışır. Yetkilendirme hataları, rate limiting eksiklikleri veya veri sızıntıları bu katmanda sıkça karşılaşılan problemlerdir.
Test Süreci ve Uygulanan Metodolojiler
TCMB uyumlu sızma testleri, uluslararası kabul görmüş metodolojilere dayanır. OWASP, NIST ve PTES gibi standartlar bu süreçte referans alınır. Ancak bu metodolojiler, TCMB’nin belirlediği gerekliliklerle uyumlu şekilde uygulanır.
Test süreci genellikle şu aşamalardan oluşur:
- Planlama ve kapsam belirleme
- Bilgi toplama (reconnaissance)
- Zafiyet analizi (vulnerability assessment)
- Sömürü (exploitation)
- Yetki yükseltme ve etki analizi
- Raporlama
Bu süreçte yalnızca otomatik araçlar kullanılmaz. Özellikle iş mantığı hataları, ödeme bypass senaryoları ve yetkilendirme zafiyetleri manuel testlerle tespit edilir.
Raporlama ve Denetim Süreci
TCMB uyumlu sızma testlerinde raporlama, sürecin en kritik aşamalarından biridir. Hazırlanan raporlar yalnızca teknik ekipler için değil, aynı zamanda denetim otoriteleri için de anlaşılır olmalıdır.
Raporlar genellikle şu bölümleri içerir:
- Yönetici özeti (risklerin genel değerlendirmesi)
- Teknik bulgular ve detaylar
- Risk seviyeleri ve önceliklendirme
- İstismar senaryoları (Proof of Concept)
- Düzeltme önerileri
Bu raporlar, TCMB denetimlerinde sunulabilecek nitelikte olmalıdır. Eksik veya yetersiz raporlama, uyumsuzluk olarak değerlendirilebilir.
Zafiyet Yönetimi ve Düzeltme Süreci
Sızma testi sonrasında tespit edilen açıkların kapatılması zorunludur. Bu süreç yalnızca teknik bir düzeltme değil, aynı zamanda yönetilen bir süreç olmalıdır.
Zafiyet yönetimi kapsamında:
- Açıklar risk seviyesine göre önceliklendirilir
- Düzeltme planları oluşturulur
- Teknik ekipler tarafından uygulama yapılır
- Yeniden test (retest) ile doğrulama sağlanır
Bu sürecin tamamı kayıt altına alınmalı ve gerektiğinde denetimlerde sunulmalıdır.
Periyodik Test ve Sürekli Güvenlik Yaklaşımı
TCMB düzenlemelerine göre sızma testleri belirli periyotlarla yapılmalıdır. Genellikle yılda en az bir kez kapsamlı test gerçekleştirilmesi zorunludur.
Ancak bunun yanında:
- Yeni sistem devreye alındığında
- Büyük güncellemeler yapıldığında
- Kritik entegrasyonlar eklendiğinde ek testlerin yapılması gerekir.
Bu yaklaşım, güvenliğin statik değil dinamik bir süreç olduğunu kabul eder ve sürekli iyileştirme sağlar.
Tags :
#TCMB #SızmaTesti #ÖdemeKuruluşları #ElektronikPara #APIGüvenliği #FinansalRegülasyon #SiberSavunma #AçıkBankacılık #TCMBUyum #SiberDirenç #ZafiyetYönetimi
Share This :