TCMB Tebliği’ne Uygun TSE TS 13638/T2 Onaylı Sızma Testi

Nesil Teknoloji olarak, TCMB Tebliği ve Topluluk Bulutu Uygunluk Rehberi (Ek-5) hükümlerine tam uyumlu şekilde TSE TS 13638/T2 onaylı sızma testleri gerçekleştiriyor; çıktıları TCMB’ye sunulabilir resmî formatta raporluyoruz.
 
Teklif/Örnek Rapor İsteYasal Dayanak

Kimler İçin?

Ödeme Kuruluşları

POS, sanal POS, ödeme geçidi, cüzdan, havale/virman servisleri.

Elektronik Para Kuruluşları

Cüzdan, kart, para transferi, merchant servisleri.

Topluluk Bulutu Kullananlar

TCMB Topluluk Bulutu Uygunluk Rehberi (Ek-5) kapsamındaki hizmetler.

1+ Yılda en az bir kez pentest (regülasyon gereği önerilen periyot)

Yasal/Regülasyon Çerçevesi

TCMB Tebliği & Rehber
  • Ödeme ve E-Para Kuruluşlarının Bilgi Sistemleri Tebliği ile uyum
  • Topluluk Bulutu Uygunluk Rehberi (Ek-5) gereksinimlerinin karşılanması
  • Raporların TCMB’ye ibraz edilebilir formatta hazırlanması
Tarafsızlık & Yetkinlik
  • TSE TS 13638/T2 onaylı/denk yetkinlikte ekiplerle icra
  • CREST/OSCP/OSCE vb. sertifikalı kıdemli pentester kadrosu
  • ISO/IEC bilgi güvenliği ilkelerine uygun süreçler
ROE (Rules of Engagement) — Yetkilendirme, kapsam ve zamanlama yazılı olarak onaylanır.
Canlı İzleme

Test Kapsamı (Asgari Başlıklar)

İletişim Altyapısı & Aktif Cihazlar

Firewall/Router/Switch, DMZ

DNS Servisleri

Alan adı & kayıt güvenliği

Etki Alanı & Uç Noktalar

AD/M365/Endpoint

E-posta Servisleri

Kimlik avı, SPF/DKIM/DMARC

Veritabanı Sistemleri

Yetki/sorgu güvenliği

Web Uygulamaları & API

OWASP + API testleri

Mobil Uygulamalar

iOS/Android

Kablosuz Ağ

Şifreleme, izolasyon

ATM Sistemleri

(Varsa) şube/ATM segmenti

DDoS

Koordineli kapasite testi

Sosyal Mühendislik

Phishing/Vishing

Bulut Bileşenleri

Topluluk bulutu kontrolleri

Not: Asgari kapsam, kurumun ölçeği ve risk profiline göre genişletilir.

Metodoloji — Erişim Noktaları & Profiller

Erişim Noktaları

  • İnternet: Dış lokasyondan açık servisler
  • İç Ağ: Kurum LAN/WAN
  • Şube Ağı: Şube segmenti & erişimler

Kullanıcı Profilleri

  • Anonim: Misafir / dış kullanıcı
  • Müşteri: Giriş yetkili
  • Misafir: Guest Wi-Fi
  • Çalışan: Standart + local admin

Temel Adımlar

  • Sistem Tespiti (OS/Banner/Config)
  • Servis Tespiti (Port/Service Envanteri)
  • Açıklık Taraması & Doğrulama
1
Keşif & EnvanterPasif/aktif keşif, varlık doğrulama
2
TaramaPort/vuln taramaları (otomatik + manuel doğrulama)
3
Kontrollü SömürüKritik/yüksek açıkların ispatı (PoC) ve etki analizi
4
Yanal HareketErişim genişletme senaryoları (koşullar elverirse)
5
RaporlamaYönetim özeti, teknik bulgular, öneriler
6
RetestDüzeltme doğrulama ve kapanış kanıtları

Bulgu Dereceleri & Rapor Formatı

Seviye Tanım
Acil Dış ağdan niteliksiz saldırganla dahi tam ele geçirmeye yol açan açık.
Kritik Dış ağdan nitelikli saldırganla tam ele geçirmeye yol açan açık.
Yüksek Dış ağdan kısmi hak yükseltme/hizmet dışı kalma; yerelden hak yükseltme.
Orta Yerel ağ/sunucudan hizmet dışı bırakılma riski doğuran açıklık.
Düşük Etki belirsiz; sıkılaştırma eksikliği kaynaklı bulgular.

Rapor Başlıkları

  • Yönetim Özeti (risk panoraması & öncelikler)
  • Detaylı Bulgular: Ref No, Ad, Derece, Etki, Çözüm Önerisi
  • PoC kanıtlar ve teknik etki analizi

Süreç & Bildirim

  • Rapor tamamı — TCMB’ye sunulabilir format
  • Yönetim onaylı aksiyon planı ve kapanış takibi
  • Kritik/Acil bulgular için ivedi bildirim ve retest

Uygunluk Matrisi (Özet)

Gereksinim Yaklaşımımız Çıktı
Yetkilendirme & ROE Yazılı kapsam, sınırlar, iletişim planı ROE Belgesi
Periyot Yıllık en az 1; major değişiklikte ara test Test Takvimi
Kapsam Ağ, uygulama, API, mobil, bulut, DDoS, sosyal müh. Kapsam Listesi
Metodoloji Keşif → Tarama → Exploit (Kontrollü) → Etki Metod Dokümanı
Raporlama Bulgular + PoC + öneriler (TCMB format) Rapor Paketi
Takip Aksiyon planı + retest + kapanış kanıtı Onaylı Plan & Retest Raporu

Sık Sorulanlar

Üretimde kesinti olur mu?

Kesinti riski olan testler yalnızca kurum koordinasyonu ve uygun pencere (off-peak hours) ile kontrollü olarak yürütülür.

Veri gizliliği nasıl sağlanır?

Tüm veriler KVKK/GDPR ve sözleşmesel gizlilik kapsamında işlenir; raporlardaki PoC ekran görüntüleri maskelenir.

TCMB’ye rapor sunumu?

Rapor formatı ve ekler TCMB’ye ibraz edilebilir nitelikte hazırlanır ve kurum onayına sunularak paketlenir.

Retest süreci nasıl?

Bulguların giderilmesi sonrası doğrulama testleri gerçekleştirilir; iyileştirme kanıtları raporlanarak süreç kapatılır.

TCMB Uyumlu Pentest — Teklif & Örnek Rapor

info@sibertim.comAsgari Kapsamı Gör

Test kapsamı, metodoloji ve raporlama sürecini birlikte planlayalım.

 
Siber Güvenlik Uzmanı - Profesyonel Sızma Testi Mühendisi

Siber Güvenlik Ekibi – Alpaslan AYDIN ile Online Toplantı

Bilgi Sistemleri Sızma Testleri  kapsamını birlikte netleştirelim. 30 dakikalık çevrimiçi görüşmede, Tebliğ’e uyumlu kapsam, test takvimi ve teslim süreçlerini belirleyip teklifimizi paylaşalım.
  • Ön keşif & kapsam doğrulama (kurumunuza özel)
  • Tebliğ uyumlu bildirim ve raporlama planı
  • Hızlı tekliflendirme ve başlangıç tarihi
Alpaslan Aydın ile Online Toplantı Planla
Instagram Youtube

Telif Hakkı © 2021 SiberTim Tüm Hakları Saklıdır.