Güven Damgası Sızma Testi Hizmeti

6 Haziran 2017’de yayınlanan Elektronik Ticarette Güven Damgası Hakkında tebliği uyarınca güven damgası almak isteyen ve Elektronik Ticarette Hizmet Sağlayıcı ve Aracı Hizmet Sağlayıcılar Hakkında Yönetmelik kapsamında bulunan aracı hizmet sağlayıcı ve kendine ait elektronik ticaret ortamında faaliyet gösteren hizmet sağlayıcının uyması gereken güvenlik ve hizmet kalitesi standartları tanımlanmıştır. Bu şartlara göre Güven Damgası Sızma testi için aşağıda belirtilen şartlara göre yılda en az 1 kez sızma testi yaptırılması gerekmektedir.

Güven Damgası Nedir

Resmî Gazete’nin 6 Haziran 2017 tarihli nüshasında yayınlanan Elektronik Ticarette Güven Damgası Hakkında Tebliğ ile e-ticaret siteleri için yeni bir sisteme geçilmiştir. Ticaret Bakanlığı, Türkiye’deki tek güven damgası sağlayıcı olarak Türkiye Odalar ve Borsalar Birliği’ni yetkilendirmiştir.

Elektronik Ticarette Güven Damgası Hakkında Tebliğ’in dördüncü maddesinde güven damgası, “Bu Tebliğde öngörülen asgari güvenlik ve hizmet kalitesi standartlarına uyan hizmet sağlayıcı ve aracı hizmet sağlayıcıya verilen elektronik işaret” olarak tanımlanmıştır.

Güven damgasının işlevi açık bir şekilde “asgari güvenlik ve hizmet kalitesi standardının” varlığına işarettir.

 

Güven Damgası Sızma Testi Hizmeti

6 Haziran 2017’de yayınlanan Elektronik Ticarette Güven Damgası Hakkında tebliği uyarınca güven damgası almak isteyen ve Elektronik Ticarette Hizmet Sağlayıcı ve Aracı Hizmet Sağlayıcılar Hakkında Yönetmelik kapsamında bulunan aracı hizmet sağlayıcı ve kendine ait elektronik ticaret ortamında faaliyet gösteren hizmet sağlayıcının uyması gereken güvenlik ve hizmet kalitesi standartları tanımlanmıştır. Bu şartlara göre Güven Damgası Sızma testi için aşağıda belirtilen şartlara göre yılda en az 1 kez sızma testi yaptırılması gerekmektedir.

(Aracı) Hizmet Sağlayıcı, Güven damgası başvurusunda bulunmadan en fazla üç ay önce ve her takvim yılı içinde en az bir defa, Türk Standardları Enstitüsü tarafından onaylı A veya B sınıfı sızma testi firmalarına sızma testi yaptırarak gerekli önlemleri alır ve bu önlemleri aldığına ilişkin doğrulama testi yaptırır.

Certby, TSE tarafından STF-052 numaralı olarak onaylı A sınıfı bir sızma testi firmasıdır. Güven damgası sızma testi almak için tarafımıza başvuruda bulunabilirsiniz.

Ayrıca Güven Damgası başvurusunda bulunan e-ticaret siteleri dahil oldukları kategoriye göre uygun sızma testini yaptırmalıdır.

Güven Damgası Kategorileri

Güven damgası almak için başvuran e-ticaret siteleri, site üzerinden gerçekleştirilen işlem adedine göre düşük, orta ve yüksek olmak üzere üç ayrı kategoride değerlendirilmektedir. u kategoriler e-ticaret sitelerinin yıllık kredi kartı işlem hacmine göre belirlenmiştir. Son bir yıllık kredi kartı işlem hacminin belirlenmesi için Bankalararası Kart Merkezi (BKM) A.Ş. ile bir sistem entegrasyonu yapılmıştır. Buna göre kategori eşik değerleri ve sınıflandırmaları aşağıda belirtilmiştir.

 

 

Düşük

Orta

Yüksek

İşlem Sayısı

0-20.000

20.000-1 milyon

> 1 milyon

Güven Damgası Sızma Testi Süreci Ticaret Bakanlığı, TOBB’u Güven Damgası Sağlayıcı (GDS) olarak yetkilendirmiştir. Bu kapsamda güven damgası başvurusu yapan aracı hizmet sağlayıcı ve hizmet sağlayıcı www.guvendamgasi.org.tr üzerinden başvuru formunu doldurur ve başvuru belgelerini sisteme yükler. E-ticaret sitesinin asgari güvenlik standartlarını taşıdığını belgelendirmek için güvenlik testi yaptırması gerekmektedir. Güvenlik testi başvuru tarihinden en fazla üç ay önce yaptırılmalı, imza sirküleri ve adli sicil kaydı ise son altı ayda alınmış olmalıdır. Güvenlik testi için kabul görmüş standartlar seviyesinde ortak bir kapsam oluşturulmuştur. Güven damgasına başvuran e-ticaret siteleri, son bir yıllık işlem hacmine göre aşağıdaki tabloda belirlenen içeriklerde güvenlik testini yaptırmalıdır. İşlem sayısı aralıkları PCI DSS standardına göre belirlenmiştir. İşlem sayısına göre e-ticaret sitesinin yaptırması gereken güvenlik testi içerikleri tablodaki gibi olacaktır.
Seviye İşlem Sayısı Sistem Yapılacaklar Uygulama Yapılacaklar Sonuç
Düşük İşlem Hacmi 0 – 20 000 2 araçla loginli test (Gartner, Nexus vb.) ASVS Seviye 1 (3.0.1 veya üstü) <6 (CVSS v2’ye göre skor)
Orta İşlem Hacmi 20 000 – 1 milyon 2 araçla loginli test (Gartner, Nexus vb.) ASVS Seviye 2 (3.0.1 veya üstü) <6 (CVSS v2’ye göre skor)
Yüksek İşlem Hacmi 1 milyon – 6 milyon PCI DSS (Seviye 1 veya Seviye 2) Yerinde denetim yapılmayacaktır. PCI DSS Raporu
> 6 milyon PCI DSS (Seviye 1 veya Seviye 2) Yerinde denetim yapılacaktır.
Altyapı sağlayıcıdan hizmet alan e-ticaret siteleri güvenlik testi yaptırmayacaktır. Ancak altyapı sağlayıcının ilgili güvenlik testinden başarıyla geçmesi ve başvuruda bulunan e-ticaret sitesinin bu sonucu başvurusunda kullanması beklenmektedir. OWASP-Uygulama Güvenliği Doğrulama Standardı için 3.0.1 ve üstü versiyonları kabul edilecektir. ASVS kontrol noktaları uluslararası kabul görmüş CVSS versiyon 2’ye göre skorlanacaktır. Bu sayede her zafiyet etki kapasitesiyle birlikte değerlendirilecek ve toplam bir skor elde edilecektir. Uygulama tarafında ASVS Seviye 1 için 86 ve Seviye 2 için de 147 kontrol noktası bulunmaktadır. Tüm kategorilerdeki denetimler mobil tarafını da içermelidir. Altyapı sağlayıcı firmalar güvenlik testi sonucunu yaptırdıktan sonra en geç üç ay içerisinde TOBB’a tebliğ edecektir. Güvenlik testi sonucu, testin yapıldığı tarih itibariyle altyapı sağlayıcıdan hizmet alan e-ticaret firmaları için 3 ay boyunca geçerli olacaktır. Ayrıca altyapı sağlayıcı firmalar üzerlerindeki işlem hacmine göre ilgili testi yaptıracaktır. Teknik güvenlik testinde yetkili sızma testi firmasının kaşesi, imzası ve testin sonuçlandığı andaki tarih bulunmalıdır. Altyapı sağlayıcı firma, hizmet verdiği e-ticaret sitelerinin yıllık işlem hacmine göre (bünyesinde yer alan ve en fazla işlem hacmine sahip e-ticaret sitesi baz alınmaktadır.) güvenlik testi yaptıracaktır

Certby, TSE tarafından STF-052 numaralı olarak onaylı A sınıfı bir sızma testi firmasıdır. Güven damgası sızma testi almak için tarafımıza başvuruda bulunabilirsiniz.