Ödeme ve Elektronik Para Kuruluşları Sızma Testi Hizmeti

27.06.2013 yılında yayınlanan Ödeme ve Menkul Kıymet Mutabakat Sistemleri, Ödeme Hizmetleri Ve Elektronik Para Kuruluşları Hakkında Kanun çerçevesinde kurulan ve faaliyet gösteren işletmeler yılda en az 1 (bir) kez dış sızma testi hizmeti alması ve yaptırması zorunludur.

27.06.2013 yılında yayınlanan Ödeme ve Menkul Kıymet Mutabakat Sistemleri, Ödeme Hizmetleri Ve Elektronik Para Kuruluşları Hakkında Kanun çerçevesinde kurulan ve faaliyet gösteren işletmeler yılda en az 1 (bir) kez dış sızma testi hizmeti alması ve yaptırması zorunludur. Kuruluş, bilgi sistemlerinin, bilgi güvenliği gereklerinin yerine getirilmesi hususunda herhangi bir görevi bulunmayan ve sızma testi konusunda ulusal veya uluslararası belgeye sahip gerçek veya tüzel kişiler tarafından, gerçekleşebilecek iç ve dış tehditleri kapsayan senaryolar doğrultusunda yılda en az bir defa düzenli olarak sızma testine tabi tutulmasını sağlamalıdır. Kuruluş, gerçekleşen güvenlik ihlallerini, sızma testinin sonuçlarını ve tespit edilen kritik güvenlik açıklarını, bunların giderilmesine yönelik alınan tedbirleri ve sonuçlarını içeren raporu yılda en az bir defa TCMB’nın uygun gördüğü yöntemle TCMB’ye sunar.

Certby ulusal ve uluslararası belgelere sahip olarak, 1 Aralık 2021 tarihinde Türkiye Cumhuriyeti Merkez Bankası tarafından 31676 sayılı Resmi Gazete’de yayınlanan Ödeme Ve Elektronik Para Kuruluşlarının Bilgi Sistemleri İle Ödeme Hizmeti Sağlayıcılarının Ödeme Hizmetleri Alanındaki Veri Paylaşım Servislerine İlişkin Tebliğ’e uygun bir biçimde, verdiği sızma testi hizmetini güncellemiş ve bu alanda bir çok ödeme ve elektronik para kuruluşu ile çalışmıştır.

Tebliğe göre yürütülen sızma testi, Bilgi sistemlerinin güvenlik açıklarını istismar edilmeden önce tespit etmek ve düzeltmek amaçlı gerçekleştirilen testi ifade etmektedir. Certby tarafından yapılan sızma testlerinin amacı, kuruluş bilgi sistemlerinde gizlilik, bütünlük ve erişilebilirlik açısından güvenlik açıklarının istismar edilmeden önce tespit edilmesi ve düzeltilmesidir.

Bu bağlamda yapılan testler, ödeme ve elektronik para kuruluşlarının çalışma stiline ve alt yapılarına göre değişkenlik gösteren aşağıdaki asgari kapsamları içermelidir.

  • İletişim Altyapısı ve Aktif Cihazlar
  • DNS Servisleri
  • Etki Alanı ve Kullanıcı Bilgisayarları
  • E-posta Servisleri
  • Veritabanı Sistemleri
  • Web Uygulamaları
  • Mobil Uygulamalar
  • Bulut Sistemleri
  • Kablosuz Ağ Sistemleri
  • ATM, kiosk, vb. istemleri
  • Dağıtık Servis Dışı Bırakma (DDoS) Testleri
  • Sosyal Mühendislik Testleri

Certby, Sızma testleri TCMB tarafından yayımlanan tebliğe uygun bir biçimde yürütülür ve raporlanır. Testler, sistem tespiti, servis tespiti ve zafiyet taraması/araştırması adımları ile başlar ve her bir erişim noktası kapsamında uygulanacak adımlar ile devam eder. Bu testler sonucunda saptanan açıklar ve bulgular, kapsam bölümünde belirtilen ilişkili her bir başlık altında ayrıntılı olarak incelenerek raporlanır. Sızma testleri gerçekleştirilirken her bir test başlığı kapsamında saptanan açıklar ve bulgular, ayrı ayrı değerlendirilmenin yanında, bir araya geldiklerinde oluşturabilecekleri riskler ve açıklar açısından da değerlendirilir ve bu birlikte değerlendirme sonucu ortaya çıkan yeni açıklar ve bulgular da raporlanır.

Certby tarafından sızma testleri gerçekleştirilirken, kuruluş faaliyetlerinin aksamasına ve hizmet kesintisine yol açmayacak yöntemler kullanılmasına dikkat edilir. Hizmet kesintisine yol açabilecek tüm testler kuruluş ile koordineli bir şekilde planlanarak gerçekleştirilir.