BDDK uyumlu
bağımsız sızma testi
Bankaların Bilgi Sistemleri ve Elektronik Bankacılık Hizmetleri Hakkında Yönetmelik kapsamında zorunlu yıllık sızma testini, BDDK denetimine sunulabilir formatta yürütüyoruz.
BDDK Sızma Testi Nedir?
Bankacılık Düzenleme ve Denetleme Kurumu'nun (BDDK) 15 Mart 2020 tarihli Resmî Gazete'de yayımlanan Bankaların Bilgi Sistemleri ve Elektronik Bankacılık Hizmetleri Hakkında Yönetmelik (No. 31069), bankaların bilgi sistemlerini yılda en az bir defa bağımsız ekiplerce sızma testine tabi tutmasını zorunlu kılar. Üst yönetim, bu testlerin periyodik olarak yaptırılmasından sorumludur.
Aynı yaklaşım, BDDK denetimindeki finansal kiralama, faktoring, finansman ve tasarruf finansman şirketleri için de ilgili tebliğ kapsamında geçerlidir. Amaç; internet/mobil bankacılık, çekirdek bankacılık, kart ve ödeme sistemleri ile dış hizmet noktalarındaki zafiyetlerin istismar edilmeden önce tespit edilmesidir.
- Bankaların Bilgi Sistemleri ve Elektronik Bankacılık Hizmetleri Hakkında Yönetmelik (BSEBY) — Resmî Gazete 15 Mart 2020, No. 31069; Madde 18 uyarınca yılda en az bir defa sızma testi yükümlülüğü
- Sızma testinin, test edilen sistemlerin tasarım, geliştirme, uygulama veya işletim görevinde bulunmayan bağımsız ekiplerce yürütülmesi
- Finansal Kiralama, Faktoring, Finansman ve Tasarruf Finansman Şirketlerinin Bilgi Sistemleri Tebliği (RG 6 Nisan 2019, No. 30737) kapsamında banka-dışı finansal kuruluşlar için benzer yükümlülük
Bu düzenleyici denetimlerin teknik temeli, saldırganın bakış açısıyla yürütülen sızma testidir .
Kimler İçin Zorunlu?
BDDK Sızma Testi Kapsamı
İnternet ve Mobil Bankacılık
Müşterinin eriştiği elektronik bankacılık kanalları, mobil uygulamalar ve açık bankacılık API'lerinin OWASP temelli güvenlik testi.
Çekirdek Bankacılık ve İç Ağ
Çekirdek bankacılık sistemleri, iç ağ ve sunucu altyapısı üzerinde yetkili/yetkisiz senaryolarla iç sızma testi.
Kart ve Ödeme Sistemleri (PCI-DSS)
Kart saklama ve işleme ortamlarının BDDK ile PCI-DSS beklentilerini birlikte karşılayacak şekilde test edilmesi.
PCI-DSS uyumluKimlik Doğrulama ve Yetkilendirme
Çok faktörlü kimlik doğrulama, oturum yönetimi ve yetki yükseltme kontrollerinin; içeriden tehdit senaryolarının denetimi.
Dış Hizmet ve Üçüncü Taraf
Bulut, dış hizmet sağlayıcı ve entegrasyon noktalarının BDDK dış hizmet beklentileri çerçevesinde değerlendirilmesi.
Loglama, İzlenebilirlik ve Raporlama
Kritik işlem kayıtları, log bütünlüğü ve bulguların BDDK denetimine sunulabilir formatta raporlanması.
Test Süreci
Kapsam ve Mevzuat Analizi
Bilgi sistemleri envanteri çıkarılır; BSEBY Madde 18 yükümlülükleri ve dış/iç, uygulama, altyapı kapsamı netleştirilir.
Dış ve İç Sızma Testi
İnternete açık varlıklar ve iç ağ üzerinde yetkisiz ve yetkili senaryolarla sızma testi yürütülür.
Uygulama ve Kart Ortamı Testleri
İnternet/mobil bankacılık, açık bankacılık API'leri ve kart/ödeme ortamlarının güvenliği test edilir.
Doğrulama ve Yeniden Test
Tespit edilen zafiyetler giderildikten sonra kapanış doğrulaması (re-test) yapılır.
BDDK Formatında Raporlama
Bulgular BDDK gereksinimleriyle eşlenir; rapor denetime sunulabilir biçimde teslim edilir.
Denetime hazır çıktılar
Her test, hem teknik ekibin aksiyon alabileceği hem de BDDK denetimine sunulabilecek belgelerle sonuçlanır.
Aklınızdaki sorular
BDDK sızma testi yasal olarak zorunlu mu?
Sızma testi ne sıklıkla yapılmalı?
Testi kim yapabilir?
Hangi kuruluşlar kapsamda?
Ödeme ve fintech kuruluşları da BDDK'ya mı tabi?
Test kapsamına neler girer?
Netlore BDDK sızma testi yapabilir mi?
Diğer Uyumluluk Sızma Testleri
BDDK Uyumlu Sızma Testi İçin Bizimle İletişime Geçin
BDDK yükümlülüklerinizi karşılayın, müşteri ve finansal veriyi koruyun.