Ana Sayfa
BlogBize Ulaşın
Çözümler  /  Güvenlik & Uyum  /  BDDK Uyumlu Sızma Testi
Uyum · Bankacılık

BDDK uyumlu
bağımsız sızma testi

Bankaların Bilgi Sistemleri ve Elektronik Bankacılık Hizmetleri Hakkında Yönetmelik kapsamında zorunlu yıllık sızma testini, BDDK denetimine sunulabilir formatta yürütüyoruz.

Yılda en az 1 kezBağımsız ekipBSEBY Madde 18TSE 13638 belgeli
Yasal Dayanak
BDDK · Bankacılık bilgi sistemleri
YönetmelikBSEBYBilgi Sist. ve Elektronik Bankacılık
Resmî Gazete15.03.2020No. 31069
YükümlülükMadde 18Yılda en az bir sızma testi
Banka-dışıTebliğ 30737Leasing · Faktoring · Finansman
01 — Genel Bakış

BDDK Sızma Testi Nedir?

Bankacılık Düzenleme ve Denetleme Kurumu'nun (BDDK) 15 Mart 2020 tarihli Resmî Gazete'de yayımlanan Bankaların Bilgi Sistemleri ve Elektronik Bankacılık Hizmetleri Hakkında Yönetmelik (No. 31069), bankaların bilgi sistemlerini yılda en az bir defa bağımsız ekiplerce sızma testine tabi tutmasını zorunlu kılar. Üst yönetim, bu testlerin periyodik olarak yaptırılmasından sorumludur.

Aynı yaklaşım, BDDK denetimindeki finansal kiralama, faktoring, finansman ve tasarruf finansman şirketleri için de ilgili tebliğ kapsamında geçerlidir. Amaç; internet/mobil bankacılık, çekirdek bankacılık, kart ve ödeme sistemleri ile dış hizmet noktalarındaki zafiyetlerin istismar edilmeden önce tespit edilmesidir.

Bu düzenleyici denetimlerin teknik temeli, saldırganın bakış açısıyla yürütülen sızma testidir .

02 — Kapsam Dahili

Kimler İçin Zorunlu?

BDDK düzenlemeleri, denetimine tabi finans kuruluşlarının büyük bölümünü kapsar:
Mevduat, katılım, kalkınma ve yatırım bankaları
Finansal kiralama (leasing) şirketleri
Faktoring şirketleri
Finansman ve tasarruf finansman şirketleri
Varlık yönetim şirketleri ve BDDK lisanslı diğer kuruluşlar
Bu kuruluşlara bilgi sistemleri hizmeti veren dış hizmet (outsourcing) sağlayıcıları
Ödeme ve elektronik para kuruluşları 6493 sayılı Kanun kapsamında TCMB denetimine tabidir ve ayrı bir bilgi sistemleri rejimine uyar; bankayla entegre fintech çözümleri ise bankanın dış hizmet kapsamında değerlendirilir. Güncel yükümlülük için ilgili kurumun düzenlemeleri esas alınmalıdır.
03 — Teknik Kapsam

BDDK Sızma Testi Kapsamı

Müşteri kanallarından çekirdek altyapıya, kart ortamından dış hizmete kadar bütünsel bir test kapsamı.

İnternet ve Mobil Bankacılık

Müşterinin eriştiği elektronik bankacılık kanalları, mobil uygulamalar ve açık bankacılık API'lerinin OWASP temelli güvenlik testi.

Çekirdek Bankacılık ve İç Ağ

Çekirdek bankacılık sistemleri, iç ağ ve sunucu altyapısı üzerinde yetkili/yetkisiz senaryolarla iç sızma testi.

Kart ve Ödeme Sistemleri (PCI-DSS)

Kart saklama ve işleme ortamlarının BDDK ile PCI-DSS beklentilerini birlikte karşılayacak şekilde test edilmesi.

PCI-DSS uyumlu

Kimlik Doğrulama ve Yetkilendirme

Çok faktörlü kimlik doğrulama, oturum yönetimi ve yetki yükseltme kontrollerinin; içeriden tehdit senaryolarının denetimi.

Dış Hizmet ve Üçüncü Taraf

Bulut, dış hizmet sağlayıcı ve entegrasyon noktalarının BDDK dış hizmet beklentileri çerçevesinde değerlendirilmesi.

Loglama, İzlenebilirlik ve Raporlama

Kritik işlem kayıtları, log bütünlüğü ve bulguların BDDK denetimine sunulabilir formatta raporlanması.

04 — Metodoloji

Test Süreci

BSEBY kapsamında bağımsız sızma testi sürecimiz, kapsam belirlemeden BDDK'ya sunulabilir raporlamaya kadar uzanır.
1

Kapsam ve Mevzuat Analizi

Bilgi sistemleri envanteri çıkarılır; BSEBY Madde 18 yükümlülükleri ve dış/iç, uygulama, altyapı kapsamı netleştirilir.

2

Dış ve İç Sızma Testi

İnternete açık varlıklar ve iç ağ üzerinde yetkisiz ve yetkili senaryolarla sızma testi yürütülür.

3

Uygulama ve Kart Ortamı Testleri

İnternet/mobil bankacılık, açık bankacılık API'leri ve kart/ödeme ortamlarının güvenliği test edilir.

4

Doğrulama ve Yeniden Test

Tespit edilen zafiyetler giderildikten sonra kapanış doğrulaması (re-test) yapılır.

5

BDDK Formatında Raporlama

Bulgular BDDK gereksinimleriyle eşlenir; rapor denetime sunulabilir biçimde teslim edilir.

05 — Teslimatlar

Denetime hazır çıktılar

Her test, hem teknik ekibin aksiyon alabileceği hem de BDDK denetimine sunulabilecek belgelerle sonuçlanır.

BSEBY ile eşlenmiş detaylı teknik sızma testi raporu
Yönetici özeti ve risk derecelendirme matrisi
Önceliklendirilmiş düzeltme önerileri ve yeniden test sonuçları
BDDK denetimine ve PCI-DSS değerlendirmesine uygun uyum dökümanları
06 — Sıkça Sorulan Sorular

Aklınızdaki sorular

BDDK sızma testi yasal olarak zorunlu mu?
Evet. Bankaların Bilgi Sistemleri ve Elektronik Bankacılık Hizmetleri Hakkında Yönetmelik (RG 15 Mart 2020, No. 31069) Madde 18 uyarınca bankalar bilgi sistemlerini yılda en az bir defa bağımsız ekiplerce sızma testine tabi tutmakla yükümlüdür ve üst yönetim bundan sorumludur.
Sızma testi ne sıklıkla yapılmalı?
Yönetmelik yılda en az bir defa sızma testi öngörür. Önemli sistem veya altyapı değişikliklerinden sonra ek test yapılması önerilir.
Testi kim yapabilir?
Test, test edilen sistemlerin tasarım, geliştirme, uygulama veya işletim görevinde bulunmayan bağımsız ekiplerce yapılmalıdır. Sektörde, testin TSE 13638 standardına göre belgelendirilmiş bağımsız firmalarca yürütülmesi beklenen iyi uygulamadır.
Hangi kuruluşlar kapsamda?
Mevduat, katılım, kalkınma ve yatırım bankaları ile finansal kiralama, faktoring, finansman ve tasarruf finansman şirketleri kapsamdadır.
Ödeme ve fintech kuruluşları da BDDK'ya mı tabi?
Ödeme ve elektronik para kuruluşları 6493 sayılı Kanun ile TCMB denetimine geçmiştir; bilgi sistemleri yükümlülükleri TCMB düzenlemelerine tabidir. Ancak bankayla entegre çalışan fintech çözümleri, bankanın dış hizmet kapsamında değerlendirilebilir.
Test kapsamına neler girer?
Dış ve iç ağ sızma testi; internet/mobil bankacılık ve açık bankacılık API'leri; kart ve ödeme ortamları; kimlik doğrulama ve yetkilendirme kontrolleri tipik kapsamdadır.
Netlore BDDK sızma testi yapabilir mi?
Evet. Netlore, BSEBY beklentilerine uygun bağımsız sızma testi yürütür ve TSE tarafından belgelendirilmiş bir sızma testi firmasıdır; bulguları BDDK denetimine sunulabilir formatta raporlar.
İletişim

BDDK Uyumlu Sızma Testi İçin Bizimle İletişime Geçin

BDDK yükümlülüklerinizi karşılayın, müşteri ve finansal veriyi koruyun.

Teklif Alın

Çerez Kullanımı

Web sitemizde deneyiminizi geliştirmek için çerezler kullanıyoruz. Devam ederek çerez kullanımını kabul etmiş olursunuz.

Çerez Politikası