Ana Sayfa
BlogBize Ulaşın
Çözümler  /  Güvenlik & Uyum  /  SPK Uyumlu Sızma Testi
Uyumluluk · Sermaye Piyasası

VII-128.10 uyumlu
SPK sızma testi

Bilgi Sistemleri Yönetimine İlişkin Usul ve Esaslar Tebliği (VII-128.10) kapsamında, sermaye piyasası kurumları için zorunlu yıllık bağımsız sızma testi.

VII-128.10Yıllık zorunlu31 Ocak raporlamaBağımsız denetim
Yasal Dayanak
SPK düzenleyici çerçevesi
TebliğVII-128.10Bilgi Sistemleri Yönetimi
Resmî Gazete13.03.2025No. 32840
DenetimIII-62.2.bBağımsız BS denetimi
Raporlama31 Ocakİzleyen yıl son tarih
01 — Genel Bakış

SPK Uyumlu Sızma Testi Nedir?

Sermaye Piyasası Kurulu'nun (SPK) 13 Mart 2025 tarihli Resmî Gazete'de yayımlanan Bilgi Sistemleri Yönetimine İlişkin Usul ve Esaslar Tebliği (VII-128.10), sermaye piyasası kurumlarının bilgi sistemleri üzerinde düzenli sızma testi yaptırmasını zorunlu kılar. Bu tebliğ, 2018 tarihli VII-128.9 sayılı Tebliğ'in yerine geçmiştir. Üst yönetim, bu testlerin periyodik olarak gerçekleştirilmesinden doğrudan sorumludur.

Tebliğ uyarınca sızma testleri yılda en az bir kez, kurumun bilgi güvenliği uyumundan sorumlu olmayan ve ulusal/uluslararası sızma testi sertifikalarına sahip bağımsız taraflarca yapılır; rapor, testin tamamlanmasını izleyen bir ay içinde ve en geç izleyen yılın 31 Ocak'ına kadar SPK'ya iletilir. Bilgi Sistemleri Bağımsız Denetim Tebliği (III-62.2; 13 Mart 2025'te III-62.2.b ile güncellenmiştir) ise bağımsız bilgi sistemleri denetiminin usul ve esaslarını belirler.

Bu düzenleyici denetimlerin teknik temeli, saldırganın bakış açısıyla yürütülen sızma testidir .

02 — Kapsam Dahili

Kimler İçin Zorunlu?

Tebliğ kapsamı, sermaye piyasasında faaliyet gösteren kurumların büyük bölümünü içerir:
Aracı kurumlar ve yatırım kuruluşları
Portföy yönetim şirketleri
Yatırım ortaklıkları ve fon kuruluşları
Borsa İstanbul, Takasbank ve Merkezi Kayıt Kuruluşu (MKK)
Kitle fonlama platformları ve diğer SPK lisanslı kuruluşlar
Bilgi sistemleri bağımsız denetimi yükümlüsü diğer kuruluşlar
Kapsam ve test periyodu kurumun türüne ve büyüklüğüne göre değişebilir; güncel yükümlülük için ilgili tebliğler ve SPK duyuruları esas alınmalıdır.
03 — Teknik Kapsam

SPK Sızma Testi Kapsamı

Test kapsamı; internete açık varlıklardan iç ağa, uygulamalardan kimlik altyapısına kadar kurumun bilgi sistemlerini bütünüyle ele alır.

Yatırımcı Verisi ve Gizlilik

Yatırımcı kimlik, hesap ve işlem verilerinin yetkisiz erişime karşı korunmasının ve kişisel veri güvenliğinin doğrulanması.

İşlem (Trading) Platformu Güvenliği

Emir iletim, alım-satım ve yatırımcı portalı uygulamalarının OWASP temelli testi; iş mantığı zafiyetlerinin tespiti.

Piyasa Verisi Bütünlüğü

Fiyat, emir ve piyasa verisi akışlarının bütünlüğünün ve manipülasyona karşı dayanıklılığının değerlendirilmesi.

Tebliğ Uyumu ve Raporlama

Bulguların VII-128.10 ve III-62.2 gereksinimleriyle eşlenmesi ve SPK'ya sunulabilir formatta raporlanması.

Yetkisiz Erişim ve Yetki Yükseltme

Kimlik doğrulama, oturum yönetimi ve yetkilendirme kontrollerinin; içeriden tehdit senaryolarının test edilmesi.

Denetim İzi ve Loglama

Kritik işlemlerin izlenebilirliği, log bütünlüğü ve olay müdahalesini destekleyecek kayıt yeterliliğinin denetimi.

04 — Metodoloji

Test Süreci

VII-128.10 kapsamında bağımsız sızma testi sürecimiz, kapsam belirlemeden SPK'ya sunulabilir raporlamaya kadar uzanır.
1

Kapsam ve Tebliğ Analizi

Bilgi sistemleri envanteri çıkarılır; VII-128.10 yükümlülükleri ve test kapsamı (dış/iç, uygulama, altyapı) netleştirilir.

2

Dış ve İç Sızma Testi

İnternete açık varlıklar ve iç ağ üzerinde yetkisiz ve yetkili senaryolarla sızma testi yürütülür.

3

Uygulama ve Veri Güvenliği Testleri

Trading platformları, yatırımcı portalları ve API'ler ile piyasa/yatırımcı verisinin güvenliği test edilir.

4

Doğrulama ve Yeniden Test

Tespit edilen zafiyetler giderildikten sonra kapanış doğrulaması (re-test) yapılır.

5

SPK Formatında Raporlama

Bulgular tebliğ gereksinimleriyle eşlenir; rapor, bir ay içinde SPK'ya sunulabilecek biçimde teslim edilir.

05 — Teslimatlar

SPK'ya sunulabilir teslimatlar

Her test sonunda, düzenleyiciye sunulabilir formatta bulgular, kanıt seti ve düzeltme yol haritası elde edersiniz.

VII-128.10 ile eşlenmiş detaylı teknik sızma testi raporu
Yönetici özeti ve risk derecelendirme matrisi
Önceliklendirilmiş düzeltme önerileri ve yeniden test sonuçları
SPK'ya sunuma uygun uyum ve raporlama dökümanları
06 — Sıkça Sorulan Sorular

Aklınızdaki sorular

SPK sızma testi yasal olarak zorunlu mu?
Evet. SPK Bilgi Sistemleri Yönetimine İlişkin Usul ve Esaslar Tebliği (VII-128.10, Resmî Gazete 13 Mart 2025) uyarınca kapsamdaki sermaye piyasası kurumları bilgi sistemlerinde düzenli sızma testi yaptırmakla yükümlüdür ve üst yönetim bundan sorumludur.
Sızma testi ne sıklıkla yapılmalı?
Tebliğ, sızma testlerinin yılda en az bir kez yapılmasını öngörür. Önemli sistem veya altyapı değişikliklerinden sonra ek test yapılması önerilir.
Testi kim yapabilir?
Test, kurumun bilgi güvenliği uyumundan sorumlu olmayan ve ulusal/uluslararası sızma testi sertifikalarına sahip bağımsız taraflarca yapılmalıdır. Son düzenlemelerle testi yürüten taraflarda ek yeterlilik/lisans şartları aranabilmektedir; güncel gereksinim için SPK düzenlemeleri esas alınmalıdır.
Rapor SPK'ya ne zaman sunulur?
Sızma testi raporu, testin tamamlanmasını izleyen bir ay içinde ve en geç izleyen yılın 31 Ocak'ına kadar SPK'ya iletilir.
Hangi kurumlar kapsamda?
Aracı kurumlar, yatırım kuruluşları, portföy yönetim şirketleri ve yatırım ortaklıkları ile Borsa İstanbul, Takasbank ve MKK gibi piyasa altyapı kuruluşları kapsamdadır.
Yükümlülüğü yerine getirmeyen kurumlara yaptırım var mı?
Evet. SPK, 2023 yılı sızma testi raporlarına ilişkin incelemesi sonucunda 2025'te aracı kurumlara idari para cezaları uygulamıştır; gerekçeler arasında bulgu önem derecelerinin uygunluğu, rapor kapsamı ve gönderim süresine uyum yer almıştır. Yükümlülüğün zamanında ve mevzuata uygun içerikle yerine getirilmesi kritiktir.
Test kapsamına neler girer?
Dış ve iç ağ sızma testi; trading/yatırımcı uygulamaları ve API güvenliği; kimlik doğrulama ve yetkilendirme kontrolleri; piyasa ve yatırımcı verisinin bütünlüğü tipik kapsamdadır.
SPK sızma testi raporu neleri içermelidir?
Rapor; yönetici özeti, VII-128.10 gereksinimleriyle eşlenmiş bulgular, risk derecelendirme matrisi, teknik kanıtlar, önceliklendirilmiş düzeltme önerileri ve yeniden test sonuçlarını içerir. SPK'ya sunulabilir formatta hazırlanır ve her bulgunun önem derecesi mevzuata uygun biçimde sınıflandırılır.
SPK sızma testi ile bağımsız bilgi sistemleri denetimi aynı şey mi?
Hayır. Sızma testi, VII-128.10 kapsamındaki teknik güvenlik testidir; bağımsız bilgi sistemleri denetimi ise III-62.2 (13 Mart 2025'te III-62.2.b ile güncellendi) kapsamında ayrı bir yükümlülüktür. Sızma testi raporu, bağımsız bilgi sistemleri denetimine girdi oluşturur ve iki süreç birbirini tamamlar.
SPK raporu hangi formatta ve ne zaman sunulur?
Rapor, SPK'ya sunulabilir formatta hazırlanır; testin tamamlanmasını izleyen bir ay içinde ve en geç izleyen yılın 31 Ocak'ına kadar Kurula iletilir. Raporun zamanında ve mevzuata uygun içerikle sunulması üst yönetimin sorumluluğundadır.
İletişim

SPK Uyumlu Sızma Testi İçin Bizimle İletişime Geçin

VII-128.10 yükümlülüklerinizi karşılayın, yatırımcı ve piyasa verisini koruyun.

Teklif Alın

Çerez Kullanımı

Web sitemizde deneyiminizi geliştirmek için çerezler kullanıyoruz. Devam ederek çerez kullanımını kabul etmiş olursunuz.

Çerez Politikası