VII-128.10 uyumlu
SPK sızma testi
Bilgi Sistemleri Yönetimine İlişkin Usul ve Esaslar Tebliği (VII-128.10) kapsamında, sermaye piyasası kurumları için zorunlu yıllık bağımsız sızma testi.
SPK Uyumlu Sızma Testi Nedir?
Sermaye Piyasası Kurulu'nun (SPK) 13 Mart 2025 tarihli Resmî Gazete'de yayımlanan Bilgi Sistemleri Yönetimine İlişkin Usul ve Esaslar Tebliği (VII-128.10), sermaye piyasası kurumlarının bilgi sistemleri üzerinde düzenli sızma testi yaptırmasını zorunlu kılar. Bu tebliğ, 2018 tarihli VII-128.9 sayılı Tebliğ'in yerine geçmiştir. Üst yönetim, bu testlerin periyodik olarak gerçekleştirilmesinden doğrudan sorumludur.
Tebliğ uyarınca sızma testleri yılda en az bir kez, kurumun bilgi güvenliği uyumundan sorumlu olmayan ve ulusal/uluslararası sızma testi sertifikalarına sahip bağımsız taraflarca yapılır; rapor, testin tamamlanmasını izleyen bir ay içinde ve en geç izleyen yılın 31 Ocak'ına kadar SPK'ya iletilir. Bilgi Sistemleri Bağımsız Denetim Tebliği (III-62.2; 13 Mart 2025'te III-62.2.b ile güncellenmiştir) ise bağımsız bilgi sistemleri denetiminin usul ve esaslarını belirler.
- Bilgi Sistemleri Yönetimine İlişkin Usul ve Esaslar Tebliği (VII-128.10) — Resmî Gazete 13 Mart 2025, No. 32840 (2018 tarihli VII-128.9'un yerine); yıllık periyodik sızma testi yükümlülüğü
- Bilgi Sistemleri Bağımsız Denetim Tebliği (III-62.2; 13 Mart 2025'te III-62.2.b ile güncellendi) — bağımsız bilgi sistemleri denetiminin esasları
- Sızma testi raporunun, test tamamlandıktan sonra bir ay içinde ve en geç izleyen yılın 31 Ocak'ına kadar SPK'ya sunulması
Bu düzenleyici denetimlerin teknik temeli, saldırganın bakış açısıyla yürütülen sızma testidir .
Kimler İçin Zorunlu?
SPK Sızma Testi Kapsamı
Yatırımcı Verisi ve Gizlilik
Yatırımcı kimlik, hesap ve işlem verilerinin yetkisiz erişime karşı korunmasının ve kişisel veri güvenliğinin doğrulanması.
İşlem (Trading) Platformu Güvenliği
Emir iletim, alım-satım ve yatırımcı portalı uygulamalarının OWASP temelli testi; iş mantığı zafiyetlerinin tespiti.
Piyasa Verisi Bütünlüğü
Fiyat, emir ve piyasa verisi akışlarının bütünlüğünün ve manipülasyona karşı dayanıklılığının değerlendirilmesi.
Tebliğ Uyumu ve Raporlama
Bulguların VII-128.10 ve III-62.2 gereksinimleriyle eşlenmesi ve SPK'ya sunulabilir formatta raporlanması.
Yetkisiz Erişim ve Yetki Yükseltme
Kimlik doğrulama, oturum yönetimi ve yetkilendirme kontrollerinin; içeriden tehdit senaryolarının test edilmesi.
Denetim İzi ve Loglama
Kritik işlemlerin izlenebilirliği, log bütünlüğü ve olay müdahalesini destekleyecek kayıt yeterliliğinin denetimi.
Test Süreci
Kapsam ve Tebliğ Analizi
Bilgi sistemleri envanteri çıkarılır; VII-128.10 yükümlülükleri ve test kapsamı (dış/iç, uygulama, altyapı) netleştirilir.
Dış ve İç Sızma Testi
İnternete açık varlıklar ve iç ağ üzerinde yetkisiz ve yetkili senaryolarla sızma testi yürütülür.
Uygulama ve Veri Güvenliği Testleri
Trading platformları, yatırımcı portalları ve API'ler ile piyasa/yatırımcı verisinin güvenliği test edilir.
Doğrulama ve Yeniden Test
Tespit edilen zafiyetler giderildikten sonra kapanış doğrulaması (re-test) yapılır.
SPK Formatında Raporlama
Bulgular tebliğ gereksinimleriyle eşlenir; rapor, bir ay içinde SPK'ya sunulabilecek biçimde teslim edilir.
SPK'ya sunulabilir teslimatlar
Her test sonunda, düzenleyiciye sunulabilir formatta bulgular, kanıt seti ve düzeltme yol haritası elde edersiniz.
Aklınızdaki sorular
SPK sızma testi yasal olarak zorunlu mu?
Sızma testi ne sıklıkla yapılmalı?
Testi kim yapabilir?
Rapor SPK'ya ne zaman sunulur?
Hangi kurumlar kapsamda?
Yükümlülüğü yerine getirmeyen kurumlara yaptırım var mı?
Test kapsamına neler girer?
SPK sızma testi raporu neleri içermelidir?
SPK sızma testi ile bağımsız bilgi sistemleri denetimi aynı şey mi?
SPK raporu hangi formatta ve ne zaman sunulur?
Diğer Uyumluluk Sızma Testleri
SPK Uyumlu Sızma Testi İçin Bizimle İletişime Geçin
VII-128.10 yükümlülüklerinizi karşılayın, yatırımcı ve piyasa verisini koruyun.