Elektronik Ticarette Güven Damgası ve Sızma Testi Elektronik Ticarette Güven Damgası ve Sızma Testi
Elektronik Ticarette Güven Damgası Hakkında Tebliğ’in dördüncü maddesinde belirtildiği üzere güven damgası, Tebliğ’de öngörülen asgari güvenlik ve hizmet kalitesi standartlarına uyan hizmet sağlayıcı ve aracı hizmet sağlayıcıya verilen elektronik işaret olarak belirtilmiştir. .
Ticaret Bakanlığı, Türkiye’deki tek güven damgası sağlayıcı olarak Türkiye Odalar ve Borsalar Birliği’ni yetkilendirmiştir. TOBB tarafından güven damgası almak için başvuran e-ticaret sitelerinin tebliğ uyarınca denetlenmesi sonucunda uygunluk taşıyan e-ticaret sitelerine güven damgası tahsis edilecektir.
Güven Damgası almak isteyen kuruluşlar, Güven damgası başvurusunda bulunmadan en fazla üç ay önce ve her takvim yılı içinde en az bir defa, Türk Standartları Enstitüsü tarafından onaylı A veya B sınıfı sızma testi firmalarına sızma testi yaptırarak gerekli önlemleri almalı ve bu önlemleri aldığına ilişkin doğrulama testi yaptırmakla yükümlüdür.
Güven damgası ile birlikte kuruluşlar asgari güvenlik ve hizmet kalitesi standardının varlığını sağlayabilecek ve Tebliğ’de belirtilen süreçlerin işletimi ile ilgili farkındalığa sahip olacaktır.
Güven damgasına başvuran e-ticaret siteleri, son bir yıllık işlem hacmine göre aşağıdaki tabloda belirlenen içeriklerde sızma testini yaptırmalıdır. İşlem sayısı aralıkları PCI DSS standardına göre belirlenmiştir.
Seviye |
İşlem Sayısı |
Sistem Yapılacaklar |
Uygulama Yapılacaklar |
Sonuç |
Düşük İşlem Hacmi |
0 – 20.000 |
2 araçla loginli test (Gartner, Nexus vb.) |
ASVS Seviye 1 (3.0.1 veya üstü) |
<6 (CVSS v2’ye göre skor) |
Orta İşlem Hacmi |
20.000 – 1 Milyon |
2 araçla loginli test (Gartner, Nexus vb.) |
ASVS Seviye 2 (3.0.1 veya üstü) |
<6 (CVSS v2’ye göre skor) |
Yüksek İşlem Hacmi |
> 1 Milyon |
PCI DSS (Seviye 1 veya Seviye 2) |
PCI DSS Raporu |
|
KPMG Güven Damgası Sızma Testi Hizmeti
KPMG Türkiye olarak güven damgası sızma testi kapsamında incelenecek uygulama, süreç ve bileşenleri uluslararası bir siber güvenlik bakış açısıyla inceleyerek kapsamlı ve detaylı bir güven damgası sızma testi hizmeti sunuyoruz. Yaklaşımımız dünyada uygulanan en güncel atak vektörlerini ve zafiyetleri KPMG Global tarafından gelen teknik uzmanlığın ve metodolojilerin desteği ile tespit ederek testlerin gerçekleştirilmesi yönündedir.
Güvenlik ihtiyaçları doğrultusunda uygulanacak olan güvenlik testlerinin içeriği acil ve kritik tespitlerden tavsiye niteliğinde bilgilendirmelere kadar geniş bir yelpazeye sahip olmaktadır. Yapılan testlerin takibi ve bulguların kapatılması konusunda ilgili taraflara destek sağlanmaktadır.
Güven damgası sızma testi çalışması yerel ve global standartlar kapsamında gerçekleştirilip yine bu standartlar kapsamında kabul görmüş CVSS (Genel Güvenlik Açığı Skorlama Sistemi) skorlamalarına göre seviyelendirilerek raporlanmaktadır. Güven damgası sızma testleri belirtilmiş olan standartlara göre aşağıdaki adımları içerecek şekilde gerçekleştirilmektedir.
- Sunucu, Sistem ve Bileşenlerin Tespiti
- AVSV (Uygulama Güvenliği Doğrulama Standardı) güvenlik testlerinin gerçekleştirilmesi
- Test çalışmaları sonucunda CVSS (Genel Güvenlik Açığı Skorlama Sistemi) skorlamasının gerçekleştirilmesi
- Zafiyet ve tespitlerin güven damgası standardına göre detaylı olarak raporlanması
- Alınan aksiyonlara ilişkin doğrulama testlerinin gerçekleştirilmesi