E-Ticarette Güven Damgası Dönemi ve Sızma Testi

Şüphesiz Türkiyeelektronik alışveriş için dünyadaki önemli pazarlardan birisi, bunun en büyük nedeniinterneti aktif olarak kullanan ciddi bir genç kitlenin olması ve bu gençkitlenin alışveriş alışkanlıklarının hızla internete yönelmesi. Gençlerdeki bu alışveriş alışkanlığı değişikliği Türkiye’yi dünya pazarında önemli bir market haline getiriyor.

Peki bu potansiyele sahip bir ülkede elektronik dolandırıcılık ne durumda derseniz,maalesef burada da ciddi sorunlar var, gün geçmiyor ki yeni bir kredi kartı çalınma olayı, sahte web sitesi yayınlanma olayı v.b. ortaya çıkmasın.

Durum böyle olunca Türkiye Ticaret Bakanlığı ve Türkiye Odalar ve Borsalar Birliği (TOBB) ortak bir çalışma gerçekleştirdi ve E-Ticaret siteleri için güven damgası uygulamasını başlattı. Bu uygulama ile birlikte artık güven damgası almak isteyen tüm e-ticaret şirketleri sızma testi çalışması yaptırması gerekiyor. Bu oldukça sevindirici bir durum, binlerce insanın dolandırıldığını, ciddi maddi kayıplara uğradığını düşündüğünüzde, şirketlerin bu damga ile belirleniyor olması ve alışveriş yapacak kitlenin bu damgayı kontrol ederek alışverişlerini yapıyor olması dolandırıcılık vakalarını ciddi oranda düşürecektir diye umut ediyorum.

Günün sonunda teknik bir adam olarak dönüp dolaşıp olayın tekniğine bakıyorum, nedir bu e-ticaret siteleri için güven damgası, bu güven damgası ile gelen sızma testi, nasıl yapılır bu testler, kimleri kapsar,nasıl bir metodoloji var gibi soruları kendime sormadan edemedim.  Bu yazıda da aslında bu konulara değineceğim.

Güven Damgası Sızma Testi Çalışmasını Kimler Yapabilir?

İlgili tebliğ de belirtilmiş olduğu gibi bu testi çalışması sadece Türk Standardları Enstitüsü (TSE)  tarafından onaylanmış A veya B sınıfı şirketler gerçekleştirebilir, bu şirketler dışında bir şirketin gerçekleştirmiş olduğu Sızma testi çalışması güven damgası alım sürecinde kullanılamaz. Bu şirketleri listesi www.guvendamgasi.org.tr adresinden veya linkten kontrol edebilirsiniz.

E-Ticaret şirketleri güven damgası için ne sıklıkla sızma testi gerçekleştirmeli?

E-Ticaretşirketleri yılda 1 kere sızma testi yaptırmalı, yıllık olarak bu çalışmanın yapılmaması durumunda şirketin web sitesi “Güven Damgası Askıya Alınan E-Ticaret Siteleri”listesinde yayınlanacaktır.

E-Ticaret şirketleri Güven Damgası almak isterse, sızma testinin kapsamı nasıl belirleniyor?

Bu sorunun cevabı aslında şirketin son bir yıl içerisindeki işlem sayısına göre değişiyor, güncel tebliğe göre e-ticaret şirketleri 3 farklı gruba ayrılmış durumda ve bu gruplar için değerler ve test gereksinimleri aşağıdaki gibidir,

Şirket Seviyesi İşlem Sayısı (Yıllık) Otomatik Tarama Uygulama Kontrolleri Sonuç
Düşük 0 – 20.000 İki zafiyet tarama aracı ile tarama gerektirir. Kullanıcı adı ve Parola ile giriş yapılarak tarama yapılması gerekir. ASVS Seviye 1 3.0.1 veya üstü CVSSv2 puanlama yapılacak ve güven damgası almak isteyen şirketin 6 veya daha altında bir puan alması gerekir.
Orta 20.000 > 1.000.000 İki zafiyet tarama aracı ile tarama gerektirir. Kullanıcı adı ve Parola ile giriş yapılarak tarama yapılması gerekir. ASVS Seviye 2 3.0.1 veya üstü CVSSv2 puanlama yapılacak ve güven damgası almak isteyen şirketin 6 veya daha altında bir puan alması gerekir.
Yüksek 1.000.000 > daha fazla PCI DSS (Seviye 1 veya 2) PCI DSS Raporu

Bu gruplara göre şirketlerin test şekilleri ve test sonucunda alacakları aksiyonlar değişmektedir.

Hazır e-ticaret paketlerini kullanan e-ticaret şirketleri güven damgası almak için sızma testi sürecini nasıl işletmeli?

Şirket, e-ticaret sitesini her hangi bir altyapı sağlayıcısından temin ediyor ise bu şirketin sızma testi çalışması yapmasına gerek yoktu, bu şirket güven damgası almak istiyorsa altyapı sağlayıcısının bu güven damgasına sahip  olması gerekir, aksi takdirde bu damgayı almaları mümkün değil. Özetle, güven damgasına sahip altyapı sağlayıcılar ile çalışmanız gerekiyor, mevcut alt yapı sağlayıcınız bu güven damgasına sahip değil ise  bunu sağlayabilen bir sağlayıcıya sisteminizi taşımalısınız.

Vakit buldukça bu yazıya ait detaylı bilgileri buraya ekleyeceğim.

Share Button

Bir yanıt yazın