Elektronik Ticarette Güven Damgası

Elektronik Ticarette Güven Damgası Hakkında Tebliğ’de, Güven Damgası başvurusunda bulunan e-ticaret sitesinin sızma testi yaptırması gerektiğine ilişkin bir madde bulunmaktadır. Bu maddede Güven Damgası başvurusunda bulunmadan en fazla üç ay önce ve her takvim yılı içinde en az bir defa, Türk Standartları Enstitüsü tarafından onaylı A veya B sınıfı sızma testi firmalarına sızma testi yaptırarak gerekli önlemleri alması ve bu önlemleri aldığına ilişkin doğrulama testi yaptırması gerektiğine ifade edilmektedir.

Bu doğrultuda güvenlik testi için kabul görmüş standartlar seviyesinde ortak bir kapsam oluşturulmuştur. Güven damgasına başvuran e-ticaret siteleri, son bir yıllık işlem hacmine göre aşağıdaki tabloda belirlenen içeriklerde güvenlik testini yaptırmalıdır. İşlem sayısı aralıkları PCI DSS standardına göre belirlenmiştir.

İşlem sayısına göre e-ticaret sitesinin yaptırması gereken güvenlik testi içerikleri tablodaki gibi olacaktır.

Seviye İşlem Sayısı Sistem Yapılacaklar Uygulama Yapılacaklar Sonuç
Düşük İşlem Hacmi 0 – 20 000 2 araçla loginli test (Gartner, Nexus vb.) ASVS Seviye 1 (3.0.1 veya üstü) <6 (CVSS v2’ye göre skor)
Orta İşlem Hacmi 20 000 – 1 milyon 2 araçla loginli test (Gartner, Nexus vb.) ASVS Seviye 2 (3.0.1 veya üstü) <6 (CVSS v2’ye göre skor)
Yüksek İşlem Hacmi 1 milyon – 6 milyon PCI DSS (Seviye 1 veya Seviye 2)Yerinde denetim yapılmayacaktır. PCI DSS raporu
> 6 milyon PCI DSS (Seviye 1 veya Seviye 2)Yerinde denetim yapılacaktır.
Altyapı sağlayıcıdan hizmet alan e-ticaret siteleri güvenlik testi yaptırmayacaktır. Ancak altyapı sağlayıcının ilgili güvenlik testinden başarıyla geçmesi ve başvuruda bulunan e-ticaret sitesinin bu sonucu başvurusunda kullanması beklenmektedir.

OWASP-Uygulama Güvenliği Doğrulama Standardı için 3.0.1 ve üstü versiyonları kabul edilecektir. ASVS kontrol noktaları uluslararası kabul görmüş CVSS versiyon 2’ye göre skorlanacaktır. Bu sayede her zafiyet etki kapasitesiyle birlikte değerlendirilecek ve toplam bir skor elde edilecektir. Uygulama tarafında ASVS Seviye 1 için 86 ve Seviye 2 için de 147 kontrol noktası bulunmaktadır. Bu kontrollerin içerikleri aşağıda yer almaktadır.

Sizler de Güven Damgası başvuru öncesi sisteminizin durumunu kontrol etmek üzere Zafiyet Analizi ve Sızma Testi talebi için aşağıdaki linki kullanabilirsiniz:

Bu hizmet Eczacıbaşı Bilişim tarafından verilmektedir.

Elektronik ticaret altyapısı için gerekli olan tüm Veri Merkezi Hizmetleri de Eczacıbaşı Bilişim‘de.

BT sektöründeki hızlı gelişmeler, BT altyapılarının gittikçe karmaşıklaşmasına yol açıyor. Eczacıbaşı Bilişim, kuruluşların BT altyapısını geliştirmeye, iyileştirmeye, yönetmeye ve bakımını sağlamaya yardımcı olmak için Altyapı Hizmetleri’ni sunuyor. Eczacıbaşı Bilişim Altyapı Hizmetleri, ITIL, CobIT, ISO 9001, ISO 27001, PCI-DSS gibi uluslararası genel kabul görmüş standartlar çerçevesinde faaliyet göstererek, operasyon maliyetini düşürmeye ve BT altyapı destek ve yönetim karmaşıklığını azaltmaya yardımcı olup, kuruluşların temel faaliyetlerine odaklanmalarını sağlıyor.

Eczacıbaşı Bilişim, Olağanüstü Durum Merkezi’nde bir felaket anında bilgi işlem sistemlerini etkin ve güvenilir bir şekilde çalışır halde tutarak iş sürekliliğini garantileyen bir ortam sağlıyor. Böylelikle, kuruluşların bilgi birikim ve deneyimlerini korumalarını sağlarken, felaket anında temel kurum fonksiyonlarında herhangi bir aksama olmasını önlüyor.

Daha detaylı bilgi için Eczacıbaşı Bilişim web sitesini inceleyebilirsiniz.

Guvendamgasi.com Akila Dijital Ajans tarafından yürütülmektedir.