E-Ticarette Güven Damgası ve Sızma Testi

guven-damgasi-sizma-testi

Güven Damgası nedir?

Elektronik Ticarette Güven Damgası Hakkında Tebliğ’de, Güven Damgası başvurusunda bulunan e-ticaret sitesinin sızma testi yaptırması gerektiğine ilişkin bir madde bulunmaktadır. Bu maddede güven damgası başvurusunda bulunmadan en fazla üç̧ ay önce ve her takvim yılı içinde en az bir defa, Türk Standartları Enstitüsü tarafından onaylı A veya B sınıfı sızma testi firmalarına sızma testi yaptırarak gerekli önlemleri alması ve bu önlemleri aldığına ilişkin doğrulama testi yaptırması gerektiğine ifade edilmektedir.

Güven damgasına başvuran e-ticaret siteleri, son bir yıllık işlem hacmine göre aşağıdaki tabloda belirlenen içeriklerde sızma testini yaptırmalıdır. İşlem sayısı aralıkları PCI DSS standardına göre belirlenmiştir.

sizma-testi

OWASP- Uygulama Güvenliği Doğrulama Standardı (ASVS) Nedir?

ASVS, modern web uygulamalarını tasarlarken, geliştirirken ve test ederken gerekli olan işlevsel ve işlevsel olmayan güvenlik kontrollerini normalleştirmeye odaklanan güvenlik gereksinimleri ve kontroller çerçevesi oluşturmak için bir OWASP topluluğu tarafından oluşturulan güvenlik standardıdır.

ASVS 3.0 dünya genelinde kabul görmüş endüstrilerin geri bildirimleri ile birlikte oluşturulmuştur. Güven damgası testi standartları olarak ASVS 3.0.1 ve üstü versiyonları kabul edilmiştir.

CVSS – Yaygın Güvenlik Açığı Skorlama Sistemi Nedir?

Güvenlik endüstrisinde pek çok ürünün ve standardın bulunması nedeniyle, 2005 yılında açık kaynak olarak geliştirilen bir uluslararası güvenlik açığı skorlama sistemidir.  Güven damgası testi standartlarında kullanılmak üzere CVSS versiyon 2 ye göre skorlanması kararlaştırılmıştır.

Lostar Sızma Testleri

Lostar Bilgi Güvenliği bünyesinde sızma testleri, OWASP ve birçok güvenlik topluluğu tarafından yayınlanmış standartlar kapsamında gerçekleştirilip yine bu standartlar kapsamında kabul görmüş CVSS skorlamalarına göre seviyelendirilerek raporlanmaktadır. Güven damgası sızma testlerinde belirtilmiş olan standartlara göre Lostar Bilgi Güvenliği bünyesinde güven damgalı sızma testleri aşağıdaki adımlar doğrultusunda gerçekleştirilmektedir.

  • Otomatik araçlar ile sunucu ve sistemlerin taranması
  • OWASP Uygulama Güvenliği Doğrulama Standardına göre manuel denetimler
  • Otomatik tarama sonuçlarının manuel doğrulanması
  • Bulunan zafiyetlerden CVSS skoru yüksek olanların acil olarak bildirilmesi
  • Bulunan zafiyetlerin CVSS versiyon 2 ye göre skorlanması
  • Bulunan zafiyetlerin güvenli damga sızma testi standartlarına göre çözüm önerileri ile birlikte detaylı raporlanması
  • Kapatılan zafiyetler için manuel doğrulama denetimleri

Ayrıntılı bilgi için lütfen iletişime geçiniz.