TS 13638, Türk Standartları Enstitüsü tarafından yayınlanan ve sızma testi hizmetlerinin yöntemini standardize eden yerli bir çerçevedir. Birçok kamu ve özel sektör ihalesinde “TS 13638 uyumlu sızma testi” zorunluluğu var; ancak farkı tam olarak anlayan az sayıda firma var.
TS 13638 Nedir, Ne Değildir
TS 13638-1 “Bilgi teknolojisi — Güvenlik tekniği — Sızma testi” başlıklı standart; sızma testi sürecinin planlama, keşif, taraması, sömürü, raporlama aşamalarını tanımlar. OWASP gibi metodolojik bir çerçeveden çok, hizmet kalitesi ve raporlama standardı niteliği taşır.
OWASP “ne kontrol edileceğini” söylerken TS 13638 “nasıl çalışılacağını ve nasıl raporlanacağını” söyler. İkisi birbirini tamamlar.
TS 13638 ile Standart Sızma Testi Farkları
1. Kapsam Tanımı Şart
TS 13638 uyumlu test öncesi yazılı, imzalı bir kapsam dokümanı zorunludur. Hedef IP’ler, izinli teknikler, çalışma saatleri, kritik sistemler için “kırma” izin matrisinin imzalı versiyonu olmadan teste başlanmaz.
2. Personel Yetkinlik Belgelenmesi
Test ekibinin sertifikaları (OSCP, CEH, CISSP, GPEN vb.) ve referans projeleri müşteri ile paylaşılır. TS 13638 personel yeterliliğini denetlenebilir bir kriter olarak tanımlar.
3. Standardize Raporlama Formatı
Yönetici özeti, teknik bulgular, kanıt ekleri (screenshot, log), CVSS skorlu önceliklendirme, iyileştirme önerisi ve yeniden test takvimi zorunlu bölümlerdir. Birçok firma “rapor verir” ama TS 13638 raporu için minimum 30-50 sayfa, iz sürülebilir kanıt zinciri gerekir.
4. Veri Gizliliği ve Saklama
Test sırasında elde edilen veriler için saklama, paylaşım ve yok etme kuralları sözleşmesel olarak belirlenir. KVKK ile doğrudan örtüşür.
5. Yeniden Test (Retest) Yükümlülüğü
Bulgu kapatıldıktan sonra retest hizmeti standardın bir parçasıdır — opsiyonel değil. Bu, sızma testini “yıllık formalite” olmaktan çıkarıp gerçek bir güvenlik iyileştirme döngüsüne dönüştürür.
Denetim Sahibi İçin 7 Soru
- Test sağlayıcının TS 13638 metodoloji uyum dokümanı var mı?
- Kapsam dokümanı testten önce imzalandı mı?
- Test ekibi sertifikaları (OSCP, CEH vb.) paylaşıldı mı?
- Raporun yönetici özeti + teknik bulgular + kanıt ekleri formatına uyuyor mu?
- Bulgular CVSS v3.1 ile skorlanıyor mu?
- İyileştirme önerileri uygulanabilir (somut, sırayla, sahipli) mi?
- Retest (yeniden test) ücretsiz dahil mi yoksa ayrı mı?
Yaygın Yanılgılar
Yanılgı 1: “OWASP yeterli, TS 13638 gereksiz”
OWASP teknik metodoloji, TS 13638 hizmet kalitesi standardı. İkisi farklı dünyalardır. Bir hizmet TS 13638 uyumlu olduğunu söylüyorsa, OWASP’a ek olarak Türk standartlarına uygun raporlama ve süreç yönetimi sağlıyor demektir.
Yanılgı 2: “TS 13638 sadece kamu için”
Özel sektör de denetim, BDDK, EPDK, KVKK uyum süreçlerinde TS 13638 raporunu kabul edilebilir kanıt olarak sunabilir. Finans, enerji, sağlık ve telekom sektörlerinde tercih sebebidir.
Kritera’nın TS 13638 Yaklaşımı
Tüm sızma testi hizmetlerimiz TS 13638 uyumlu raporlama standartlarında teslim edilir. OSCP ve CISSP sertifikalı ekibimiz, OWASP metodolojisini TS 13638 hizmet çerçevesi içinde uygular. Yeniden test sözleşmenin standart parçasıdır.