Güven Damgası Sızma Testi
Güven Damgası Nedir?
Elektronik Ticarette Güven Damgası, günümüzde giderek iş hacimleri büyüyen e-ticaret platformlarının (sitelerinin) ve hizmet sağlayıcıların uyması gereken asgari güvenlik ve hizmet standartlarının sağlanması amacı ile T.C. Ticaret Bakanlığı tarafından ortaya konmuş bir uygulamadır.
Güven Damgasının amacı, elektronik ortamda yapılan ticaretin gerçek esaslarını belirlemek ve hem hizmeti sunan hem de hizmeti alan tarafların haklarının korunmasını sağlamaktır.
Güven Damgası almaya hak kazanan e-ticaret siteleri ve hizmet sağlayıcılarına Güven Damgası sembolü verilip ilgili görselin web sitesinde kullanımına izin verilmektedir. Bu sembol, ilgili ortamın güvenliğinin teyit edilmiş olduğunu simgelemektedir.
Güven Damgası 1 senelik periyotlar için verilmekte olup her sene aşağıda belirteceğimiz asgari esasların sağlanması beklenmektedir.
Güven Damgası Sızma Testini Hangi Firmalar Yapabilir?
6 Haziran 2017 tarihinde yayınlanan Elektronik Ticarette Güven Damgası Hakkında Tebliğ ile e-ticaret site ve platformları için yeni bir döneme giriş yapılmıştır. Günümüzde giderek büyüyen e-ticaret iş hacminin isteklerini karşılamak ve alıcı-satıcı arasındaki bağı güçlü ve işlevsel kılmak amacı ile Güven Damgası uygulaması başlatılmıştır. Güven Damgasının alınabilmesi için en önemli koşul Güven Damgası Sızma Testi hizmetinin başvurudan önce alınmış olmasıdır. Güven Damgası Sızma Testi, hizmet veren e-ticaret site ve platformlarının güvenilir olduğunu kanıtlamak amacı ile yapılan bir çalışmadır. Güven Damgası Sızma Testi hizmeti her yıl iş hacmine göre en az 1 (bir) defa alınmak zorundadır. Güven Damgası Sızma Testi hizmetini sunan firmalar TSE onaylı sızma testi firma ünvanına sahip olmalıdır.
Güven Damgasının elde edilebilmesi için gerekli koşulları yazımızda bulabilirsiniz.
Kimler Başvurabilir?
Güven Damgasının alınması zorunluluğunun olmamasının yanında e-ticaret ile ilgili tüm web siteleri ve hizmet sağlayıcılar başvuru yapabilirler.
Güven Damgası ile ilgili başvurular TOBB (Türkiye Odalar ve Borsalar Birliği) üzerinden yapılmaktadır.
Başvuru süreci ile ilgili yayımlanan tebliğe aşağıdaki bağlantıdan ulaşılabilir.
https://www.resmigazete.gov.tr/eskiler/2017/06/20170606-12.htm
Ödeme ve Menkul Kıymet Mutabakat Sistemleri, Ödeme Hizmetleri ve Elektronik Para Kuruluşları Hakkında Kanuna göre faaliyet izni almış kuruluşlar ilgili tebliğ dışında tutulmuştur.
Elektronik Ticaretin Düzenlenmesi hakkında kanuna aşağıdaki bağlantıdan ulaşılabilir.
https://www.resmigazete.gov.tr/eskiler/2014/11/20141105-1.htm
Başvuru Sırasında Sağlanması Gereken Koşullar Nedir?
Güven damgası başvurusunda asgari olarak sağlanması gereken koşullar aşağıdaki gibi olmalıdır.
Sızma Testi
Başvuruların kabul görebilmesi için ilgili kurumlar başvuru zamanından en fazla 3 ay önce sızma testi hizmeti almak zorundadır. Kurumların, Güven Damgası sertifikası sahibi olduktan sonra ise her takvim yılı içerisinde en az bir defa sızma testi (pentest) hizmeti alma zorunluluğu devam etmektedir.
Burada önemli olan husus ise sızma testi (pentest) hizmeti alınacak firmaların, TSE tarafından onaylanmış A veya B sınıfı sızma testi firmaları listesinde bulunmasıdır. Aksi takdirde başvuruların kabul edilmeyeceği tebliğ dokümanında belirtilmiştir.
Sızma testi (pentest) çalışmasının ardından mutlak bir şekilde doğrulama testlerinin de yapılması gerekmektedir.
Web siteleri için yapılacak olan sızma testi (pentest) çalışmasının mobil uygulamalar için de yapılması gerektiğini unutmamak gerekir. Günümüzde, mobil uygulamalar üzerinden yapılan alışveriş yüzdesinin klasik web sitesi üzerinden yapılan alışveriş yüzdesine oranına göre oldukça fazla olduğu aşikardır.
TSE onaylı sızma testi firmalarına ait bilgiye aşağıdaki linkten erişilebilir.
https://tse.org.tr/IcerikDetay?ID=2258&ParentID=4643 (İlgili bağlantı düzenli olarak güncellenmektedir.)
Güven Damgasına başvuran e-ticaret siteleri, son bir yıllık işlem hacimlerine göre sızma testi konusunda Düşük, Orta ve Yüksek İşlem Hacmi olmak üzere 3 sınıfa ayrılmaktadır.
Bu sınıflandırma aşağıdaki gibi yapılmaktadır:
| Seviye | İşlem Sayısı |
| Düşük İşlem Hacmi | 0 – 20.000 |
| Orta İşlem Hacmi | 20.000 – 1.000.000 |
| Yüksek İşlem Hacmi | 1.000.000 – 6.000.000 |
| > 6.000.000 |
İşlem sayısı konusunda tereddüt yaşayan e-ticaret siteleri veya platformları yıllık işlem hacmini TOBB (Türkiye Odalar Borsalar Birliği) üzerinden netleştirebilirler.
Altyapı sağlayıcılardan hizmet alan e-ticaret sitelerinin sızma testi (pentest) hizmeti alma zorunluluğu yoktur. Eğer bir Güven Damgası başvurusu yapılacak ise ilgili e-ticaret siteleri için altyapı sağlayıcılarının sızma testi (pentest) hizmeti alması yeterli olacaktır.
Burada dikkat edilecek husus altyapı sağlayıcı firma, hizmet verdiği e-ticaret sitelerinin yıllık işlem hacmine göre (Bünyesinde yer alan ve en fazla işlem hacmine sahip e-ticaret sitesi baz alınmaktadır.) güvenlik testi yaptıracaktır.
EV SSL Kullanımı
Kişisel veri ve ödeme bilgisi içeren her türlü işlem için web ve/veya mobil uygulamalar üzerindeki veri akışının EV SSL kullanımı ile gerçekleştirilmesi gerekmektedir.
Tanım: Extended Validation SSL (EV SSL): Gerçek veya tüzel kişilerin yasal belgelere göre kimlik doğrulamasını sağlayan ve sunucu ile istemci arasında akan verinin güvenliğini ve bütünlüğünü mümkün kılan sertifika.
Uyulması Gereken Yasal Düzenlemeler
Başvuru öncesinde aşağıda bulunan kanunlara uyumun sağlanması gerekmektedir.
- Banka Kartları ve Kredi Kartları Kanunu
- 5651 sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Kanunu
- Ödeme ve Menkul Kıymet Mutabakat Sistemleri, Ödeme Hizmetleri ve Elektronik Para Kuruluşları Kanunu
- Tüketicinin Korunması Kanunu
- Elektronik Ticaretin Düzenlenmesi Kanunu
- 6698 sayılı Kişisel Verilerin Korunması Kanunu
Kamusal Ahlak
Elektronik ticaret ortamında çocukların fiziksel, zihinsel, ahlaki, psikolojik ve toplumsal gelişim özelliklerini olumsuz yönde etkileyebilecek içeriğe yönelik tedbirlerin alınması gerekmektedir.
Etik ve İşleyiş
Elektronik ortamda güvenli ve dürüst satış için aşağıdaki konular oldukça önemlidir. Tanımlanmış olan konular eksiksiz olarak yerine getirilmelidir.
Elektronik ticarete konu malın;
- Stok bilgisi,
- İçerik,
- Malzeme bilgisi,
- Ölçüler,
- Kullanım ve varsa garanti,
- Teknik destek ve bunların kim tarafından sağlanacağına ilişkin detaylar,
- Gerçek boyutlarının anlaşılmasını mümkün kılan görseller,
- Tedarik, kargo ve teslimat süresi,
- Sipariş alıcıya teslim edilinceye kadar siparişin durumu hakkında gerekli bilgilere ve kargo takip imkânı gibi bilgilerin alıcı tarafından ulaşılabilir halde sunulması gerekmektedir.
Hizmetin kim tarafından sağlanacağı, kapsamı ve süresi gibi detayların hizmeti alacak olan tarafa şeffaf bir şekilde sunulması gerektiği de tebliğ dokümanında belirtilmiştir.
Alıcının siparişi hakkında bilgi alabilmesi, talep ve şikâyetlerini internet tabanlı iletişim yöntemlerinden en az biri ve telefon aracılığıyla iletebilmesi için müşteri hizmetleriyle iletişim imkânı sunulması ve talep ve şikâyetlerin etkin bir şekilde yönetilmesini, sonuçlandırılmasını ve konuya ilişkin alıcının bilgilendirilmesini sağlanmalıdır.
Güven damgası almak isteyen hizmet sağlayıcı ve aracı hizmet sağlayıcı iflas etmiş ise itibarın iadesinin sağlanmış olması gerekmektedir.
Güven Damgası Sahipleri
Aşağıda şu an için Güven Damgasına sahip firma bilgilerini bulabilirsiniz. Umarım kısa zamanda e-ticaret iş hacminin güvenli bir şekilde artması için aşağıdaki liste büyüme eğiliminde olur.
- PTTEM Teknoloji ve Elektronik Hizmetler A.Ş.
- Gitti Gidiyor Bilgi Teknolojileri San. ve Tic. A.Ş.
- Farmasi Enternasyonal Ticaret A.Ş.
- Pegasus Hava Taşımacılığı A.Ş.
- Sahibinden Bilgi Teknolojileri Paz. ve Tic. A.Ş.
- Modanisa Elektronik Mağ. ve Tic. A.Ş.
- net Sigorta Ve Reasürans Brokerlik Hizmetleri A.Ş.
- Arçelik A.Ş.
- Migros Ticaret A.Ş.
- Sarar Büyük Mağ. Tic. A.Ş.
- Est Marjinal Medikal Tan. ve İlt. San. Tic. A.Ş.
