EresusSecurity
Araştırmalara Dön
Rehber

KVKK ve GDPR Uyumunda Sızma Testinin (Pentest) Yasal Zorunluluğu

Nadir Çağan YılmazJunior Sızma Testi Uzmanı
5 Nisan 2026
Güncellendi: 26 Nisan 2026
6 dk okuma
GuideCybersecurity

Bir veri ihlali (Data Breach) yaşandığında şirketlerin en çok korktuğu şey sadece itibar kaybı değil, aynı zamanda veri koruma kurullarının kestiği astronomik cezalardır. İster Türkiye'de Kişisel Verileri Koruma Kanunu (KVKK) olsun, ister Avrupa pazarındaki Genel Veri Koruma Yönetmeliği (GDPR) olsun; regülatörler artık şirketlere sadece "Verileri çaldırmayacaksın" demiyor, aynı zamanda "Bu verileri korumak için elinden gelen tüm teknik testleri periyodik olarak yaptığını ispatlamak zorundasın" diyor.

Temel Değerlendirme: Evet, KVKK ve GDPR kapsamında şirketlerin siber güvenlik önlemlerini aldığını kanıtlayabilmesi için yasal geçerliliği olan, düzenli periyotlarla sızma testi (pentest) yaptırması fiili bir yasal zorunluluktur. Bir siber saldırı sonucunda müşteri verileriniz sızdırıldığında, kurulun size soracağı ilk soru "İhlalden önce en son ne zaman sızma testi yaptırdınız ve raporunu görebilir miyiz?" olacaktır. Elinizde sertifikalı bir uzman tarafından veya Eresus Security gibi geçerliliği olan bir otonom analiz sistemiyle alınmış pentest raporu varsa, bu döküman olası yasal cezalardan korunmanızı (veya hafifletici sebeple asgari düzeye indirilmesini) sağlayan en güçlü hukuki kalkanınızdır.

Bu yazıda, regülasyonların "Teknik Tedbirler" başlığında bizden tam olarak ne beklediğini, sızma testi yaptırmamanın bedelini ve doğru denetimi nasıl seçeceğinizi inceliyoruz.

1. KVKK ve GDPR Kanunları Sızma Testi İçin Tam Olarak Ne Diyor?

Yasal metinlerde "Pentest yaptırmak zorunludur" şeklinde direkt bir cümle geçmez. Regülasyonlar genellikle teknolojiden bağımsız (technology-neutral) bir dil kullanır. Ancak her iki yönetmelik de güvenlik testlerini dolaylı yoldan emreder.

KVKK (Kişisel Verilerin Korunması Kurulu) Beklentisi

KVKK'nın yayınladığı Kişisel Veri Güvenliği Rehberi (Teknik ve İdari Tedbirler) dokümanında, "Teknik Tedbirler" başlığı altında açıkça şu ifadeler yer alır:

  • Bilişim ağlarında hangi yazılım ve servislerin çalıştığının kontrol edilmesi.
  • Sızma testi yapılarak bilişim ağındaki zafiyetlerin belirlenmesi ve bu zafiyetlerin giderilmesi.
  • Kurul kararları oldukça nettir: Gerçekleşen ihlaller sonrası firmalara kesilen milyon liralık cezaların resmi gerekçesinde genelde "Veri sorumlusunun düzenli sızma testi (penetrasyon testi) yaptırmadığı tespit edilmiştir" yazar.

GDPR (General Data Protection Regulation) Standardı

GDPR Madde 32 (Article 32 - Security of Processing), veriyi işleyen yapıların şunları uygulaması gerektiğini şart koşar:

  • "Teknik ve organizasyonel önlemlerin etkinliğini düzenli olarak test etme, ölçme ve değerlendirme süreci (A process for regularly testing, assessing and evaluating the effectiveness of technical and organisational measures)."
  • GDPR uyumu sadece AB vatandaşlarına hizmet veren Avrupa şirketlerini değil, AB bölgesine ürün satan veya oradaki müşterilerin verisini tutan Türk firmalarını (SaaS, Turizm, E-ticaret) da kapsar. (GDPR cezaları küresel cironun %4'üne veya 20 Milyon Euro'ya kadar çıkabilmektedir.)

Uzman Görüşü: "Pentest raporu sadece bir IT zafiyet metni değil; Kurul karşısına çıktığınızda 'Biz mahremiyet için elimizden gelen tüm makul teknik tedbirleri aldık, bu denetimi de bağımsız kurumlara yaptırdık' diyebilmenizi sağlayan resmi bir savunma belgesidir."

2. "Araç Tarama" (Vulnerability Scanning) Raporları Yasal Olarak Yeterli Mi?

Şirketlerin yasal süreçlerle ilgili düştüğü en büyük yanılgı budur: İnternette bulunan veya ucuza satın alınan otomatik bir zafiyet tarama aracını (Scanner) çalıştırıp, oradan çıkan PDF'yi "Sızma Testi Raporu" olarak kurula sunmak.

  • Kurul Denetçileri bu ayrımı bilirler. Otomatik tarama raporları sistemin iş mantığını (Business Logic) yansıtmaz.
  • Örneğin, bir BOLA/IDOR açığı (Başkasının T.C. Kimlik numarasını parametre değiştirerek görebilme) otomatik araçlarla tespit edilemez. Sızıntı bu açık üzerinden olmuşsa ve sizin elinizdeki rapor sadece "Geçersiz SSL tespit edildi" yazan otomatik bir çıktıysa, kurul bunu yetersiz teknik tedbir olarak değerlendirecek ve ağır ceza uygulayacaktır.
  • Rapor, uluslararası standartlara (OWASP, NIST vb.) dayandırılmış, uzmanların/ajanların elinden geçmiş ve iş mantığını sınayan gerçek bir belge olmalıdır.

3. Pentest ile Kurtarılan Milyonlar: Bir Vaka Analizi

Aylık 10.000 aktif kullanıcısı olan yerel bir sağlık teknolojileri girişimini ele alalım. Firma yönetimi, KVKK denetimi öncesinde bütçe kısıtlaması nedeniyle sadece sızma testi yapma kararı alır ve e-nabız verilerini entegre eden API'leri için Eresus Security'e başvurur.

Eresus Security ajanları, API üzerinde gerçekleştirilen otonom tarama sırasında, yetki kontrolü atlatılarak diğer hastaların randevu geçmişlerine ulaşılabilecek bir mimari zafiyet tespit eder. Raporlanır, firma hatayı düzeltir ve sızma testinin "Temiz" raporu kurula teslim için arşivlenir.

Eğer bu test yapılmamış olsaydı ve bu veri Dark Web gibi mecralara sızsaydı; KVKK kurulu sağlık verisini "Özel Nitelikli Kişisel Veri" kabul edeceği için, ihlalin cezası en üst limit olan yasal sınırlardan (güncel limitlere göre milyonlarca TL) kesilecekti. Birkaç bin dolarlık bir test bütçesi, kurumu mutlak bir iflas riskinden kurtarmıştır.

4. Eresus Security ile Sürekli Sızma Testi Uyumluluğu

Her uygulamaya güncelleme geldiğinde yasal denetim gereği yeniden geleneksel yetkili sızma testi yaptırmak, çok ağır ve masraflı bir süreçtir.

Eresus Security, geleneksel firmaların haftalar süren ve şirketleri fatura yüküne sokan sızma testi sürecini, Agentic (Ajan Tabanlı) Siber Güvenlik Altyapısı ile devrimsel bir noktaya taşır:

  1. Kurul Uyumlu Resmi Raporlama: Alınan tüm raporlar KVKK, BDDK ve GDPR teknik denetçilerinin talep edeceği standartlara uygun, OWASP metodolojisine dayalı tasarlanır.
  2. Continuous (Sürekli) Denetim: "Yılda bir kez pentest yaptırmak" yerine, ajanlarımızı CI/CD sürecinize entegre edebilir; kodunuz veya sunucunuz her değiştiğinde sürekli yasal uyumluluk modunda kalabilirsiniz.
  3. Mahremiyet Garantisi: Otonom analiz mimarimiz, üretim ortamındaki müşteri verilerinize sızmadan veya onları dışarı sızdırmadan zafiyetleri tespit edecek şekilde "izole" çalışır.

Şirketinizin veri altyapısı bir sonraki KVKK / GDPR denetimine hazır mı? Cezalar kapınızı çalmadan önce, Eresus Security uzmanlarıyla görüşün ve sisteminizin tam uyumluluğunu test edelim.

Sık Sorulan Sorular

Bu konuda ilk adım ne olmalı?

Önce varlık, veri, kimlik ve iş etkisi birlikte haritalanmalıdır. Böylece güvenlik testi araç odaklı değil risk odaklı ilerler.

Profesyonel destek ne zaman gerekir?

Sistem üretime yakınsa, hassas veriye erişiyorsa veya bulgular birden fazla ekibi etkiliyorsa bağımsız güvenlik değerlendirmesi gerekir.

Uygulama Notları

Pentest kapsamı sadece domain listesiyle çıkarılırsa en değerli iş akışları dışarıda kalabilir. Gerçek kapsam kullanıcı rolleri, kritik aksiyonlar, ödeme ya da dosya akışı, admin işlemleri ve entegrasyonlarla birlikte düşünülmelidir.

Pratik hazırlık listesi:

  • Test edilecek ortam ve hariç tutulacak varlıklar net mi?
  • Admin, müşteri, bayi, destek ve düşük yetkili roller için hesap var mı?
  • Kritik akışların iş etkisi yazıldı mı?
  • Test verisi production verisinden ayrıldı mı?
  • Bulgular için retest kriteri ve sorumlu ekip belirlendi mi?

Karar Çerçevesi

Scanner çıktısı güvenlik konuşmasını başlatabilir; fakat pentest kararını bitirmez. Önemli olan açığın gerçekten istismar edilip edilemediği, hangi veri veya aksiyonla sonuçlandığı ve remediation önceliğinin ne olduğudur.

Profesyonel Destek Eşiği

Aşağıdaki durumlardan biri varsa konu artık yalnızca iç kontrol maddesi değildir:

  • Production verisi veya müşteri hesabı etkilenebilir.
  • Yetki sınırı birden fazla rol ya da tenant üzerinden çalışır.
  • Bulgu zincirlenince veri sızıntısı, kalıcı erişim veya operasyon kesintisi doğurabilir.
  • Ekipte test kanıtını yeniden üretecek ve remediation önceliği çıkaracak zaman yoktur.

Eresus Security bu noktada bulguyu sadece raporlamakla kalmaz; istismar kanıtı, etki analizi, remediation sırası ve retest kriteriyle birlikte ele alır. Böylece ekip “ne açık?” sorusundan “neyi, hangi sırayla kapatmalıyız?” kararına geçer.

Ek Kontrol Soruları

  • Bu risk hangi varlıkları etkiliyor?
  • Hangi kullanıcı rolleri bu akışa erişebiliyor?
  • Aynı sorun başka endpoint veya entegrasyonda tekrar ediyor mu?
  • Bulgunun müşteri verisine etkisi var mı?
  • Loglardan olayın izi sürülebiliyor mu?
  • Düzeltme sonrası retest nasıl yapılacak?
  • Geçici önlem ile kalıcı çözüm ayrıldı mı?
  • İş etkisi teknik ekibin dışında da anlaşılır mı?
  • Benzer hata için önleyici kontrol eklenebilir mi?
  • Ekip bu kontrolü release sürecine bağlayabilir mi?
  • Gerekirse bağımsız doğrulama için hangi kanıtlar hazırlanmalı?
  • Sonraki sprintte hangi iç bağlantı ve servis sayfası desteklemeli?

Güvenlik Doğrulaması

Bu riski kendi sisteminizde test ettirdiniz mi?

Eresus Security; sızma testi, AI ajan güvenliği ve kırmızı takım operasyonlarıyla gerçek istismar kanıtı üretir.

Pilot test talep et

İlgili Araştırmalar

AI Security

KVKK ve GDPR Kapsamında RAG Modelleri: Yapay Zekada Veri Mahremiyeti Çıkmazı

Şirket içi RAG (Retrieval-Augmented Generation) mimarilerinde KVKK ve GDPR uyumluluğu nasıl sağlanır? LLM tabanlı sistemlerde 'Unutulma Hakkı' ve veri...

AI Governance

AI Governance Audit Metrikleri

Leakage rate, groundedness, policy hit rate ve audit trail metrikleriyle AI governance kontrollerini kanıtla ölçün.