- Genel kural: Yılda en az 1 tam kapsam + her büyük değişiklikten sonra kısmi test.
- BDDK: Yıllık zorunlu + sistem değişikliklerinde tekrar.
- ISO 27001: Yıllık iç + üç yılda bir bağımsız dış denetim.
- Tetikleyici eventler: Yeni ürün sürümü, mimari değişiklik, M&A, regülasyon güncellemesi.
- Sürekli pentest giderek yaygınlaşıyor; özellikle SaaS ve fintech için.
“Geçen yıl pentest yaptırdık, bu yıl da gerekli mi?” — bu soruyu çok duyuyoruz. Cevap “evet” ama sebebini ve doğru sıklığı doğru anlamak gerekiyor. Bu yazıda hem regülasyon hem pratik açıdan ideal pentest sıklığını anlatacağız.
Genel Kural: Yılda En Az 1 Tam Kapsam
Sektör fark etmeksizin temel kural şudur: yılda en az 1 kez tam kapsam pentest. Sebepleri:
- Kullandığınız teknolojilerde (kütüphane, framework, OS) sürekli yeni zaafiyet keşfedilir.
- Saldırı teknikleri sürekli evrim geçirir; geçen yıl güvenli olan bugün değil.
- Çalışan değişimi, yeni hesaplar, eski hesapların temizlenmemesi gibi insan kaynaklı saldırı yüzeyleri büyür.
Sektör Bazında Sıklık Önerileri
| Sektör | Tam Kapsam | Kısmi / Hedefli |
|---|---|---|
| Bankacılık & finans (BDDK) | Yılda 1 zorunlu | Her sistem değişikliği |
| Fintech & ödeme | Yılda 1-2 | Aylık API testi |
| E-ticaret | Yılda 1 | Yeni özellik sürümünde |
| SaaS / yazılım şirketi | Yılda 1 | Sürekli (continuous) |
| Üretim / enerji (EKS) | Yılda 1 | Mimari değişiklikte |
| Kamu kurumları | Yılda 1 | Yeni proje devreye aldığında |
| KOBİ (genel) | Yılda 1 minimum | İhtiyaç bazlı |
“Pentest Tetikleyici” Eventler
Yıllık plan dışında, şu olaylar gerçekleştiğinde kısmi ya da tam pentest tetiklenmeli:
- Yeni bir uygulamanın ya da büyük sürüm güncellemesinin canlıya çıkması
- Mimari değişiklik (cloud geçişi, mikro servis ayrıştırması, yeni bölge açılışı)
- Birleşme & satın alma (M&A) — yeni edinilen şirketin altyapısı denetlenmeli
- Önemli güvenlik olayı (incident) — sömürülen yer kapatıldıktan sonra teyit testi
- Regülasyon güncellemesi (yeni BDDK / KVKK / sektör genelgesi)
- Önemli üçüncü parti entegrasyonu (yeni ödeme sağlayıcı, yeni partner API)
TSE Onaylı Sızma Testi Düşünüyorsanız
Belgesert; 15+ yıl deneyim, TSE A Sınıfı sertifikası ve TS 13638 standardına uygun raporlama ile şirketinizin pentest sürecini titizlikle yürütür. Ön görüşme ücretsizdir.
Ücretsiz Keşif Görüşmesi Talep Et →Sürekli Pentest (Continuous Pentesting) Trendi
Geleneksel “yılda bir nokta atış” testler özellikle hızlı geliştirilen SaaS ürünleri için yeterli olmuyor. Sürekli pentest modelinde test ekibi yıl boyunca müşteri ortamına bağlı kalır; her sprint sonunda küçük bir dilim test eder, raporlar. Bu model:
- Geliştirme hızını yavaşlatmaz
- Zaafiyetleri canlıya çıkmadan önce yakalar
- Rapor üretimini “olay temelli” yapar — 80 sayfa PDF yerine sürekli ticket akışı
Maliyeti yıllık pentest’ten %30-50 daha yüksektir, ama tasarrufu uzun vadede gelir.
Sıkça Sorulan Sorular
Yılda 1 pentest yeterli mi?
Çoğu kurum için temel zorunluluk, evet. Ama büyük yazılım sürümleri sonrası kısmi re-test öneriyoruz.
BDDK kaç ayda bir pentest istiyor?
Yıllık zorunlu, ek olarak her ‘önemli sistem değişikliği’nde tekrar test gerekir.
Sürekli pentest (continuous pentesting) ne demek?
Yıl boyunca aylık/haftalık küçük dilimlerde test yaparak, her değişiklikte gözlem altında olmaktır. Büyük teknoloji şirketlerinde yaygın.
Sadece yeni sürüm çıkardığımda yapsam yeterli mi?
Hayır, yeterli değil. Altyapı, kütüphaneler, üçüncü parti servisleri zamanla zaafiyet kazanır. Yıllık tam kapsam test bu nedenle zorunludur.
Bizim Pratikten Notumuz
Bir e-ticaret müşterimiz “yılda 1 pentest yeterli, fazla harcama” diyordu. Ramazan kampanyasında yeni ödeme entegrasyonu canlıya alındı, test edilmedi. 3 hafta sonra kart bilgisi sızıntısı yaşandı. Olay temizliği + müşteri tazminatı + regülatör cezası, 4 yıllık pentest bütçelerine eşit oldu. Yeni özellik sürümlerinde kısmi test her zaman tam kapsam testten daha ucuzdur ve çoğu büyük olayı engeller.
Şirketinize uygun pentest sıklığı planı için bize ulaşın — sektörünüze ve büyüme hızınıza göre öneri hazırlayalım.