Sızma Testi Tedarikçinize Sormanız Gereken 12 Kritik Soru

Pentest firması seçimi, testin kalitesini doğrudan belirleyen en kritik karardır. Yanlış firma seçildiğinde elinizde “denetim yapıldı” sertifikası olur ama gerçekte hiçbir saldırgandan korunmamış olursunuz. İşte tedarikçinize teklif almadan önce sormanız gereken 12 soru.

Soru 1: Sertifikalarınız neler?

TSE A Sınıfı, ISO 27001, BDDK lisansı varlığı; pentester’ların OSCP, CRTO, GPEN gibi bireysel sertifikaları.

Soru 2: Pentester ekibinizin deneyimi?

Toplam yıl tecrübe, sektör deneyimi (banka, e-ticaret, üretim), CV’lerin paylaşılabilirliği.

Soru 3: Test metodolojiniz nedir?

OWASP, OSSTMM, NIST SP 800-115, PTES, TS 13638 gibi standartlardan hangilerini takip ediyorsunuz?

Soru 4: Hangi türlerde uzmanlığınız var?

Tüm türlerde mi, yoksa belirli alanlarda mı (web, mobil, EKS-SCADA)? Genelci-uzmanlık dengesi.

Soru 5: Mesleki sorumluluk sigortanız var mı?

E&O sigortası ve siber sorumluluk sigortası — test sırasında sorun olursa taraflar korunur.

Soru 6: Re-test hizmetiniz dahil mi?

Bulguların kapatılmasından sonra ücretsiz yeniden test, yoksa ek ücret kaç olur?

Soru 7: Raporu nasıl teslim ediyorsunuz?

Şifreli PDF mi, online portal mi? Yönetici özeti + teknik rapor + PoC’ler.

Soru 8: Sunum toplantısı yapıyor musunuz?

Rapor teslim sonrası müşteri ekibiyle 30-60 dakika sunum yapılıyor mu?

Soru 9: Önceki müşteri referansları?

Sektör/ölçek bazında 2-3 referans, NDA çerçevesinde paylaşılabilir mi?

Soru 10: Acil durum protokolünüz nedir?

Test sırasında üretim etkilenirse hızla durdurma süreci nasıl işliyor?

Soru 11: Veri gizliliği nasıl sağlıyorsunuz?

Toplanan veriler nerede saklanıyor, ne kadar süre tutuluyor, nasıl imha ediliyor?

Soru 12: Ekip değişikliği yaparsanız haber veriyor musunuz?

Sözleşme imzalanan pentester’lar değişirse müşteriye bildirim ve onay süreci.

“Doğru Cevap” Nasıl Anlaşılır?

Pratik kural: somutluk. “Tabii ki sertifikalıyız, profesyonel firmayız” gibi genel cevaplar verirken; “TSE A Sınıfı sertifikamız 2019’dan beri yenileniyor, OSCP’li 6 pentester’ımız var, son 5 yılda 14 banka projesi yürüttük” tipi cevaplar somutluğu gösterir. İlk tip “satış cevabı”dır, ikinci tip “deneyim cevabı”.

Sözleşmede Aranması Gereken 5 Madde

1. Kapsam tanımı: Hangi varlıklar, hangi modüller, hangi tarihler, hangi saatler — net yazılmalı.
2. Re-test koşulları: Ücretsiz mi, kaç kez, hangi sürede?
3. Gizlilik (NDA): Toplanan veri nerede saklanır, ne kadar süre tutulur, imha protokolü nedir?
4. Sigorta & sorumluluk: Mesleki sorumluluk sigortası, üretim etkilenmesinde tazminat sınırları.
5. Ekip ve raporlama: Atanan pentester listesi, değişiklik bildirimi, raporun teslim formatı.

Sıkça Sorulan Sorular

Pentest firması seçerken en kritik soru nedir?

TSE A Sınıfı sertifikası ve sertifikalı pentester sayısı. Bunlar 2026 standartında olmazsa olmaz.

Sertifikasız firma seçmemeli miyim?

Sertifikası olmayan firmalar genelde daha ucuz ama mevzuat denetimlerinde raporları kabul edilmez.

Pentest firması hangi sigortayı taşımalı?

Mesleki sorumluluk sigortası (E&O) ve siber sorumluluk sigortası ideal. Hata durumunda taraflar korunur.

Önceki müşteri referanslarını sormak normal mi?

Evet, profesyonel firmalar gizlilik anlaşmalarına uygun şekilde sektör/ölçek bazında referans paylaşabilir.

Bizim Pratikten Notumuz

Birkaç yıl önce bir kurum bizden teklif aldı, başka bir firmaya gitti çünkü o firma %25 daha ucuzdu. 6 ay sonra geri dönüp “o firmadan aldığımız raporda hiçbir kritik bulgu yoktu, ama bize bir saldırı geldi” dedi. Yeniden test ettik, raporun ilk gün gözden kaçan basit bir SQL injection olduğunu gördük. Bedava değil, doğru pentest seçin. 12 soruyu eksiksiz cevaplayamayan bir firmadan uzak durun.

Belgesert ekibi bu 12 sorunun her birine somut cevap verir. Ön görüşme için iletişim formundan bize ulaşabilirsiniz.