Güvenlik Denetimi - Security Audit
Kurumsal güvenlik seviyenizi ölçün, compliance gereksinimlerini karşılayın! Kapsamlı güvenlik denetimi ile ISO 27001, PCI-DSS, KVKK/GDPR uyumluluğu sağlayın. Zafiyet tespiti, risk analizi, politika değerlendirmesi ve düzeltici önlemlerle %100 compliance başarısı.
Güvenlik Denetimi Nedir?
Güvenlik Denetimi (Security Audit), bir organizasyonun bilgi güvenliği yapısını, politikalarını, süreçlerini ve teknik altyapısını sistematik olarak değerlendirme sürecidir. Güvenlik kontrollerin etkinliğini ölçer, zafiyetleri tespit eder ve compliance standartlarına uyumu değerlendirir. Penetrasyon testinden farklı olarak, sadece teknik zafiyetler değil, tüm güvenlik yönetim sistemini kapsar.
Güvenlik Denetimi vs Penetrasyon Testi
Güvenlik Denetimi (Security Audit):
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
✅ Kapsamlı kontrol (teknik + organizasyonel)
✅ Politika ve prosedür değerlendirmesi
✅ Risk analizi ve değerlendirmesi
✅ Compliance kontrolü (ISO, PCI, KVKK)
✅ Fiziksel güvenlik denetimi
✅ İnsan kaynakları güvenliği
✅ Veridabanı ve log analizi
✅ Dokümantasyon review
✅ Yönetim sistemi değerlendirmesi
✅ Gap analizi (mevcut - hedef durum)
Kapsam: 360° güvenlik değerlendirmesi
Süre: 2-6 hafta (organizasyon büyüklüğüne göre)
Çıktı: Detaylı audit raporu + roadmap
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
Penetrasyon Testi (Pentest):
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
✅ Teknik zafiyet tespiti
✅ Saldırı simülasyonu
✅ Exploit ve post-exploitation
✅ Gerçek saldırgan perspektifi
❌ Politika değerlendirmesi yok
❌ Compliance kontrolü sınırlı
❌ Organizasyonel kontroller kapsam dışı
Kapsam: Teknik güvenlik testleri
Süre: 2-4 hafta
Çıktı: Zafiyet raporu + PoC
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
İdeal Yaklaşım:
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
1. Güvenlik Denetimi (yıllık)
→ Genel güvenlik seviyesi ölçümü
→ Compliance kontrolü
→ Gap analizi
2. Penetrasyon Testi (quarterly/yıllık)
→ Teknik zafiyetlerin testi
→ Saldırı senaryoları
→ Gerçek risk değerlendirmesi
3. Vulnerability Assessment (aylık/quarterly)
→ Otomatik tarama
→ Patch management kontrolü
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
Güvenlik Denetimi İstatistikleri
Global Compliance Verileri (2024):
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
📊 Veri ihlali maliyeti: Ortalama 4.45M USD
🔒 Düzenli audit yapan şirketlerde ihlal riski: %62 azalış
💼 Compliance cezaları (global): 1.8B USD (2024)
⏱️ Audit süresince tespit edilen ortalama zafiyet: 147
🎯 İlk audit'te compliance başarı oranı: %34
📈 Düzenli audit sonrası compliance: %94
Türkiye Verileri:
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
💰 KVKK cezaları (2024): 450M+ TL
🏢 ISO 27001 sertifikalı şirket: ~2,500
💳 PCI-DSS Level 1 sertifika: ~80 şirket
📊 Veri ihlali bildirimi: %245 artış (2023-2024)
🔐 Düzenli güvenlik audit yapan KOBİ: %12
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
ROI Metrikleri:
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
✅ Veri ihlali riskinde azalma: %62
✅ Sigorta prim indirimi: %15-30
✅ Müşteri güven artışı: %45
✅ Operasyonel verimlilik: %25 artış
✅ Compliance ceza riski: %85 azalış
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
Güvenlik Denetimi Kapsamı
1. Politika ve Prosedür Denetimi
Bilgi Güvenliği Politikaları:
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
📋 Ana Güvenlik Politikası (Information Security Policy)
✓ Mevcut mu?
✓ Güncel mi? (son 12 ayda revize edilmiş)
✓ Yönetim onaylı mı?
✓ Çalışanlara duyurulmuş mu?
✓ Ölçülebilir hedefler var mı?
📋 Erişim Kontrol Politikası
✓ Kullanıcı yetkilendirme prosedürü
✓ Least privilege principle
✓ Segregation of duties (görev ayrımı)
✓ Erişim review periyodu (quarterly)
✓ Şifre politikası (karmaşıklık, süre)
✓ MFA/2FA zorunluluğu
📋 Veri Sınıflandırma Politikası
✓ Veri kategorileri (public, internal, confidential, restricted)
✓ Her kategori için koruma önlemleri
✓ Veri sahibi (data owner) tanımlı
✓ Retention policy (saklama süresi)
✓ Veri imha prosedürü
📋 Olay Müdahale Politikası (Incident Response)
✓ IR ekibi ve rolleri
✓ Olay sınıflandırma matrisi
✓ Escalation prosedürü
✓ İletişim planı (internal + external)
✓ Post-mortem prosedürü
📋 Değişiklik Yönetimi (Change Management)
✓ Change Advisory Board (CAB)
✓ Risk değerlendirmesi
✓ Test ve onay süreci
✓ Rollback planı
✓ Dokümantasyon
📋 Yedekleme ve Kurtarma (Backup & Recovery)
✓ Yedekleme sıklığı (daily, weekly)
✓ Yedekleme kapsamı
✓ Off-site backup
✓ RTO/RPO tanımlı
✓ Recovery test (yıllık)
📋 Üçüncü Parti Güvenlik
✓ Vendor risk assessment
✓ NDA ve SLA
✓ Erişim kontrolü
✓ Audit hakkı
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
Değerlendirme Kriterleri:
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
Skor Durum
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
100% Tam uyumlu, güncel, etkin uygulanan
75% Mevcut ama güncel değil veya kısmi uygulanıyor
50% Temel politika var ama yetersiz
25% Sadece taslak var, uygulanmıyor
0% Hiç yok
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
2. Teknik Güvenlik Kontrolü
Network Security Assessment:
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
🔥 Firewall Configuration Review
• Rule-base analizi
• Gereksiz/kullanılmayan kurallar
• "Any-Any" rule kontrolü
• Logging enabled mi?
• Change management prosedürü
🔐 VPN ve Uzaktan Erişim
• VPN encryption (IPSec, SSL)
• Certificate validity
• MFA zorunlu mu?
• Split tunneling disabled mi?
• Session timeout
📡 Wireless Security
• WPA2/WPA3 kullanımı
• Guest network izolasyonu
• SSID broadcast
• MAC filtering
• Radius authentication
🌐 Network Segmentation
• VLAN yapısı
• DMZ konfigürasyonu
• Critical asset izolasyonu
• East-west traffic control
• Micro-segmentation
📊 Network Monitoring
• IDS/IPS aktif mi?
• Log collection
• Alert mechanism
• Baseline traffic profile
• Anomaly detection
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
Server & Endpoint Security:
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
🖥️ Server Hardening
• OS versiyonu (EOL kontrolü)
• Patch level (critical patches)
• Gereksiz servisler disabled
• Default account disabled
• Strong password policy
• Audit log enabled
💻 Endpoint Protection
• Antivirus/EDR kurulu mu?
• Definition güncel mi?
• Disk encryption (BitLocker, FileVault)
• Personal firewall
• USB port control
• Screen lock policy
🔒 Access Control
• Privileged account management
• Local admin rights
• Password complexity
• Account lockout policy
• Session timeout
• Idle disconnect
📋 Configuration Management
• Baseline configuration
• Configuration drift detection
• Patch management process
• Vulnerability scanning (monthly)
• Asset inventory
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
Application Security:
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
🌐 Web Application
• OWASP Top 10 kontrolü
• Input validation
• Output encoding
• Authentication mechanism
• Session management
• Error handling (verbose error yok)
🗄️ Database Security
• Access control (least privilege)
• Encryption at rest
• Encryption in transit (TLS)
• Audit logging
• Backup encryption
• SQL injection koruması
☁️ Cloud Security (AWS/Azure/GCP)
• IAM policy review
• S3/Blob public access kontrolü
• Security group configuration
• Encryption enabled
• CloudTrail/Monitor aktif
• Compliance posture
📱 Mobile Application
• Code obfuscation
• Certificate pinning
• Root/Jailbreak detection
• Secure storage
• API authentication
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
3. Fiziksel Güvenlik Denetimi
Fiziksel Erişim Kontrolü:
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
🏢 Bina Güvenliği
✓ Güvenlik görevlisi (7/24)
✓ Ziyaretçi kayıt sistemi
✓ Escort prosedürü
✓ Badge/access card sistemi
✓ Turnike veya benzer fiziksel engel
🚪 Veri Merkezi (Data Center)
✓ Biometric access (fingerprint, retina)
✓ Man-trap (iki kapılı geçiş)
✓ Access log (kim, ne zaman, nereye)
✓ CCTV (7/24 kayıt, 90 gün saklama)
✓ Motion sensor (alarm)
✓ Yangın söndürme sistemi
✓ Sıcaklık ve nem kontrolü
✓ UPS ve jeneratör
🖨️ Hassas Alanlar
✓ Server room access (authorized only)
✓ Network room locked
✓ Printer/fax güvenliği
✓ Kağıt doküman imhası (shredder)
✓ Clean desk policy
📦 Ekipman Güvenliği
✓ Asset tagging
✓ Inventory management
✓ Check-in/check-out prosedürü
✓ Laptop cable lock
✓ Equipment disposal prosedürü
Değerlendirme:
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
Test: Yetkisiz giriş simülasyonu (tailgating test)
Gözlem: Güvenlik kamerası yerleşimi
Kontrol: Access log review
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
4. İnsan Kaynakları Güvenliği
Personel Güvenlik Kontrolü:
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
👤 İşe Alım (Hiring)
✓ Background check (sabıka kaydı)
✓ Referans kontrolü
✓ Diploma doğrulama
✓ NDA imzalatma
✓ Güvenlik farkındalık eğitimi (onboarding)
📚 Eğitim (Training)
✓ Yıllık güvenlik farkındalık eğitimi
✓ Phishing simülasyonu (quarterly)
✓ Rol bazlı eğitim (dev, admin, user)
✓ Politika ve prosedür eğitimi
✓ Katılım takibi ve sınav
🔑 Erişim Yönetimi
✓ Joiner/Mover/Leaver prosedürü
✓ Erişim onay workflow
✓ Periyodik access review (quarterly)
✓ Privileged account yönetimi
✓ Role-based access control (RBAC)
🚪 İşten Ayrılma (Offboarding)
✓ Tüm erişimler iptal (son gün)
✓ Ekipman geri alımı (laptop, badge)
✓ Exit interview (güvenlik reminder)
✓ IP ve veri sahipliği transferi
📊 Metrikler:
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
• Eğitim katılım oranı: Hedef %100
• Phishing tıklama oranı: Hedef <%5
• Policy acknowledgment: %100
• Access review tamamlanma: %100 (SLA)
• Offboarding tamamlanma süresi: <24 saat
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
Compliance Standartları
ISO 27001 Denetimi
ISO 27001:2022 Kontrol Seti:
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
Clause 5: Organizational Controls (37 kontrol)
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
5.1 Policies for information security
5.2 Information security roles and responsibilities
5.3 Segregation of duties
5.4 Management responsibilities
5.5 Contact with authorities
5.6 Contact with special interest groups
5.7 Threat intelligence
...
5.37 Documented operating procedures
Denetim Kriterleri:
✓ Politika mevcut ve güncel mi?
✓ Sorumlular tanımlı mı?
✓ Kanıtlar (evidence) var mı?
✓ Etkinlik ölçümü yapılıyor mu?
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
Clause 6: People Controls (8 kontrol)
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
6.1 Screening (arka plan kontrolü)
6.2 Terms and conditions of employment
6.3 Information security awareness, education and training
6.4 Disciplinary process
6.5 Responsibilities after termination
6.6 Confidentiality or non-disclosure agreements
6.7 Remote working
6.8 Information security event reporting
Örnek Evidence:
• Background check records
• NDA templates ve imzalı kopyalar
• Eğitim katılım raporları
• Phishing simülasyon sonuçları
• Remote working policy
• Incident report örnekleri
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
Clause 7: Physical Controls (14 kontrol)
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
7.1 Physical security perimeters
7.2 Physical entry controls
7.3 Securing offices, rooms and facilities
7.4 Physical security monitoring
7.7 Clear desk and clear screen
7.8 Equipment siting and protection
7.9 Security of assets off-premises
7.10 Storage media
7.11 Supporting utilities (UPS, klima)
7.13 Secure disposal or re-use of equipment
Kontrol Yöntemi:
• Site ziyareti
• CCTV kayıtları review
• Access log inceleme
• Equipment inventory kontrolü
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
Clause 8: Technological Controls (34 kontrol)
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
8.1 User endpoint devices
8.2 Privileged access rights
8.3 Information access restriction
8.4 Access to source code
8.5 Secure authentication
8.8 Management of technical vulnerabilities
8.9 Configuration management
8.10 Information deletion
8.11 Data masking
8.16 Monitoring activities (SIEM/SOC)
8.19 Installation of software
8.20 Networks security
8.23 Web filtering
8.24 Use of cryptography
8.25 Secure development lifecycle
8.26 Application security requirements
8.28 Secure coding
Test Yöntemleri:
• Configuration review
• Vulnerability scan
• Penetration test
• Code review (sample)
• Log analysis
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
ISO 27001 Audit Süreci:
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
1. Pre-Audit (Dokümantasyon review)
• ISMS Policy
• Risk Assessment & Treatment Plan
• Statement of Applicability (SoA)
• Prosedürler
2. Stage 1 Audit (Dokümantasyon)
• Belge kontrolü
• Gap analizi
• Interview (yönetim)
3. Stage 2 Audit (Implementation)
• Kontrollerin uygulanması kontrolü
• Evidence review
• Technical test
• Observation
• Interview (tüm seviyeler)
4. Surveillance Audit (Yıllık)
• Değişiklik kontrolü
• Olay review
• Metrik analizi
• Sample kontrolü
Sertifikasyon Süresi: 6-12 ay (hazırlık + audit)
Geçerlilik: 3 yıl (yıllık surveillance ile)
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
PCI-DSS Denetimi
PCI-DSS v4.0 Requirements:
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
Requirement 1: Install and Maintain Network Security Controls
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
1.1 Firewall configuration standards
• Documented network diagram
• Data flow diagram (DFD)
• Firewall rule review (6 ay)
• Change control process
1.2 Network security controls
• Inbound/outbound traffic restriction
• DMZ implementation
• Internal network segmentation
• Anti-spoofing measures
1.3 Network access to CDE restricted
• Cardholder Data Environment (CDE) tanımlı
• Access control lists (ACL)
• Wireless encryption (WPA2/WPA3)
Test:
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
✓ Network diagram güncel mi?
✓ Firewall rule-base review (sampling)
✓ Network scan (internal/external)
✓ CDE sınırları test et
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
Requirement 3: Protect Stored Account Data
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
3.1 Account data storage kept to minimum
• Data retention policy
• Sadece iş gereksinimi olanlar
• Quarterly data purge
3.2 Sensitive authentication data not stored
• CVV/CVC2 ASLA saklanmaz
• Full magnetic stripe ASLA
• PIN/PIN Block ASLA
3.3 PAN (Primary Account Number) masking
• İlk 6 + son 4 digit hariç mask
• Stored PAN encrypted
3.4 Cryptography to protect PAN
• Encryption at rest (AES-256)
• Key management (key rotation)
• HSM (Hardware Security Module)
Test:
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
✓ Database query (sample PAN kontrolü)
✓ Log review (sensitive data yok mu?)
✓ Backup encryption test
✓ Key management dokümantasyonu
✓ Application test (masking)
Kritik:
-- ❌ YANLIŞ (PAN açık saklanıyor):
SELECT card_number FROM payments WHERE user_id = 123;
-- Sonuç: 4532123456789012
-- ✅ DOĞRU (PAN masked):
SELECT CONCAT(LEFT(card_number,6),'******',RIGHT(card_number,4))
FROM payments WHERE user_id = 123;
-- Sonuç: 453212******9012
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
Requirement 6: Develop and Maintain Secure Systems
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
6.1 Security vulnerabilities identified and addressed
• Vulnerability scan (quarterly)
• Patch management (critical: 30 gün)
• Vulnerability management process
6.2 Secure development lifecycle
• SDLC policy
• Code review
• Security testing (SAST/DAST)
• Change control
6.3 Bespoke/custom software security
• OWASP Top 10 koruması
• Input validation
• Output encoding
• Authentication/Authorization
Test:
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
✓ Vulnerability scan raporu (son 3 ay)
✓ Patch level kontrolü
✓ Code review örnekleri
✓ SAST/DAST raporu
✓ Penetration test (yıllık)
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
Requirement 8: Identify Users and Authenticate Access
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
8.1 User identification
• Unique user ID (shared account yasak)
• Generic account disabled
• Inactive account disabled (90 gün)
8.2 Strong authentication
• MFA/2FA (CDE erişimi için ZORUNLU)
• Password complexity (min 12 karakter)
• Password history (son 4 şifre tekrar yok)
• Password change (90 gün)
8.3 MFA for all access to CDE
• VPN → MFA zorunlu
• RDP/SSH → MFA zorunlu
• Web admin panel → MFA zorunlu
Test:
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
✓ User list review (generic account?)
✓ Password policy configuration
✓ MFA enrollment rate (%100 olmalı)
✓ Login attempt test (brute-force protection)
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
Requirement 10: Log and Monitor All Access
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
10.1 Audit logging implemented
• User access (authentication)
• Privileged access
• CDE access
• PAN access
• Configuration change
• Audit log change
10.2 Automated audit trails
• Timestamp (NTP sync)
• User ID
• Event type
• Success/Failure
• Source/Destination
10.3 Log protection
• Log integrity (hash)
• Access control (read-only)
• Off-site backup (centralized)
• Retention (1 year)
10.4 Log review
• Daily log review (automated)
• Alert on suspicious activity
• Follow-up documented
Test:
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
✓ Log sample review (her sistemden)
✓ Timestamp accuracy (NTP)
✓ Log tampering test (integrity)
✓ SIEM correlation rules
✓ Alert mechanism test
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
Requirement 11: Test Security of Systems Regularly
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
11.1 Wireless access point inventory
• Quarterly scan (rogue AP detection)
• Automated monitoring (24/7)
11.2 Vulnerability scan
• Quarterly (ASV scan)
• After significant change
• All "High" risk remediated
11.3 Penetration testing
• Annual (internal + external)
• After significant change
• Network layer + application layer
• Segmentation testing
Test:
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
✓ ASV scan reports (son 4 quarter)
✓ Pentest report (son 12 ay)
✓ Remediation tracking
✓ Wireless scan report
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
PCI-DSS Compliance Seviyeleri:
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
Level 1: 6M+ işlem/yıl
→ Onsite audit (QSA) + ASV scan
Level 2: 1M-6M işlem/yıl
→ SAQ + ASV scan + Quarterly scan
Level 3: 20K-1M işlem/yıl
→ SAQ + ASV scan
Level 4: <20K işlem/yıl
→ SAQ + ASV scan (opsiyonel)
Audit Süresi: 1-3 ay (hazırlık + onsite + remediation)
Geçerlilik: 1 yıl
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
KVKK / GDPR Uyumluluk Denetimi
KVKK (Kişisel Verilerin Korunması Kanunu) Denetimi:
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
1. VERİ ENVANTERİ (Data Inventory)
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
✓ Hangi kişisel veriler işleniyor?
• Ad, soyad, TC kimlik no
• İletişim bilgileri (email, telefon, adres)
• IP adresi, cookie
• Özlük bilgileri (personel)
• Müşteri işlem geçmişi
• Sağlık verileri (özel nitelikli)
• Biyometrik veri (özel nitelikli)
✓ Veri kategorileri:
• Kimlik verisi
• İletişim verisi
• Lokasyon verisi
• Müşteri işlem verisi
• Finansal veri
• Görsel/işitsel veri
• Özel nitelikli veri
✓ Veri kaynağı:
• İlgili kişiden direkt
• Üçüncü parti
• Public kaynak
• Otomatik toplama (log, cookie)
✓ Veri saklama yeri:
• Sunucu lokasyonu (Türkiye/yurtdışı)
• Cloud provider (AWS, Azure, Google)
• Backup lokasyonu
• Üçüncü parti sistemler
Çıktı: Veri İşleme Envanteri (Excel/Database)
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
2. HUKUKİLİK (Lawfulness)
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
Her veri işleme için hukuki dayanak:
✓ Açık rıza (Explicit consent)
• Aydınlatma metni gösterildi mi?
• Onay alındı mı? (checkbox, imza)
• Onay kaydı saklanıyor mu?
• Geri çekilebilir mi? (kolay yöntem)
✓ Kanunlarda açıkça öngörülmesi
• İş Kanunu (personel bilgileri)
• Borçlar Kanunu (sözleşme)
✓ Hakkın tesisi veya korunması
• Dava, tahsilat
✓ Meşru menfaat
• Fraud detection
• Güvenlik logları
Test:
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
• Aydınlatma metni kontrolü (web sitesi, form)
• Onay kayıtları (consent database)
• Hukuki dayanak tablosu (data inventory)
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
3. İLGİLİ KİŞİ HAKLARI
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
İlgili kişi talepleri nasıl işleniyor?
Haklar:
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
1. Bilgi talep etme
→ Hangi verileriniz var?
→ Nasıl işleniyor?
2. Düzeltme
→ Hatalı veri düzeltmesi
3. Silme (Unutulma hakkı)
→ Hukuki sebep kalkmışsa sil
4. İtiraz etme
→ Otomatik karar alma
5. Aktarılan yerleri öğrenme
→ Üçüncü partiler
6. Kısıtlama
→ Geçici dondur
Kontrol:
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
✓ Başvuru kanalı var mı? (email, form)
✓ Cevaplama süresi: 30 gün (yasal süre)
✓ Talep kayıt sistemi var mı?
✓ Kimlik doğrulama prosedürü
✓ Yanıt örnekleri (sample)
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
4. TEKNİK GÜVENLİK ÖNLEMLERİ
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
Kişisel verilerin güvenliği:
✓ Erişim Kontrolü
• Sadece yetkili personel
• Rol tabanlı yetkilendirme
• Erişim logları
✓ Şifreleme
• Veritabanı encryption (at rest)
• Network encryption (TLS/SSL)
• Backup encryption
✓ Anonymization / Pseudonymization
• Test ortamı masked data
• Analytics için anonymize
✓ Güvenlik Testleri
• Pentest (yıllık)
• Vulnerability scan
• Security audit
✓ Veri Sızıntısı Önleme (DLP)
• Email filter
• USB port control
• File transfer monitoring
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
5. SAKLAMA VE İMHA
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
✓ Saklama Süresi Politikası
• Veri kategorisi bazında
• Hukuki yükümlülük (örn: 10 yıl VUK)
• İş gereksinimi
✓ Otomatik İmha
• Retention policy (automated)
• Purge scripts
• Hard delete vs soft delete
✓ Güvenli İmha
• Database: Secure delete + vacuum
• Backup: Encrypted backup deletion
• Fiziksel ortam: Shredder, degaussing
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
6. VERBİS KAYDI
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
VERBİS (Veri Sorumluları Sicil Bilgi Sistemi):
Kapsam:
• 50+ çalışan veya
• Özel nitelikli veri işleme veya
• 1M+ kişinin verisi
Bildirim İçeriği:
• Veri sorumlusu bilgileri
• Veri kategorileri
• İşleme amaçları
• Aktarım yapılan kişiler
• Güvenlik önlemleri
• Saklama süreleri
Kontrol:
✓ VERBİS kaydı yapılmış mı?
✓ Bildirim formları dolu mu?
✓ Güncelleme yapılmış mı? (değişiklik olunca)
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
7. VERİ İHLALİ BİLDİRİMİ
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
Veri ihlali durumunda:
Kurul'a Bildirim:
• Süre: 72 saat içinde
• Kanal: VERBİS üzerinden
• İçerik: Olay detayı, etkilenen kişi sayısı, önlemler
İlgili Kişilere Bildirim:
• Risk yüksekse: Derhal bilgilendirme
• İletişim kanalı: Email, SMS, duyuru
Kontrol:
✓ Incident response plan var mı?
✓ Veri ihlali bildirim prosedürü
✓ Template hazır mı?
✓ Geçmiş ihlaller (varsa) bildirilmiş mi?
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
KVKK Ceza Miktarları:
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
İdari Para Cezaları (2024):
• Aydınlatma yükümlülüğü ihlali: 150K-2.5M TL
• Veri güvenliği önlemi almama: 500K-3M TL
• VERBİS bildirim yapmama: 300K-2M TL
• İlgili kişi başvurusuna cevap vermeme: 100K-1M TL
Ağır İhlal (Veri Sızıntısı):
• % Ciro bazlı ceza (GDPR benzeri)
• İtibar kaybı
• Tazminat davaları
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
Güvenlik Denetimi Süreci
Audit Metodolojisi
┌─────────────────────────────────────────────────────────┐
│ GÜVENLİK DENETİMİ AŞAMALARI │
├─────────────────────────────────────────────────────────┤
│ │
│ 1️⃣ PLANLAMA (Planning) - 1 hafta │
│ ┌───────────────────────────────────────────────┐ │
│ │ • Kapsam belirleme │ │
│ │ • Audit programı hazırlama │ │
│ │ • Checklist ve test planı │ │
│ │ • Kaynak planlama (auditor, süre) │ │
│ │ • Kick-off meeting │ │
│ │ • Döküman talep listesi │ │
│ └───────────────────────────────────────────────┘ │
│ │
│ 2️⃣ DOKÜMANTASYON İNCELEME - 1-2 hafta │
│ ┌───────────────────────────────────────────────┐ │
│ │ • Politika ve prosedür review │ │
│ │ • Risk assessment dökümanları │ │
│ │ • Network/system dokümantasyonu │ │
│ │ • Önceki audit raporları │ │
│ │ • Incident reports │ │
│ │ • Change log │ │
│ │ • Gap analizi (preliminary) │ │
│ └───────────────────────────────────────────────┘ │
│ │
│ 3️⃣ ONSITE AUDİT / TEKNİK TEST - 1-3 hafta │
│ ┌───────────────────────────────────────────────┐ │
│ │ • Interview (management, IT, users) │ │
│ │ • Observation (fiziksel güvenlik) │ │
│ │ • Configuration review │ │
│ │ • Vulnerability scanning │ │
│ │ • Log analysis │ │
│ │ • Sample testing (user access, change) │ │
│ │ • Compliance kontrolü (standart bazlı) │ │
│ │ • Evidence toplama (screenshot, export) │ │
│ └───────────────────────────────────────────────┘ │
│ │
│ 4️⃣ BULGU ANALİZİ VE DEĞERLENDİRME - 1 hafta │
│ ┌───────────────────────────────────────────────┐ │
│ │ • Bulguların kategorize edilmesi │ │
│ │ • Risk skorlama (Critical/High/Medium/Low) │ │
│ │ • Root cause analysis │ │
│ │ • Compliance gap analizi │ │
│ │ • Best practice önerileri │ │
│ └───────────────────────────────────────────────┘ │
│ │
│ 5️⃣ RAPORLAMA - 1 hafta │
│ ┌───────────────────────────────────────────────┐ │
│ │ • Executive summary │ │
│ │ • Bulgu detayları (finding by finding) │ │
│ │ • Risk matrix │ │
│ │ • Remediasyon önerileri (öncelikli) │ │
│ │ • Roadmap (quick win, short/long term) │ │
│ │ • Appendix (evidence, checklist) │ │
│ └───────────────────────────────────────────────┘ │
│ │
│ 6️⃣ KAPANIŞ VE TAKİP - Sürekli │
│ ┌───────────────────────────────────────────────┐ │
│ │ • Closing meeting (rapor sunumu) │ │
│ │ • Management response │ │
│ │ • Düzeltici faaliyet planı (CAP) │ │
│ │ • Follow-up audit (6-12 ay sonra) │ │
│ └───────────────────────────────────────────────┘ │
│ │
│ 📊 TOPLAM SÜRE: 5-8 Hafta (Orta Büyüklük Org.) │
└─────────────────────────────────────────────────────────┘
Başarı Hikayesi
E-Ticaret Şirketi - PCI-DSS Level 1 Sertifikasyonu
Firma Profili:
- Sektör: E-Ticaret (Online Moda)
- Yıllık işlem: 8.5M+ kredi kartı işlemi
- Platform: Web + Mobil app
- Çalışan: 250 kişi
- Hedef: PCI-DSS Level 1 compliance
Durum (Audit Öncesi):
Mevcut Durum:
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
Güvenlik:
✅ Temel güvenlik önlemleri (firewall, antivirus)
✅ SSL sertifikası (TLS 1.2)
❌ Kart verisi plaintext veritabanında!
❌ Network segmentation yok
❌ Log management yok (log atılıyor!)
❌ MFA sadece %15 kullanıcı
❌ Vulnerability scan yapılmamış
❌ Penetration test hiç yapılmamış
Compliance:
❌ PCI-DSS compliance yok
❌ Güvenlik politikası outdated (3 yıllık)
❌ Risk assessment yapılmamış
❌ Incident response planı yok
Problemler:
→ Banka PCI-DSS Level 1 zorunluluğu getirdi
→ Alternatif: Payment gateway kullan (komisyon %3.5)
→ Kendi altyapı: Compliance gerek (komisyon %1.8)
→ Potansiyel tasarruf: 1.7% x 800M TL = 13.6M TL/yıl
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
Güvenlik Denetimi ve Gap Analizi:
Initial Assessment Bulguları:
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
PCI-DSS Requirement Compliance:
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
Req 1: Network Security [■□□□□] 20%
Req 2: Vendor Defaults [■■■□□] 60%
Req 3: Protect Cardholder Data [□□□□□] 0% 🔴
Req 4: Encryption (Transit) [■■■■□] 80%
Req 5: Anti-Malware [■■■□□] 60%
Req 6: Secure Systems [■■□□□] 40%
Req 7: Access Control [■□□□□] 20%
Req 8: Identify Users [■■□□□] 40%
Req 9: Physical Access [■■■□□] 60%
Req 10: Logging & Monitoring [□□□□□] 0% 🔴
Req 11: Security Testing [□□□□□] 0% 🔴
Req 12: Security Policy [■□□□□] 20%
Genel Compliance: 28% ❌
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
Kritik Bulgular (Must-Fix):
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
🔴 CRITICAL #1: Kart Verisi Açık Saklanıyor
Lokasyon: MySQL database (orders table)
Bulgu: PAN (Primary Account Number) plaintext
-- Mevcut (YANLIŞ):
mysql> SELECT card_number, card_cvv, card_expiry FROM orders LIMIT 1;
+------------------+----------+--------------+
| card_number | card_cvv | card_expiry |
+------------------+----------+--------------+
| 4532123456789012 | 123 | 12/25 |
+------------------+----------+--------------+
-- CVV asla saklanmamalı! (PCI-DSS 3.2 ihlali)
-- PAN encrypted olmalı!
Risk:
→ Veri ihlali durumunda 8.5M+ kart bilgisi çalınabilir
→ BDDK cezası: Yıllık cironun %3'ü (24M TL)
→ Banka ilişkisi kesilir
→ İtibar kaybı
Önerilen Çözüm:
1. Derhal CVV sütununu sil (DROP COLUMN)
2. PAN encryption (AES-256)
3. Tokenization implementation
4. Ya da: Payment gateway entegrasyonu
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
🔴 CRITICAL #2: Network Segmentation Yok
Bulgu: Web server, database, admin workstation
aynı flat network'te (192.168.1.0/24)
Test:
# Web server'dan database'e direkt erişim:
ubuntu@web01:~$ mysql -h 192.168.1.50 -u root -p
# → Başarılı! (Network level kontrol yok)
# Herhangi bir workstation'dan database:
user@desktop:~$ telnet 192.168.1.50 3306
# → Connection successful!
Risk: Lateral movement çok kolay
Web server compromised → database compromised
Çözüm:
1. CDE (Cardholder Data Environment) tanımla
2. VLAN segmentation
3. Firewall kuralları (strict)
4. DMZ oluştur
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
🔴 CRITICAL #3: Logging ve Monitoring Yok
Bulgu:
• Sistem logları local'de ve otomatik siliyor (7 gün)
• Merkezi log yönetimi yok
• SIEM yok
• Alert mechanism yok
Test:
# Login attempt loglanıyor mu?
$ grep "Failed password" /var/log/auth.log
# → Yok! (log rotation 7 gün, silinmiş)
# Database access log?
mysql> SHOW VARIABLES LIKE 'general_log';
+---------------+-------+
| Variable_name | Value |
+---------------+-------+
| general_log | OFF | ← Kapalı!
+---------------+-------+
Risk:
→ Saldırı tespit edilemez
→ Forensic analiz impossible
→ PCI-DSS Req 10 non-compliant
Çözüm:
1. Centralized logging (syslog/SIEM)
2. Log retention 1 yıl
3. Daily log review (automated)
4. Alert rules
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
Toplam Bulgu:
🔴 Critical: 8
🟠 High: 15
🟡 Medium: 23
🟢 Low: 12
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
Remediasyon Planı ve Uygulama:
6 Aylık Roadmap:
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
Ay 1-2: Kritik Düzeltmeler
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
✅ CVV kolonunu sil (database)
✅ PAN encryption (application level)
✅ Network segmentation (3 VLAN: DMZ, APP, DB)
✅ Firewall rule implementation
✅ MFA rollout (%100 CDE access)
✅ SIEM kurulumu (Wazuh - opensource)
✅ Antivirus/EDR deployment
Yatırım: 450K TL
• Network ekipman: 180K TL
• SIEM altyapı: 120K TL
• EDR lisans: 80K TL
• Danışmanlık: 70K TL
Ay 3-4: Compliance Altyapısı
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
✅ Policy ve prosedür dökümanları
✅ Risk assessment
✅ Incident response plan
✅ Business continuity plan
✅ Quarterly vulnerability scan
✅ Penetration test
✅ Güvenlik farkındalık eğitimi
✅ Compensating controls dokümantasyonu
Yatırım: 280K TL
• Dokümantasyon: 80K TL
• Pentest: 85K TL
• Eğitim: 45K TL
• ASV scan: 70K TL
Ay 5: Pre-Assessment
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
✅ Internal pre-assessment (gap check)
✅ Remediation (son eksikler)
✅ Evidence preparation
✅ Readiness review
Yatırım: 120K TL
Ay 6: QSA Audit
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
✅ Onsite audit (QSA - Qualified Security Assessor)
✅ Düzeltici faaliyetler (varsa)
✅ Report of Compliance (RoC)
✅ Attestation of Compliance (AoC)
Yatırım: 350K TL
Toplam Yatırım: 1.2M TL
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
Sonuçlar (6 Ay Sonra):
PCI-DSS Compliance Başarılı! ✅
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
Final Assessment:
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
Req 1: Network Security [■■■■■] 100%
Req 2: Vendor Defaults [■■■■■] 100%
Req 3: Protect Cardholder Data [■■■■■] 100%
Req 4: Encryption (Transit) [■■■■■] 100%
Req 5: Anti-Malware [■■■■■] 100%
Req 6: Secure Systems [■■■■□] 95%
Req 7: Access Control [■■■■■] 100%
Req 8: Identify Users [■■■■■] 100%
Req 9: Physical Access [■■■■■] 100%
Req 10: Logging & Monitoring [■■■■■] 100%
Req 11: Security Testing [■■■■■] 100%
Req 12: Security Policy [■■■■■] 100%
Genel Compliance: 99.6% ✅ (1 minor finding)
Sertifikasyon: PCI-DSS Level 1 AoC alındı!
Geçerlilik: 1 yıl (yıllık QSA audit)
İş Etkileri:
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
✅ Kendi payment altyapısını kullanabilme hakkı
✅ Komisyon oranı: %3.5 → %1.8 (indirim)
✅ Yıllık tasarruf: 13.6M TL
✅ Müşteri güveni arttı (%18 conversion artışı)
✅ B2B anlaşmalar (kurumsal müşteri güveni)
Güvenlik İyileştirmeleri:
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
✅ Kart verisi encrypted
✅ Network segmented ve monitored
✅ 7/24 SOC monitoring (SIEM)
✅ Incident response süresi: - → 28 dakika (ortalama)
✅ Vulnerability scan: Quarterly (automated)
✅ Pentest: Yıllık
✅ Güvenlik farkındalık: %100 eğitim katılımı
ROI:
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
Yatırım: 1,200,000 TL
Yıllık tasarruf: 13,600,000 TL
ROI: 1,033%
Geri ödeme süresi: 32 gün! 🎉
Ek Faydalar:
• Veri ihlali riski: %78 azalış
• Sigorta prim indirimi: %25 (200K TL/yıl)
• Compliance ceza riski: Ortadan kalktı
• Operasyonel verimlilik: +%22
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
Müşteri Yorumu:
"İlk başta PCI-DSS compliance çok masraflı gibi geldi,
'Payment gateway kullanalım' diyorduk. Ancak detaylı
ROI hesabı yapınca yıllık 13M TL tasarruf görüşince
compliance'a karar verdik.
6 ay boyunca çok çalıştık ama sonuç harikaydı. Sadece
maliyet tasarrufu değil, artık gerçekten güvenliyiz.
SIEM sayesinde saldırıları anında görüyoruz.
En önemlisi: Müşteri güveni. 'PCI-DSS Level 1
sertifikalıyız' demek satışları %18 artırdı.
Kurumsal müşteriler artık bizi tercih ediyor.
Yatırımın 32 günde geri dönmesi inanılmazdı!"
— CTO, E-Ticaret Şirketi
Hemen Başlayın
Kurumsal güvenlik seviyenizi ölçün, compliance gereksinimlerini karşılayın! Kapsamlı güvenlik denetimi ile ISO 27001, PCI-DSS, KVKK/GDPR uyumluluğu sağlayın. 360° güvenlik değerlendirmesi, gap analizi ve düzeltici eylem planı.
Güvenlik Denetimi Hizmetlerimiz:
- ✅ ISO 27001 compliance audit (BGYS)
- ✅ PCI-DSS assessment (Level 1-4)
- ✅ KVKK/GDPR uyumluluk denetimi
- ✅ SOC 2 Type II audit
- ✅ HIPAA compliance (sağlık sektörü)
- ✅ COBIT framework assessment
- ✅ Vulnerability assessment ve scanning
- ✅ Configuration review (network, server, cloud)
- ✅ Policy ve prosedür değerlendirmesi
- ✅ Risk analizi ve yönetimi
- ✅ Fiziksel güvenlik denetimi
- ✅ Third-party risk assessment
- ✅ Gap analizi ve roadmap
- ✅ Remediasyon desteği
- ✅ Follow-up audit
Audit Çıktıları: 📊 Executive summary raporu 📋 Detaylı bulgu raporu (finding by finding) 🎯 Risk skorlama ve önceliklendirme 🗺️ Remediasyon roadmap (quick win + uzun vade) ✅ Compliance checklist 📈 Metrik ve KPI önerileri
Ücretsiz Gap Analizi!
Audit Teklifi Al | Örnek Rapor İndir | Compliance Danışmanlık
İlgili Çözümler:
Popüler Aramalar: güvenlik denetimi, security audit, compliance, iso 27001, pci-dss, kvkk, gdpr, güvenlik tarama, vulnerability scanning
Bu çözüm işletmeniz için uygun mu?
Uzman ekibimizle görüşün, size özel bir teklif hazırlayalım.