Caspisec – Kapsam Formu

Test Talep Bilgileri

Kurum ve iletişim bilgileri.

Kurum / Firma Ünvanı

İlgili Kişi

İlgili Kişi Ünvanı

İletişim Bilgileri (telefon/e-posta)

Test Türü

White / Gray / Black Box yaklaşımı.

Test Türü

White Box (Beyaz Kutu) Gray Box (Gri Kutu) Black Box (Siyah Kutu)

Birden fazla seçim yapılabilir.

Test Modu / Profil

Genel Notlar

Talep Edilen Hizmetler

Seçtikçe ilgili bölüm aşağıda açılır.

Bölümler: 0 seçili

External (Dış Ağ) Sızma Testi

Test Edilecek IP/SUBNET Bilgileri / Sayısı

Test Edilecek Genel IP veya IP Aralığı

DMZ Alanındaki Sunucu Sayısı

Mail Sunucusu Lokasyon

Web Server Location

Test Edilecek Sunucular

Internal (İç Ağ) – LAN ve Veritabanı Sızma Testi

Test Edilecek Sunucu Bilgileri

Veritabanı Sistemleri

Ctrl/Command ile çoklu seçim.

Toplam Sunucu Sayısı

Kablosuz Ağ Güvenliği

Çalışma Yeri

İşletim Sistemleri

İstemci Sayısı

Test Edilecek IP Aralıkları

DMZ IP Aralıkları

Toplam IP Adresi Bulunan Cihaz Sayısı

Konum Adresleri

Diğer Bilgiler

İnternet Güvenlik Testleri

İnternet üzerinden erişilebilir olan kapsamda bulunan bileşenlerin güvenlik açıklarının tespiti, manuel testlerle doğrulanması, analiz ve raporlanması. İstenirse, servis kapsamı içinde yeniden test yapılabilir.

IP Adresleri	Güvenlik Cihazlarında İstisna Tanımı Olacak Mı?
	İstisna tanımı gerekiyor mu? Güvenlik Cihazları (isteğe bağlı) Notlar (isteğe bağlı)

Mobil Uygulama Güvenlik Testi Hizmeti

Uygulama sayısına göre satır ekleyin.

Toplam Test Edilecek Mobil Uygulama Sayısı

Uygulama Adı	Platform	Kullanıcı Profil Sayısı	Web Servisi Testi İsteniyor mu?

Erişim Adresi (App Store, Google Play Store, vb.) Uygulamadaki Fonksiyonlar

API / Web Servisi Güvenlik Testi Hizmeti

Test Edilecek Web Servis/API Bilgileri

Web Servisi/API Adres Bilgisi	Kullanıcı Profil Sayısı (Anonim, 1,2, ...)

Kaynak Kod Analizi

Statik kaynak kod analizi yöntemleri kullanılarak güvenlik açıklarının tespiti, analizi ve raporlanması. İstenirse hizmet kapsamı içinde doğrulama yapılabilir.

Satır Sayısı		Diğer Notlar (Yerinde Çalışma / Uzaktan Çalışma)

Uygulama Dili Diğer (İsteğe Bağlı)

VoIP Güvenlik Test Hizmeti

Kaç farklı türde Video Konferans veya Telefon Sistemi test edilecek?

Kaç farklı konumda VoIP testi yapılacak?

Kablosuz Ağ Güvenlik Test Hizmeti

Kaç farklı SSID test edilecek?

Kaç farklı konumda test yapılacak?

Konumlar birbirine yakın mı?

Açıklama

Social Engineering Test Hizmeti

İstenen Social Engineering Test Türü

Email (Phishing) Telefon (Bilgi Toplama)

Kaç kullanıcıya email gönderilecek?

Phishing sırasında hassas veriler (şifre vb.) kaydedilecek mi?

Kaç kullanıcıya telefonla arama yapılacak?

İstenen senaryolar / ek bilgiler

DDoS Test Hizmeti

Test edilecek varlık sayısı

Test edilecek servis sağlayıcı sayısı

Mevcut bant genişliği

Test Türü

Vektör	İstenen Maksimum Bant Genişliği	Maksimum Kullanıcı	IP:port / FQDN

Devam Eden Güvenlik Açıkları Analizi Hizmeti

İstenen tarama sıklığı

Test kapsamındaki IP sayısı

Web Uygulama Yük Testi Hizmeti

Test edilecek uygulama sayısı

Uygulama başına senaryo sayısı

Her senaryodaki maksimum kullanıcı sayısı

Tarihler ve Doğrulama

İstenen test tarih aralığı – Başlangıç

İstenen test tarih aralığı – Bitiş

Zaman kısıtlaması

Verifikasyon testi isteniyor mu?

Rapor tesliminden sonra verifikasyon testi ne kadar sonra planlanmalı?

Rapor teslimi için istenen tarih

Raporlama

Raporlama Dili

Test raporu gönderilecek ve yok edilecek. Rapor, doğrulama sırasında organizasyondan talep edilecek. Onaylıyor musunuz?

Ek Raporlama Gereksinimleri

Malware Kurulum İzinleri

Zayıflık tespit edildiğinde malware kurulmasına izin verilir mi?

Testler için gerekli gereksinimler kabul edilir mi?

Sorumlu Personel

Acil durumlarda ulaşılacak ilk kişiyi ekleyin.

Adı / Soyadı	Unvan	Cep Telefonu	E-posta

Test IP Plan

Test Adı	Yürütülen Personel	Planlanan Test Tarihi

Yetkilendirilmiş Bilgi / İmza

Kurum/Kurumsal Yetkili – Adı/Soyadı

Tarih

Caspisec Yetkilisi – Adı/Soyadı

Tarih

Acil Durum ve Rapor Saklama

Acil Durum İletişim – Adı/Soyadı

Acil Durum İletişim – Telefon

Rapor Saklama Süresi

Ek: Bilgilendirme, Yetkilendirme ve Kapsam Onayı

Bu metin, formda beyan edilen kapsamın doğruluğunu, testlerin yürütülme esaslarını ve tarafların sorumluluklarını özetler.

1) Amaç ve Çalışma Tanımı

Bu form; seçilen hizmetler için test kapsamını, test yaklaşımını (White/Gray/Black Box), zaman kısıtlarını, erişim ihtiyaçlarını ve raporlama beklentilerini kayıt altına almak amacıyla hazırlanmıştır. Güvenlik testleri; hedef sistemlerde hizmet kesintisi yaratmaksızın, kontrollü ve planlı şekilde zafiyetlerin tespiti, doğrulanması ve raporlanmasını hedefler.

2) Kapsam ve Hariç Tutulanlar

Kapsam, bu formda seçilen hizmetler ve ilgili bölümlerde beyan edilen varlıklar (IP/Subnet, FQDN, uygulama, API, SSID vb.) ile sınırlıdır.
Kapsam dışı varlıklar için test yapılması istenirse ayrıca yazılı onay ve kapsam güncellemesi gerekir.
Kontrolsüz servis dışı bırakma (DoS) etkisi yaratabilecek işlemler, açıkça talep edilmedikçe ve yazılı onay alınmadıkça uygulanmaz.
Sosyal mühendislik, DDoS, web yük testi ve sürekli zafiyet analizi gibi hizmetlerde doğrulama (retest) genel kural olarak dahil değildir; ayrıca talep edilmelidir.

3) Yetkilendirme ve İzin

Kurum/Firma, test edilecek sistemler üzerinde test yapılması için gerekli yetkiyi verdiğini; ilgili varlıkların kendisine ait olduğunu veya yetkilendirilmiş kullanım hakkı bulunduğunu beyan eder.
Test sırasında tespit edilen açıklıkların istismar edilmesi (kanıt üretimi), yalnızca güvenlik değerlendirmesi amacıyla ve gerekli asgari etkiyle yürütülür.
“Kötücül yazılım yükleme izni” alanındaki seçime göre hareket edilir; izin verilmedikçe kötücül yazılım bırakma/kalıcılık sağlama yapılmaz.

4) Ön Koşullar ve Müşteri Sorumlulukları

Gray/White Box testlerinde güvenlik cihazlarında (WAF/IPS/NAC vb.) test IP’lerinin engellenmeyecek şekilde yapılandırılması gerekir.
Yerel ağ testlerinde çalışma ortamı, ağ erişimi ve gerekli teknik koordinasyon Kurum/Firma tarafından sağlanır.
Uygulama/API testleri için gerekli kullanıcı profilleri, test hesapları, erişim izinleri ve dokümantasyon (ör. Swagger) Kurum/Firma tarafından sağlanır.
Mobil uygulama testlerinde, talep edilen teknik gereksinimler (ör. uygun build/SSL pinning koşulları) sağlanmadıkça test kapsamı daralabilir veya süre uzayabilir.

5) Veri İşleme, Kayıtlar ve Rapor Saklama

Test sırasında elde edilen bulgular, kanıtlar ve loglar raporlama amacıyla işlenir ve yalnızca yetkili kişilerle paylaşılır.
Rapor teslimi parola korumalı şekilde yapılır.
“Rapor saklama” süresi alanındaki seçime göre rapor saklama/imtihan (imha) süreci uygulanır; doğrulama testi yapılacaksa rapor Kurum/Firma’dan talep edilebilir.

6) Operasyonel Riskler ve Acil Durum Prosedürü

Her güvenlik testinde belirli operasyonel riskler bulunur (servis performansı etkisi, beklenmeyen davranışlar, üçüncü taraf bağımlılıkları vb.).
Acil durumda iletişim kişisi/numarası bu formda belirtilir; gerektiğinde test derhal durdurulabilir.
Kritik iş sürekliliği kısıtları (mesai dışı, belirli saat aralığı vb.) “Saat kısıtlaması” alanında belirtilmelidir.

7) Sorumluluğun Sınırı

Güvenlik testi; formda beyan edilen kapsam ve sağlanan erişim/ön koşullar çerçevesinde yürütülen bir değerlendirme faaliyetidir. Kapsam dışı sistemler, belirtilmeyen varlıklar, üçüncü taraf servis sağlayıcı kaynaklı kesintiler ve Kurum/Firma tarafından sağlanmayan ön koşullardan doğan sonuçlardan CASPISEC sorumlu tutulamaz.

Okudum, anladım ve bu form kapsamındaki bilgilendirme/yetkilendirme hükümlerini kabul ediyorum.

Not: Bu onay, formdaki kapsam beyanlarının doğruluğunu ve test sürecinin belirtilen esaslara göre yürütüleceğini kabul anlamına gelir.

“PDF Olarak Kaydet” butonu tarayıcının yazdır penceresini açar. Çıkan ekranda “PDF olarak kaydet” seçeneğini kullanın.