GÜNDEM

TSE A Sınıfı Sızma Testi Yetkilendirme Çerçevesi ve Tedarikçi Seçimi

Sızma testi alanında firma seçimi yapan kurumlar son yıllarda farklı bir kavramla karşılaşmaktadır: TSE A Sınıfı yetki belgesi. Bu belge basit bir sertifikadan öte, TSE TS 13638/T2 standardı kapsamında verilen ve yetkili firmaları üç farklı sınıfta sınıflandıran kapsamlı bir yetkilendirme çerçevesinin parçasıdır.

12.05.2026 - 09:10 12.05.2026 - 09:16 Okunma Süresi: 6 Dk

TSE A Sınıfı Yetkinin Anlamı ve Yasal Dayanağı

TSE A Sınıfı yetki belgesi Türk Standartları Enstitüsü tarafından verilen ve TS 13638/T2 standardı çerçevesinde tanımlanan bir yetkilendirmedir. Yetki, Cumhurbaşkanlığı Dijital Dönüşüm Ofisi ve Siber Güvenlik Başkanlığı tarafından da resmi olarak tanınmaktadır.

A Sınıfı yetkinin yasal dayanağını oluşturan temel düzenlemeler:

• TSE TS 13638/T2 Sızma Testi Hizmetleri Standardı

• 7545 sayılı Siber Güvenlik Kanunu (12 Mart 2025)

• Bilgi ve İletişim Güvenliği Rehberi (Cumhurbaşkanlığı Genelgesi 2019/12)

• BDDK Bilgi Sistemleri ve Elektronik Bankacılık Yönetmeliği

• ISO 27001 Bilgi Güvenliği Yönetim Sistemi referansı

Bu çerçevede A Sınıfı belge alan firmalar en kritik kamu ve sanayi ağlarında sızma testi yapma yetkisine sahip olur.

A B C Sınıfı Firmalar Arasında Ne Fark Vardır?

TSE TS 13638/T2 standardı sızma testi firmalarını üç ayrı sınıfa ayırmaktadır. Sınıflar arasındaki temel ayrım kadro yapısı, denetim sıklığı ve yetkilendirme kapsamıdır.

Üç sınıfın temel farkları:

• A Sınıfı: En az 5 kişilik kadro (1 Kıdemli, 1 Sertifikalı, 1 Kayıtlı, 2 Stajyer); ISO 27001 zorunlu; kritik altyapı ve kamu kurumları kapsamında yetkili

• B Sınıfı: En az 3 kişilik kadro (1 Sertifikalı, 1 Kayıtlı, 1 Stajyer); orta ölçekli kurumsal kapsam

• C Sınıfı: En az 2 kişilik kadro; KOBİ ve daha küçük ölçekli sistemler için yetkili

Belediyeler genellikle A veya B Sınıfı yetkili firma talep eder. Kritik altyapı işletmeleri (enerji, su, ulaştırma, telekomünikasyon) için yalnızca A Sınıfı kabul edilir.

TSE A Sınıfı Sızma Testi Süreci Nasıl İşler?

TSE A Sınıfı yetkili firma tarafından yürütülen sızma testi süreci yalnızca teknik açıdan değil, prosedürel açıdan da standartlaşmış adımları izler. Bu standardizasyon, raporun denetimlerde kabul edilebilirliğini doğrudan belirler.

Sürecin standartlaştırılmış aşamaları şunlardır:

• Pre-engagement: Kapsam, hedef sistemler, test pencereleri ve sözleşmenin yazılı imzalanması

• Bilgi toplama: OSINT, pasif keşif ve aktif servis tespiti aşamalarının belgelenmiş yürütülmesi

• Tehdit modelleme: Varlık değerlendirmesi ve saldırgan profili çıkarımı

• Zafiyet analizi ve istismar: Manuel ve otomatik test bulgularının PoC ile doğrulanması

• Raporlama: TSE onaylı rapor formatı, CVSS skorlama ve yönetici özeti

Profesyonel bir TSE A Sınıfı sızma testi çalışması, bu aşamaların her birinin Test Lideri (PTL) sorumluluğunda denetlenebilir biçimde belgelenmesini gerektirir. TSE periyodik denetimlerde bu belgelemeleri inceler; uygunsuzluk halinde belge askıya alınabilir.

Belediyeler ve Kamu Kurumları için Tedarikçi Seçim Kriterleri

7545 sayılı Siber Güvenlik Kanunu sonrasında belediyeler ve kamu kurumları sızma testi tedarikçi seçim sürecinde daha sıkı kriterlere tabidir. Standart kontrol listesinden geçmeyen bir firma kamu ihalesinde teklif veremez ya da raporu denetimde kabul edilmez.

Kamu sektöründe aranan tedarikçi kriterleri:

• TSE A Sınıfı yetki belgesi (TS 13638/T2 kapsamında)

• ISO 27001 sertifikası ve aktif denetim durumu

• TC vatandaşı uzman kadrosu (yabancı uzman çalıştıran firmalar dışlanır)

• Veri gizliliği taahhüdü ve KVKK uyumlu sözleşme yapısı

• Önceki kamu projelerinde referans listesi

• CREST üyeliği (uluslararası kabul gören ek yetkilendirme)

KOBİ ve Yerel Kurumlar A Sınıfı Yetkili Firmaya Neden İhtiyaç Duyar?

A Sınıfı yetki belgesinin pratik faydası yalnızca büyük kurumlar için değildir. KOBİ ve yerel kurumlar da A Sınıfı yetkili firmayı tercih ederek somut yararlar elde eder.

Yerel kurumlar için A Sınıfı tercihinin faydaları:

• Sigorta poliçesi onayında risk skorunun düşmesi ve premium maliyetinin azalması

• Müşteri sözleşmelerinde aranan güvenlik denetimi şartının karşılanması

• Tedarik zinciri içindeki büyük kurumsal müşterilerin güvenlik gereksinimlerine uyum

• KVKK Kurumu denetiminde gönüllü uyum kanıtı sunulabilmesi

• Sektörde rekabet avantajı ve marka güvenilirliği

TSE Sınavları Kadro Şartları ve Belge Yenileme

A Sınıfı belgenin alınması ve sürdürülmesi düzenli bir kadro yatırımı gerektirir. Belge süresiz değildir; periyodik denetim ve yenileme süreçlerine tabidir.

Kadro ve belge sürdürme bileşenleri:

• TSE uzman sınavları yılda birkaç kez Ankara'da yapılır

• Başvuru ücreti yaklaşık 4.200 TL, sınav ücreti 22.000 TL düzeyindedir

• Kıdemli, Sertifikalı ve Kayıtlı uzmanlar farklı sınavlardan geçmiş olmalıdır

Bakan Gürlek’ten Madde Bağımlılığı Açıklaması

İçeriği Görüntüle

• Stajyer uzmanlar belirli sürede sertifikalı seviyeye yükselmek zorundadır

• Belge denetimleri yıllık yapılır ve uygunsuzluk halinde askıya alınır

TSE Onaylı Rapor Formatı ve Denetimde Kabul Edilirlik

TSE onaylı rapor formatı standart bir kurumsal pentest raporundan birkaç ek unsurla ayrışır. Bu unsurlar denetim süreçlerinde raporun otomatik kabul edilebilirliğini sağlar.

Unsur	Standart Rapor	TSE Onaylı Rapor
Test ekibi belgelendirmesi	Genel CV bilgisi	Sertifika numaraları ile
Metodoloji referansı	Genel açıklama	TS 13638/T2 madde atıfları
Bulgu doğrulama	PoC ekran görüntüsü	PoC, log ve zaman damgası
Yönetici özeti	Genel özet	TSE şablonuna uygun
Belge numarası	Yok	TSE-STF-XXX referans
Geçerlilik süresi	Belirtilmez	Açıkça yazılır

Bu fark BDDK, SPK ve KVKK denetimlerinde belirleyici olabilir.

Sıkça Sorulan Sorular

TSE A Sınıfı yetki belgesi nereden teyit edilir?

TSE'nin resmi web sitesinde Yetkili Sızma Testi Firmaları listesi yayımlanmaktadır. Bu listede her firmanın belge numarası, sınıfı (A, B veya C) ve geçerlilik süresi yer alır. Sözleşme öncesi bu listeye bakılması en sağlıklı doğrulama yöntemidir. Belge numarası genellikle TSE-STF formatında verilir.

Belge süresiz midir?

Hayır. TSE yetki belgesi yıllık denetimlere tabidir. Yıllık denetimde firmanın kadro şartları, ISO 27001 uyumu ve önceki yıl gerçekleştirdiği projelerin TSE şablonlarına uygunluğu denetlenir. Uygunsuzluk halinde belge geçici olarak askıya alınır veya iptal edilir.

A Sınıfı raporu hangi denetimlerde geçerlidir?

A Sınıfı rapor; BDDK, SPK, TCMB, KVKK Kurumu, ISO 27001 sertifikasyon kuruluşları, siber sigorta şirketleri ve kamu denetim mekanizmaları tarafından kabul edilir. CREST üyeliği eklendiğinde uluslararası karşılıkları olan denetimlerde de kabul gören kanıt niteliği taşır.

KOBİ için C Sınıfı yeterli midir?

Mevcut sektörel regülasyonun gerekliliği yoksa C Sınıfı yeterli olabilir. Ancak büyük kurumsal müşteriyle çalışan, tedarik zinciri içinde yer alan veya yurt dışı satış yapan KOBİ'ler genellikle B veya A Sınıfı raporu tercih eder.