Kaynak: BDDK, 2024 Resmî Gazete – “Bankaların Bilgi Sistemleri ve Elektronik Bankacılık Hizmetleri Hakkında Yönetmelik”
“Siber güvenlik artık sadece bir BT konusu değil, bir kurumsal sorumluluk.”
Bankacılık sektörü için siber güvenlik, yalnızca sistemlerin korunması değil,
müşteri güveninin, verinin ve itibarın da korunması anlamına geliyor.
BDDK’nın yayımladığı “Bankaların Bilgi Sistemleri ve Elektronik Bankacılık Hizmetleri Hakkında Yönetmelik”,
bu yaklaşımı kurumsal düzeye taşıyarak, Türkiye’nin bankacılıkta siber güvenlik standartlarını yeniden tanımlıyor.
Yeni Dönem: Güvenlik Denetimden Kültüre Dönüşüyor
Yönetmelikle birlikte artık bankalarda “güvenlik departmanı” değil,
güvenlik kültürü kavramı ön plana çıkıyor.
BDDK, sadece sistemlerin değil, insanların ve süreçlerin de güvenliğini ölçüyor.
“Siber güvenlik artık yalnızca bir görev değil, bir refleks olmalı.”
BDDK Yönetmeliği Ne Getiriyor?
Güvenli Yazılım Geliştirme (Madde 20)
Artık bankalar yazılım geliştirirken sadece işlevselliğe değil,
güvenliğe dayalı kodlama standartlarına da uymak zorunda.
Kodlama süreçlerinde güvenlik testleri, açık analizleri ve versiyon kontrol zorunlu hale geldi.
Eğitimle desteklenmesi gereken bu madde için:
Application Security for Developers
Certified Java and Web Application Security
Certified C# and Web Application Security
Değişiklik ve Sürüm Yönetimi (Madde 22)
Küçük kod değişikliklerinden büyük altyapı güncellemelerine kadar her değişiklik:
Kayıt altına alınmalı
Test edilmeli
Geri alınabilir (rollback) olmalı
Bu süreçte DevSecOps yaklaşımı kilit öneme sahip.
DevSecOps Eğitimi
Sürekli Güvenlik Testleri (Madde 23)
BDDK artık sızma testleri (penetration tests) ve zafiyet analizlerinin periyodik değil,
sürekli ve otomatik yapılmasını şart koşuyor.
Yani güvenlik, artık “proje sonu testi” değil, sürekli entegrasyonun bir parçası.
Bilgi Güvenliği Yönetimi (Madde 25)
Kurumsal düzeyde bilgi güvenliği politikaları oluşturulmalı,
her çalışanın farkındalığı ölçülmeli,
ve güvenlik yönetişimi (governance) aktif olarak izlenmeli.
Secure by Design Eğitimi
Programming Foundations
[Infografik: BDDK Yönetmeliği ve Siber Güvenlik Zinciri]
Planla: Güvenli yazılım mimarisi oluştur
Uygula: DevSecOps pipeline ile kod güvenliğini otomatikleştir
Test Et: SAST, DAST, PenTest döngüsünü sürekli hale getir
Eğit: Ekipleri farkındalık eğitimleriyle destekle
İzle: Sürekli güvenlik ölçümleri ve log yönetimi
Uzman Görüşü
“BDDK yönetmeliği, Türkiye’de güvenliği IT’den alıp yönetime taşıyan bir dönüm noktasıdır.
Artık bir kurumun güvenliği, sadece sistemlerle değil, çalışanların bilgi seviyesiyle de ölçülüyor.”
— Bilginc Cyber Academy Eğitmeni
Uygun Eğitim Haritası
| Eğitim | Kapsam | Düzey |
|---|---|---|
| Programming Foundations | Kodlama Temelleri | Başlangıç |
| Application Security for Developers | Güvenli Yazılım | Orta |
| DevSecOps Eğitimi | CI/CD Güvenliği | İleri |
| Secure by Design Eğitimi | Güvenli Mimari | İleri |
| Certified Java and Web Application Security | Java Güvenliği | İleri |
| Certified C# and Web Application Security | .NET Güvenliği | İleri |
Gerçek Hayattan Bir Senaryo
Bir banka, test ortamında kullanılan kimlik bilgilerini yanlışlıkla canlı ortama taşıdı.
BDDK denetiminde, “Madde 23 – Sürekli Güvenlik Testleri” eksikliği belgelendi.
Olay sonrası DevSecOps pipeline kurularak, tüm API ve container güvenliği otomatikleştirildi.
Sonuç: sıfır veri ihlali, tam uyum.
Sık Sorulan Sorular
Bu yönetmelik sadece bankalar için mi geçerli?
Hayır, bankaların iştirakleri, finansal kuruluşlar ve bazı fintech şirketleri de dahil.
BDDK uyum süreci zorunlu mu?
Evet. Yaptırımlar, denetim raporlarına göre uygulanıyor.
Eğitim almak neden önemli?
Yönetmeliğe göre, personelin güvenli yazılım geliştirme farkındalığı ölçülmek zorunda.
Nereden başlamalıyım?
DevSecOps ve Secure by Design eğitimleri en iyi başlangıçtır.
Denetime Değil, Dayanıklılığa Hazırlanın
BDDK’nın yeni siber güvenlik standartları, kurumları “uyum”dan “dayanıklılığa” taşıyor.
Yani artık mesele sadece regülasyon değil — güvenliğin kurumsal DNA’ya işlenmesi.
“Siber güvenlik bir proje değil, bir alışkanlıktır.”