Hacker Kiralarken Yasal Gereklilikler: Şirketler İçin Uyum Rehberi (2025)

CyberLord Legal Team

Hacker Kiralarken Yasal Gereklilikler: Şirketler İçin Uyum Rehberi (2025)

Bir CEO veya CTO olarak, şirketinizin güvenliği için "Ethical Hacking" (Sızma Testi) hizmeti almaya karar verdiniz. Bu harika bir karar.

Ancak, bir hacker'a şirket ağınıza saldırması için para ödemek, hukuki bir mayın tarlasında yürümek gibidir. Doğru belgeler imzalanmazsa, bu iyiniyetli test bir anda suça teşvik, veri ihlali veya krize dönüşebilir.

Türk Ceza Kanunu (TCK) ve Kişisel Verilerin Korunması Kanunu (KVKK) açısından kendinizi nasıl sağlama alırsınız?

Cyberlord Hukuk Ekibi olarak, kurumsal müşterilerimiz için hazırladığımız 5 adımlı yasal uyum (compliance) çerçevesini paylaşıyoruz.

1. Yetki Belgesi (Letter of Authorization)

Siber güvenlik hukukunun en temel kuralı şudur: İzinsiz sızma suçtur.

Bir testin yasal olabilmesi için, sistem sahibinin "saldırgana" açık ve yazılı bir izin vermesi gerekir. Bu belgeye uluslararası standartlarda "Get Out Of Jail Free Card" (Hapisten Çıkış Kartı) denir.

Belgede Neler Olmalı?

  • Net Kapsam: Hangi IP adresleri ve domainler test edilecek? (Örn: app.sirket.com test edilebilir ama mail.sirket.com yasak).
  • Zaman Aralığı: Test tam olarak ne zaman başlayıp ne zaman bitecek? (1-5 Şubat arası).
  • Beyan: "Bu IP adreslerinin yasal sahibi/yetkilisi benim ve bu testin yapılmasına rıza gösteriyorum."

Bu belge olmadan yapılan her işlem TCK 243 (Bilişim Sistemine Girme) suçunu oluşturur.

2. Gizlilik Sözleşmesi (NDA)

Penetrasyon testi yapan ekip, şirketinizin "yatak odasına" girer. En kritik açıklarınızı, müşteri veritabanınızı ve ticari sırlarınızı görebilirler.

Standart bir çalışan sözleşmesi yetmez. Çok sıkı bir Non-Disclosure Agreement (NDA) imzalanmalıdır.

Kritik Maddeler:

  • Veri İmhası: Test bittikten sonra hacker, bilgisayarındaki tüm verileri (ekran görüntüleri, veritabanı dökümleri) kalıcı olarak silmeli ve bunu taahhüt etmelidir.
  • Cezai Şart: Bilgi sızdırılması durumunda caydırıcı (örneğin 100.000$) bir tazminat maddesi eklenmelidir.
  • Şifreleme: Elde edilen verilerin sadece şifreli disklerde saklanması zorunluluğu.

3. KVKK ve Veri İşleme

Sızma testi sırasında hackerlar kişisel verilere (Müşteri TC Kimlik No, Telefon, Adres) erişebilir. Bu durum, hacker firmasını KVKK nezdinde Veri İşleyen (Data Processor) konumuna sokar.

Ne Yapmalısınız?

  1. Hacker firması ile Veri İşleme Sözleşmesi yapın.
  2. Testi mümkünse Canlı Ortam (Production) yerine, verilerin anonimleştirildiği Test Ortamında (Staging) yaptırın.
  3. Eğer canlı ortam test edilecekse, sözleşmeye şu maddeyi ekleyin: "Kişisel verilere erişim sağlandığı an, veri indirilmeyecek, sadece erişim kanıtlanıp raporlanacaktır."

Bunu yapmazsanız, kendi isteğinizle bir veri ihlali (Data Breach) yaratmış olursunuz ve KVKK Kurumu ceza kesebilir.

4. Üçüncü Taraf Barındırma (Hosting & Cloud)

Sistemleriniz muhtemelen ofisinizde değil, bir veri merkezinde (AWS, Azure, Google Cloud veya yerel bir Türk hosting firmasında) barınıyor.

Soru: Sunucu donanımı size ait değil. Test yapabilir misiniz?

Cevap:

  • Büyük Bulut Sağlayıcılar (AWS/Azure): Standart sızma testlerine genellikle izin verirler (ön bildirim şartı kalktı), ancak DDoS saldırılarını ve paylaşımlı altyapıyı etkileyecek testleri yasaklarlar.
  • Yerel Hosting: Çoğu hosting firması, haber verilmeden yapılan saldırı testlerini "gerçek saldırı" sanıp IP adresinizi bloklar.
    • Aksiyon: Hosting firmanıza önceden haber verin ve onların da onayını alın (veya sözleşmenizi kontrol edin).

5. Mesleki Sorumluluk Sigortası

En iyi hackerlar bile hata yapabilir. Bir test sırasında sunucu çökebilir, veri tabanı bozulabilir veya e-ticaret siteniz 2 saat kapalı kalabilir.

Bu zararı kim ödeyecek? Freelancer ("serbest çalışan") bir hacker ile çalışıyorsanız, muhtemelen "pardon" deyip kaybolacaktır. Mali gücü zararınızı karşılamaya yetmez.

Kurumsal Tercih: Mutlaka Mesleki Sorumluluk Sigortası (Professional Liability Insurance) olan firmalarla çalışın. Cyberlord gibi profesyonel firmalar, olası bir kaza durumunda zararın tazmin edileceğini garanti eden sigorta poliçelerine sahiptir.

Özet Kontrol Listesi (Checklist)

Hacker kiralamadan önce bu 5 kutuyu işaretleyin:

  1. Hizmet Sözleşmesi imzalandı mı?
  2. NDA (Gizlilik) imzalandı mı?
  3. Yetki Belgesi (LoA) imzalandı mı?
  4. KVKK uyumluluÄŸu kontrol edildi mi? (Veri iÅŸleme maddesi).
  5. Firmanın Sigortası var mı?

Sonuç

Siber güvenlik testi, teknik bir iş olduğu kadar hukuki bir süreçtir. Doğru kağıt işleri, sizi teknik arızalardan, veri cezalarından ve hapis riskinden korur.

Cyberlord olarak, tüm projelerimizde uluslararası standartlarda (PTES, ISO 27001) hazırlanmış hukuki belge setini standart olarak sunuyoruz. Bizimle çalıştığınızda sadece ağınız değil, hukukunuz da güvende olur.

Yasal ve Güvenli Sızma Testi Teklifi Alın

Genel Bakış

Bu konu için temel kararlar, riskler ve uygulama adımları.