BDDK Dijital Güvenlik Beklentileri ve Finansal Kurumların Sorumlulukları
BDDK, finansal istikrarı korumak ve müşteri varlıklarını güvence altına almak için bankaların ve finansal kuruluşların dijital operasyonlarında proaktif ve katmanlı bir güvenlik yaklaşımı benimsemesini zorunlu kılmaktadır. Bu beklentiler, sadece reaktif önlemler almayı değil, saldırıları henüz gerçekleşmeden kaynağında durdurabilecek teknolojik yetkinliklere sahip olmayı da içerir.
Dijital Güvenlik Yetkinliği Nedir ve Neden Zorunludur?
Dijital güvenlik yetkinliği, bir kurumun siber tehditleri tanımlama, engelleme, tespit etme, müdahale etme ve iyileştirme kapasitesini ifade eder. BDDK için bu, kurumların en güncel saldırı vektörlerine karşı hazırlıklı olması, zafiyetlerini sürekli analiz etmesi ve müşteri verilerini en üst düzeyde koruması anlamına gelir. Bu zorunluluk, yalnızca yasal bir MASAK yükümlülüğü değil, aynı zamanda müşteri güvenini ve kurumsal itibarı korumanın temel taşıdır.
Mobil ve Web Kanallarını Hedef Alan Güncel Tehditler
Saldırganlar artık sadece sunucu altyapılarını değil, doğrudan son kullanıcıların cihazlarını hedef almaktadır. Mobil ve web kanallarında öne çıkan tehditler arasında SIM Swap dolandırıcılığı, hesap ele geçirme (ATO), sahte ve klonlanmış uygulamalar, API’lerin kötüye kullanılması, veri kazıma (scraping) ve kullanıcı bilgilerini çalmaya yönelik gelişmiş kötü amaçlı yazılımlar (malware) bulunmaktadır.
Uçtan Uca Güvenlik Mimarisi ve Katmanlı Savunma Yaklaşımı
Uçtan uca güvenlik, korumanın sadece ağ katmanında değil, son kullanıcı cihazından başlayarak uygulama, API ve sunucu katmanlarının tamamını kapsamasını gerektirir. Katmanlı savunma (defense-in-depth) ise tek bir güvenlik önlemine güvenmek yerine, birbiriyle entegre çalışan birden çok koruma kalkanı oluşturarak saldırganın hedefine ulaşmasını zorlaştırmayı hedefler. Bu yaklaşım, bir katman aşılsa bile diğerlerinin devreye girmesini sağlar.
Temel Uygulama ve Cihaz Güvenliği Yetkinlikleri (CORE SDK)
Güvenli bir dijital bankacılık deneyiminin ilk adımı, uygulamanın çalıştığı ortamın ve uygulamanın kendisinin bütünlüğünü garanti altına almaktır. CORE SDK, bu temel katmanı oluşturarak saldırganların en sık kullandığı zafiyetleri ortadan kaldırır ve saldırı yüzeyini önemli ölçüde daraltır.
Çalışma Zamanı Saldırı Yüzeyinin Daraltılması
Uygulamanın çalıştığı an (runtime), saldırganlar için en kritik müdahale penceresidir. Bu pencereyi güvenli hale getirmek, birçok saldırıyı daha başlamadan engeller.
Root ve Jailbreak Tespiti
Root (Android) veya Jailbreak (iOS) işlemleri, cihazın işletim sistemi üzerindeki yerleşik güvenlik katmanlarını devre dışı bırakır. Bu durum, uygulamanın tamamen savunmasız bir ortamda çalışmasına neden olur. CORE, bu tür ayrıcalıklı erişim girişimlerini anında tespit ederek, uygulamanın güvenli olmayan bir cihazda kritik işlemler yapmasını engeller ve bu durumu raporlar.
Emülatör ve Simülatör Tespiti
Saldırganlar, otomatize edilmiş dolandırıcılık senaryolarını test etmek ve uygulamak için genellikle gerçek fiziksel cihazlar yerine emülatör veya simülatörleri tercih eder. CORE, uygulamanın sanal bir ortamda çalıştırıldığını tespit ederek, özellikle bot çiftlikleri tarafından üretilen sahte trafiği filtreler.
Hata Ayıklayıcı (Debugger) ve Kanca (Hooking) Tespiti
Uygulamanın kod akışını izlemek, bellekteki verileri okumak veya iş mantığını değiştirmek için kullanılan hata ayıklayıcı (debugger) ve kanca (hooking) araçları, en tehlikeli tersine mühendislik yöntemlerindendir. CORE, Frida veya Xposed gibi dinamik analiz çerçevelerinin varlığını tespit ederek, runtime manipülasyonu girişimlerini bloke eder.
Uygulama Bütünlüğünün Korunması (Anti-Tampering)
Finansal uygulamanızın, yayınlandığı orijinal haliyle çalıştığından emin olmak, sahteciliğe karşı en temel savunma hattıdır.
Manipülasyon ve Yeniden Paketleme Tespiti
Saldırganlar, meşru bir uygulamayı indirip içine zararlı kod enjekte ettikten sonra yeniden imzalayarak dağıtabilir. CORE, uygulamanın dijital imzasını, paket adını ve diğer kritik bileşenlerini doğrulayarak bu tür manipülasyon (tampering) girişimlerini tespit eder ve uygulama bütünlüğünü korur.
Korsan Yazılım ve Klon Uygulama Tespiti
Uygulamanızın kopyalanarak, ödeme veya para transferi altyapısının saldırganın kendi hesabına yönlendirildiği klon versiyonları oluşturulabilir. BundleID ve TeamID gibi doğrulamalarla korsan yazılım girişimleri engellenir, bu sayede finansal kayıpların önüne geçilir.
Kod Karıştırma (Obfuscation) Kontrolü
Uygulama kodunun okunabilirliğini azaltan kod karıştırma (obfuscation) işlemi, tersine mühendisliğe karşı önemli bir önlemdir. CORE, bu işlemin çalışma zamanında atlatılmaya çalışılıp çalışılmadığını denetleyerek kodun gizliliğini korur.
Güvenli Cihaz Ortamının Doğrulanması
Uygulama kadar, üzerinde çalıştığı cihazın genel güvenlik yapılandırması da kritik öneme sahiptir.
Geliştirici Modu Denetimi
Cihazdaki “Geliştirici Seçenekleri” modunun aktif olması, sahte konum belirleme, USB hata ayıklama gibi ileri seviye manipülasyonlara kapı aralar. Bu modun açık olup olmadığını kontrol etmek, potansiyel bir risk göstergesini erkenden belirlemeyi sağlar.
Sistem VPN Tespiti
Kötü niyetli veya güvensiz VPN profilleri, uygulama ile sunucu arasındaki trafiği izlemek veya değiştirmek için kullanılabilir. Cihazda aktif bir sistem VPN’inin tespiti, ağ trafiğinin güvenliğini denetlemek adına önemli bir veridir.
Güvenli Olmayan Yükleme Kaynaklarının Analizi
Resmi uygulama mağazaları (Google Play, App Store) dışından yüklenen uygulamalar, güvenlik denetimlerinden geçmediği için yüksek risk taşır. CORE, uygulamanın resmi mağaza dışı yüklemeler gibi güvenli olmayan kaynaklardan yüklenip yüklenmediğini analiz eder.
Cihaz Kilidi ve Keystore Bütünlüğü Kontrolü
Cihazda bir ekran kilidinin (PIN, parmak izi vb.) aktif olması, fiziksel güvenliğin ilk adımıdır. Ayrıca, şifreleme anahtarlarının saklandığı Android Keystore veya iOS Keychain gibi donanım destekli güvenli alanların bütünlüğünün kontrol edilmesi, kritik verilerin güvenliğini garanti altına alır.
Kullanıcı Etkileşim Güvenliği
Saldırganlar, kullanıcıları kandırarak hassas bilgileri girmelerini veya istemedikleri işlemleri onaylamalarını sağlayabilir.
Ekran Kaplama (Overlay) Saldırılarına Karşı Koruma
“Cloak & Dagger” olarak da bilinen bu saldırı türünde, meşru uygulamanın üzerine şeffaf veya sahte bir ekran katmanı çizilir. Kullanıcı aslında görmediği bir butona tıklar veya sahte bir forma bilgilerini girer. CORE, bu tür ekran kaplama girişimlerini tespit ederek engeller.
Erişilebilirlik İzinlerinin Kötüye Kullanımını Engelleme
Normalde görme engelli kullanıcılara yardımcı olmak için tasarlanan erişilebilirlik servisleri, kötü niyetli yazılımlar tarafından ekranı okumak, tuş vuruşlarını kaydetmek veya kullanıcı adına işlem yapmak için istismar edilebilir. Erişilebilirlik hizmetlerinin kötüye kullanımı, özellikle finansal trojanlar tarafından sıkça başvurulan bir yöntemdir ve tespiti kritik öneme sahiptir.
Gelişmiş Tehdit Tespiti ve API Güvenliği (ZERO SDK)
Temel güvenlik katmanının üzerine inşa edilen ZERO SDK, kimlik doğrulama, API güvenliği ve oturum yönetimi gibi konularda BDDK’nın ileri seviye beklentilerini karşılar. Bu katman, saldırıları sadece tespit etmekle kalmaz, aynı zamanda donanım tabanlı kanıtlar üreterek dolandırıcılığı kaynağında imkansız hale getirir.
Donanım Tabanlı Kalıcı Cihaz Kimliği ve Mobil Parmak İzi
Geleneksel cihaz tanıma yöntemlerinin aksine ZERO, cihazın işlemci, sensör ve donanım karakteristiklerinden türetilen, uygulama silinse veya fabrika ayarlarına dönülse bile değişmeyen benzersiz bir mobil parmak izi oluşturur. Bu kalıcı kimlik, bir hesabın her zaman aynı fiziksel cihazdan kullanılmasını garanti altına alarak dolandırıcılıkla mücadelede güçlü bir temel oluşturur.
SIM Swap Dolandırıcılığına Karşı Cihaz Eşleştirme ile Koruma
SIM Swap saldırısında, dolandırıcılar kurbanın telefon numarasını kendi SIM kartlarına taşır ve SMS ile gönderilen tek kullanımlık şifreleri (OTP) ele geçirir. ZERO SDK’nın sunduğu cihaz eşleştirme (Device Binding) özelliği, kullanıcı oturumunu donanım tabanlı parmak izi ile fiziksel cihaza kriptografik olarak “mühürler”. Saldırgan SIM kartı ele geçirse bile, istek farklı bir cihazdan geldiği için oturum açma veya işlem onayı başarısız olur. Bu yöntem, OTP tabanlı güvenlik mekanizmalarının en büyük zafiyetini ortadan kaldırır.
API Uç Noktalarının Korunması
Mobil uygulamaların beyni olan API’ler, otomatize saldırıların ve veri sızıntılarının birincil hedefidir.
Kriptografik Uygulama Doğrulama
Her API isteği, ZERO SDK tarafından üretilen ve isteğin gerçekten sizin orijinal uygulamanızdan ve tahrif edilmemiş bir cihazdan geldiğini kanıtlayan, taklit edilemez bir dijital imza (kriptogram) ile mühürlenir. Bu sayede, API’lerinize sadece meşru istemcilerin erişmesi garanti altına alınır.
Otomatik Bot ve Script Saldırılarına Karşı Korunma
API’leri hedef alan botlar, sahte hesap açılışları, kimlik bilgisi doldurma (credential stuffing) veya hizmet dışı bırakma (DDoS) gibi saldırılar gerçekleştirebilir. ZERO, API çağrısının arkasında bir insan etkileşimi olup olmadığını doğrulayarak bu tür otomatik ve hacimsel saldırıları daha altyapınıza ulaşmadan engeller.
Oturum (Session) Çalma ve Hesap Ele Geçirme (ATO) Saldırılarına Karşı Önlemler
Cihaz eşleştirme yeteneği, oturum çalma (Session Hijacking) saldırılarına karşı en etkili yöntemdir. Bir kullanıcının oturum anahtarı (token) çalınsa bile, bu anahtar sadece orijinal olarak üretildiği cihazda geçerlidir. Saldırgan, bu anahtarı başka bir cihazda kullanmaya çalıştığında, donanım kimliği eşleşmediği için sistem tarafından anında reddedilir.
Dinamik Risk Skorlaması ile Gerçek Zamanlı Tehdit Analizi
ZERO, her bir API isteği için cihazın anlık güvenlik durumunu (root, emülatör, debugger varlığı vb.) analiz ederek dinamik bir risk skoru üretir. Bu skor, kurumların risk temelli yaklaşım benimsemesine olanak tanır. Örneğin, düşük riskli bir işlem (bakiye sorgulama) onaylanırken, yüksek riskli bir işlem (yüklü para transferi) ek bir doğrulama adımı gerektirebilir veya tamamen engellenebilir.
Veri ve İşlem Bütünlüğünün Sağlanması
Mobil uygulama ile sunucu arasındaki veri akışı, araya giren saldırganlar tarafından manipüle edilebilir. Örneğin, bir para transferi işlemindeki alıcı IBAN veya tutar değiştirilebilir. ZERO, işlem verilerini kriptografik olarak imzalayarak, verinin yolda değiştirilmediğini garanti eder ve bu tür parametre manipülasyonu saldırılarını imkansız kılar.
CORE Paket Doğrulaması ile Baypas Girişimlerinin Engelenmesi
ZERO, her API çağrısında, istemci tarafındaki koruma kalkanı olan CORE paketinin aktif ve manipüle edilmemiş olduğunu kriptografik olarak doğrular. Eğer bir saldırgan, root tespiti gibi temel kontrolleri atlatmak için CORE modülünü devre dışı bırakmaya çalışırsa, ZERO bu durumu bir anomali olarak algılar ve API isteğini bloke eder. Bu, katmanlı savunma mimarisinin kendi kendini nasıl koruduğunun en iyi örneğidir.
| Tehdit Türü | Geleneksel Yöntem | Device Trust (ZERO SDK) Yaklaşımı |
|---|---|---|
| SIM Swap / OTP Çalma | SMS ile ek doğrulama (Zafiyet devam eder) | Donanım Tabanlı Cihaz Eşleştirme: Oturum fiziksel cihaza mühürlenir, SIM ele geçirilse bile erişim engellenir. |
| Hesap Ele Geçirme (ATO) | Kullanıcı adı/şifre, IP bazlı kontroller | Kalıcı Cihaz Kimliği: Çalınan kimlik bilgileri farklı bir cihazda kullanılamaz. |
| API Bot Saldırıları | Rate Limiting, IP Engelleme, CAPTCHA | Kriptografik Kanıt: Her isteğin orijinal uygulamadan ve gerçek bir kullanıcıdan geldiği doğrulanır. Kullanıcı deneyimi etkilenmez. |
| Oturum Çalma (Session Hijacking) | Kısa süreli oturumlar, IP kontrolü | Cihaza Mühürlenmiş Oturum: Çalınan token/anahtar başka bir cihazda geçersizdir. |
Veri Gizliliği ve İletişim Kanalı Güvenliği (FORT SDK)
BDDK düzenlemeleri, müşteri verilerinin hem bekleme durumunda (data-at-rest) hem de aktarım sırasında (data-in-transit) en güçlü kriptografik yöntemlerle korunmasını şart koşar. FORT SDK, bu gereksinimleri karşılamak üzere tasarlanmış, veri ve ağ güvenliği odaklı bir koruma katmanıdır.
Ağ Trafiği Güvenliği ve “Ortadaki Adam” (MiTM) Saldırılarının Engellenmesi
Kullanıcının cihazı ile banka sunucuları arasındaki iletişimin gizliliği ve bütünlüğü, siber güvenliğin temelidir.
Dinamik Sertifika Sabitleme (Dynamic TLS/SSL Pinning)
Geleneksel SSL/TLS şifrelemesi, sahte veya ele geçirilmiş sertifika otoriteleri kullanılarak aşılabilir. Bu durum, saldırganların “Ortadaki Adam” (Man-in-the-Middle – MiTM) saldırılarıyla trafiği deşifre etmesine olanak tanır. FORT, uygulamanın yalnızca belirli ve güvenilir sunucu sertifikalarıyla iletişim kurmasını sağlayan dinamik sertifika sabitleme uygular. Bu sayede, Charles Proxy veya Burp Suite gibi analiz araçlarıyla trafiğin izlenmesi veya kötü niyetli Wi-Fi ağları üzerinden yapılan saldırılar engellenir.
Uygulama İçindeki Hassas Verilerin Korunması
Uygulama paketinin (APK/IPA) kendisi, saldırganlar tarafından analiz edildiğinde kritik bilgiler sızdırabilir.
API Anahtarları ve Sertifikalar için Güvenli Kasa (Secure Vault)
Uygulama koduna gömülen API anahtarları, şifreleme anahtarları veya diğer hassas veriler, statik analiz ile kolayca tespit edilebilir. Güvenli Kasa özelliği, bu tür kritik bilgileri cihaz üzerinde şifrelenmiş ve izole edilmiş bir alanda saklar. Ayrıca, bu kasadaki veriler uzaktan yönetilebilir; bu sayede bir anahtarın sızması durumunda uygulama güncellemesi gerektirmeden anahtar geçersiz kılınabilir.
Cihazda Depolanan Durağan Verilerin Şifrelenmesi (Data-at-Rest Encryption)
Uygulamanın cihazda sakladığı veritabanı dosyaları, önbellek verileri veya kullanıcı tercihleri gibi bilgiler, cihazın ele geçirilmesi durumunda risk oluşturur. FORT, cihazın dosya sisteminde depolanan tüm uygulama verilerini güçlü algoritmalarla şifreleyerek, fiziksel erişim veya kötü amaçlı yazılımlar tarafından okunmasını imkansız hale getirir.
Uçtan Uca Şifreleme ile Kişisel Verilerin (PII) Korunması
Kişisel Verilerin Korunması Kanunu (KVKK) ve BDDK yönetmelikleri, kişisel verilerin (PII) korunmasına özel bir önem atfeder. FORT, verileri daha cihazdan çıkmadan şifreleyerek, sunucuya ulaşana kadar tüm yolculuğu boyunca güvende kalmasını sağlar. Bu yöntem, SSL/TLS şifrelemesinin sonlandığı noktalardan (örn. Load Balancer) sonra bile verinin sunucu altyapısında şifreli kalmasını sağlayarak, iç tehditlere karşı da ek bir koruma katmanı sunar.
Dış Tehditlere ve Zararlı Yazılımlara Karşı Proaktif Savunma (MALWARE SDK)
Güvenlik sadece uygulamayı korumakla sınırlı değildir; uygulamanın çalıştığı cihazın genel sağlığını ve diğer uygulamalardan gelebilecek tehditleri de göz önünde bulundurmak gerekir. MALWARE SDK, cihazı bir bütün olarak tarayarak finansal uygulamanızı ve kullanıcılarınızı hedef alan dış kaynaklı tehditlere karşı proaktif bir savunma hattı oluşturur.
Cihaz Üzerinde Aktif Zararlı Yazılım (Malware) Taraması
MALWARE SDK, cihazda yüklü olan tüm uygulamaları tarayan ve bilinen kötü amaçlı yazılımları, truva atlarını (trojan) ve bankacılık dolandırıcılığı odaklı zararlıları tespit eden aktif bir antivirüs motoru gibi çalışır. Kara listeye alınmış veya şüpheli davranışlar sergileyen uygulamaları belirleyerek, finansal uygulamanızın riskli bir ortamda çalışmasını engeller.
Riskli İzin (SMS Okuma, Ekran Kaydı) Talep Eden Casus Yazılımların Tespiti
Bazı uygulamalar, meşru bir gerekçesi olmaksızın tehlikeli izinler talep eder. Örneğin, bir el feneri uygulamasının SMS’leri okuma izni istemesi şüphe çekicidir. MALWARE SDK, SMS okuyarak OTP şifrelerini çalmaya çalışan, ekran kaydı alarak şifreleri gözlemleyen veya erişilebilirlik servislerini kötüye kullanan casus yazılımları (spyware) tespit eder.
Sahte ve Güvenliği Zayıflatılmış Uygulamaların Tespiti
Saldırganlar, popüler finans uygulamalarının güvenlik kontrollerini devre dışı bıraktıkları veya işlevlerini taklit ettikleri sahte klonlarını oluşturabilir. MALWARE SDK, cihazdaki uygulamaların paket yapılarını ve dijital imzalarını analiz ederek, sizin uygulamanızı taklit eden veya güvenliği zayıflatılmış sahte versiyonları tespit eder. Bu, özellikle sahte uygulamalar aracılığıyla yapılan kimlik avı (phishing) saldırılarını önlemede etkilidir.
Resmi Olmayan Marketlerden Yüklenen Riskli Yazılımların Analizi
Güvenilmeyen kaynaklardan (üçüncü parti marketler, web siteleri) yüklenen uygulamalar, en yaygın zararlı yazılım bulaşma yöntemlerinden biridir. MALWARE SDK, uygulamaların yükleme kaynağını analiz ederek, resmi denetim mekanizmalarından geçmemiş ve potansiyel olarak tehlikeli olan yazılımları belirler ve risk seviyesini artırır.
Web Kanalı Güvenliği Yetkinlikleri (WEB Modülü)
Dijital bankacılığın ayrılmaz bir parçası olan web ve internet bankacılığı kanalları da mobil uygulamalarla benzer riskler taşır. Device Trust WEB modülü, bu kanalları bot, otomasyon ve veri kazıma gibi modern tehditlere karşı, kullanıcı deneyimini olumsuz etkileyen CAPTCHA gibi yöntemlere başvurmadan korur.
WebAssembly (Wasm) Tabanlı, Manipülasyona Dirençli Güvenlik Mimarisi
Geleneksel JavaScript tabanlı güvenlik ajanlarının aksine, WEB modülü, tarayıcı içinde çalışan ve kurcalamaya karşı son derece dirençli olan WebAssembly (Wasm) teknolojisini kullanır. Bu mimari, güvenlik kodunun saldırganlar tarafından analiz edilmesini ve tersine mühendislik ile çözülmesini neredeyse imkansız hale getirir, böylece koruma kalkanının atlatılmasını önler.
Gelişmiş Tarayıcı Parmak İzi ile Kalıcı Cihaz Tanıma
Mobil tarafta olduğu gibi, web kanalında da tarayıcı, işletim sistemi ve donanım özelliklerinden türetilen benzersiz ve kalıcı bir tarayıcı parmak izi oluşturulur. Bu sayede bir saldırgan IP adresini, çerezleri veya kullanıcı bilgilerini değiştirse bile, aynı cihazdan yapılan sahte hesap açma veya dolandırıcılık girişimleri tespit edilebilir.
Bot ve Otomasyon Saldırılarının Engellenmesi
Otomasyon araçları, siber suçluların en büyük silahıdır. WEB modülü, bu tehditlere karşı çok katmanlı bir savunma sunar.
“Scalping” Botları ve Kimlik Bilgisi Doldurma (Credential Stuffing) Koruması
Selenium ve Puppeteer gibi gelişmiş otomasyon altyapılarını, başsız (headless) tarayıcıları ve script tabanlı botları anında tespit eder. Bu yetenek, daha önce sızdırılmış kullanıcı adı/şifre listeleriyle yapılan kimlik bilgisi doldurma saldırılarını ve sistem kaynaklarını tüketen hacimsel saldırıları engeller.
| Özellik Grubu | Güvenlik Özelliği | CORE | ZERO | FORT | MALWARE | WEB |
|---|---|---|---|---|---|---|
| Çalışma Zamanı | Root / Jailbreak & Emülatör Tespiti | ✔ | ✔ | |||
| Hook (Frida/Xposed) & Debugger Tespiti | ✔ | ✔ | ✔ | |||
| Uygulama Bütünlüğü (Anti-Tampering) | ✔ | ✔ | ✔ | |||
| Cihaz & Oturum | Donanım Tabanlı Cihaz Parmak İzi | ✔ | ✔ | |||
| SIM Swap & Session Hijacking Koruması | ✔ | |||||
| Dinamik Risk Skoru | ✔ | ✔ | ||||
| Veri & Network | Dinamik SSL Pinning (Anti-MiTM) | ✔ | ||||
| Güvenli Kasa (Secure Vault) | ✔ | |||||
| Uçtan Uca Şifreleme | ✔ | |||||
| Dış Tehditler | Aktif Malware & Antivirüs Motoru | ✔ | ||||
| Riskli İzin (SMS/Screen Record) Analizi | ✔ | |||||
| Sahte/Korsan Uygulama Tespiti | ✔ | |||||
| Web Güvenliği | WebAssembly (Wasm) Tabanlı Ajan | ✔ | ||||
| Bot & Scraper Engelleme (Anti-Bot) | ✔ | |||||
| DevTools & Gizli Mod Tespiti | ✔ |
Tersine Mühendislik ve Veri Kazıma (Anti-Scraping) Girişimlerinin Durdurulması
Web uygulamalarının iş mantığı ve verileri de en az mobil uygulamalar kadar değerlidir ve korunmalıdır.
Geliştirici Araçları (DevTools) ve Hata Ayıklama Tespiti
Saldırganların web uygulamasının kaynak kodunu incelemesini, ağ isteklerini analiz etmesini ve güvenlik mantığını çözmesini sağlayan tarayıcı geliştirici araçlarının (DevTools) açılması anında tespit edilir. Bu, algoritmaların ve iş akışlarının gizliliğini korur.
Büyük Dil Modelleri (LLM) için Veri Kazıma Engeli
Web sitelerindeki veriler (ürün fiyatları, faiz oranları, kullanıcı içerikleri) genellikle izinsiz olarak veri kazıyıcılar (scrapers) tarafından toplanır. WEB modülü, bu tür otomatik veri toplama girişimlerini engelleyerek fikri mülkiyeti korur ve verilerinizin izinsiz kullanılmasının önüne geçer.
Gizli Mod (Incognito) Tespiti ile Risk Yönetimi
Gizli modda açılan oturumlar, genellikle kimliğini gizlemek isteyen kullanıcılar tarafından tercih edilir. Bu durum, dolandırıcılık senaryolarında bir risk göstergesi olabilir. WEB modülü, gizli mod kullanımını tespit ederek kurumların bu oturumlar için ek güvenlik önlemleri (daha sıkı doğrulama gibi) almasına olanak tanır.
Kriptografik Mühürleme ile Web API İşlem Bütünlüğü
Tıpkı mobil tarafta olduğu gibi, web kanalından gelen her API isteği de tarayıcı parmak izi ve tehdit verilerini içeren imzalı bir kriptogram ile mühürlenir. Bu, isteğin güvenli bir tarayıcıdan geldiğini kanıtlar ve oturumun çalınmasını veya işlem verilerinin yolda değiştirilmesini (tampering) engelleyerek web tabanlı finansal işlemlerin güvenliğini sağlar.
BDDK Uyumlu Dijital Güvenlik İçin Neden İHS Teknoloji ve Fraud.com Device Trust?
BDDK’nın dijital güvenlik beklentilerini karşılamak, tekil ürünler veya birbirinden kopuk güvenlik önlemleriyle mümkün değildir. Başarı, tüm dijital kanalları kapsayan, donanım seviyesinden API ucuna kadar her katmanda koruma sağlayan bütünleşik bir strateji gerektirir.
Tüm Dijital Kanalları Kapsayan Bütünleşik Güvenlik Platformu
Device Trust, mobil (iOS/Android) ve web kanallarını tek bir merkezi platform üzerinden korur. Bu sayede, farklı kanallar için ayrı güvenlik çözümleri yönetme karmaşıklığı ortadan kalkar ve tutarlı bir güvenlik politikası uygulanabilir.
Donanım Seviyesinde Koruma ile SIM Swap ve ATO’ya Karşı Kesin Çözüm
Uygulama silinse bile değişmeyen donanım tabanlı parmak izi ve cihaz eşleştirme teknolojisi, SIM Swap ve hesap ele geçirme gibi en sofistike saldırılara karşı sektördeki en etkili çözümü sunar. Bu teknoloji, güvenliği yazılım katmanının ötesine taşıyarak fiziksel cihaza bağlar.
Katmanlı ve Modüler Yapı ile Kuruma Özel Güvenlik Politikaları
Device Trust’ın CORE, ZERO, FORT, MALWARE ve WEB’den oluşan modüler yapısı, her kurumun kendi risk iştahına ve bütçesine uygun bir güvenlik mimarisi oluşturmasına olanak tanır. İhtiyaç duyulan modüllerle başlanıp, zamanla güvenlik katmanları artırılabilir.
Kullanıcı Deneyimini Etkilemeyen Arka Plan Koruması
Modern güvenlik çözümlerinin en büyük zorluğu, güvenliği artırırken kullanıcı deneyimini (UX) bozmamaktır. Device Trust, bot engellemeden sahtecilik tespitine kadar tüm kontrolleri arka planda, milisaniyeler içinde ve kullanıcıya ek bir adım (CAPTCHA gibi) çıkarmadan gerçekleştirir. Bu sayede hem güvenlik en üst seviyede tutulur hem de sürtünmesiz bir müşteri deneyimi sağlanır.
Yerel Mevzuata Hakimiyet ve İHS Teknoloji Uzmanlığı
İHS Teknoloji, Türkiye’deki finansal regülasyonlara ve BDDK’nın beklentilerine derinlemesine hakim bir iş ortağıdır. Fraud.com Device Trust çözümünü yerel pazarın ihtiyaçlarına göre sunarak, finansal kurumların hem global siber güvenlik standartlarına hem de yerel mevzuata tam uyumlu, sürdürülebilir bir güvenlik altyapısı kurmalarına destek olur.
