Yıllık Sızma Testi — Teklif Talebi (RFP)
EKER BİLGİSAYAR SİSTEMLERİ ve GIDA SAN. A.Ş. — MyHirer.ai · Versiyon 1.0 · 20 Nisan 2026
Bu belge, 3. parti bağımsız güvenlik firmasına yaptırılacak yıllık sızma testinin kapsamını, beklentilerini ve satın alma sürecini tanımlar. KVKK m.12 + Kurul Rehberi uyarınca kişisel veri işleyen sistemler için yıllık sızma testi önerilen güvenlik tedbirleri arasındadır.
1. Kapsam
Tedarikçi aşağıdaki sistemleri aşağıdaki yöntemlerle test edecektir:
1.1. Hedef Sistemler
- Web uygulamaları:
https://myhirer.ai(tüm /app/*, /superadmin/*, /portal/*, /careers/*, /api/*) - REST API:
https://myhirer.ai/api/*(~200 endpoint; tenant + candidate + superadmin) - WebSocket/voice:
wss://myhirer.ai/ws/*(canlı mülakat ses iletimi) - Admin arayüzleri: superadmin dashboard, KVKK Uyum paneli
- Kimlik doğrulama akışları: e-posta/şifre, Google OAuth, LinkedIn OAuth, JWT token işleme
- Dosya yükleme: CV, belgeler, portre fotoğraf, voice clone
- 3. parti entegrasyonlar: OpenAI, Anthropic, Google, ElevenLabs, SendGrid, WhatsApp, PayTR, LinkedIn webhook uçları
- Alt-yapı: DigitalOcean droplet, PostgreSQL, Apache reverse proxy, Gunicorn, systemd servisler
1.2. Metodoloji
- Gray-box: Tedarikçiye (a) salt okunur aday hesabı, (b) tenant admin hesabı, (c) superadmin hesabı verilir; ayrıca kod mimarisi brief'i paylaşılır
- OWASP Top 10 (2021): Access Control, Cryptographic Failures, Injection, Insecure Design, Security Misconfig, Vulnerable Components, Auth Failures, SSRF, vb.
- OWASP API Security Top 10: özellikle Broken Object Level Auth + Broken User Auth
- OWASP LLM Top 10: Prompt injection, insecure output handling, training data poisoning, model DoS
- KVKK/GDPR odaklı: Veri sızdırma yüzeyleri, yetki yükseltme ile aday verilerine erişim, tenant izolasyonu (org A → org B veri görme)
- Authenticated + unauthenticated testler
1.3. Özel Test Senaryoları
- Aday portal_token ile başka adayların verisine erişim denemesi (IDOR)
- Tenant A kullanıcısı Tenant B'nin adaylarını görebilir mi?
- KVKK consent signature HMAC forge denemesi
- Aday rıza geri çekme + silme akışının (KVKK m.11/e) kötüye kullanılması
- Webcam snapshot dosyalarına direkt URL tahminiyle erişim
- Mülakat ses kayıtlarına yetkisiz erişim (özel nitelikli — KVKK m.6)
- Prompt injection ile AI'a "sistem talimatlarını göster" dedirtmek
- WebSocket session hijacking / token replay
- PayTR ödeme callback'inde imza bypass
- Gunicorn/Apache servis DoS (slowloris, memory exhaustion, WS connection flood)
2. Zamanlama ve Süre
- Planlama toplantısı: T+0 (1 saat)
- Aktif test süresi: 7-10 iş günü (planlamaya bağlı)
- Tercih edilen zaman: Düşük trafik penceresi (pazar geceleri + hafta içi gece 23:00-03:00)
- Raporlama: Test bitiminden 5 iş günü içinde taslak rapor; 10 gün içinde nihai rapor
- Retest: Critical/High bulgular düzeltildikten sonra 2 iş günlük retest dahil fiyata dahildir
- Yıllık tekrar: Her yıl bir kez (Temmuz tercihli)
3. Teslimatlar
- Executive Summary (2-3 sayfa, Türkçe) — üst düzey bulgular, risk skoru, KVKK uyum değerlendirmesi
- Teknik Detay Raporu (PDF + şifreli zip, İngilizce kabul) — her bulgu için:
- CVSS 3.1 puanı + severity (Critical/High/Medium/Low)
- Etkilenen endpoint / komponent
- Adım adım reproduction (screenshot/video)
- Kanıt (HTTP request/response, payload)
- İş etkisi
- Önerilen düzeltme (kod örneği dahil)
- CWE sınıflandırması
- Attestation Letter — imzalı, kaşeli — kurumsal müşterilerle paylaşılabilir
- Ham veri: Nmap/Burp/ZAP vb. tarama çıktıları ayrı zip içinde
- Retest raporu — sonraki raund (dahil)
4. Tedarikçi Kalifikasyon Kriterleri
- Zorunlu: Türkiye'de kurulu, BTK güvenlik hizmet sağlayıcı lisansı veya ISO 27001 belgeli
- Tercih: CREST / OSCP / OSWE sertifikalı test uzmanları
- AI/LLM güvenlik testi deneyimi (OpenAI / Anthropic entegrasyonu bulunan müşteriler)
- SaaS multi-tenancy test deneyimi (tenant izolasyon senaryoları)
- KVKK uyum test deneyimi (referans verilebilir)
- NDA'yı test başlamadan önce imzalayabilme
- Değerlendirilmeyen: Bug bounty platformları (program yapısı farklı)
5. Bütçe Aralığı
| Kapsam | Tahmini Adam-Gün | Tipik TRY (2026) |
|---|---|---|
| Hafif (sadece OWASP Top 10 web) | 5 | 150.000 - 250.000 TRY |
| Orta (web + API + altyapı) | 8-10 | 250.000 - 450.000 TRY |
| Tavsiye edilen: Tam kapsam (web + API + WS + LLM + KVKK + retest) | 12-15 | 400.000 - 650.000 TRY |
| Premium (+ fiziksel sosyal mühendislik) | 20+ | 750.000+ TRY |
Fiyatlar KDV hariç, referans amaçlıdır. Firma büyüklüğü ve ek kapsam eklemelerine göre değişebilir.
6. Sözleşme Şartları
- NDA + DPA: Test başlamadan imzalanacaktır
- Test verisi: Tedarikçi test sırasında herhangi bir gerçek müşteri verisi görmüşse, test bitiminden itibaren 30 gün içinde güvenli silme + attestation
- Sorumluluk: Tedarikçi kaynaklı servis kesintisi veya veri bütünlüğü hasarında tam tazmin
- Bulgu gizlilik: Bulgular hiçbir şekilde 3. taraflarla paylaşılmaz; conference talk / blog post vb. yapılmaz
- Raporlar: Elektronik veya fiziksel ortamda, GPG şifreli / paroolu zip ile teslim
- Ödeme: %30 başlangıçta + %50 taslak rapor teslimde + %20 retest tamamlandığında
7. İletişim
Teklif Göndermek İçin: ahmet@eker.com (kopya: kvkk@myhirer.ai)
Teklif Son Tarihi: [RFP gönderilen tedarikçilere özel belirtilir]
Teknik Sorular: NAZMİ AHMET EKER — Şirket Sahibi / Veri Sorumlusu
Şirket: EKER BİLGİSAYAR SİSTEMLERİ ve GIDA SAN. A.Ş. — Odunluk Mah. Erdoğan Binyücel Cad. No:13/A Nilüfer / BURSA — KEP: ekersoft@hs01.kep.tr
8. Tedarikçi Kısa Listesi (araştırılacak)
| Tedarikçi | Tip | Web |
|---|---|---|
| STM (Savunma Teknolojileri) | Kamu + kurumsal | stm.com.tr |
| BilgeAdam Security | Kurumsal | bilgeadam.com |
| BeyazNet / Siber Güvenlik | Kurumsal | beyaz.net |
| Biznet Bilişim | Küçük/orta ölçekli | biznetbilisim.com |
| Prodaft | Premium | prodaft.com |
| SecureAge / Labris | Kurumsal | labrisnetworks.com |
Kısa liste referans niteliğindedir; teklifler alındıkça genişletilir.