Bölüm 58 - Bankacılıkta API Güvenliği: BDDK Denetimi, OWASP Top 10 ve Kritik Riskler

Описание: Bu rapor, finansal hizmetler sektörünün dijital dönüşümünün temel yapı taşı olan Uygulama Programlama Arayüzlerinin (API) güvenliğini, BDDK mevzuatı ve uluslararası standartlar ışığında incelemektedir. Özellikle Açık Bankacılık (Open Banking) ve Servis Modeli Bankacılığı (BaaS) paradigmaları, API güvenliğini operasyonel risk yönetiminin merkezine taşımıştır.
Videoda İncelenen Temel Denetim ve Risk Alanları:
1. Mevzuat ve Yasal Uyum: BDDK’nın Bilgi Sistemleri Yönetmeliği (BSEBY), API güvenliği için yasal çerçeveyi oluşturur. API uç noktaları (endpoints), bankanın kritik bilgi varlıkları olarak kabul edilir ve envanteri çıkarılmalıdır.
2. API Gateway ve Denetim Katmanları: API Gateway, tüm API trafiğini karşılayan ve güvenlik politikalarını uygulayan merkezi bir bileşendir. Denetim, üç entegre katmanda ele alınmalıdır:
◦ Yönetim Katmanı: Envanterde olmayan ancak aktif çalışan "Gölge API" (Shadow API) veya "Zombi API" varlığı en büyük risktir.
◦ Kimlik Katmanı: BDDK mevzuatı gereği Güçlü Kimlik Doğrulama (SCA) prensibinin zorunlu olduğu bu katmanda, geleneksel Basic Auth yönteminin yasaklandığı teyit edilmelidir.
3. OWASP API Security Top 10 (2023): Denetçilerin, uygulama kodundaki iş mantığı zafiyetlerini (Business Logic) bu güncel listeye göre sorgulaması gerekir.
◦ API1:2023 - BOLA (Broken Object Level Authorization): API güvenliğindeki en yaygın ve kritik zafiyettir. Saldırganın kendisine ait olmayan hesap hareketlerini görmesi gibi kritik durumlara yol açar. Bu zafiyet tespit edilirse, sistemin "403 Forbidden" hatası dönmesi beklenir.
◦ API4:2023 - Sınırsız Kaynak Tüketimi: Özellikle raporlama, dosya yükleme gibi kaynak yoğun işlemlerin yapıldığı uç noktalarda hız sınırlama (Rate Limiting), kotalar ve zaman aşımı (Timeout) kontrolleri tanımlı olmalıdır.
4. Loglama ve Hassas Veri Yönetimi: BSEBY Madde 31 gereğince tüm işlemlerin loglanması zorunludur. Ancak, müşteri şifreleri, kart numaraları (PAN) ve token bilgileri gibi hassas veriler loglara yazılmadan önce kesinlikle maskelenmelidir.

--------------------------------------------------------------------------------

#APIGüvenliği #APIGateway #BDDK #OWASPTop10 #AçıkBankacılık #BOLA #GüçlüKimlikDoğrulama