İçeriğe Git İçeriğe Git Alt Bölüme Git

Web Servis Güvenliği

Bankamızın Web Servis-API hizmetlerinin kullanımında güvenlik için dikkat etmeniz gereken hususlar şöyledir:
  • Web servislere erişimin sadece yetkilendirilmiş kaynaklar tarafından yapılması sağlanmalıdır. Bu kapsamda gerekli bileşenler kullanılmalı (Switch, Router, Firewall, v.b.) ve gerekli güvenlik konfigürasyonları yapılmalıdır.
  • Web servis iletişimi güvenli iletişim protokolü olan TLS kullanılarak sağlanmalıdır. Web servis sağlayıcısı iletişimi zamanı dolmamış, iptal edilmemiş ve yürürlükten kaldırılmamış sunucu sertifikaları ile sağlamalıdır.
  • Web servislere erişim ve ilgili fonksiyonların kullanımı daha önceden tanımlanmış Doğrulama (Validation) ve Yetkilendirme (Authentication) mekanizması tarafından kontrol edilmeli ve yetkisiz erişimler engellenmelidir.
  • Web servise iletişim kapsamında çeşitli filtreler uygulanmalıdır. Bu filtreler aynı anda veya birbirinin yerine kullanılabilir. İki tip filtreleme kullanılabilir: Zaman Filtresi ve IP Filtresi.
    • Zaman filtresi, sunulan web servise ve/veya fonksiyonuna sadece o fonksiyon tarafından belirlenen zaman dilimlerinde erişimi sağlamalıdır.
    • IP filtresi, sunulan web servise sadece belirlenen IP adres bloklarından erişimi sağlamalıdır.
  • Web servisi kapsamında kullanılan mesajların belirlenen XML şemasına uygun olduğu denetlenmelidir. Schema validasyonundan geçemeyen istekler kabul edilmemelidir.
  • Web servislerinin yoğun kullanımı durumunda hizmetin erişilebilirliğinin sağlanması amacıyla gerekli alt yapı kurulu olmalıdır. Gelen isteklerin yükü dengelenmeli ve web servislerine erişim sürekli olarak sağlanmalıdır.
  • Web servisleri kapsamında giden ve gelen XML mesajların büyüklüğü için bir mesaj kapasitesi kullanılan web servis fonksiyonları bazında belirlenmelidir. Gelen web servis istekleri eğer mesaj kapasitesini aşıyorsa reddedilmeli, gönderilecek mesajlar kapasite aşımını önleyecek şekilde gönderilmelidir.
  • Web servisleri kapsamında giden, gelen mesajlar herhangi bir zararlı yazılım ve kötü niyetli kod parçacığına karşı taranmalı ve zararlı içerik taşıyan istekler reddedilmelidir.
  • Web servislerine yapılan her türlü erişim (erişim yapan IP, zaman, erişim yapılan fonksiyon, erişimi gerçekleştiren kullanıcı) gibi bilgilerle kayıt altına alınmalıdır.
  • Web servisleri sürekli kontrol edilerek değişen teknoloji ve ihtiyaçlara göre gerekli güvenlik güncellemeleri yapılmalıdır. Alınan kayıtlar incelenmeli ve varsa yetkisiz erişimler tespit edilerek güvenlik önlemleri arttırılmalıdır. Ayrıca her yeni eklenen web servis veya fonksiyonun gerekli yetkilendirmeleri ve her yeni eklenen kullanıcının tanımları kontrol edilmelidir. Benzer şekilde iptal edilen fonksiyonlar ve iptal edilen kullanıcılara göre güvenlik önlemleri güncellenmelidir.
  • Kullanıcı adı-şifreler yalnızca size özeldir, açık biçimde herhangi bir yere kaydedilmemeli ve destek kapsamında olsa dahi 3. Taraflarla paylaşılmamalıdır. Açığa çıkmış kullanıcı adı-şifre olduğu fark edilirse bankamız ile derhal iletişime geçilmelidir.