Merhaba,

Yazılım alanında faaliyet gösteren bir şirketimiz var. Birçok şirketin kullandığı web uygulamamızın güvenlik testlerinin yapılması için bir siber güvenlik şirketi ile anlaştık. Kendileriyle sözleşme imzalamadan önce bilgi almak ve vermek amacıyla telefon görüşmesi yaptık. Görüşmede sitemiz üzerindeki kullanıcıların kendi şirketinde görmeye yetkisi olmadığı içerikleri göremediğinden ve başka bir şirkete ait verileri göremediğinden emin olunması için test yaptırmak istediğimizi belirttim. Örnek vermek gerekirse siz bir çalışansanız ve sadece yöneticinizin erişim izni olan bir bilgi varsa buna erişememelisiniz.

Ardından bize her müşterilerine gönderdiklerini düşündüğüm standart bir hizmet ve gizlilik sözleşmesi gönderdiler. Ne yazık ki kendilerine güvenerek iş yaptığımız için telefonda belirttiğim konuları sözleşmeye eklemedik. Bu şirket genel bir güvenlik testi yaparak bulduğu açıklarla ilgili raporu hazırlayıp gönderdi. İşin sonuna doğru bu şirketin bizim yazılımımızda sadece bir kullanıcı hesabı oluşturarak test yaptıklarını gördük. Mantıken sadece 1 kullanıcı hesabıyla başka bir kullanıcıya ait verilere ulaşılıp ulaşılamadığını test etmek mümkün değildir.

İşe gereken özenin verilmediğini düşündüğümüz için ardından kendimiz kontrol ettik ve kullanıcıların izinli olmadıkları bazı bilgilere erişebilmesini sağlayan bir güvenlik açığı bulduk. Ancak firmanın gönderdiği raporda bununla ilgili hiçbir bulgu yer almamaktadır ve biz bunu 15 dk gibi kısa bir süre içinde bulduk. Oysa kendilerine göre 2 haftadır yazılımımızı test ediyorlar. Böyle bir şeyin en fazla 1 gün içinde rahatlıkla bulunabilmesi gerekirdi.

Kendilerini arayıp bunu ilettiğimizde bunun bir güvenlik açığı değil, yazılımsal hata olduğunu söyleyerek savuşturmaya çalıştılar. Oysa kullanıcıların izinli olmadıkları verilere erişebilmesini sağladığı için bu bir güvenlik açığıdır ve kendileriyle sözleşme imzalanmadan önce telefonda yaptığımız görüşmede bunları test ettirmek istediğimizi belirtmiştik. Gördüğümüz kadarıyla bizim telefonda belirttiğimiz noktalar test edilmemiş, bunun dışında genel bir test yapılmış. Bu testlerin de yapılarak eksiklerin giderilmesini istedim. Ancak kendileri sözleşmede belirtilen işleri yaptıklarını, raporu hazırladıkların, işin bittiğini ve başka yapacakları bir şey olmadığını söylediler. Fatura gönderdiler ve sözleşmeye göre 30 gün içinde ödenmesi gerekiyor.

Sözleşmenin ilgili maddesinde şu yazıyor: "Bilgi güvenliği denetimi projesi kapsamında hizmet veren şirket, hizmet alan şirketin izin verdiği 1 adet web sitesinin güvenlik açıklarını sözleşme süresi içerisinde, toplamda 1 kez tespit edip bunları çözüm önerileri ve risk analizleriyle birlikte hizmet alan şirkete sunacaktır. Raporun tamamlanarak gönderilmesi işin ifasının tamamlandığı anlamına gelir."

Biz hizmet veren şirketin bulmadığı 1 güvenlik açığını bulduk ve eğer kendileri telefonda belirttiğimiz noktaları test etmiş olsalardı bunu rahatlıkla en fazla 1 günde bulurlardı. Sözleşmenin yukarıda yazdığım maddesinde açıkları tespit edip sunacakları yazıyor. Bu şekilde kendilerinin tespit etmediği bir açık varken rapor tamamlanmış veya işin ifası yerine getirilmiş olur mu? Bu şirket telefonda konuştuğumuz şekilde işi yapmadığı için ödeme yapmayacağım. Haklı bir şekilde icraya başvurabilirler mi? İcra yoluna giderlerse bulamadıkları bu açığı gösterip itiraz edersem kabul edilir mi? Yoksa kendileri bir rapor hazırlayıp gönderdikleri için iş yerine getirilmiş mi sayılır?