Kuveyt Türk Web Servis-API hizmetlerinin kullanımında güvenlik için dikkat etmeniz gereken hususları hemen öğrenmeye ne dersiniz?
- Web servislere erişimin, yalnızca yetkilendirilmiş kaynaklar tarafından yapılması sağlanmalıdır. Bu kapsamda gerekli bileşenler (Switch, Router, Firewall vb.) kullanılarak güvenlik konfigürasyonu yapılmalıdır.
- Web servis iletişiminde, geçerli ve güncel sunucu sertifikaları ile TLS protokolü kullanılmalıdır.
- Web servislere erişim ve ilgili fonksiyonların kullanımı, önceden tanımlanmış doğrulama (validation) ve yetkilendirme (authentication) mekanizmaları tarafından kontrol edilmeli, yetkisiz erişimler engellenmelidir.
- İletişim kapsamında aynı anda veya birbirinin yerine kullanılabilen çeşitli filtreler (zaman ve IP filtreleri) uygulanmalıdır. Kullanılan iki tip filtreleme şunlardır:
- Zaman filtresi, web servisine ve/veya fonksiyonuna yalnızca o fonksiyon tarafından belirli zaman dilimlerinde erişimi mümkün kılmalıdır.
- IP filtresi, web servisine yalnızca belirli IP adres bloklarından erişime izin vermelidir.
- Web servisi dahilinde kullanılan mesajların belirlenen XML şemasına uygunluğu denetlenmelidir. Doğrulamadan geçemeyen istekler kabul edilmemelidir.
- Yoğun kullanım durumunda hizmete kesintisiz erişilebilmesi için gerekli altyapı kurulu olmalıdır. Bu kapsamda gelen isteklerin yükü dengelenmelidir.
- Giden ve gelen XML mesajların büyüklüğü için web servis fonksiyonları bazında kapasite belirlenmelidir. Gelen isteklerin kapasiteyi aşması durumunda reddi sağlanmalı, gidenler ise kapasite aşımını önleyecek şekilde yapılandırılmalıdır.
- Giden ve gelen mesajlar, herhangi bir zararlı yazılım/kötü niyetli kod parçacığına karşı taranmalı, zararlı içerik taşıyanlar reddedilmelidir.
- Web servislerine yönelik her türlü erişim bilgisi (IP, fonksiyon, kullanıcı vb.) kayıt altına alınmalıdır.
- Web servisleri sürekli kontrol edilmeli, değişen teknoloji ve ihtiyaçlara göre gerekli güncellemeler yapılmalıdır. Güncellemeler, varsa iptal edilen fonksiyonlar ve kullanıcılara yönelik önlemleri de kapsamalıdır. Kayıtlar incelenirken yetkisiz erişim tespit edilirse güvenlik önlemleri artırılmalıdır.
- Yeni eklenen her web servis ve fonksiyonun gerekli yetkilendirmeleri yapılmalı, kullanıcı güncellemelerinde tanımlar kontrol edilmelidir.
- Kullanıcı adınız ve şifreleriniz size özeldir. Söz konusu bilgilerinizi, açık biçimde herhangi bir yere kaydetmeyin ve destek amaçlı olsa bile 3. kişilerle paylaşmayın. Aksi halde derhal bankamız ile iletişime geçin.
Güvenli dış uygulamalar ile bankacılık işlemlerine birçok noktadan ulaşma kolaylığını Kuveyt Türk’te deneyimleyin!