Sızma Testi Fiyatı: Nelere Göre Değişir? (2026 Rehberi)
"Sızma testi ne kadar?" sorusuna tek bir fiyatla yanıt veren firma varsa, o firmadan uzak durun. Çünkü sızma testi fiyatı test edilecek sistemlerin sayısına, karmaşıklığına, metodolojisine ve ekibin gerçek yetkinliğine göre şekillenir. Bu rehberde fiyatı etkileyen her faktörü açık açık anlatıyoruz.
İçindekiler
- Neden tek bir fiyat yok?
- Test türü fiyatı nasıl etkiler?
- Kapsam: Fiyatın en belirleyici faktörü
- Test metodolojisi: Siyah, gri, beyaz kutu
- Uzaktan mı, yerinde mi?
- Test zamanlaması: Mesai dışı ve hafta sonu
- Rapor formatı ve dil seçeneği
- Ekip yetkinliği: Fiyatı değil, kaliteyi belirler
- Ucuz teklifin illeti
- Kapsam formu neden kritik?
- Doğru teklif için ne yapmalısınız?
Neden Tek Bir Fiyat Yok?
Sızma testi, bir yazılım lisansı gibi "raftan alınan" bir ürün değildir. Her kurum farklı bir altyapıya, farklı bir risk profiline ve farklı bir teste ihtiyaç duyar. 5 IP adresi olan bir şirkete verilen fiyat ile 200 sunucusu, 3 web uygulaması ve 2 farklı lokasyonu olan bir şirkete verilen fiyat doğası gereği aynı olamaz.
Buna rağmen piyasada "web testi X TL" gibi sabit fiyat listesi yayınlayan firmalar göreceksiniz. Bu fiyatların neyi kapsadığını, neyi dışarıda bıraktığını ve hangi ekibin yapacağını sormadan imzaladığınız sözleşme sizi hayal kırıklığına uğratacaktır.
Fiyatı gerçek anlamda etkileyen faktörleri aşağıda teker teker ele alıyoruz. Kapsamınızı netleştirip hemen teklif almak istiyorsanız bize ulaşabilirsiniz.
Test Türü Fiyatı Nasıl Etkiler?
İlk ve en temel soru şudur: Ne test edilecek? Kapsam formumuzda birbirinden farklı 11 test kategorisi yer alır. Her birinin iş yükü, gerektirdiği uzmanlık ve süresi birbirinden farklıdır.
Dış Ağ Sızma Testi
İnternete açık sistemlerin dışarıdan test edilmesidir. Test edilecek IP adresi ve sunucu sayısı fiyatı doğrudan belirler.
Web Uygulama Testi
Uygulama sayısı, karmaşıklık ve test hesabı verilip verilmediği süreyi — dolayısıyla fiyatı — etkiler.
Yerel Ağ (İç Ağ) Testi
Sunucu, istemci, Active Directory forest ve lokasyon sayısı kapsamı belirler. En değişken fiyatlı test türüdür.
Mobil Uygulama Testi
iOS ve Android ayrı ayrı değerlendirilir. Her platform için test hesabı verilmesi test derinliğini artırır.
Sosyal Mühendislik (Phishing)
Her senaryo ayrı ayrı ücretlendirilir. Gönderilecek e-posta sayısı ve senaryo karmaşıklığı fiyatı belirler.
EKS/SCADA, Kablosuz, VoIP, DoS
SSID sayısı, IP adresleri ve özel zamanlama talepleri fiyatı şekillendirir. EKS testleri uzmanlık gerektirdiği için ayrıca değerlendirilir.
Birden fazla test türü istiyorsanız
Birden fazla test türü talep edildiğinde kapsam birleşik olarak değerlendirilir. "Hem web hem iç ağ istiyorum" dediğinizde iki ayrı fiyatın toplamı değil, birleşik kapsamın getirdiği verimlilik gözetilerek fiyat belirlenir. Kapsamınızı birlikte netleştirelim.
Kapsam: Fiyatın En Belirleyici Faktörü
Test türünü belirledikten sonra ikinci ve en kritik adım kapsamı netleştirmektir. Kapsam ne kadar geniş ve karmaşıksa test süresi — ve dolayısıyla fiyat — o kadar artar. Kapsamı doğrudan etkileyen başlıca unsurlar şunlardır:
- IP adresi ve sunucu sayısı: Dış ağ testinde kaç IP test edilecek? İç ağda kaç fiziksel, kaç sanal sunucu var? Her biri iş yükünü artırır.
- Web uygulama sayısı ve karmaşıklığı: Tek sayfalık bir landing page ile yüzlerce fonksiyonu olan bir ERP sistemi aynı süreyi almaz. Sayfa ve fonksiyon sayısı test derinliğini belirler.
- Test hesabı verilip verilmediği: Kullanıcılı testlerde (authenticated) oturum açılarak uygulama içi yetkiler ve veri erişimleri de test edilir; bu testin hem kapsamını hem süresini artırır. Kullanıcısız (unauthenticated) testler daha kısadır.
- Active Directory forest sayısı: İç ağ testlerinde kaç AD yapısı bulunduğu, domain escalation ve lateral movement testlerinin derinliğini belirler.
- İstemci bilgisayar sayısı: Test kapsamına dahil edilecek istemciler kapsam büyüklüğünü artırır.
- Kablosuz ağ (SSID) sayısı: Test edilecek her kablosuz ağ ayrı bir analiz gerektirir.
- Lokasyon sayısı: Birden fazla şubesi veya tesisi olan kurumlar için her lokasyon ayrı bir kapsam kalemi oluşturur.
- Zararlı yazılım yükleme izni: Açık bulunduğu takdirde zararlı yazılım yüklenebilir mi? Bu izin testin derinliğini artırır.
- Sosyal mühendislik senaryo sayısı: Her senaryo ayrı tasarım ve yürütme gerektirir, ayrıca fiyatlandırılır.
Kaç IP'niz var, kaç uygulamanız test edilecek?
Kapsam formunu doldurun, size özel fiyat verelim.
Test Metodolojisi: Siyah, Gri, Beyaz Kutu
Metodoloji seçimi fiyatı doğrudan etkileyen bir diğer kritik faktördür. Üç temel yaklaşım vardır:
| Metodoloji | Ne anlama gelir? | Süreye etkisi |
|---|---|---|
| Siyah Kutu | Test eden taraf sisteme dair hiçbir bilgiye sahip değildir. Gerçek saldırgan perspektifi. | Keşif aşaması uzundur. Genellikle en uzun süren metodoloji. |
| Gri Kutu | Kısmi bilgi ile hem içeriden hem dışarıdan bakış açısı. En yaygın ve dengeli tercih. | Denge noktası. Çoğu kurum için önerilen yaklaşım. |
| Beyaz Kutu | Tüm sistem bilgileri, kaynak kodu ve yapılandırmalar paylaşılır. En detaylı analiz. | Keşife zaman harcanmaz ama analiz derinliği artar. |
ISO 27001 veya EPDK gibi regülasyon kapsamındaki testlerde beklenen metodoloji çoğunlukla belirlidir. Hangi metodolojinin sizin için doğru olduğundan emin değilseniz bir ön görüşmeyle birlikte karar verebiliriz.
Uzaktan mı, Yerinde mi? Lokasyon Farkı
Fiyat açısından en sık gözden kaçırılan ama en net maliyete yol açan faktördür.
Standart uygulamamız şudur: İnternete açık sistemlere yönelik dış ağ testleri ve yerel ağ testleri standart olarak uzaktan gerçekleştirilir. Modern altyapılar uzaktan erişime uygundur ve doğru yapılandırılmış bir bağlantı üzerinden birebir aynı test kalitesi elde edilebilir.
Yerel ağ testinin kuruluş lokasyonunda yapılması talep edilirse ulaşım, konaklama ve saha giderleri ek maliyet oluşturur.
Uzaktan test neden yeterlidir?
Bazı kurumlar "Lokasyonumuza gelin" talebinde bulunur. Bu çoğu zaman gereksiz bir maliyettir. Uzaktan yapılan iç ağ testleri VPN, jump server veya agent tabanlı bağlantılarla fiziksel erişimle birebir aynı test yüzeyini kapsar. Testlerin uzak bağlantı ile gerçekleştirilmesi hem bütçenizi korur hem de test hızını artırır. Eğer spesifik bir sebeple yerinde test gerekiyorsa bunu da rahatlıkla gerçekleştirebiliriz.
Test Zamanlaması: Mesai Dışı ve Hafta Sonu
DDoS testleri dışında mesai saatleri harici yapılması istenen testler ek maliyete neden olur. Mesai dışı çalışma uzman ekip için ek efor anlamına gelir; hafta sonu testleri koordinasyon ve hazırlık gerektirir.
Peki gerçekten gerekli midir? Canlı sistemlere dokunulması planlanan kritik testlerde ya da üretim ortamının riske girmesinden çekinilen durumlarda mantıklıdır. Ama büyük çoğunlukta mesai saatlerinde yapılan test hem daha verimli hem de daha ekonomiktir.
Rapor Formatı ve Dil Seçeneği
Standart sızma testi raporumuz TSE standartlarına uygun Türkçe olarak hazırlanır. Ancak bazı kurumlar ek rapor formatları talep eder ve bunlar ek maliyete neden olur:
- İngilizce rapor: Uluslararası ortaklıkları olan veya yabancı müşterilere hesap veren firmalar için talep edilir.
- PCI-DSS formatında rapor: Kartlı ödeme sistemleriyle çalışan kuruluşlar için gereklidir.
- BDDK formatında rapor: Bankacılık ve finans sektöründe faaliyet gösteren, BDDK mevzuatına tabi kuruluşlar için gereklidir.
- SPK formatında rapor: Sermaye piyasalarında faaliyet gösteren ve SPK düzenlemelerine tabi kuruluşlar için gereklidir.
Hangi formatın sizin için zorunlu olduğunu teklif aşamasında netleştiriyoruz. Emin değilseniz bir görüşme talep edin, birlikte belirleyelim.
Ekip Yetkinliği: Fiyatı Değil, Kaliteyi Belirler
Şimdiye kadar anlattığımız her faktör fiyatı yukarı ya da aşağı çeker. Ama şunu net söylemek gerekir: fiyatı en az etkileyen, kaliteyi en çok etkileyen faktör ekibin gerçek yetkinliğidir.
OSCP, GPEN, CEH, eCPPT gibi sertifikalara sahip, gerçek saldırı deneyimi olan bir uzmanın aynı kapsamda daha derin, daha değerli bulgular çıkaracağı tartışmasızdır. Bu uzmanlık fiyata yansır — ama o fiyat "test yapıldı" belgesinin değil, gerçekten işe yarayan bir güvenlik doğrulamasının bedelidir.
Sparta Siber Güvenlik olarak ekibimizin sertifikaları ve yetkinlikleri hakkında şeffafız. Teklif aşamasında kimin test yapacağını, hangi sertifikasyonlara sahip olduğunu açıkça paylaşıyoruz. Ekibimiz hakkında daha fazla bilgi alın.
Testi kimin yapacağını merak mı ediyorsunuz?
Ekibimizle tanışın, sertifikalarımızı sorun, sonra karar verin.
Ucuz Teklifin İlleti: Nelere Dikkat Etmeli?
Piyasada inanılmaz derecede düşük fiyatlı sızma testi teklifleriyle karşılaşacaksınız. Bu tekliflerin arkasında genellikle şu gerçekler yatar:
Tek kişilik "dev kadro"
Bazı firmalar büyük ekip gösterip işi tek bir kişiye yaptırır. Sızma testi sertifikalı, deneyimli ve birbirini denetleyen bir ekip gerektirir. "Bu testi kim yapacak, hangi sertifikasyonları var?" sorusunu sormaktan çekinmeyin. Cevap muğlaksa o teklifi eleyin.
Freelance ve kim olduğu bilinmeyenler
Sistemlerinizin güvenliğini kim olduğunu bilmediğiniz birine teslim etmek hem hukuki hem operasyonel risk taşır. Test sırasında elde edilen erişim bilgileri, sistem yapısı ve bulgular son derece hassas verilerdir. Bu verilerin kimin elinde olduğu, nasıl saklandığı ve ne kadar süreyle tutulduğu kritik önem taşır.
Alt yüklenici zinciri
"Ben yaptırıyorum" diyip işi kim olduğu bilinmeyen başka bir firmaya devreden yapılar var. Sözleşme imzaladığınız firma ile testi yapan ekip arasında şeffaflık yoktur. Testi kimin yaptığını, hangi sertifikasyona sahip olduğunu ve verilerinizin nerede işlendiğini bilemezsiniz. TSE A Sınıfı yetkinliği olan firmalar bu zinciri kırar; testi kendi bünyesindeki ekip gerçekleştirir.
Sadece araç çıktısından oluşan "rapor"
Düşük fiyatlı tekliflerin büyük çoğunluğunda "test" aslında Nessus, OpenVAS veya Qualys gibi otomatik araçların çalıştırılmasından ibarettir. Araç çıktısı PDF'e dönüştürülüp "rapor" olarak sunulur. Manuel analiz, iş mantığı testleri, zincir saldırı senaryoları yoktur. Bu bir sızma testi değil, zafiyet taramasıdır — ve çoğu denetçi bu farkı bilir.
Doğru soruyu sorun
Teklif alırken "bu fiyata ne dahil?" değil şunu sorun: "Bu testi kim yapacak, hangi sertifikasyonları var, raporda manuel analiz bulgularını görebilecek miyim ve ISO 27001 veya TSE denetiminde bu rapor kabul görür mü?" Cevap tatmin edici değilse o teklifi eleyin.
Kapsam Formu Neden Kritik?
Gerçekçi bir teklif almanın tek yolu doğru doldurulmuş bir kapsam formudur. Kapsam netleşmeden verilen fiyat ya kasıtlı olarak düşük tutulmuştur ya da test ilerledikçe "bu kapsam dışındaydı" açıklamalarıyla ek maliyet kalemleriyle karşılaşırsınız.
Kapsam formumuz şu bilgileri toplar:
- Talep edilen test türleri (dış ağ, web, mobil, yerel ağ, sosyal mühendislik, kablosuz, EKS/SCADA vb.)
- Test metodolojisi tercihi (siyah / gri / beyaz kutu)
- IP adresi, sunucu, istemci, web uygulama ve SSID sayıları
- Test hesabı verilip verilmeyeceği (kullanıcılı / kullanıcısız)
- Lokasyon sayısı ve şehir bilgileri
- Yerinde mi uzaktan mı yapılacağı
- Mesai dışı ya da hafta sonu test talebi
- Rapor dili ve format tercihleri (PCI-DSS, BDDK, SPK, İngilizce)
- Zararlı yazılım yükleme izni
- Sosyal mühendislik senaryo ve e-posta sayısı
Bu bilgilerin eksik ya da yanlış girilmesi hem teklif sürecini uzatır hem de test sırasında kapsam anlaşmazlıklarına neden olur. Formu ne kadar eksiksiz doldurursanız size o kadar isabetli bir teklif sunabiliriz.
Kapsam formunu doldurmakta zorlanıyor musunuz?
IP sayısını ya da sunucu envanterini bilmiyorsanız bize ulaşın. Bir ön görüşmeyle birlikte netleştirelim.
Doğru Teklif İçin Ne Yapmalısınız?
Sızma testi fiyatını belirleyen tüm faktörleri artık biliyorsunuz. Şimdi sıra doğru adımları atmakta:
- 1. Hangi sistemlerin test edileceğine karar verin. Web uygulamaları mı, iç ağ mı, ikisi birden mi? Hangi lokasyonlar kapsama girecek?
- 2. Kapsam formunu doldurun. IP sayısı, sunucu sayısı, uygulama adedi ve metodoloji tercihini belirtin. Bilmiyorsanız boş bırakın, birlikte tamamlayalım.
- 3. Bize gönderin. Formu aldıktan sonra en kısa sürede inceliyoruz. Eksik bilgi varsa sizi arıyoruz.
- 4. Teklifi alın ve soruları sorun. Testi kimin yapacağını, hangi sertifikasyonlara sahip olduğunu ve raporun nasıl görüneceğini sormaktan çekinmeyin. Biz cevaplarız.
Kapsam formunu doldurun, teklifinizi hemen iletelim
Sisteminizin büyüklüğünden bağımsız olarak doğru kapsamı birlikte belirleyip size özel bir teklif sunabiliriz.
Teklif Alın Hizmetleri İnceleSıkça Sorulan Sorular
Sızma testi fiyatı nasıl belirlenir?
Test türü, kapsam (IP sayısı, sunucu sayısı, uygulama sayısı), metodoloji (siyah/gri/beyaz kutu), lokasyon (uzaktan/yerinde), zamanlama (mesai içi/dışı) ve rapor formatı birlikte değerlendirilerek fiyat belirlenir. Kapsam netleşmeden verilen fiyat güvenilir değildir.
Kullanıcılı test ile kullanıcısız test arasındaki fark nedir?
Kullanıcısız (unauthenticated) testte sisteme dışarıdan, oturum açmadan yaklaşılır. Kullanıcılı (authenticated) testte test hesabıyla oturum açılarak uygulama içi yetkiler, veri erişimleri ve iş mantığı da test edilir. Kullanıcılı test daha kapsamlı ve genellikle daha uzundur — dolayısıyla fiyatı da daha yüksektir.
Yerinde test uzaktan testten neden daha pahalıdır?
Uzaktan yapılan testler modern altyapılarla birebir aynı kaliteyi sunar. Yerinde test talep edildiğinde ulaşım, konaklama (şehir dışı lokasyonlarda) ve saha giderleri ek maliyet oluşturur. Çoğu durumda yerinde test gereksiz bir maliyettir.
Çok düşük fiyatlı tekliflere neden dikkat etmeli?
Düşük fiyatlı tekliflerin arkasında çoğunlukla şunlar vardır: sadece otomatik araç çalıştırma (gerçek sızma testi değil), sertifikasız veya tek kişilik ekip, alt yüklenici zinciri. Bu durumlarda aldığınız rapor ISO 27001 veya diğer denetimlerde kabul görmeyebilir ve gerçek güvenlik açıklarını göstermeyebilir.
Kapsam formunu doldurmak zorunda mıyım?
Gerçekçi bir teklif için evet. Kapsam netleşmeden verilen fiyat ya düşük tutulmuştur ya da test sürecinde ek kalemlerle karşılaşırsınız. Formu doldurmakta zorlanıyorsanız bize ulaşın; bir ön görüşmeyle bilgileri birlikte netleştirelim.
Sızma testi raporu hangi standartlara uygun hazırlanır?
Raporlarımız TSE standartlarına uygun hazırlanır. Talep edilmesi halinde BDDK, PCI-DSS ve SPK formatlarında da raporlama yapılabilir. İngilizce rapor da ek ücretle sunulmaktadır.