Anasayfa
Kurumsal
TUGAY Kimdir? Sertifikalar Partnerler İnsan Kaynakları
Servisler
Sızma Testi Kaynak Kod Analizi Eğitimler Referanslar İletişim
Talep Oluştur
Ana Sayfa /Bilgi Bankası /ISO 13485 / IEC 62304
Tıbbi Cihaz

ISO 13485 ve IEC 62304 Odağında Güvenli Yazılım ve Siber Güvenlik

Tıbbi cihaz yazılımı geliştirme yaşam döngüsünde güvenlik kontrollerinin sistematik biçimde entegrasyonu.

Standartların Siber Güvenlikle Kesişimi

ISO 13485, tıbbi cihaz üreticileri için kalite yönetim sistemi (KYS) gerekliliklerini tanımlayan uluslararası standarttır. IEC 62304 ise tıbbi cihaz yazılımı geliştirme yaşam döngüsünü düzenleyen ve yazılım sınıflandırmasına (A, B, C) göre farklı güvenlik gerekliliklerini öngören teknik standarttır.

Her iki standart da başlangıçta siber güvenliği açıkça ele almamış olsa da sonraki güncellemeler ve düzenleyici baskılar bu eksikliği gidermiş; MDCG kılavuzları, IEC 81001-5-1 standardı ve FDA kılavuzları tıbbi yazılım güvenliğini geliştirme sürecinin ayrılmaz bir parçası haline getirmiştir.

IEC 81001-5-1

2021'de yayımlanan IEC 81001-5-1 standardı, sağlık yazılımları için güvenlik faaliyetlerini IEC 62304 yaşam döngüsüne entegre eden kapsamlı bir çerçeve sunmaktadır. Bu standart artık MDR uyumu için fiilen referans kabul edilmektedir.

Yazılım Sınıflandırması ve Güvenlik Gereklilikleri

IEC 62304, tıbbi yazılımları olası zarar seviyesine göre üç sınıfa ayırmaktadır. Güvenlik testi gereklilikleri de bu sınıflandırmaya göre farklılaşmaktadır:

  • Sınıf A: Hasta güvenliğini doğrudan etkilemeyen yazılımlar — temel güvenlik gözden geçirmesi
  • Sınıf B: Hasara yol açabilecek yazılımlar — kapsamlı kaynak kod analizi ve güvenlik testleri
  • Sınıf C: Ölüm veya ciddi yaralanmaya yol açabilecek yazılımlar — tam kapsamlı sızma testi ve resmi doğrulama

Güvenli Yazılım Geliştirme Döngüsüne Entegrasyon

TUGAY, güvenlik testlerini yalnızca son aşamada gerçekleştirilen bir etkinlik olarak değil; yazılım geliştirme yaşam döngüsünün (SDLC) her aşamasına dağıtılan sürekli bir süreç olarak ele almaktadır.

  1. Gereksinim Aşaması: Güvenlik gereksinimleri belirlenir ve tehdit modeli oluşturulur (STRIDE metodolojisi).
  2. Tasarım Aşaması: Güvenli mimari gözden geçirme ve veri akışı analizi gerçekleştirilir.
  3. Geliştirme Aşaması: Statik kod analizi (SAST) CI/CD pipeline'a entegre edilir; güvenli kodlama denetimleri yapılır.
  4. Test Aşaması: Dinamik uygulama testi (DAST), fuzzing ve penetrasyon testi uygulanır.
  5. Sürüm ve Bakım: Güvenlik açığı yönetim süreci (SBOM, CVE izleme) kurulur; periyodik testler planlanır.

Teknik Dosya ve Denetim Desteği

TUGAY'ın ürettiği test raporları, ISO 13485 KYS kaydı ve MDR teknik dosyasında doğrudan kullanılabilecek formatta hazırlanmaktadır. Onaylanmış kuruluş denetimleri için gereken siber güvenlik kanıtları sistematik biçimde sunulmaktadır.

  • IEC 62304 yazılım sınıfına göre özelleştirilmiş test planı
  • Tehdit modeli ve risk analizi raporu (IEC 81001-5-1 uyumlu)
  • SAST/DAST bulgu raporları ve düzeltme doğrulaması
  • Yazılım Malzeme Listesi (SBOM) oluşturma desteği
Startup Programı

Ürününüzü pazara çıkmadan
güvende tutun.

Güvenlik büyük şirketlere özgü değil. Her startup ilk günden sağlam bir temele ihtiyaç duyar. Saldırganlar açığı bulmadan önce biz bulalım. Ücretsiz.

Startup Başvurusu Yap

Başvuru ücretsizdir. Herhangi bir taahhüt gerektirmez.

Değerlendirme kapsamı

  • Uzman gözüyle ilk güvenlik değerlendirmesi
  • Kritik açık ve zayıf nokta tespiti
  • Önceliklendirilmiş bulgular özet raporu
  • KVKK / GDPR ön uyum değerlendirmesi
  • 48 saat içinde uzman geri dönüşü
Tamamen ücretsiz & bağlayıcı değil
Ücretsiz Analiz Pentest Talep Et Startup Başvurusu