Elektronik İmza Kanunu’nun Uygulanmasına İlişkin Usul ve Esaslar
Elektronik İmza Kanunu’nun Uygulanmasına İlişkin Usul ve Esaslar Hakkında Yönetmelikte değişiklik yapılmasına dair yönetmelik 15.10.2021 tarihinde Resmi Gazete’de yayınlandı.
Yapılan değişiklik ile yönetmeliğin üçüncü bölüm başlığında “Sertifikasyon Süreci, Kimlik Kartına Nitelikli Elektronik Sertifika Yüklenmesi, Yenilenmesi ve İptali” şeklinde değiştirilerek 13. maddeden sonra gelmek üzere yeni maddeler eklenmiştir. Eklenen maddeler:
Madde 13/A
– Elektronik Sertifika Hizmet Sağlayıcısı (ESHS), kimlik kartına uzaktan nitelikli elektronik sertifika ve benzeri altyapı kullanan farklı elektronik sertifika yükleyebilecektir.
– ESHS, kimlik kartına uzaktan nitelikli elektronik sertifika yükleme, yenileme ve iptal işlemlerini kendi rol ve güvenli iletişim sertifikalarını kullanarak KDHS üzerinden veya EKDS yönetmeliği ve EKDS standartlarına uygun olarak doğrudan KEC ile güvenli iletişim sağlayarak ve özel anahtarların cihazdan dışarı çıkmaması, veri sızıntısı olmaması için yazılımsal ve donanımsal gerekli tüm tedbirleri alarak/aldırarak yapabilecektir.
– ESHS internet sayfasından, başvuru sahibinin kimlik kartına nitelikli elektronik sertifika yüklenmesi talebinin ön başvurusunu alabilir. Bu başvurunun uygun bulunması halinde, başvuru sahibini nitelikli elektronik sertifika yükleme işleminin yapılacağı Kart Erişim Cihazının olduğu yere yönlendirebilecektir.
– Görevli ESHS, rol ve güvenli iletişim sertifikalarına ilişkin diğer ESHS’lerden ücret talep edemez.
a) Nitelikli elektronik sertifika yükleme, b) Nitelikli elektronik sertifika yenileme, c) Nitelikli elektronik sertifika iptali.
işlemlerinin kesintisiz olarak yapılmasını sağlayacaktır.
Elektronik Sertifika Hizmet Sağlayıcısı’nın Rol ve Güvenli İletişim Sertifikasına ilişkin değişiklikte;
Madde 13/B
– ESHS, rol ve güvenli iletişim sertifikası başvurusuna ilişkin aşağıdaki işlemleri yapar:
a) Rol sunucusu temin ve kurulumunu kendi bünyesinde TSE tarafından EKDS ile ilgili yayımlanan TS 13681 standardına uygun olarak gerçekleştirir. b) Rol sertifikası ve güvenli iletişim sertifikası için gerekli olan anahtar çiftlerini KEC standardında (TS 13585) belirlenen güvenli elektronik imza oluşturma aracında üretir. c) Rol Sertifikası ve Güvenli İletişim Sertifikası için üretmiş olduğu Sertifika İmzalama Talepleri (Certificate Signing Request – CSR) ve Rol Sunucusunun ilgili EKDS standartları ile EKDS
Yönetmeliğine uygun olduğuna ilişkin yetkili kurum ve kuruluşlardan alınan belge ile birlikte Kuruma başvuruda bulunur, Kurumun onayını alır ve bu onayı NVİGM’ye iletir.
NVİGM, ESHS’nin başvurusunu inceler ve uygun bulunması halinde başvuruyu Görevli ESHS’ye iletir. Aksi durumda başvuru sahibi ESHS’ye bilgi verir.
Görevli ESHS Rol ve Güvenli İletişim Sertifikalarını üretir ve güvenli bir şekilde başvuru sahibi ESHS’ye iletir.
ESHS Rol ve Güvenli İletişim Sertifikalarını kendi güvenli elektronik imza oluşturma aracına yükler.
Rol Sertifikası ve Güvenli İletişim Sertifikalarının yenilenmesi halinde bu maddenin birinci fıkrasının (c) bendi kapsamında istenen bilgi ve belgeler tekrar Kuruma sunulmaz. ESHS bu sertifikaların yenilenmesine ilişkin NVİGM’ye başvuruda bulunur ve başvuru NVİGM tarafından görevli ESHS’ye iletilir. Görevli ESHS tarafından Rol ve Güvenli İletişim Sertifikaları yenilenir ve başvuru sahibi ESHS’ye iletir.
Kimlik Kartına Nitelikli Elektronik Sertifika Yüklenirken Kullanılacak KEC
Madde 13/C – ESHS, kimlik kartına uzaktan nitelikli elektronik sertifika yüklemek, yenilemek ve iptal etmek amacıyla kullanılacak KEC’e ilişkin aşağıdaki bilgi ve belgeleri Kuruma iletir:
a) KEC üretici bilgileri, b) KEC’in kullanıldığı yer veya uygulama bilgisini, c) KEC’in, TSE tarafından yayınlanan KEC standartlarına uygunluğunun gösterir bilgi ve belgeyi, ç) Güvenli elektronik imza oluşturma aracı olarak kullanılacak KEC’in ortak kriterler uygunluk belgesini, d) KEC’in ortak kriterlerden geçen KEC donanım yazılımının (firmware) veya ortak kriterlerden geçen KEC güncellenen donanım yazılımının özet değerini, e) Nitelikli elektronik sertifika yüklerken kullanılacak KEC’in donanım yazılımının özet değerinin, ortak kriterlerden geçen KEC donanım yazılımının özet değeri ile eşdeğer olmasının sağlanabilmesi için gerekli güvenlik tedbirlerini alacağına ilişkin taahhütnameyi.
Kimlik Kartı Vasıtasıyla Nitelikli Elektronik Sertifika Başvurusu
Madde 13/Ç – Kimlik kartı vasıtasıyla başvuru sahibinin kimlik doğrulama işlemi EKDS Yönetmeliğinin 30 uncu maddesinin birinci fıkrasının (h) bendine uygun olarak yapılır.
Kimlik doğrulama için TS 13679 standardına uygun olarak KDB ve KDBO üretilir. EKDS standardına uygun olarak KDB içerisinde asgari;
a) Kimliği doğrulanan kişinin Kimlik Kartı doğrulama sertifikası örneği, b) Doğrulamada kullanılan yöntem bilgisi, c) Doğrulama zaman bilgisi,
yer alır.
EKDS standardına uygun olarak KDBO içerisinde asgari;
a) Kimlik Doğrulama Bildiriminin Tekil Numarası, b) KEC Seri Numarası, c) KDB Doğrulama İsteğinin Özeti, ç) Biyometrik Doğrulama Durumu,
yer alır. Ayrıca KDBO’ya ek olarak;
a) KEC’in üretici firma bilgisi, b) KEC’in markası ve seri numarası, c) KEC’in donanım yazılımı bilgisi, ç) KEC’in donanım yazılımının özet değeri, d) Görevli ESHS tarafından imzalanmış ve GEM bildirim imzalama açık anahtarını içeren sertifikası,
ilgili ESHS’ye iletilir.
ESHS, başvuru sahibinin Kimlik Kartı ve KEC kullanmak suretiyle Kimlik Doğrulama Yönetmeliğine uygun olarak başvuru belgesini PADES-LTV formatında oluşturur.
Kimlik Kartına Nitelikli Elektronik Sertifika Yüklenmesi
Madde 13/D – ESHS kimlik kartına uzaktan nitelikli elektronik sertifika yüklenebilmesi için öncelikle 13/Ç maddesine uygun olarak başvuru sahibinin kimliğini doğrular.
Kimlik kartında daha önceden yüklenmiş sertifika mevcut ise başvuru sahibi bu sertifikalara ilişkin KEC vasıtasıyla bilgilendirilir.
Kimlik kartında nitelikli elektronik sertifika yüklenebilecek bütün alanların dolu olması halinde, başvuru sahibi KEC vasıtasıyla bilgilendirilir ve yeni nitelikli elektronik sertifikanın kimlik kartına yüklenmesi için var olan sertifikalardan hangi sertifikanın üzerine yazılacağına ilişkin başvuru sahibinin onayı alınarak başvurunun yapıldığı ESHS’ye iletilir.
ESHS’ye başvuru sahibinin yeni sertifika talebi, KEC vasıtasıyla doğrudan ya da KDHS üzerinden iletilir. Bu talebin içerisinde aşağıdaki bilgilerin yer alması sağlanır:
a) Kimlik doğrulama sonucunda üretilen ve başvuru sahibine ait olan KDB’nin KDBO, b) KEC’in donanım yazılımının özet değeri, c) Sertifika üretimi için başvuru sahibinin sertifika geçerlilik süresine ilişkin talep bilgisi, ç) Başvuru sahibinin Kimlik Kartı doğrulama sertifikası örneği.
ESHS, gelen başvuru talebine ilişkin; talebin geldiği KEC’e ait bilgilerin, Kuruma bildirmiş olduğu bilgiler ile uyumlu olduğunu, KDBO’nun 13/Ç maddesinde belirtilen kriterlere uygun olduğunu ve EKDS Yönetmeliği kapsamında yetkili bir KDHS tarafından üretilmiş olduğunu kontrol eder.
ESHS, kendisine gelen başvuru sahibinin Kimlik Kartı doğrulama sertifikası örneği içerisinde yer alan bilgileri kullanarak nitelikli elektronik sertifikayı üretir, kendi güvenli iletişim sertifikası ve rol sertifikasını kullanarak KEC ile güvenli iletişim kurar, sertifikayı ve anahtarları doğrudan veya KDHS üzerinden KEC’e iletir.
ESHS’den gelen sertifika ve anahtarlar KEC vasıtasıyla güvenli bir şekilde kimlik kartına yüklenir.
Kimlik kartında önceden yüklenmiş elektronik sertifika olup olmadığı kontrol edilir. Yüklenecek nitelikli elektronik sertifika ilk sertifika ise başvuru sahibinin erişim verisini oluşturması sağlanır. Kimlik kartında yüklü başka elektronik sertifika bulunması halinde başvuru sahibine “kimlik kartındaki tüm sertifikalarda aynı erişim verisinin geçerli olacağı” bilgisi verilerek onayı alınır, isterse yeni erişim verisini oluşturması ve başvuru sahibi tarafından oluşturulan erişim verisinin kimlik kartına yazılması sağlanır.
Kimlik kartına yüklenen nitelikli elektronik sertifikaya ilişkin başvuru taahhütnamesi ve özet değeri KEC vasıtasıyla başvuru sahibine gösterilir ve kimlik kartına yüklenen yeni nitelikli elektronik sertifika ile imzalaması sağlanır. İmzalanan taahhütname başvuru sahibine iletilir. ESHS bu taahhütnamenin doğruluğunu ve geçerliliğini kontrol eder ve nitelikli elektronik sertifikanın imzalama işlemlerinde kullanılmasını sağlar. Taahhütnameye ilişkin doğrulamanın geçerli olmaması halinde ESHS tarafından sertifika sahibi bilgilendirilerek sertifika askıya alınır.
Kimlik Kartındaki Nitelikli Elektronik Sertifikanın Yenilenmesi
Madde 13/E – ESHS, sertifika sahibinin uzaktan nitelikli elektronik sertifika yenileme talebine ilişkin kimlik doğrulama işlemini 13/Ç maddesine uygun olarak gerçekleştirir.
Kimlik kartındaki sertifikalar, sertifika sahibine KEC vasıtasıyla gösterilir, sertifika sahibinin yenilemek istediği nitelikli elektronik sertifikayı seçmesi sağlanır ve başvuru sahibinin nitelikli elektronik sertifika yenileme talebi doğrudan veya KDHS üzerinden ESHS’ye iletilir. Bu talebin içerisinde;
a) Kimlik doğrulama sonucunda üretilen ve yenileme talebinde bulunan sertifika sahibine ait KDB’ye ait KDBO’nun, b) KEC’in donanım yazılımının özet değerinin, c) Sertifika yenilenmesi için başvuru sahibinin sertifika geçerlilik süresine ilişkin talep bilgisinin, ç) Sertifika sahibinin Kimlik Kartı doğrulama sertifikası örneğinin,
yer alması sağlanır.
ESHS öncelikle gelen nitelikli elektronik sertifika yenileme talebindeki sertifikanın kendisine ait olup olmadığını kontrol eder. Sertifika kendisine ait değilse başvuru sahibinin nitelikli elektronik sertifika yenileme talebini reddeder. Sertifika kendisine ait ise ESHS gelen yenileme talebine ilişkin olarak, talebin geldiği KEC’e ait bilgilerin Kuruma bildirmiş olduğu bilgiler ile uyumlu olduğunu, KDB’nin 13/Ç maddesinde belirtilen kriterlere uygun olduğunu ve EKDS Yönetmeliği kapsamında yetkili bir KDHS tarafından üretilmiş olduğunu kontrol eder.
ESHS, sertifika sahibinin Kimlik Kartı doğrulama sertifikası örneği içerisinde yer alan bilgileri kullanarak nitelikli elektronik sertifikayı yeniler. Kendi güvenli iletişim sertifikası ve rol sertifikasını kullanarak KEC ile güvenli iletişim kurar. Sertifikayı ve anahtarları doğrudan veya KDHS üzerinden güvenli bir şekilde KEC’e iletir. ESHS’den gelen sertifika KEC vasıtasıyla güvenli bir şekilde kimlik kartına yüklenir.
Kimlik kartında önceden yüklenmiş elektronik sertifika olup olmadığı kontrol edilir. Kimlik kartında yüklü başka elektronik sertifika mevcutsa sertifika sahibine “kimlik kartındaki tüm sertifikalarda aynı erişim verisinin geçerli olacağı” bilgisi verilir. Başvuru sahibi isterse yeni erişim verisini oluşturması ve başvuru sahibi tarafından oluşturulan yeni erişim verisinin kimlik kartına yazılması sağlanır.
Kimlik kartında yenilenen nitelikli elektronik sertifikaya ilişkin başvuru taahhütnamesi ve özet değeri KEC vasıtasıyla başvuru sahibine gösterilir ve kimlik kartında yenilenen nitelikli elektronik sertifika ile imzalaması sağlanır. İmzalanan taahhütname başvuru sahibine iletilir. ESHS bu taahhütnamenin doğruluğunu ve geçerliliğini kontrol eder ve nitelikli elektronik sertifikanın imzalama işlemlerinde kullanılmasını sağlar. Taahhütnameye ilişkin doğrulamanın geçerli olmaması halinde ESHS tarafından sertifika sahibi bilgilendirilerek sertifika askıya alınır.
Kimlik Kartındaki Nitelikli Elektronik Sertifikanın İptal Edilmesi
Madde 13/F – Sertifika sahibi tarafından kimlik kartındaki nitelikli elektronik sertifikanın iptal talepleri aşağıda belirlenen usullerden birisi ile yapılabilir:
a) 13 üncü maddenin birinci fıkrasında yer alan yöntemlerden birisiyle, b) KEC vasıtasıyla.
Kimlik kartındaki nitelikli elektronik sertifikanın iptalinin uzaktan KEC vasıtasıyla gerçekleştirilmesi halinde sertifika sahibinin nitelikli elektronik sertifika iptal talebine ilişkin kimlik doğrulama işlemi ESHS tarafından 13/Ç maddesine uygun olarak gerçekleştirilir.
Kimlik kartındaki sertifikalar, sertifika sahibine KEC vasıtasıyla gösterilir, sertifika sahibinin iptal etmek istediği nitelikli elektronik sertifikayı seçmesi sağlanır ve başvuru sahibinin nitelikli elektronik sertifikanın iptaline ilişkin talebi doğrudan veya KDHS üzerinden ESHS’ye iletilir.
Bu talebin içerisinde;
a) Kimlik doğrulama sonucunda üretilen ve iptal talebinde bulunan sertifika sahibine ait KDB’ye ait KDBO’nun, b) KEC’in donanım yazılımının özet değerinin, c) İptal edilecek sertifikanın,
yer alması sağlanır.
ESHS öncelikle gelen iptal talebindeki nitelikli elektronik sertifikanın kendisine ait olup olmadığını kontrol eder. Nitelikli elektronik sertifika kendisine ait değilse başvuru sahibinin iptal talebini reddeder. Nitelikli elektronik sertifika kendisine ait ise gelen iptal talebini derhal işleme alır ve bu talebe ilişkin olarak, talebin geldiği KEC’e ait bilgilerin Kuruma bildirmiş olduğu bilgiler ile uyumlu olduğunu, KDBO’nun 13/Ç maddesinde belirtilen kriterlere uygun olduğunu ve EKDS Yönetmeliği kapsamında yetkili bir KDHS tarafından üretilmiş olduğunu kontrol ettikten sonra nitelikli elektronik sertifikayı iptal eder.
ESHS kendi güvenli iletişim sertifikası ve rol sertifikasını kullanarak KEC ile doğrudan veya KDHS üzerinden güvenli iletişim kurar ve KEC vasıtasıyla kimlik kartından nitelikli elektronik sertifikanın ve anahtarın silinmesini sağlar.”
Aynı Yönetmeliğin 14 üncü maddesinde yer alan “en az yirmi (20) yıl süreyle saklar” ibaresinden önce gelmek üzere aşağıdaki bent eklenmiştir.
“g) Kimlik kartı vasıtasıyla uzaktan nitelikli elektronik sertifika yönetimine ilişkin tüm işlemlere, bu işlemlerin yapıldığı zamana işlemleri yapan kişi veya kişilere ait bilgileri içeren kaydı güvenliğini, gizliliğini, bütünlüğünü sağlayarak” ibaresi eklenmiştir.
MADDE 5 – Aynı Yönetmeliğin 37’nci maddesinde yer alan “Telekomünikasyon Kurulu” ibaresi “Kurul” olarak değiştirilmiştir. MADDE 6 – Bu Yönetmelik yayımı tarihinde yürürlüğe girer. MADDE 7 – Bu Yönetmelik hükümlerini Bilgi Teknolojileri ve İletişim Kurulu Başkanı yürütür.
Anahtar Kelimeler: Elektronik imza Kanunu, Elektronik imza Kanunu’nun Uygulanmasına İlişkin Usul ve Esaslar, Elektronik imza Kanunu’nun Uygulanmasına İlişkin Usul ve Esaslar Hakkında Yönetmelikte Değişiklik.
