EBG Bilişim Teknolojileri ve Hizmetleri A.Ş NİTELİKLİ ELEKTRONİK SERTİFİKA İLKELERİ (NESİ)

Transkript

1 EBG Bilişim Teknolojileri ve Hizmetleri A.Ş NİTELİKLİ ELEKTRONİK SERTİFİKA İLKELERİ (NESİ) Sürüm 2.0 Yürürlük Tarihi: Ağustos, 2010 Güncelleme Tarihi: 20/08/2010 OID EBG Bilişim Teknolojileri ve Hizmetleri A.Ş Tel:

2 EBG Bilişim Teknolojileri ve Hizmetleri A.Ş Nitelikli Elektronik Sertifika İlkeleri 2006 EBG Bilişim Teknolojileri ve Hizmetleri A.Ş Her hakkı saklıdır. Açıklamalar ve Uyarılar Bu dokümanda kullanılan markalar EBG Bilişim Teknolojileri ve Hizmetleri A.Ş. veya ilgili tarafların mülkiyetindedir. Yukarıda belirtilen haklar saklı kalmak kaydıyla ve aşağıda özel olarak aksine izin verilen durumlar hariç olmak üzere, bu yayının hiçbir parçası, önceden EBG Bilişim Teknolojileri ve Hizmetleri A.Ş nin izni alınmadan herhangi bir formda veya herhangi bir araçla (elektronik, mekanik, fotokopi, kayıt veya başka araçlar) çoğaltılamaz, aktarılamaz ya da bir veri okuma sistemine kaydedilemez veya işlenemez. Bununla birlikte, (i) yukarıdaki telif hakkı uyarısının ve giriş paragraflarının her bir nüshanın başında açıkça gösterilmesi ve (ii) bu dokümanın, EBG Bilişim Teknolojileri ve Hizmetleri A.Ş ye atıf yapılarak, bir bütün halinde ve hatasız kopyalanması şartıyla, bu eserin ücreti ödenmeden çoğaltılmasına ve dağıtılmasına izin verilebilir. Bununla birlikte çoğaltma ve dağıtım izni herhangi bir kişiye münhasıran verilmez. - ii -

3 İÇİNDEKİLER 1. Giriş Genel Tanımlama Katılımcılar Elektronik Sertifika Hizmet Sağlayıcısı - "ESHS" ( e-tuğra ) Kayıt Birimleri NES Başvuru Sahibi / NES Sahibi, Kurumsal Başvuru Sahibi Üçüncü Kişiler Diğer Katılımcılar Güven Merkezi Sertifika Kullanımı İzin Verilen Sertifika Kullanımı Yasaklanan Sertifika Kullanımı Politika Yönetimi NESİ ile ilgili Yetkili Kurum İrtibat Görevlisi NESİ nin Politikaya Uygunluğunu Belirleyen Kişi NESİ Onaylama Prosedürü Tanımlar ve Kısaltmalar Yayınlama ve Bilgi Deposu Sorumlulukları Bilgi Deposu Sertifika Bilgilerinin Yayınlanması Yayınlanma Sıklığı Bilgi Deposu Erişim Kontrolleri Tanımlama ve Kimlik Doğrulama İsimlendirme (İlk Kayıt) İsim Tipleri İsimlerin Anlamlı Olması Gerekliliği "NES" Başvurusunda Bulunan Kişilerin İsimlerini Gizlemesi Veya Takma İsim Kullanımı Değişik İsim Tiplerini Yorumlamak İçin Kurallar İsimlerin Benzersizliği Tanımlama, Doğrulama ve Markaların Rolü İlk Kimlik Doğrulaması İmza Oluşturma Verisinin Zilyetliğinin Kanıtlanması Metodu Tüzel Kişilerin Kimliğinin Doğrulanması Gerçek Kişilerin Kimliğinin Doğrulanması Doğrulanmayan Başvuru Bilgileri NES Sahibinin Bağlı Olduğu Kurumlarla İlişkisinin Kanıtlanması Karşılıklı İşlerlik Kriterleri Yeniden Anahtarlama için Tanımlama ve Kimlik Doğrulama Rutin Yeniden Anahtarlama için Tanımlama ve Kimlik Doğrulama iii -

4 Sertifika İptali Sonrası Yeniden Anahtarlama İçin Tanımlama ve Kimlik Doğrulama İptal Talebi İçin Tanımlama ve Kimlik Doğrulama Sertifika Yaşam Zinciri Operasyonel Gereklilikler NES Başvurusu Kim NES Başvurusunda Bulunabilir Kayıt Süreci ve Sorumluluklar Bireysel Başvuru KB Aracılığıyla Bireysel Başvuru Çevrimiçi Bireysel Başvuru Kurumsal Başvuru KB aracılığıyla kurumsal başvuru NES Başvuru Süreci Tanımlama İşlemi ve Kimlik Kanıtlama Fonksiyonları NES Başvurularının Kabulü ve Reddi NES Başvuru Süreci Zamanlaması NES Oluşturulması NES Oluşturulması Sırasında ESHS nin Faaliyetleri NES Başvurusunda Bulunan Kişiye Sertifikayı Oluşturan ESHS Tarafından Yapılan Bildirim NES in Kabulü NES in Kabulü Sayılan İşlemler ESHS Tarafından Sertifikaların Yayınlanması Diğer İlgililere ESHS Tarafından Sertifika Yayınlanmasına ilişkin Yapılan Bildirim İmza Oluşturma/Doğrulama Verileri ve NES Kullanımı NES Sahiplerinin İmza Oluşturma Verisi ve NES Kullanımı Üçüncü Kişilerin İmza Doğrulama Verisi ve NES Kullanımı NES Yenileme NES lerin Yenilenmesini Gerektiren Durumlar NES Yenileme Başvurusunda Kimler Bulunabilir NES Yenileme Taleplerinin İşleyiş Süreci Yeni Sertifika Oluşturulmasının NES Yenileme Başvurusunda Bulunan Kişiye Bildirimi NES Yenilemenin Kabulü Sayılan İşlemler "ESHS" Tarafından Yenilenen NES lerin Yayınlanması NES in Yayınlandığının ESHS Tarafından Diğer İlgililere Bildirilmesi NES lerin Yeniden Anahtarlanması NES lerin Yeniden Anahtarlanmasını Gerektiren Durumlar Kimler Yeni İmza Doğrulama Verisinin Sertifikalanması İçin Talepte Bulunabilirler NES lerin Yeniden Anahtarlanmasına Yönelik Taleplerin İşleyişi Yeniden Anahtarlama Talebinde Bulunanlara Yeni NES Yayınlama Bildiriminin Yapılması NES lerin Yeniden Anahtarlanmasının Kabulü Sayılan İşlemler ESHS Tarafından Yeniden Anahtarlanan NES in Yayınlanması iv -

5 Diğer İlgililere NES Yayınlanmasına İlişkin ESHS Tarafından Yapılan Bildirim NES ler Üzerinde Yapılan Değişiklik NES lerde Değişiklik Yapılmasını Gerektiren Durumlar Kimler NES de Değişiklik Yapılmasını Talep Edebilir NES Üzerinde Değişiklik Yapılmasına İlişkin Taleplerin Süreci Yeni Sertifika Oluşturulmasına İlişkin NES Başvurusunda Bulunanlara Yapılan Bildirim Değiştirilmiş NES lerin Kabulü Sayılan İşlemler ESHS Tarafından Sertifika Değişikliklerine İlişkin Yayın ESHS Tarafından Diğer Kuruluşlara Sertifika Olşturulmasına İlişkin Bildirim NES İptali ve Askıya Alma NES İptalini Gerektiren Durumlar Kimler İptal Başvurusunda Bulunabilir Sertifika İptal Prosedürleri Sertifika İptal Talebi Gecikme Periyodu ESHS nin İptal Talebini İşleme Koyma Süresi İptal Durumuna İlişkin Üçüncü Kişilerin Kontrol Yükümlülüğü Sertifika İptal Listesi (SİL) Yayınlama Sıklığı SİL lerin Yayınlanma Zamanı Çevrimiçi İptal Kontrolü Erişilebilirliği Çevrimiçi İptal Kontrolü Gereklilikleri İptal Duyurularının Diğer Biçimlerine Erişilebilirlik ESHS İmza Oluşturma Verisinin Güvenliğinin Şüpheye Düşmesi Halinde Gereksinimler Askı Koşulları Kimler Askı Talebinde Bulunabilir Askı Talebi Süreci Askı Süresindeki Limitler Sertifika Durum Hizmetleri Operasyonel Özellikler Hizmet Erişilebilirliği Seçimlik Özellikler NES Sahipliğinin Sona Ermesi İmza Oluşturma Verisi Kurtarma ve Yedekleme İmza Oluşturma Verisi Kurtarma ve Yedekleme Politikası ve Esasları Oturum Anahtarı Sarma (Encapsulation) ve Kurtarma Politikası ve Uygulamaları Tesis, Yönetim ve Operasyonel Kontroller Fiziksel Kontroller Güven Merkezi Konumu ve İnşası Fiziksel Erişim Elektrik ve Klima Koşulları Suya Karşı Korunma Yangın Önlemleri ve Korunması Veri Araçları Saklanması v -

6 Atık Kontrolü Harici Alan Yedeklemesi Prosedür Kontrolleri Güvenli Roller Her Bir Görev için Gereken Kişi Sayısı Her Bir Görev için Tanımlama ve Kimlik Kontrolü Sorumlukların Ayrılmasını Gerektiren Roller Personel Kontrolleri Mesleki Bilgi, Nitelikler, Deneyim ve Resmi Makam İzinlerinin Şartları Mesleki Bilgi Kontrol Prosedürleri Eğitim Şartları Eğitim Sıklığı ve Şartları İş Rotasyon Sıklığı ve Sırası Yetkisiz Eylemlere Karşı Yaptırımlar Bağımsız Yüklenici İsterleri Personele Verilen Dokümanlar Denetim ve Kayıt Prosedürleri Kaydedilen Olay Tipleri Kayıt İşleme Sıklığı Denetim Kaydı Saklama Süresi Denetim Kaydının Korunması Denetim Kaydı Yedekleme Prosedürleri Denetim Bilgisi Toplama Sistemi Olaya Sebep Olan NES Sahibine veya İlgiliye İhbarda Bulunma Güvenlik Açıklarının Değerlendirilmesi Kayıtların Arşivlenmesi Kaydedilen Olay Tipleri Arşiv Saklama Periyodu Arşivin Korunması Arşiv Yedekleme Prosedürleri Kayıtlara Zaman Damgası Basma Şartları Arşiv Toplama Sistemi Arşiv Bilgisine Ulaşma ve Doğrulama Prosedürleri İmza Oluşturma Doğrulama Verileri (Anahtar) Değiştirme Tehlike ve Felaketten Kurtarma Olayları ve Tehlikeleri Kontrol Altında Tutma Prosedürleri Donanım, Yazılım ve/veya Veri Bozulması ESHS İmza Oluşturma Verisinin Zarar Görmesi Felaket Sonrası İş Sürekliliği ESHS nin veya Kayıt Merkezi nin Operasyonunun Durdurulması Bilgi Teknolojileri ve İletişim Kurumu Kurumu Tarafından Faaliyete Son Verilmesi ESHS nin Faaliyetine Son Vermesi Teknik Güvenlik Kontrolleri İmza Oluşturma ve Doğrulama Verilerini Oluşturma ve Kurma İmza Oluşturma ve Doğrulama Verilerini Yaratma vi -

7 NES Sahibine İmza Oluşturma Verisinin Verilmesi ESHS ye İmza Doğrulama Verisinin Verilmesi Kullanıcılara ESHS İmza Doğrulama Verilerinin Verilmesi İmza Oluşturma ve Doğrulama Verilerinin Büyüklüğü Anahtar Üretim Parametreleri ve Kalite Kontrolü Anahtar Kullanım Amaçları İmza Oluşturma Verisinin Korunması ve Şifreleme Modülü Sistem Kontrolleri Şifreleme Modülü Standartları ve Kontrolleri İmza Oluşturma Verisi (n* m) Birden Fazla Kişi Kontrolü İmza Oluşturma Verisinin Saklanması İmza Oluşturma Verisi Yedekleme İmza Oluşturma Verisi Arşivleme İmza Oluşturma Verisinin Kriptografik Modül Transferi Şifreleme Modülünde İmza Oluşturma Verisi Saklanması İmza Oluşturma Verisinin Aktif Hale Getirilmesinin Metodu İmza Oluşturma Verisinin Aktif Durumdan Çıkarılmasının Metodu İmza Oluşturma Verisinin Yok Edilmesi Metodu Şifreleme Modül Operasyonel Limitleri Anahtar Çifti Yönetiminin Diğer Yönleri İmza Doğrulama Verisi Saklanması Sertifikanın Operasyonel Periyodu ve Anahtar Çifti Kullanımı Periyodu Erişim Verileri Erişim Verilerinin Yaratılması ve Kurulması Erişim Verilerinin Korunması Erişim Verileriyle İlgili Diğer Durumlar Bilgisayar Güvenlik Kontrolleri Özel Bilgisayar Güvenliği Teknik Gereklilikleri Bilgisayar Güvenliği Operasyonel Limitleri Yaşam Zinciri Teknik Kontrolleri Sistem Geliştirme Kontrolleri Güvenlik Yönetim Kontrolleri Yaşam Zinciri Güvenlik Kontrolleri Ağ Güvenlik Kontrolleri Zaman Damgası NES, SİL ve ÇSDP NES Profili Sürüm Numarası/Numaraları Sertifika Uzantıları Algoritma Nesne Belirteçleri (OID) İsim Formları İsim Kısıtlamaları Sertifika İlkeleri Nesne Belirteci Sertifika İlkeleri Kısıtlamaları Uzantısının Kullanımı Sertifika İlkeleri Belirteçleri için Yazımsal ve Anlamsal Özellikler Kritik Sertifika İlkeleriUzantıları için Anlamsal İşlem Özellikleri SİL Profili vii -

8 Sürüm Numarası/Numaraları SİL ve SİL Girdi Ekleri Çevrimiçi Sertifika Durum Protokolü (ÇSDP) Profili Sürüm Numarası(Veya Numaraları) ÇSDP Uzantıları Uyum Denetimi ve Diğer Değerlendirmeler Değerlendirmelerin Sıklığı ve Değerlendirme Durumları Değerlendirme Yapan Kişinin Tanımlanması ve Nitelikleri Değerlendirme Yapan Kişinin Değerlendirme Yapılan Kuruluşla İlişkisi Değerlendirme Tarafından Kapsanan Konular Eksikliğin Ortaya Çıkması Durumunda Gerçekleştirilecek Eylemler Değerlendirme Sonuçlarının Yayınlanması ve İlgili Taraflara İletimi Diğer Ticari Ve Hukuki Konular Ücretler Sertifika Oluşturma Veya Yenileme Ücretleri Sertifikalara Erişim Ücretleri Sertifikaların İptal veya Durum Kayıtlarına İlişkin Bilgilere Erişim Ücretleri Diğer Hizmetler İçin Ücretler Zaman Damgası Ücretleri Nitelikli Elektronik Sertifika İlkeleri Bilgisi Gibi Diğer Servislerin Ücretleri Geri Ödeme Politikası Finansal Sorumluluklar Sigorta Kapsamı (Sertifika Mali Sorumluluk Sigortası) Diğer Varlıklar Son Kullanıcılar İçin Sigorta veya Diğer Garantilerin Kapsamı Ticari Bilgilerin Gizliliği Gizli Bilgilerin Konusu Gizli Bilgilerin Konusu İçerisinde Olmayan Bilgiler Gizli Bilgilerin Korunmasına İlişkin Sorumluluklar Kişisel Bilgilerin Mahremiyeti (Gizliliği) Mahremiyet Planı Özel Sayılan Bilgiler Özel Sayılmayan Bilgiler Özel Bilgiyi Koruma Sorumluluğu Kişisel Bilgilerin Kullanılmasına İlişkin Bildirim ve İzin Adli ve İdari Süreçlerde Kullanılmak Üzere Yapılan Açıklamalar Bilgilerin Açıklandığı Diğer Durumlar Fikri Mülkiyet Hakları Sorumluluk ve Garantiler ESHS nin Sorumluluk ve Garantileri KB nin Sorumlulukları ve Garantileri NES Sahibinin ve Kurumsal Başvuru Sahibinin Sorumlulukları ve Garantileri Üçüncü Kişilerin Sorumlulukları ve Garantileri Diğer Katılımcıların Sorumlulukları ve Garantileri Garantilerin Reddi ESHS nin Sorumluluğun Sınırlandırılması viii -

9 9.9. Tazminatlar NESİ nin Geçerliliği ve Sona ermesi Geçerlilik Sona Erme Sona Ermenin Etkileri Bireysel Bildirimler ve Katılımcılar Arasında İletişim Değişiklikler Değişiklik Prosedürleri Bildirim Mekanizması ve Periyodu İhbarda Bulunulmadan Değiştirilebilecek Maddeler İhbarda Bulunarak Değiştirilebilecek Maddeler Sertifika İlkeleri Belirteci (OID) veya NESİ İşaretinde Değişiklik Gerektiren Değişiklikler Uyuşmazlıkların Çözüm Yolları Uygulanacak Hukuk Mevzuata Uyumluluk Çeşitli Hükümler Bütün sözleşme Devir ve Temlik Bölünebilirlik Yaptırımlar (Vekalet Ücreti ve Haktan Feragat) Mücbir Sebep Diğer Hükümler ix -

10 1. Giriş EBG Bilişim Teknolojileri ve Hizmetleri A.Ş. (Kısaca e-tuğra ) Türk Ticaret Kanunu hükümleri uyarınca kurularak faaliyetlerini sürdüren bir anonim şirkettir. e-tuğra, 5070 sayılı Elektronik İmza Kanunu nun 8. Maddesi hükmü uyarınca Bilgi Teknolojileri ve İletişim Kurumu na usulü dairesinde bildirimde bulunarak ve kanuni gereklilikleri yerine getirerek Elektronik Sertifika Hizmet Sağlayıcı (Kısaca ESHS ) sıfatıyla elektronik imza, elektronik sertifika ve zaman damgası ile ilgili hizmetleri sunma hak ve yetkisini elde etmiştir. Nitelikli Elektronik Sertifika İlkeleri (Kısaca NESİ ) olarak isimlendirilen bu doküman 5070 sayılı Elektronik İmza Kanunu (Kısaca Kanun ), Elektronik İmza Kanununun Uygulanmasına İlişkin Usul ve Esaslar Hakkında Yönetmelik (Kısaca Yönetmelik ) ile Elektronik İmza ile İlgili Süreçlere ve Teknik Kriterlere İlişkin Tebliğ (Kısaca Tebliğ ) uyarınca e-tuğra nın ESHS sıfatıyla yürüttüğü faaliyetler sırasında yerine getirdiği teknik ve hukuki gereklilikleri, ESHS nin faaliyetlerini, teknik ve organizasyonel altyapısını, ESHS nin sunduğu hizmetlere ilişkin süreçlerde belirli roller üstlenen tarafların sorumluluklarını açıklamak ve kamuoyuna duyurmak üzere hazırlanmıştır. NESİ belgesi, hangi elektronik sertifika hizmetlerinin e-tuğra tarafından sunulduğunu belirlerken, NESUE bu hizmetlerin e-tuğra tarafından nasıl gerçekleştirildiğini tanımlar. Bu doküman Tebliğ de belirtilen ETSI TS , CWA , IETF RFC 3647 standartlarına uygun olarak hazırlanmıştır. e-tuğra nın sunduğu zaman damgası hizmetlerini tanımlamaya, zaman damgası hizmetlerinden tarafların hangi teknik ve hukuki koşullar içerisinde yararlanacaklarını belirtmeye ayrıca zaman damgası hizmetlerinin e-tuğra tarafından hangi hukuki ve teknik çerçeveler içerisinde yürütüldüğünü kamuoyuna açıklamaya yönelik olan Zaman Damgası İlkeleri ve Zaman Damgası Uygulama Esasları dökümanları ise Yönetmelik ve Tebliğ in amir - 1 -

11 hükümleri uyarınca ETSI TS standardına uygun olarak hazırlanarak, e- Tuğra nın web sitesinde kamuoyuna duyurulmuştur Genel 5070 sayılı Elektronik İmza Kanunu nun 5. maddesine göre güvenli elektronik imza, elle atılan imza ile aynı hukuki sonucu doğurur. Kanun un 4. maddesine göre güvenli elektronik imza; sadece imza sahibinin tasarrufunda bulunan güvenli elektronik imza oluşturma aracı ile oluşturulabilir ve yalnızca nitelikli elektronik sertifika (Kısaca NES ) ya dayanarak imza sahibinin kimliği tespit edilebilir. Güvenli elektronik imza oluşturma sürecindeki gerekli bileşenlerden biri olan NES, yalnızca 5070 Sayılı Elektronik İmza Kanunu ve ilgili mevzuat hükümlerinde tanımlanmış olan Elektronik Sertifika Hizmet Sağlayıcı lar tarafından oluşturulabilir. Elektronik Sertifika Hizmet Sağlayıcı lar Kanun un 8. Maddesi hükmü uyarınca Bilgi Teknolojileri ve İletişim Kurumu na bildirimde bulunarak; ilgili mevzuat hükümleri uyarınca bildirimde bulunduğu koşulları yerine getirdiği Bilgi Teknolojileri ve İletişim Kurumu nca uygun görülerek faaaliyete geçebilirler. Elektronik Sertifika Hizmet Sağlayıcı lar elektronik sertifika, zaman damgası ve elektronik imzayla ilgili hizmetleri sunan gerçek veya tüzel kişilerdir. e-tuğra, Kanun ve ilgili mevzuattaki gereklilikleri yerine getirerek Bilgi Teknolojileri ve İletişim Kurumu na usulü dairesinde bildirimde bulunmuş ve bildirimde belirttiği koşulları sağladığı Bilgi Teknolojileri ve İletişim Kurumu tarafından uygun görülerek faaliyete geçmesi hususunda yetki verilmiş bir Elektronik Sertifika Hizmet Sağlayıcısı dır. e-tuğra, kendisi tarafından oluşturulan NES lerin özelliklerini ve kullanımına ilişkin hususları, sertifikasyon sürecini, sertifikasyon sürecine katılan tarafların hak ve yükümlülüklerini, "ESHS" olarak yürüttüğü teknik ve operasyonel faaliyetlerini Nitelikli Elektronik Sertifika İlkeleri( NESİ ) belgesinde kamuoyuna ve ilgili taraflara açıklar. e- Tuğra bunun yanında NESİ belgesinde yer alan hususların nasıl uygulandığını detaylı olarak Sertifika Uygulama Esasları (Kısaca SUE ) dokümanında belirterek bu dökümanı da kamuoyunun ve ilgili tarafların bilgisine sunar

12 Tebliğ in 5. Maddesine göre "ESHS"ler işleyişlerinin bütün aşamalarında ETSI TS ve CWA standartlarına uymak zorundadırlar. ETSI TS standardı, "ESHS" işleyişinde iki grup sertifika ilkesi yayınlanabileceğini belirtmektedir. Bunlar qualified certificate policy ve qualified certificate policy + SSCD gruplarıdır. e-tuğra, ESHS olarak işleyişinde ETSI TS standardında belirtilen qualified certificate policy + SSCD grubuna uygun olarak sertifika ilkelerini oluşturmuş ve bu doğrultuda NESİ dokümanını yayınlamıştır.. Buna göre hem güvenli elektronik imza oluşturmak için gerekli olan güvenli elektronik imza oluşturma aracı hem de imza sahibinin kimliğinin tespitini sağlayan ve e-tuğra tarafından oluşturulan NES e- Tuğra tarafından Sertifika Sahibi ne sağlanacaktır Tanımlama Nitelikli Elektronik Sertifika Uygulama Esasları için Belirteç e-tuğra Nitelikli Elektronik Sertifika Uygulama Esasları Sürüm 1.0 Nesne Belirteci : Nitelikli Elektronik Sertifika İlkeleri için Belirteç e-tuğra Nitelikli Elektronik Sertifika İlkeleri Sürüm 1.0 Nesne Belirteci : Katılımcılar NESİ kapsamında katılımcı olarak tanımlanan sujeler, e-tuğra nın ESHS işleyişinde rol alan, işleyişle ilgili hak ve yükümlülükleri bulunan taraflardır. NESİ kapsamında katılımcılar, e-tuğra, kayıt birimleri, bireysel ve kurumsal NES başvurusunda bulunan kimseler, NES sahipleri ve üçüncü kişilerdir

13 Elektronik Sertifika Hizmet Sağlayıcısı - "ESHS" ( e-tuğra ) e-tuğra, ESHS işleyişi içerisinde 5070 sayılı Elektronik İmza Kanunu ve ilgili mevzuat hükümleri ile bu NESİ ve SUE doğrultusunda hak ve yükümlülükleri belirlenmiş olan bir ESHS dir. e-tuğra tarafından oluşturulan NES ler, e-tuğra ESHS alt kök sertifikası tarafından imzalanır; e-tuğra ESHS alt kök sertifikası da e-tuğra kök sertifikası tarafından imzalanır Kayıt Birimleri Kayıt Birimleri (Kısaca KB ), NES başvurusu, iptal ve yenileme talepleriyle ilgili hizmetleri yürüten, doğrudan e-tuğra nın kontrol ve denetimi altında olan yerleşik yapılar ve bu yerleşik yapılar içerisinde istihdam edilen ve/veya ettirilen e-tuğra ya bağlı personel veya e-tuğra ile Kayıt Birimi Sözleşmesi yapmış olan gerçek ve/veya tüzel kişilerdir. KB ler e-tuğra tarafından belirlenen belgelere dayanarak, NES talebinde bulunan kişilerin kimliklerini ve NES içerisinde yer alacak bilgilerin geçerliliğini kontrol ederler. KB ler bunun yanında Sertifika Sahipleri ile e-tuğra arasında sertifikanın yaşam zinciri süresince yürütülecek olan işlemlere ilişkin başvuruların alınması ve gerekli olan operasyonların e-tuğra adı ve hesabına yürütülmesi noktasında sorumluluk üstlenebilirler. KB ler ayrıca NES sahiplerine asgari güvenli elektronik imza oluşturma aracı ve NES ten oluşan ancak bunlarla sınırlı kalmamak üzere e-tuğra nın yürüttüğü faaliyetlere ilişkin çeşitli ekipman ve hizmetlerin de içerisinde yer alabileceği güvenli e-imza paketi ne ilişkin başvuru işlemlerinin de e-tuğra adı ve hesabına yürütülmesini de sağlarlar. KB ler aracılığıyla yapılacak NES başvuruları, başvuru sahibinin KB ofisine bizzat gelerek yüz yüze başvuruda bulunması; gerekli bilgi ve belgeleri KB ofisi yetkilisine teslim etmesi esasına dayanmaktadır. KB lere e-tuğra tarafından fotoğraflı bir KB Yetkilisi Belgesi tanzim edilmekte, KB ler NES başvuru sahipleri ile herhangi bir işlem yapmadan önce e-tuğra tarafından kendileri adına tanzim edilen yetki belgelerini NES başvuru sahiplerine ibraz etmektedirler

14 e-tuğra, yerleşik KB ofislerinin adreslerini ve iletişim bilgilerini web sitesi aracılığıyla kamuoyuna duyurur NES Başvuru Sahibi / NES Sahibi, Kurumsal Başvuru Sahibi 5070 sayılı Elektronik İmza Kanunu na göre NES ler sadece gerçek kişiler adına ESHS ler tarafından oluşturulabilirler. NES sahibi e-tuğra tarafından kamuoyuna açıklanan NESUE, NESİ, NES Sahibi ile akdedilen NES Kullanıcı Sözleşmesi ve e-tuğra tarafından belirlenen gereklilikleri yerine getirerek adına NES oluşturulmuş gerçek kişilerdir. NES başvuruları bireysel başvuru ve kurumsal başvuru olmak üzere iki şekilde yapılabilir; Bireysel başvuru sahibi, kendisi adına NES başvurusunda bulunan ve gerekli prosedürleri yerine getirerek e-tuğra ile NES Kullanıcı Sözleşmesi imzalamış olan gerçek kişilerdir. Kurumsal başvuru sahibi; çalışanları veya müşterileri veya üyeleri veya hissedarları adına NES başvurusunda bulunan ve gerekli prosedürleri yerine getirerek e-tuğra ile Kurumsal Başvuru Sözleşmesi imzalamış olan tüzel kişilerdir Üçüncü Kişiler Üçüncü kişiler, e-tuğra tarafından oluşturulan NES ler kullanılarak güvenli elektronik imza ile imzalanmış verileri imzalayan kişinin kimliğini tespit eden; NES lerin, e-tuğra kök ve alt kök sertifikalarının, e-tuğra zaman damgalarının geçerlilik kontrollerini yerine getirerek veya güvenli elektronik imza doğrulama aracı kullanmak suretiyle doğrulama işlemini gerçekleştiren ve güvenli elektronik imzayla imzalanmış verilere güvenerek iş ve işlemlerde bulunan kişilerdir. NES sahipleri yukarıda bahsedilen doğrulama süreçlerini kendileri yerine getirmeleri durumunda üçüncü kişi olarak hareket etmektedirler

15 Diğer Katılımcılar Güven Merkezi Güven Merkezi, e-tuğra nın tüm sertifika yaşam zinciri operasyonlarını yürüttüğü ve sertifika otoritesi teknik altyapısını kurup işlettiği, gerekli tüm fiziki ve teknik güvenlik gereksinimlerini yerine getiren merkezidir. Güven Merkezi TS ISO/IEC güvenlik sertifikasına sahip olup, tüm işleyişini 5070 sayılı Elektronik İmza Kanunu, ilgili mevzuat ve bu mevzuatla atıfta bulunulan uluslararası standartlara uygun olarak yürütmektedir Sertifika Kullanımı İzin Verilen Sertifika Kullanımı e-tuğra kök ve alt kök sertifikaları sadece NES imzalanması, SİL imzalanması, ÇSDP ve zaman damgası sertifikalarının imzalanması ile bahsi geçen sertifikaların ve verilerin doğrulanması süreçlerinde kullanılabilir. e-tuğra tarafından oluşturulan NES ler sadece güvenli elektronik imza oluşturma ve doğrulama süreçleri içerisinde, NES in içinde yer alan kullanıma ve maddi kapsama ilişkin sınırlamalar dahilinde ve NES Kullanıcı Sözleşmesi hükümlerine uygun olarak kullanılabilirler. NES ler aynı zamanda üçüncü kişiler tarafından NES in geçerliliğinin doğrulanması ve NES içeriğine erişilmesi amaçlarıyla da kullanılabilirler Yasaklanan Sertifika Kullanımı e-tuğra tarafından oluşturulan NES ler ile kök ve alt kök sertifikalarının NESİ de belirtilen alanlar dışında kullanılmaları yasaktır. Elektronik İmza Kanunu nun 5. maddesi hükmü uyarınca Kanunların resmî şekle veya özel bir merasime tabi tuttuğu hukukî işlemler ile teminat sözleşmeleri güvenli elektronik imza kullanılarak yapılamaz. Bu nedenle bahsi geçen işlemlerin güvenli elektronik imzayla yapılması ve bu işlemlere ilişkin güvenli elektronik imza oluşturma ve doğrulama süreçlerinde NES lerin kullanılması yasaktır

16 1.5. Politika Yönetimi NESİ ile ilgili Yetkili Kurum NESİ dokümanının yayınlanmasından, değiştirilmesinden, yenilenmesinden ve bu dokümana ilişkin diğer tüm işlemlerden e-tuğra tarafından bu hususla ilgili yetkilendirilmiş e-tuğra personelinin oluşturduğu güvenlik forumu sorumludur İrtibat Görevlisi NESİ ile ilgili sorularınızı aşağıdaki adrese iletiniz: EBG Bilişim Teknolojileri ve Hizmetleri A.Ş. Ceyhun Atıf Kansu Cad. No. 130/58 Balgat/ANKARA Telefon : / Faks: info@e-tugra.com.tr NESİ nin Politikaya Uygunluğunu Belirleyen Kişi NESİ nin, NESUE dokümanına ve e-tuğra ESHS işleyiş süreçlerine uygunluğunu yetkili e-tuğra personeli denetler NESİ Onaylama Prosedürü e-tuğra yetkilileri düzenli olarak NESİ dokümanı ve e-tuğra ESHS işleyiş süreçleri ile ilgili denetim çalışmalarını sürdürürler. Denetim çıktıları doğrultusunda ve/veya işleyiş süreçlerinde değişikliğe gidilmesi durumunda NESİ üzerinde değişiklik veya yenileme yapılır. NESİ üzerindeki değişiklikler veya yeni sürümler yetkili e-tuğra personelinin onayına sunulur. NESUE ve NESİ üzerinden yapılan tüm değişiklikler yayımlanmadan ve kamuoyuna duyurulmadan önce, Bilgi Teknolojileri ve İletişim Kurumu nun onayına sunulur. Bilgi Teknolojileri ve İletişim Kurumu nun onayından geçen değişiklikleri içeren NESUE ve NESİ nin yeni sürümleri usulü dairesinde kamuouyunun bilgisine sunulur

17 1.6. Tanımlar ve Kısaltmalar KAVRAM/KISALTMA Başvuru Yöntemleri Bireysel Başvuru Sahibi CEN CWA ÇSDP EAL e-tuğra Elektronik İmza Kanunu ESHS ETSI AÇIKLAMA/TANIM "ESHS" ile NES Başvuru Sahibi arasında başvurunun yapılması, sertifika sahibinin kimliğinin tespiti, gerekli evrakların hazırlanması, sertifika ücretlerinin ödenmesi, evrakların saklanması, nitelikli elektronik sertifikaların yayınlanması ve sertifika sahibi ne iletilmesi, sertifika iptal, yenileme ve askı taleplerinin iletimindeki usuller gibi hususların belirlendiği teknik ve idari süreçlerden oluşan yöntemler. Bu yöntemlere adresinden ulaşılabilir. Kendisi adına NES başvurusunda bulunan ve gerekli prosedürleri yerine getirerek e-tuğra ile NES Kullanıcı Sözleşmesi imzalamış olan gerçek kişilerdir. Comité Européen de Normalisation - Avrupa Standardizasyon Komitesi CEN Workshop Agreement- CEN Çalıştay Kararı Çevrimiçi Sertifika Durum Protokolü Evaluation Assurance Level - Değerlendirme Garanti Düzeyi EBG Bilişim Teknolojileri ve Hizmetleri A.Ş. 23 Ocak 2004 tarih sayılı Resmi Gazete de yayımlanan 5070 Sayılı Kanun. Elektronik Sertifika Hizmet Sağlayıcı European Telecommunication Standartization Institute - Avrupa Telekomünikasyon Standartları Enstitüsü - 8 -

18 ETSI TS Güvenli İmza Güvenli İmza Aracı Güvenli İmza Aracı Elektronik Elektronik Doğrulama Elektronik Oluşturma ETSI Technical Specifications - ETSI Teknik Özellikleri Güvenli elektronik imza; a) Münhasıran imza sahibine bağlı olan, b) Sadece imza sahibinin tasarrufunda bulunan güvenli elektronik imza oluşturma aracı ile oluşturulan, c) Nitelikli elektronik sertifikaya dayanarak imza sahibinin kimliğinin tespitini sağlayan, d) İmzalanmış elektronik veride sonradan herhangi bir değişiklik yapılıp yapılmadığının tespitini sağlayan, Elektronik imzadır. Güvenli elektronik imza doğrulama araçları; a) İmzanın doğrulanması için kullanılan verileri, değiştirmeksizin doğrulama yapan kişiye gösteren, b) İmza doğrulama işlemini güvenilir ve kesin bir biçimde çalıştıran ve doğrulama sonuçlarını değiştirmeksizin doğrulama yapan kişiye gösteren, c) Gerektiğinde, imzalanmış verinin güvenilir bir biçimde gösterilmesini sağlayan, d) İmzanın doğrulanması için kullanılan elektronik sertifikanın doğruluğunu ve geçerliliğini güvenilir bir biçimde tespit ederek sonuçlarını değiştirmeksizin doğrulama yapan kişiye gösteren, e) İmza sahibinin kimliğini değiştirmeksizin doğrulama yapan kişiye gösteren, f) İmzanın doğrulanması ile ilgili şartlara etki edecek değişikliklerin tespit edilebilmesini sağlayan ve CWA standardına uygun imza doğrulama araçlarıdır. Güvenli elektronik imza oluşturma araçları; a) Ürettiği elektronik imza oluşturma verilerinin kendi aralarında bir eşi daha bulunmamasını, b) Üzerinde kayıtlı olan elektronik imza oluşturma verilerinin araç dışına hiçbir biçimde çıkarılamamasını ve gizliliğini, c) Üzerinde kayıtlı olan elektronik imza oluşturma verilerinin, üçüncü kişilerce elde edilememesini, kullanılamamasını ve elektronik imzanın sahteciliğe karşı korunmasını, d) İmzalanacak verinin imza sahibi dışında değiştirilememesini ve bu verinin imza sahibi tarafından imzanın oluşturulmasından önce görülebilmesini, Sağlayan ve ISO/IEC (-1,-2,-3) e göre en az EAL

19 seviyesinde olan araçlardır. Güvenli e-imza En az nitelikli elektronik sertifika ve güvenli elektronik imza Paketi oluşturma aracından oluşan "ESHS" tarafından Sertifika Kullanıcıları na sağlanan hizmet ve ekipmanlar bütünü. Güvenli e-imza Paketi nin fiyatları ile içerdiği ekipmanlar ve hizmetlere ilişkin detaylı açıklamaya web adresinden erişilebilir. IETF RFC Internet Engineering Task Force Request for Comments - İnternet Mühendisliği Görev Grubu Yorum Talebi ISO/IEC International Organisation for Standardisation / International Electrotechnical Commitee - Uluslararası Standardizasyon Teşkilatı / Uluslararası Elektroteknik Komitesi. Kayıt Birimi "ESHS"ye bağlı olarak faaliyette bulunan Sertifika Kullanıcıları ile Kurumsal Başvuru Sahipleri nin NES başvurularını alan "ESHS"nin yetkili birimi. Kimlik Bilgileri Sertifika Kullanıcısı nın Adı-Soyadı, Türkiye Cumhuriyeti Kimlik Numarası, doğum yeri, doğum tarihi ve uyruğu. Kurumsal Başvuru Kurumsal Başvuru Sahibi Kurumsal Başvuru Yetkilisi Bir tüzel kişiliğin çalışanları veya müşterileri veya üyeleri veya hissedarları adına yaptığı nitelikli elektronik sertifika başvurusunu "ESHS" ile Kurumsal Başvuru Sözleşmesi akdetmiş olan ve bu sözleşme hükümleri ve Yönetmeliğin 3. ve 9. maddeleri uyarınca çalışanları veya müşterileri veya üyeleri veya hissedarları adına nitelikli elektronik sertifika başvurusunda bulunan tüzel kişilik Sertifika Kullanıcısı adına "NES" düzenlenmesi için "ESHS"ye bildirilecek olan bilgileri Yönetmeliğin Mad. 9/1.de belirtilen belgelere dayanarak tespit eden ve Kurumsal Başvuru Sözleşmesi içerisinde kendisiyle ilgili belirtilen işlemleri Kurumsal Başvuru Sahibi adı ve hesabına yerine getiren

20 NES NES Başvuru Sahibi Nitelikli Elektronik Sertifika" OID NESİ Nitelikli Elektronik Sertifika İlkeleri SİL Sertifika Kullanıcısı SSCD NESUE Nitelikli Elektronik Sertifika Uygulama Esasları Kurumsal Başvuru Sahibi nin çalışanı. Nitelikli Elektronik Sertifika ESHS ye bireysel veya kurumsal başvuruda bulunan kişi Sayılı Kanunun 9. Maddesinde içerik olarak; Elektronik İmza ile İlgili Süreçlere ve Teknik Kriterlere İlişkin Tebliğ in 5. Maddesinde ise teknik bakımdan özellikleri belirtilen elektronik sertifika. Object Identifier - Nesne betimleyicisi. Nitelikli Elektronik Sertifika İlkeleri Sertifikaların belli bir topluluk ve/veya genel güvenlik gereklilikleri olan uygulamalar bakımından kabul edilebilirliğini belirten kurallar bütününe Sertifika İlkeleri denilmektedir. Nitelikli Elektronik Sertifika İlkeleri, Elektronik Sertifika Hizmet Sağlayıcıları tarafından umuma açıklanan yukarıda belirtilen amaçları karşılamaya yönelik bir belgedir. ESHS tarafından yayınlanan NESİ ye, "Sertifika Kullanıcı ları uymak zorundadır. NESİ ye, duruma göre zaman zaman yapılabilecek değişiklikler de dahil olmak üzere, "ESHS"nin web sitesinden erişilebilir. Sertifika İptal Listesi Adına "ESHS" tarafından "NES" düzenlenen gerçek kişi. Bu doküman içerisinde geçen Sertifika Sahibi ve NES Sahibi kavramları Sertifika Kullanıcısı ile eş anlamlı olarak kullanılmaktadır. Secure Signature Creation Device Güvenli Elektronik İmza Oluşturma Aracı Nitelikli Elektronik Sertifika Uygulama Esasları Sertifika Kullanıcı ları başta olmak üzere NESİ içerisinde tanımlanan her bir tarafın NESİ içinde tanımlı operasyonları gerçekleştirmek için uymak zorunda olduğu gerekliliklerin tespit