EBG Bilişim Teknolojileri ve Hizmetleri A.Ş NİTELİKLİ ELEKTRONİK SERTİFİKA İLKELERİ (NESİ)



Benzer belgeler
EBG Bilişim Teknolojileri ve Hizmetleri A.Ş NİTELİKLİ ELEKTRONİK SERTİFİKA UYGULAMA ESASLARI (NESUE)

e-güven Nitelikli Elektronik Sertifika Uygulama Esasları

ELEKTRONİK İMZA MEVZUATI

e-güven Nitelikli Elektronik Sertifika Uygulama Esasları

Elektronik İmza ile İlgili Süreçlere ve Teknik Kriterlere İlişkin Tebliğ BİRİNCİ BÖLÜM. Genel Hükümler

e-imza KIBRIS Nitelikli Elektronik Sertifika Uygulama Esasları

SERTİFİKA UYGULAMA ESASLARI

KURUMSAL BAŞVURU SÖZLEŞMESİ

KURUMSAL BAŞVURU SÖZLEŞMESİ

EBG Bilişim Teknolojileri ve Hizmetleri A.Ş ZAMAN DAMGASI UYGULAMA ESASLARI (ZDUE)

SERTİFİKA UYGULAMA ESASLARI

ELEKTRONİK İMZA UZAKTAN EĞİTİM KAYNAK BİLGİ DÖKÜMANI

e-tuğra SERTİFİKA İLKELERİ E-Tuğra EBG Bilişim Teknolojileri ve Hizmetleri A.Ş. Sürüm: 3.1 Yürürlük Tarihi: Eylül, 2013 Güncelleme Tarihi: 30/08/2013

ELEKTRONĠK ĠMZA ĠLE ĠLGĠLĠ SÜREÇLERE VE TEKNĠK KRĠTERLERE ĠLĠġKĠN TEBLĠĞ

BİLGİ GÜVENLİĞİ POLİTİKASI

SERTİFİKA UYGULAMA ESASLARI

e-güven Genel Kullanıma İlişkin Nitelikli Elektronik Sertifika İlkeleri

e-tuğra SERTİFİKA İLKELERİ

BİLGİ GÜVENLİĞİ POLİTİKASI

e-güven Genel Kullanıma İlişkin Nitelikli Elektronik Sertifika İlkeleri

ITMS DAYS Information Technologies Management Systems Days

ELEKTRONİK İMZADA GÜVENLİK VE STANDARTLAR

e-güven Mobil Kullanıma İlişkin Nitelikli Elektronik Sertifika İlkeleri

ve diğer Yerel Mevzuat Kapsamında Zaman Damgası

e-tuğra SERTİFİKA İLKELERİ E-Tuğra EBG Bilişim Teknolojileri ve Hizmetleri A.Ş. Sürüm: 4.2 Yürürlük Tarihi: Eylül, 2017 Güncelleme Tarihi: 29/09/2017

e-güven Zaman Damgası İlkeleri

SİRKÜLER NO: POZ-2018 / 66 İST,

e-güven Sertifika Uygulama Esasları (Nitelikli Elektronik Sertifika Dışındaki Elektronik Sertifikalar için)

(Resmi Gazetenin 10 Nisan 2012 tarih ve sayılı nüshasında yayımlanmıştır)

TAŞMAN & ŞANVER. Persembepazarı Cd. No 9 Kat: 5 / Karaköy / İstanbul Tel: Fax : inbox@sanver.gen.

e-imza KIBRIS Genel Kullanıma İlişkin Nitelikli Elektronik Sertifika İlkeleri

İNTERNET SİTESİ YÜKÜMLÜLÜĞÜNE TABİ ŞİRKETLERİN VEYA MTHS LERİN ALACAKLARI TEKNİK RAPORDA YER ALMASI GEREKEN TEKNİK KRİTERLER REHBERİ

TEBLİĞ. e) Firma: TAREKS aracılığıyla yapılan denetim, uygunluk ve izin işlemlerine konu olan kamu kurumları dâhil, tüm gerçek ve tüzel kişileri,

SİRKÜLER İstanbul,

e-güven Mobil Kullanıma İlişkin Nitelikli Elektronik Sertifika İlkeleri

e-güven Finans Kurumları Nitelikli Elektronik Sertifika İlkeleri

T.C. KUZEY ANADOLU KALKINMA AJANSI. Elektronik Yazışma ve Belge Yönetim Sistemi Yönergesi

NİTELİKLİ ELEKTRONİK SERTİFİKA KULLANIMINA İLİŞKİN E-GÜVEN BİLGİLENDİRME DÖKÜMANI

Kurumlarda E-imzaya Yapılması Gerekenler TODAİE E Sunumu. Ferda Topcan Başuzman Araştırmacı ferdat@uekae.tubitak.gov.tr (312)

NİTELİKLİ ELEKTRONİK SERTİFİKA KULLANIMINA İLİŞKİN E-GÜVEN BİLGİLENDİRME DÖKÜMANI

Resmi Gazete Tarihi: Resmi Gazete Sayısı: 28294

E-imza, eimza, Elektronik İmza Kanunu, Yasası sayılı, numaralı, nolu kanun, yasa, imzalama, e imza ELEKTRONİK İMZA KANUNU. Kanun Numarası : 5070

E-İmza Oluşturma ve Doğrulama

BİLGİ, BELGE VE AÇIKLAMALARIN ELEKTRONİK ORTAMDA İMZALANARAK KAMUYU AYDINLATMA PLATFORMUNA GÖNDERİLMESİNE İLİŞKİN ESASLAR HAKKINDA TEBLİĞ

e-imza KIBRIS Zaman Damgası İlkeleri Denizler Bilişim Hizmetleri Limited

Ve Nihayet Elektronik İmza Sermaye Piyasasına da Girdi

SİRKÜLER İstanbul,

TEBLİĞ. a) Gönderici: Orijinal iletinin göndericisi durumundaki hesap sahibini veya işlem yetkilisini,

Türkiye İş Kurumundan: TÜRKİYE İŞ KURUMU HİZMETLERİNİN ELEKTRONİK ORTAMDA YÜRÜTÜLMESİ HAKKINDA YÖNETMELİK. Resmi Gazete Sayısı. Resmi Gazete Tarihi

E-İmza Kavramı. Bilginin bütünlüğünü ve tarafların kimliklerinin doğruluğunu sağlayan sayısal imzaları da içermektedir.

NİTELİKLİ ELEKTRONİK SERTİFİKA İLKELERİ

-SPK SİRKÜLERİ- 27 Aralık 2013 tarih sayılı Resmi Gazete de yayımlanan Kamuyu Aydınlatma Platformu Tebliği aşağıda yer almaktadır.

KAMUYU AYDINLATMA PLATFORMU TEBLİĞİ (VII-128.6)

TODAİE edevlet MERKEZİ UYGULAMALI E-İMZA SEMİNERİ KASIM E-imza Teknolojisi. TODAİE Sunumu

MADDE 1.- Bu Kanunun amacı, elektronik imzanın hukuki ve teknik yönleri ile kullanımına ilişkin esasları düzenlemektir.

TNB E-İMZA, TNB Elektronik İmza A.Ş. adı ile Türkiye Noterler Birliği Vakfı tarafından kurulmuştur. Elektronik İmza hizmeti vermektedir, Aynı zamanda

SİRKÜLER İstanbul, Sayı: 2017/094 Ref: 4/094

E-İmza Kavramı. Elektronik bilginin bütünlüğünü ve tarafların kimliklerinin doğruluğunu sağlar.

E-İmza Kavramı. Elektronik bilginin bütünlüğünü ve tarafların kimliklerinin doğruluğunu sağlar.

KAMUYU AYDINLATMA PROSEDÜRÜ

e-defter Uygulaması Başvuru Kılavuzu Versiyon 2.0 Ağustos 2014 ANKARA e-defter Uygulaması Başvuru Kılavuzu Ağustos 2014 Versiyon : 2.

Ö z e t B ü l t e n Tarih : Sayı : 2018/40

YABANCI SERMAYELİ ŞİRKETLERİN BİLDİRİMLERİ ELEKTRONİK TEŞVİK UYGULAMA VE YABANCI SERMAYE BİLGİ SİSTEMİ (E-TUYS) ÜZERİNDEN YAPILACAKTIR.

Kanun 5070 sayılı Kanunun değişen maddeleri giriş tarihi , 17, 18, 19 8/2/2008 ELEKTRONİK İMZA KANUNU (1) BİRİNCİ KISIM

ELEKTRONİK İMZA KANUNU (1)

ELEKTRONİK İMZA KANUNU (1)

e-imzatr NĠTELĠKLĠ ELEKTRONĠK SERTĠFĠKA UYGULAMA ESASLARI

UE.18 Rev.Tar/No: /03 SAYFA 1 / 5

E-İmza Kavramı. Elektronik bilginin bütünlüğünü ve tarafların kimliklerinin doğruluğunu sağlar.

MADDE 1 (1) Bu Yönetmeliğin amacı; elektronik ortamda yapılacak tebligatlara ilişkin usul ve esasları düzenlemektir.

NES (e-imza) İŞLEMLERİ TALİMATI

KAMU SM SERTİFİKA İLKELERİ (NİTELİKLİ ELEKTRONİK SERTİFİKA İÇİNDİR)

İSTANBUL, SİRKÜLER ( 2010/11 ) Konu: Faturanın elektronik belge olarak düzenlenmesine ilişkin usul ve esaslar

Kamu Sertifikasyon Merkezi

SERTİFİKA İLKELERİ (Sİ)

ANONİM ŞİRKETLERDE ELEKTRONİK ORTAMDA YAPILACAK GENEL KURULLARA İLİŞKİN YÖNETMELİK

GELENEKSEL VE TAMAMLAYICI TIP UYGULAMALARI YÖNETMELİĞİ DENETİM İŞ VE İŞLEMLERİ REHBERİ

KSM SERTİFİKA İLKELERİ

Revizyon Tarihi :

Bilgi Güvenliği Yönetim Sistemi

KSM (NİTELİKLİ ELEKTRONİK SERTİFİKA) SERTİFİKA UYGULAMA ESASLARI

SERTİFİKA UYGULAMA ESASLARI (SUE)

SİRKÜLER İstanbul, Sayı: 2012/89 Ref: 4/89

YÖNETMELİK. ç) Bütünleştirici parça: Aksam imalatında kullanılan ve bu Yönetmeliğin Ek-1 inde belirtilen temel parçaları,

KAYITLI ELEKTRONİK POSTA SİSTEMİNDE MEVCUT DURUM ANALİZİ. Demet KABASAKAL , İstanbul

CE Belgeleri Askıya Alınması ve İptali Prosedürü

FRG ULUSLARARASI BELGELENDİRME LTD.ŞTİ. MÜŞTERİ BAŞVURU VE BELGELENDİRME SÜRECİ PROSEDÜRÜ

Düzenlemeler aşağıda özetlenmiştir. 1- Yetkilendirme Başvurusu

FRG ULUSLARARASI BELGELENDİRME LTD.ŞTİ. MÜŞTERİ BAŞVURU VE BELGELENDİRME SÜRECİ PROSEDÜRÜ

SERTİFİKA İLKELERİ (Sİ)

ELEKTRONİK TİCARETTE HİZMET SAĞLAYICI VE ARACI HİZMET SAĞLAYICILAR HAKKINDA YÖNETMELİK YAYIMLANDI:

T.C. MİLLİ EĞİTİM BAKANLIĞI BALIKESİR / BANDIRMA İLÇE MİLLİ EĞİTİM MÜDÜRLÜĞÜ. Büro Yönetimi ve Resmi Yazışma Kuralları Kursu

Mali Suçları Araştırma Kurulu. Genel Tebliği. Sıra No : 7 (RG: )

Kamuyu Aydınlatma Platformu Tebliği

Kanun No Kabul Tarihi :

TASARRUF MEVDUATI SİGORTASI VE FİNANSAL İSTİKRAR FONU YASASI. (32/2009 Sayılı Yasa) Madde 9 (6) Altında Tebliğ

2) Kollektif, komandit, limited ve sermayesi paylara bölünmüş komandit şirketlerin ortaklar kurulu veya genel kurul toplantılarına,

Kamu SM SERTİFİKA UYGULAMA ESASLARI (NİTELİKLİ ELEKTRONİK SERTİFİKA İÇİNDİR)

SİRKÜLER İstanbul, Sayı: 2012/158 Ref: 4/158

Transkript:

EBG Bilişim Teknolojileri ve Hizmetleri A.Ş NİTELİKLİ ELEKTRONİK SERTİFİKA İLKELERİ (NESİ) Sürüm 2.0 Yürürlük Tarihi: Ağustos, 2010 Güncelleme Tarihi: 20/08/2010 OID 2.16.792.3.0.4.1.1.1 EBG Bilişim Teknolojileri ve Hizmetleri A.Ş Tel: 0-312-472 21 13 www.e-tugra.com

EBG Bilişim Teknolojileri ve Hizmetleri A.Ş Nitelikli Elektronik Sertifika İlkeleri 2006 EBG Bilişim Teknolojileri ve Hizmetleri A.Ş Her hakkı saklıdır. Açıklamalar ve Uyarılar Bu dokümanda kullanılan markalar EBG Bilişim Teknolojileri ve Hizmetleri A.Ş. veya ilgili tarafların mülkiyetindedir. Yukarıda belirtilen haklar saklı kalmak kaydıyla ve aşağıda özel olarak aksine izin verilen durumlar hariç olmak üzere, bu yayının hiçbir parçası, önceden EBG Bilişim Teknolojileri ve Hizmetleri A.Ş nin izni alınmadan herhangi bir formda veya herhangi bir araçla (elektronik, mekanik, fotokopi, kayıt veya başka araçlar) çoğaltılamaz, aktarılamaz ya da bir veri okuma sistemine kaydedilemez veya işlenemez. Bununla birlikte, (i) yukarıdaki telif hakkı uyarısının ve giriş paragraflarının her bir nüshanın başında açıkça gösterilmesi ve (ii) bu dokümanın, EBG Bilişim Teknolojileri ve Hizmetleri A.Ş ye atıf yapılarak, bir bütün halinde ve hatasız kopyalanması şartıyla, bu eserin ücreti ödenmeden çoğaltılmasına ve dağıtılmasına izin verilebilir. Bununla birlikte çoğaltma ve dağıtım izni herhangi bir kişiye münhasıran verilmez. - ii -

İÇİNDEKİLER 1. Giriş 1 1.1. Genel... 2 1.2. Tanımlama... 3 1.3. Katılımcılar... 3 1.3.1. Elektronik Sertifika Hizmet Sağlayıcısı - "ESHS" ( e-tuğra )... 4 1.3.2. Kayıt Birimleri... 4 1.3.3. NES Başvuru Sahibi / NES Sahibi, Kurumsal Başvuru Sahibi... 5 1.3.4. Üçüncü Kişiler... 5 1.3.5. Diğer Katılımcılar... 6 1.3.5.1 Güven Merkezi... 6 1.4. Sertifika Kullanımı... 6 1.4.1. İzin Verilen Sertifika Kullanımı... 6 1.4.2. Yasaklanan Sertifika Kullanımı... 6 1.5. Politika Yönetimi... 7 1.5.1. NESİ ile ilgili Yetkili Kurum... 7 1.5.2. İrtibat Görevlisi... 7 1.5.3. NESİ nin Politikaya Uygunluğunu Belirleyen Kişi... 7 1.5.4. NESİ Onaylama Prosedürü... 7 1.6. Tanımlar ve Kısaltmalar... 8 2. Yayınlama ve Bilgi Deposu Sorumlulukları 12 2.1. Bilgi Deposu... 12 2.2. Sertifika Bilgilerinin Yayınlanması... 12 2.3. Yayınlanma Sıklığı... 13 2.4. Bilgi Deposu Erişim Kontrolleri... 13 3. Tanımlama ve Kimlik Doğrulama 13 3.1. İsimlendirme (İlk Kayıt)... 14 3.1.1. İsim Tipleri... 14 3.1.2. İsimlerin Anlamlı Olması Gerekliliği... 14 3.1.3. "NES" Başvurusunda Bulunan Kişilerin İsimlerini Gizlemesi Veya Takma İsim Kullanımı... 14 3.1.4. Değişik İsim Tiplerini Yorumlamak İçin Kurallar... 14 3.1.5. İsimlerin Benzersizliği... 14 3.1.6. Tanımlama, Doğrulama ve Markaların Rolü... 14 3.2. İlk Kimlik Doğrulaması... 15 3.2.1. İmza Oluşturma Verisinin Zilyetliğinin Kanıtlanması Metodu... 15 3.2.2. Tüzel Kişilerin Kimliğinin Doğrulanması... 15 3.2.3. Gerçek Kişilerin Kimliğinin Doğrulanması... 15 3.2.4. Doğrulanmayan Başvuru Bilgileri... 15 3.2.5. NES Sahibinin Bağlı Olduğu Kurumlarla İlişkisinin Kanıtlanması... 15 3.2.6. Karşılıklı İşlerlik Kriterleri... 15 3.3. Yeniden Anahtarlama için Tanımlama ve Kimlik Doğrulama... 16 3.3.1. Rutin Yeniden Anahtarlama için Tanımlama ve Kimlik Doğrulama... 16 - iii -

3.3.2. Sertifika İptali Sonrası Yeniden Anahtarlama İçin Tanımlama ve Kimlik Doğrulama... 16 3.4. İptal Talebi İçin Tanımlama ve Kimlik Doğrulama... 16 4. Sertifika Yaşam Zinciri Operasyonel Gereklilikler 17 4.1. NES Başvurusu... 17 4.1.1. Kim NES Başvurusunda Bulunabilir... 17 4.1.2. Kayıt Süreci ve Sorumluluklar... 17 4.1.2.1 Bireysel Başvuru... 17 4.1.2.1.1 KB Aracılığıyla Bireysel Başvuru... 17 4.1.2.1.2 Çevrimiçi Bireysel Başvuru... 18 4.1.2.2 Kurumsal Başvuru... 18 4.1.2.2.1 KB aracılığıyla kurumsal başvuru... 18 4.2. NES Başvuru Süreci... 20 4.2.1. Tanımlama İşlemi ve Kimlik Kanıtlama Fonksiyonları... 20 4.2.2. NES Başvurularının Kabulü ve Reddi... 20 4.2.3. NES Başvuru Süreci Zamanlaması... 20 4.3. NES Oluşturulması... 21 4.3.1. NES Oluşturulması Sırasında ESHS nin Faaliyetleri... 21 4.3.2. NES Başvurusunda Bulunan Kişiye Sertifikayı Oluşturan ESHS Tarafından Yapılan Bildirim... 21 4.4. NES in Kabulü... 21 4.4.1. NES in Kabulü Sayılan İşlemler... 21 4.4.2. ESHS Tarafından Sertifikaların Yayınlanması... 22 4.4.3. Diğer İlgililere ESHS Tarafından Sertifika Yayınlanmasına ilişkin Yapılan Bildirim 22 4.5. İmza Oluşturma/Doğrulama Verileri ve NES Kullanımı... 22 4.5.1. NES Sahiplerinin İmza Oluşturma Verisi ve NES Kullanımı... 22 4.5.2. Üçüncü Kişilerin İmza Doğrulama Verisi ve NES Kullanımı... 23 4.6. NES Yenileme... 23 4.6.1. NES lerin Yenilenmesini Gerektiren Durumlar... 24 4.6.2. NES Yenileme Başvurusunda Kimler Bulunabilir... 24 4.6.3. NES Yenileme Taleplerinin İşleyiş Süreci... 24 4.6.4. Yeni Sertifika Oluşturulmasının NES Yenileme Başvurusunda Bulunan Kişiye Bildirimi 24 4.6.5. NES Yenilemenin Kabulü Sayılan İşlemler... 24 4.6.6. "ESHS" Tarafından Yenilenen NES lerin Yayınlanması... 25 4.6.7. NES in Yayınlandığının ESHS Tarafından Diğer İlgililere Bildirilmesi... 25 4.7. NES lerin Yeniden Anahtarlanması... 25 4.7.1. NES lerin Yeniden Anahtarlanmasını Gerektiren Durumlar... 25 4.7.2. Kimler Yeni İmza Doğrulama Verisinin Sertifikalanması İçin Talepte Bulunabilirler... 25 4.7.3. NES lerin Yeniden Anahtarlanmasına Yönelik Taleplerin İşleyişi... 25 4.7.4. Yeniden Anahtarlama Talebinde Bulunanlara Yeni NES Yayınlama Bildiriminin Yapılması... 25 4.7.5. NES lerin Yeniden Anahtarlanmasının Kabulü Sayılan İşlemler... 26 4.7.6. ESHS Tarafından Yeniden Anahtarlanan NES in Yayınlanması... 26 - iv -

4.7.7. Diğer İlgililere NES Yayınlanmasına İlişkin ESHS Tarafından Yapılan Bildirim 26 4.8. NES ler Üzerinde Yapılan Değişiklik... 26 4.8.1. NES lerde Değişiklik Yapılmasını Gerektiren Durumlar... 26 4.8.2. Kimler NES de Değişiklik Yapılmasını Talep Edebilir... 26 4.8.3. NES Üzerinde Değişiklik Yapılmasına İlişkin Taleplerin Süreci... 26 4.8.4. Yeni Sertifika Oluşturulmasına İlişkin NES Başvurusunda Bulunanlara Yapılan Bildirim 26 4.8.5. Değiştirilmiş NES lerin Kabulü Sayılan İşlemler... 26 4.8.6. ESHS Tarafından Sertifika Değişikliklerine İlişkin Yayın... 27 4.8.7. ESHS Tarafından Diğer Kuruluşlara Sertifika Olşturulmasına İlişkin Bildirim.. 27 4.9. NES İptali ve Askıya Alma... 27 4.9.1. NES İptalini Gerektiren Durumlar... 27 4.9.2. Kimler İptal Başvurusunda Bulunabilir... 28 4.9.3. Sertifika İptal Prosedürleri... 28 4.9.4. Sertifika İptal Talebi Gecikme Periyodu... 29 4.9.5. ESHS nin İptal Talebini İşleme Koyma Süresi... 29 4.9.6. İptal Durumuna İlişkin Üçüncü Kişilerin Kontrol Yükümlülüğü... 29 4.9.7. Sertifika İptal Listesi (SİL) Yayınlama Sıklığı... 29 4.9.8. SİL lerin Yayınlanma Zamanı... 29 4.9.9. Çevrimiçi İptal Kontrolü Erişilebilirliği... 30 4.9.10. Çevrimiçi İptal Kontrolü Gereklilikleri... 30 4.9.11. İptal Duyurularının Diğer Biçimlerine Erişilebilirlik... 30 4.9.12. ESHS İmza Oluşturma Verisinin Güvenliğinin Şüpheye Düşmesi Halinde Gereksinimler... 30 4.9.13. Askı Koşulları... 30 4.9.14. Kimler Askı Talebinde Bulunabilir... 31 4.9.15. Askı Talebi Süreci... 31 4.9.16. Askı Süresindeki Limitler... 31 4.10. Sertifika Durum Hizmetleri... 31 4.10.1. Operasyonel Özellikler... 31 4.10.2. Hizmet Erişilebilirliği... 31 4.10.3. Seçimlik Özellikler... 32 4.11. NES Sahipliğinin Sona Ermesi... 32 4.12. İmza Oluşturma Verisi Kurtarma ve Yedekleme... 32 4.12.1. İmza Oluşturma Verisi Kurtarma ve Yedekleme Politikası ve Esasları... 32 4.12.2. Oturum Anahtarı Sarma (Encapsulation) ve Kurtarma Politikası ve Uygulamaları 32 5. Tesis, Yönetim ve Operasyonel Kontroller 32 5.1. Fiziksel Kontroller... 32 5.1.1. Güven Merkezi Konumu ve İnşası... 32 5.1.2. Fiziksel Erişim... 33 5.1.3. Elektrik ve Klima Koşulları... 33 5.1.4. Suya Karşı Korunma... 33 5.1.5. Yangın Önlemleri ve Korunması... 33 5.1.6. Veri Araçları Saklanması... 34 - v -

5.1.7. Atık Kontrolü... 34 5.1.8. Harici Alan Yedeklemesi... 34 5.2. Prosedür Kontrolleri... 34 5.2.1. Güvenli Roller... 34 5.2.2. Her Bir Görev için Gereken Kişi Sayısı... 35 5.2.3. Her Bir Görev için Tanımlama ve Kimlik Kontrolü... 36 5.2.4. Sorumlukların Ayrılmasını Gerektiren Roller... 36 5.3. Personel Kontrolleri... 37 5.3.1. Mesleki Bilgi, Nitelikler, Deneyim ve Resmi Makam İzinlerinin Şartları... 37 5.3.2. Mesleki Bilgi Kontrol Prosedürleri... 38 5.3.3. Eğitim Şartları... 38 5.3.4. Eğitim Sıklığı ve Şartları... 38 5.3.5. İş Rotasyon Sıklığı ve Sırası... 38 5.3.6. Yetkisiz Eylemlere Karşı Yaptırımlar... 39 5.3.7. Bağımsız Yüklenici İsterleri... 39 5.3.8. Personele Verilen Dokümanlar... 39 5.4. Denetim ve Kayıt Prosedürleri... 39 5.4.1. Kaydedilen Olay Tipleri... 39 5.4.2. Kayıt İşleme Sıklığı... 40 5.4.3. Denetim Kaydı Saklama Süresi... 40 5.4.4. Denetim Kaydının Korunması... 40 5.4.5. Denetim Kaydı Yedekleme Prosedürleri... 40 5.4.6. Denetim Bilgisi Toplama Sistemi... 40 5.4.7. Olaya Sebep Olan NES Sahibine veya İlgiliye İhbarda Bulunma... 41 5.4.8. Güvenlik Açıklarının Değerlendirilmesi... 41 5.5. Kayıtların Arşivlenmesi... 41 5.5.1. Kaydedilen Olay Tipleri... 41 5.5.2. Arşiv Saklama Periyodu... 42 5.5.3. Arşivin Korunması... 42 5.5.4. Arşiv Yedekleme Prosedürleri... 42 5.5.5. Kayıtlara Zaman Damgası Basma Şartları... 42 5.5.6. Arşiv Toplama Sistemi... 42 5.5.7. Arşiv Bilgisine Ulaşma ve Doğrulama Prosedürleri... 43 5.6. İmza Oluşturma Doğrulama Verileri (Anahtar) Değiştirme... 43 5.7. Tehlike ve Felaketten Kurtarma... 43 5.7.1. Olayları ve Tehlikeleri Kontrol Altında Tutma Prosedürleri... 43 5.7.2. Donanım, Yazılım ve/veya Veri Bozulması... 44 5.7.3. ESHS İmza Oluşturma Verisinin Zarar Görmesi... 44 5.7.4. Felaket Sonrası İş Sürekliliği... 44 5.8. ESHS nin veya Kayıt Merkezi nin Operasyonunun Durdurulması... 44 5.8.1. Bilgi Teknolojileri ve İletişim Kurumu Kurumu Tarafından Faaliyete Son Verilmesi 45 5.8.2. ESHS nin Faaliyetine Son Vermesi... 46 6. Teknik Güvenlik Kontrolleri 48 6.1. İmza Oluşturma ve Doğrulama Verilerini Oluşturma ve Kurma... 48 6.1.1. İmza Oluşturma ve Doğrulama Verilerini Yaratma... 48 - vi -

6.1.2. NES Sahibine İmza Oluşturma Verisinin Verilmesi... 49 6.1.3. ESHS ye İmza Doğrulama Verisinin Verilmesi... 49 6.1.4. Kullanıcılara ESHS İmza Doğrulama Verilerinin Verilmesi... 49 6.1.5. İmza Oluşturma ve Doğrulama Verilerinin Büyüklüğü... 49 6.1.6. Anahtar Üretim Parametreleri ve Kalite Kontrolü... 50 6.1.7. Anahtar Kullanım Amaçları... 50 6.2. İmza Oluşturma Verisinin Korunması ve Şifreleme Modülü Sistem Kontrolleri... 50 6.2.1. Şifreleme Modülü Standartları ve Kontrolleri... 50 6.2.2. İmza Oluşturma Verisi (n* m) Birden Fazla Kişi Kontrolü... 50 6.2.3. İmza Oluşturma Verisinin Saklanması... 51 6.2.4. İmza Oluşturma Verisi Yedekleme... 51 6.2.5. İmza Oluşturma Verisi Arşivleme... 51 6.2.6. İmza Oluşturma Verisinin Kriptografik Modül Transferi... 51 6.2.7. Şifreleme Modülünde İmza Oluşturma Verisi Saklanması... 52 6.2.8. İmza Oluşturma Verisinin Aktif Hale Getirilmesinin Metodu... 52 6.2.9. İmza Oluşturma Verisinin Aktif Durumdan Çıkarılmasının Metodu... 52 6.2.10. İmza Oluşturma Verisinin Yok Edilmesi Metodu... 52 6.2.11. Şifreleme Modül Operasyonel Limitleri... 52 6.3. Anahtar Çifti Yönetiminin Diğer Yönleri... 53 6.3.1. İmza Doğrulama Verisi Saklanması... 53 6.3.2. Sertifikanın Operasyonel Periyodu ve Anahtar Çifti Kullanımı Periyodu... 53 6.4. Erişim Verileri... 53 6.4.1. Erişim Verilerinin Yaratılması ve Kurulması... 53 6.4.2. Erişim Verilerinin Korunması... 54 6.4.3. Erişim Verileriyle İlgili Diğer Durumlar... 54 6.5. Bilgisayar Güvenlik Kontrolleri... 54 6.5.1. Özel Bilgisayar Güvenliği Teknik Gereklilikleri... 54 6.5.2. Bilgisayar Güvenliği Operasyonel Limitleri... 54 6.6. Yaşam Zinciri Teknik Kontrolleri... 55 6.6.1. Sistem Geliştirme Kontrolleri... 55 6.6.2. Güvenlik Yönetim Kontrolleri... 55 6.6.3. Yaşam Zinciri Güvenlik Kontrolleri... 55 6.7. Ağ Güvenlik Kontrolleri... 55 6.8. Zaman Damgası... 55 7. NES, SİL ve ÇSDP 56 7.1. NES Profili... 56 7.1.1. Sürüm Numarası/Numaraları... 56 7.1.2. Sertifika Uzantıları... 56 7.1.3. Algoritma Nesne Belirteçleri (OID)... 56 7.1.4. İsim Formları... 56 7.1.5. İsim Kısıtlamaları... 56 7.1.6. Sertifika İlkeleri Nesne Belirteci... 57 7.1.7. Sertifika İlkeleri Kısıtlamaları Uzantısının Kullanımı... 57 7.1.8. Sertifika İlkeleri Belirteçleri için Yazımsal ve Anlamsal Özellikler... 57 7.1.9. Kritik Sertifika İlkeleriUzantıları için Anlamsal İşlem Özellikleri... 57 7.2. SİL Profili... 58 - vii -

7.2.1. Sürüm Numarası/Numaraları... 58 7.2.2. SİL ve SİL Girdi Ekleri... 58 7.3. Çevrimiçi Sertifika Durum Protokolü (ÇSDP) Profili... 58 7.3.1. Sürüm Numarası(Veya Numaraları)... 58 7.3.2. ÇSDP Uzantıları... 58 8. Uyum Denetimi ve Diğer Değerlendirmeler 58 8.1. Değerlendirmelerin Sıklığı ve Değerlendirme Durumları... 59 8.2. Değerlendirme Yapan Kişinin Tanımlanması ve Nitelikleri... 59 8.3. Değerlendirme Yapan Kişinin Değerlendirme Yapılan Kuruluşla İlişkisi... 59 8.4. Değerlendirme Tarafından Kapsanan Konular... 60 8.5. Eksikliğin Ortaya Çıkması Durumunda Gerçekleştirilecek Eylemler... 60 8.6. Değerlendirme Sonuçlarının Yayınlanması ve İlgili Taraflara İletimi... 60 9. Diğer Ticari Ve Hukuki Konular 61 9.1. Ücretler... 61 9.1.1. Sertifika Oluşturma Veya Yenileme Ücretleri... 61 9.1.2. Sertifikalara Erişim Ücretleri... 61 9.1.3. Sertifikaların İptal veya Durum Kayıtlarına İlişkin Bilgilere Erişim Ücretleri... 62 9.1.4. Diğer Hizmetler İçin Ücretler... 62 9.1.4.1 Zaman Damgası Ücretleri... 62 9.1.4.2 Nitelikli Elektronik Sertifika İlkeleri Bilgisi Gibi Diğer Servislerin Ücretleri. 62 9.1.5. Geri Ödeme Politikası... 62 9.2. Finansal Sorumluluklar... 64 9.2.1. Sigorta Kapsamı (Sertifika Mali Sorumluluk Sigortası)... 64 9.2.2. Diğer Varlıklar... 65 9.2.3. Son Kullanıcılar İçin Sigorta veya Diğer Garantilerin Kapsamı... 66 9.3. Ticari Bilgilerin Gizliliği... 66 9.3.1. Gizli Bilgilerin Konusu... 66 9.3.2. Gizli Bilgilerin Konusu İçerisinde Olmayan Bilgiler... 66 9.3.3. Gizli Bilgilerin Korunmasına İlişkin Sorumluluklar... 66 9.4. Kişisel Bilgilerin Mahremiyeti (Gizliliği)... 67 9.4.1. Mahremiyet Planı... 67 9.4.2. Özel Sayılan Bilgiler... 67 9.4.3. Özel Sayılmayan Bilgiler... 67 9.4.4. Özel Bilgiyi Koruma Sorumluluğu... 67 9.4.5. Kişisel Bilgilerin Kullanılmasına İlişkin Bildirim ve İzin... 67 9.4.6. Adli ve İdari Süreçlerde Kullanılmak Üzere Yapılan Açıklamalar... 67 9.4.7. Bilgilerin Açıklandığı Diğer Durumlar... 68 9.5. Fikri Mülkiyet Hakları... 68 9.6. Sorumluluk ve Garantiler... 69 9.6.1. ESHS nin Sorumluluk ve Garantileri... 69 9.6.2. KB nin Sorumlulukları ve Garantileri... 69 9.6.3. NES Sahibinin ve Kurumsal Başvuru Sahibinin Sorumlulukları ve Garantileri70 9.6.4. Üçüncü Kişilerin Sorumlulukları ve Garantileri... 71 9.6.5. Diğer Katılımcıların Sorumlulukları ve Garantileri... 71 9.7. Garantilerin Reddi... 71 9.8. ESHS nin Sorumluluğun Sınırlandırılması... 71 - viii -

9.9. Tazminatlar... 72 9.10. NESİ nin Geçerliliği ve Sona ermesi... 72 9.10.1. Geçerlilik... 72 9.10.2. Sona Erme... 72 9.10.3. Sona Ermenin Etkileri... 72 9.11. Bireysel Bildirimler ve Katılımcılar Arasında İletişim... 73 9.12. Değişiklikler... 73 9.12.1. Değişiklik Prosedürleri... 73 9.12.2. Bildirim Mekanizması ve Periyodu... 73 9.12.2.1 İhbarda Bulunulmadan Değiştirilebilecek Maddeler... 73 9.12.2.2 İhbarda Bulunarak Değiştirilebilecek Maddeler... 73 9.12.3. Sertifika İlkeleri Belirteci (OID) veya NESİ İşaretinde Değişiklik Gerektiren Değişiklikler... 74 9.13. Uyuşmazlıkların Çözüm Yolları... 74 9.14. Uygulanacak Hukuk... 75 9.15. Mevzuata Uyumluluk... 75 9.16. Çeşitli Hükümler... 75 9.16.1. Bütün sözleşme... 75 9.16.2. Devir ve Temlik... 75 9.16.3. Bölünebilirlik... 75 9.16.4. Yaptırımlar (Vekalet Ücreti ve Haktan Feragat)... 75 9.16.5. Mücbir Sebep... 75 9.16.6. Diğer Hükümler... 76 - ix -

1. Giriş EBG Bilişim Teknolojileri ve Hizmetleri A.Ş. (Kısaca e-tuğra ) Türk Ticaret Kanunu hükümleri uyarınca kurularak faaliyetlerini sürdüren bir anonim şirkettir. e-tuğra, 5070 sayılı Elektronik İmza Kanunu nun 8. Maddesi hükmü uyarınca Bilgi Teknolojileri ve İletişim Kurumu na usulü dairesinde bildirimde bulunarak ve kanuni gereklilikleri yerine getirerek Elektronik Sertifika Hizmet Sağlayıcı (Kısaca ESHS ) sıfatıyla elektronik imza, elektronik sertifika ve zaman damgası ile ilgili hizmetleri sunma hak ve yetkisini elde etmiştir. Nitelikli Elektronik Sertifika İlkeleri (Kısaca NESİ ) olarak isimlendirilen bu doküman 5070 sayılı Elektronik İmza Kanunu (Kısaca Kanun ), Elektronik İmza Kanununun Uygulanmasına İlişkin Usul ve Esaslar Hakkında Yönetmelik (Kısaca Yönetmelik ) ile Elektronik İmza ile İlgili Süreçlere ve Teknik Kriterlere İlişkin Tebliğ (Kısaca Tebliğ ) uyarınca e-tuğra nın ESHS sıfatıyla yürüttüğü faaliyetler sırasında yerine getirdiği teknik ve hukuki gereklilikleri, ESHS nin faaliyetlerini, teknik ve organizasyonel altyapısını, ESHS nin sunduğu hizmetlere ilişkin süreçlerde belirli roller üstlenen tarafların sorumluluklarını açıklamak ve kamuoyuna duyurmak üzere hazırlanmıştır. NESİ belgesi, hangi elektronik sertifika hizmetlerinin e-tuğra tarafından sunulduğunu belirlerken, NESUE bu hizmetlerin e-tuğra tarafından nasıl gerçekleştirildiğini tanımlar. Bu doküman Tebliğ de belirtilen ETSI TS 101 456, CWA 14167-1, IETF RFC 3647 standartlarına uygun olarak hazırlanmıştır. e-tuğra nın sunduğu zaman damgası hizmetlerini tanımlamaya, zaman damgası hizmetlerinden tarafların hangi teknik ve hukuki koşullar içerisinde yararlanacaklarını belirtmeye ayrıca zaman damgası hizmetlerinin e-tuğra tarafından hangi hukuki ve teknik çerçeveler içerisinde yürütüldüğünü kamuoyuna açıklamaya yönelik olan Zaman Damgası İlkeleri ve Zaman Damgası Uygulama Esasları dökümanları ise Yönetmelik ve Tebliğ in amir - 1 -

hükümleri uyarınca ETSI TS 102 023 standardına uygun olarak hazırlanarak, e- Tuğra nın web sitesinde kamuoyuna duyurulmuştur. 1.1. Genel 5070 sayılı Elektronik İmza Kanunu nun 5. maddesine göre güvenli elektronik imza, elle atılan imza ile aynı hukuki sonucu doğurur. Kanun un 4. maddesine göre güvenli elektronik imza; sadece imza sahibinin tasarrufunda bulunan güvenli elektronik imza oluşturma aracı ile oluşturulabilir ve yalnızca nitelikli elektronik sertifika (Kısaca NES ) ya dayanarak imza sahibinin kimliği tespit edilebilir. Güvenli elektronik imza oluşturma sürecindeki gerekli bileşenlerden biri olan NES, yalnızca 5070 Sayılı Elektronik İmza Kanunu ve ilgili mevzuat hükümlerinde tanımlanmış olan Elektronik Sertifika Hizmet Sağlayıcı lar tarafından oluşturulabilir. Elektronik Sertifika Hizmet Sağlayıcı lar Kanun un 8. Maddesi hükmü uyarınca Bilgi Teknolojileri ve İletişim Kurumu na bildirimde bulunarak; ilgili mevzuat hükümleri uyarınca bildirimde bulunduğu koşulları yerine getirdiği Bilgi Teknolojileri ve İletişim Kurumu nca uygun görülerek faaaliyete geçebilirler. Elektronik Sertifika Hizmet Sağlayıcı lar elektronik sertifika, zaman damgası ve elektronik imzayla ilgili hizmetleri sunan gerçek veya tüzel kişilerdir. e-tuğra, Kanun ve ilgili mevzuattaki gereklilikleri yerine getirerek Bilgi Teknolojileri ve İletişim Kurumu na usulü dairesinde bildirimde bulunmuş ve bildirimde belirttiği koşulları sağladığı Bilgi Teknolojileri ve İletişim Kurumu tarafından uygun görülerek faaliyete geçmesi hususunda yetki verilmiş bir Elektronik Sertifika Hizmet Sağlayıcısı dır. e-tuğra, kendisi tarafından oluşturulan NES lerin özelliklerini ve kullanımına ilişkin hususları, sertifikasyon sürecini, sertifikasyon sürecine katılan tarafların hak ve yükümlülüklerini, "ESHS" olarak yürüttüğü teknik ve operasyonel faaliyetlerini Nitelikli Elektronik Sertifika İlkeleri( NESİ ) belgesinde kamuoyuna ve ilgili taraflara açıklar. e- Tuğra bunun yanında NESİ belgesinde yer alan hususların nasıl uygulandığını detaylı olarak Sertifika Uygulama Esasları (Kısaca SUE ) dokümanında belirterek bu dökümanı da kamuoyunun ve ilgili tarafların bilgisine sunar. - 2 -

Tebliğ in 5. Maddesine göre "ESHS"ler işleyişlerinin bütün aşamalarında ETSI TS 101 456 ve CWA 14167-1 standartlarına uymak zorundadırlar. ETSI TS 101 456 standardı, "ESHS" işleyişinde iki grup sertifika ilkesi yayınlanabileceğini belirtmektedir. Bunlar qualified certificate policy ve qualified certificate policy + SSCD gruplarıdır. e-tuğra, ESHS olarak işleyişinde ETSI TS 101 456 standardında belirtilen qualified certificate policy + SSCD grubuna uygun olarak sertifika ilkelerini oluşturmuş ve bu doğrultuda NESİ dokümanını yayınlamıştır.. Buna göre hem güvenli elektronik imza oluşturmak için gerekli olan güvenli elektronik imza oluşturma aracı hem de imza sahibinin kimliğinin tespitini sağlayan ve e-tuğra tarafından oluşturulan NES e- Tuğra tarafından Sertifika Sahibi ne sağlanacaktır. 1.2. Tanımlama Nitelikli Elektronik Sertifika Uygulama Esasları için Belirteç e-tuğra Nitelikli Elektronik Sertifika Uygulama Esasları Sürüm 1.0 Nesne Belirteci : 2.16.792.3.0.4.1.1.2 Nitelikli Elektronik Sertifika İlkeleri için Belirteç e-tuğra Nitelikli Elektronik Sertifika İlkeleri Sürüm 1.0 Nesne Belirteci : 2.16.792.3.0.4.1.1.1 1.3. Katılımcılar NESİ kapsamında katılımcı olarak tanımlanan sujeler, e-tuğra nın ESHS işleyişinde rol alan, işleyişle ilgili hak ve yükümlülükleri bulunan taraflardır. NESİ kapsamında katılımcılar, e-tuğra, kayıt birimleri, bireysel ve kurumsal NES başvurusunda bulunan kimseler, NES sahipleri ve üçüncü kişilerdir. - 3 -

1.3.1. Elektronik Sertifika Hizmet Sağlayıcısı - "ESHS" ( e-tuğra ) e-tuğra, ESHS işleyişi içerisinde 5070 sayılı Elektronik İmza Kanunu ve ilgili mevzuat hükümleri ile bu NESİ ve SUE doğrultusunda hak ve yükümlülükleri belirlenmiş olan bir ESHS dir. e-tuğra tarafından oluşturulan NES ler, e-tuğra ESHS alt kök sertifikası tarafından imzalanır; e-tuğra ESHS alt kök sertifikası da e-tuğra kök sertifikası tarafından imzalanır. 1.3.2. Kayıt Birimleri Kayıt Birimleri (Kısaca KB ), NES başvurusu, iptal ve yenileme talepleriyle ilgili hizmetleri yürüten, doğrudan e-tuğra nın kontrol ve denetimi altında olan yerleşik yapılar ve bu yerleşik yapılar içerisinde istihdam edilen ve/veya ettirilen e-tuğra ya bağlı personel veya e-tuğra ile Kayıt Birimi Sözleşmesi yapmış olan gerçek ve/veya tüzel kişilerdir. KB ler e-tuğra tarafından belirlenen belgelere dayanarak, NES talebinde bulunan kişilerin kimliklerini ve NES içerisinde yer alacak bilgilerin geçerliliğini kontrol ederler. KB ler bunun yanında Sertifika Sahipleri ile e-tuğra arasında sertifikanın yaşam zinciri süresince yürütülecek olan işlemlere ilişkin başvuruların alınması ve gerekli olan operasyonların e-tuğra adı ve hesabına yürütülmesi noktasında sorumluluk üstlenebilirler. KB ler ayrıca NES sahiplerine asgari güvenli elektronik imza oluşturma aracı ve NES ten oluşan ancak bunlarla sınırlı kalmamak üzere e-tuğra nın yürüttüğü faaliyetlere ilişkin çeşitli ekipman ve hizmetlerin de içerisinde yer alabileceği güvenli e-imza paketi ne ilişkin başvuru işlemlerinin de e-tuğra adı ve hesabına yürütülmesini de sağlarlar. KB ler aracılığıyla yapılacak NES başvuruları, başvuru sahibinin KB ofisine bizzat gelerek yüz yüze başvuruda bulunması; gerekli bilgi ve belgeleri KB ofisi yetkilisine teslim etmesi esasına dayanmaktadır. KB lere e-tuğra tarafından fotoğraflı bir KB Yetkilisi Belgesi tanzim edilmekte, KB ler NES başvuru sahipleri ile herhangi bir işlem yapmadan önce e-tuğra tarafından kendileri adına tanzim edilen yetki belgelerini NES başvuru sahiplerine ibraz etmektedirler. - 4 -

e-tuğra, yerleşik KB ofislerinin adreslerini ve iletişim bilgilerini web sitesi aracılığıyla kamuoyuna duyurur. 1.3.3. NES Başvuru Sahibi / NES Sahibi, Kurumsal Başvuru Sahibi 5070 sayılı Elektronik İmza Kanunu na göre NES ler sadece gerçek kişiler adına ESHS ler tarafından oluşturulabilirler. NES sahibi e-tuğra tarafından kamuoyuna açıklanan NESUE, NESİ, NES Sahibi ile akdedilen NES Kullanıcı Sözleşmesi ve e-tuğra tarafından belirlenen gereklilikleri yerine getirerek adına NES oluşturulmuş gerçek kişilerdir. NES başvuruları bireysel başvuru ve kurumsal başvuru olmak üzere iki şekilde yapılabilir; Bireysel başvuru sahibi, kendisi adına NES başvurusunda bulunan ve gerekli prosedürleri yerine getirerek e-tuğra ile NES Kullanıcı Sözleşmesi imzalamış olan gerçek kişilerdir. Kurumsal başvuru sahibi; çalışanları veya müşterileri veya üyeleri veya hissedarları adına NES başvurusunda bulunan ve gerekli prosedürleri yerine getirerek e-tuğra ile Kurumsal Başvuru Sözleşmesi imzalamış olan tüzel kişilerdir. 1.3.4. Üçüncü Kişiler Üçüncü kişiler, e-tuğra tarafından oluşturulan NES ler kullanılarak güvenli elektronik imza ile imzalanmış verileri imzalayan kişinin kimliğini tespit eden; NES lerin, e-tuğra kök ve alt kök sertifikalarının, e-tuğra zaman damgalarının geçerlilik kontrollerini yerine getirerek veya güvenli elektronik imza doğrulama aracı kullanmak suretiyle doğrulama işlemini gerçekleştiren ve güvenli elektronik imzayla imzalanmış verilere güvenerek iş ve işlemlerde bulunan kişilerdir. NES sahipleri yukarıda bahsedilen doğrulama süreçlerini kendileri yerine getirmeleri durumunda üçüncü kişi olarak hareket etmektedirler. - 5 -

1.3.5. Diğer Katılımcılar 1.3.5.1 Güven Merkezi Güven Merkezi, e-tuğra nın tüm sertifika yaşam zinciri operasyonlarını yürüttüğü ve sertifika otoritesi teknik altyapısını kurup işlettiği, gerekli tüm fiziki ve teknik güvenlik gereksinimlerini yerine getiren merkezidir. Güven Merkezi TS ISO/IEC 27001 güvenlik sertifikasına sahip olup, tüm işleyişini 5070 sayılı Elektronik İmza Kanunu, ilgili mevzuat ve bu mevzuatla atıfta bulunulan uluslararası standartlara uygun olarak yürütmektedir. 1.4. Sertifika Kullanımı 1.4.1. İzin Verilen Sertifika Kullanımı e-tuğra kök ve alt kök sertifikaları sadece NES imzalanması, SİL imzalanması, ÇSDP ve zaman damgası sertifikalarının imzalanması ile bahsi geçen sertifikaların ve verilerin doğrulanması süreçlerinde kullanılabilir. e-tuğra tarafından oluşturulan NES ler sadece güvenli elektronik imza oluşturma ve doğrulama süreçleri içerisinde, NES in içinde yer alan kullanıma ve maddi kapsama ilişkin sınırlamalar dahilinde ve NES Kullanıcı Sözleşmesi hükümlerine uygun olarak kullanılabilirler. NES ler aynı zamanda üçüncü kişiler tarafından NES in geçerliliğinin doğrulanması ve NES içeriğine erişilmesi amaçlarıyla da kullanılabilirler. 1.4.2. Yasaklanan Sertifika Kullanımı e-tuğra tarafından oluşturulan NES ler ile kök ve alt kök sertifikalarının NESİ 1.4.1. de belirtilen alanlar dışında kullanılmaları yasaktır. Elektronik İmza Kanunu nun 5. maddesi hükmü uyarınca Kanunların resmî şekle veya özel bir merasime tabi tuttuğu hukukî işlemler ile teminat sözleşmeleri güvenli elektronik imza kullanılarak yapılamaz. Bu nedenle bahsi geçen işlemlerin güvenli elektronik imzayla yapılması ve bu işlemlere ilişkin güvenli elektronik imza oluşturma ve doğrulama süreçlerinde NES lerin kullanılması yasaktır. - 6 -

1.5. Politika Yönetimi 1.5.1. NESİ ile ilgili Yetkili Kurum NESİ dokümanının yayınlanmasından, değiştirilmesinden, yenilenmesinden ve bu dokümana ilişkin diğer tüm işlemlerden e-tuğra tarafından bu hususla ilgili yetkilendirilmiş e-tuğra personelinin oluşturduğu güvenlik forumu sorumludur. 1.5.2. İrtibat Görevlisi NESİ ile ilgili sorularınızı aşağıdaki adrese iletiniz: EBG Bilişim Teknolojileri ve Hizmetleri A.Ş. Ceyhun Atıf Kansu Cad. No. 130/58 Balgat/ANKARA Telefon : 0-312-472 21 13 / 0-312-473 56 90 Faks: 0-312-473 56 91 e-mail: info@e-tugra.com.tr 1.5.3. NESİ nin Politikaya Uygunluğunu Belirleyen Kişi NESİ nin, NESUE dokümanına ve e-tuğra ESHS işleyiş süreçlerine uygunluğunu yetkili e-tuğra personeli denetler. 1.5.4. NESİ Onaylama Prosedürü e-tuğra yetkilileri düzenli olarak NESİ dokümanı ve e-tuğra ESHS işleyiş süreçleri ile ilgili denetim çalışmalarını sürdürürler. Denetim çıktıları doğrultusunda ve/veya işleyiş süreçlerinde değişikliğe gidilmesi durumunda NESİ üzerinde değişiklik veya yenileme yapılır. NESİ üzerindeki değişiklikler veya yeni sürümler yetkili e-tuğra personelinin onayına sunulur. NESUE ve NESİ üzerinden yapılan tüm değişiklikler yayımlanmadan ve kamuoyuna duyurulmadan önce, Bilgi Teknolojileri ve İletişim Kurumu nun onayına sunulur. Bilgi Teknolojileri ve İletişim Kurumu nun onayından geçen değişiklikleri içeren NESUE ve NESİ nin yeni sürümleri usulü dairesinde kamuouyunun bilgisine sunulur. - 7 -

1.6. Tanımlar ve Kısaltmalar KAVRAM/KISALTMA Başvuru Yöntemleri Bireysel Başvuru Sahibi CEN CWA ÇSDP EAL e-tuğra Elektronik İmza Kanunu ESHS ETSI AÇIKLAMA/TANIM "ESHS" ile NES Başvuru Sahibi arasında başvurunun yapılması, sertifika sahibinin kimliğinin tespiti, gerekli evrakların hazırlanması, sertifika ücretlerinin ödenmesi, evrakların saklanması, nitelikli elektronik sertifikaların yayınlanması ve sertifika sahibi ne iletilmesi, sertifika iptal, yenileme ve askı taleplerinin iletimindeki usuller gibi hususların belirlendiği teknik ve idari süreçlerden oluşan yöntemler. Bu yöntemlere www.etugra.com adresinden ulaşılabilir. Kendisi adına NES başvurusunda bulunan ve gerekli prosedürleri yerine getirerek e-tuğra ile NES Kullanıcı Sözleşmesi imzalamış olan gerçek kişilerdir. Comité Européen de Normalisation - Avrupa Standardizasyon Komitesi CEN Workshop Agreement- CEN Çalıştay Kararı Çevrimiçi Sertifika Durum Protokolü Evaluation Assurance Level - Değerlendirme Garanti Düzeyi EBG Bilişim Teknolojileri ve Hizmetleri A.Ş. 23 Ocak 2004 tarih 25355 sayılı Resmi Gazete de yayımlanan 5070 Sayılı Kanun. Elektronik Sertifika Hizmet Sağlayıcı European Telecommunication Standartization Institute - Avrupa Telekomünikasyon Standartları Enstitüsü - 8 -

ETSI TS Güvenli İmza Güvenli İmza Aracı Güvenli İmza Aracı Elektronik Elektronik Doğrulama Elektronik Oluşturma ETSI Technical Specifications - ETSI Teknik Özellikleri Güvenli elektronik imza; a) Münhasıran imza sahibine bağlı olan, b) Sadece imza sahibinin tasarrufunda bulunan güvenli elektronik imza oluşturma aracı ile oluşturulan, c) Nitelikli elektronik sertifikaya dayanarak imza sahibinin kimliğinin tespitini sağlayan, d) İmzalanmış elektronik veride sonradan herhangi bir değişiklik yapılıp yapılmadığının tespitini sağlayan, Elektronik imzadır. Güvenli elektronik imza doğrulama araçları; a) İmzanın doğrulanması için kullanılan verileri, değiştirmeksizin doğrulama yapan kişiye gösteren, b) İmza doğrulama işlemini güvenilir ve kesin bir biçimde çalıştıran ve doğrulama sonuçlarını değiştirmeksizin doğrulama yapan kişiye gösteren, c) Gerektiğinde, imzalanmış verinin güvenilir bir biçimde gösterilmesini sağlayan, d) İmzanın doğrulanması için kullanılan elektronik sertifikanın doğruluğunu ve geçerliliğini güvenilir bir biçimde tespit ederek sonuçlarını değiştirmeksizin doğrulama yapan kişiye gösteren, e) İmza sahibinin kimliğini değiştirmeksizin doğrulama yapan kişiye gösteren, f) İmzanın doğrulanması ile ilgili şartlara etki edecek değişikliklerin tespit edilebilmesini sağlayan ve CWA 14171 standardına uygun imza doğrulama araçlarıdır. Güvenli elektronik imza oluşturma araçları; a) Ürettiği elektronik imza oluşturma verilerinin kendi aralarında bir eşi daha bulunmamasını, b) Üzerinde kayıtlı olan elektronik imza oluşturma verilerinin araç dışına hiçbir biçimde çıkarılamamasını ve gizliliğini, c) Üzerinde kayıtlı olan elektronik imza oluşturma verilerinin, üçüncü kişilerce elde edilememesini, kullanılamamasını ve elektronik imzanın sahteciliğe karşı korunmasını, d) İmzalanacak verinin imza sahibi dışında değiştirilememesini ve bu verinin imza sahibi tarafından imzanın oluşturulmasından önce görülebilmesini, Sağlayan ve ISO/IEC 15408 (-1,-2,-3) e göre en az EAL4+ - 9 -

seviyesinde olan araçlardır. Güvenli e-imza En az nitelikli elektronik sertifika ve güvenli elektronik imza Paketi oluşturma aracından oluşan "ESHS" tarafından Sertifika Kullanıcıları na sağlanan hizmet ve ekipmanlar bütünü. Güvenli e-imza Paketi nin fiyatları ile içerdiği ekipmanlar ve hizmetlere ilişkin detaylı açıklamaya www.e-tugra.com web adresinden erişilebilir. IETF RFC Internet Engineering Task Force Request for Comments - İnternet Mühendisliği Görev Grubu Yorum Talebi ISO/IEC International Organisation for Standardisation / International Electrotechnical Commitee - Uluslararası Standardizasyon Teşkilatı / Uluslararası Elektroteknik Komitesi. Kayıt Birimi "ESHS"ye bağlı olarak faaliyette bulunan Sertifika Kullanıcıları ile Kurumsal Başvuru Sahipleri nin NES başvurularını alan "ESHS"nin yetkili birimi. Kimlik Bilgileri Sertifika Kullanıcısı nın Adı-Soyadı, Türkiye Cumhuriyeti Kimlik Numarası, doğum yeri, doğum tarihi ve uyruğu. Kurumsal Başvuru Kurumsal Başvuru Sahibi Kurumsal Başvuru Yetkilisi Bir tüzel kişiliğin çalışanları veya müşterileri veya üyeleri veya hissedarları adına yaptığı nitelikli elektronik sertifika başvurusunu "ESHS" ile Kurumsal Başvuru Sözleşmesi akdetmiş olan ve bu sözleşme hükümleri ve Yönetmeliğin 3. ve 9. maddeleri uyarınca çalışanları veya müşterileri veya üyeleri veya hissedarları adına nitelikli elektronik sertifika başvurusunda bulunan tüzel kişilik Sertifika Kullanıcısı adına "NES" düzenlenmesi için "ESHS"ye bildirilecek olan bilgileri Yönetmeliğin Mad. 9/1.de belirtilen belgelere dayanarak tespit eden ve Kurumsal Başvuru Sözleşmesi içerisinde kendisiyle ilgili belirtilen işlemleri Kurumsal Başvuru Sahibi adı ve hesabına yerine getiren - 10 -

NES NES Başvuru Sahibi Nitelikli Elektronik Sertifika" OID NESİ Nitelikli Elektronik Sertifika İlkeleri SİL Sertifika Kullanıcısı SSCD NESUE Nitelikli Elektronik Sertifika Uygulama Esasları Kurumsal Başvuru Sahibi nin çalışanı. Nitelikli Elektronik Sertifika ESHS ye bireysel veya kurumsal başvuruda bulunan kişi. 5070 Sayılı Kanunun 9. Maddesinde içerik olarak; Elektronik İmza ile İlgili Süreçlere ve Teknik Kriterlere İlişkin Tebliğ in 5. Maddesinde ise teknik bakımdan özellikleri belirtilen elektronik sertifika. Object Identifier - Nesne betimleyicisi. Nitelikli Elektronik Sertifika İlkeleri Sertifikaların belli bir topluluk ve/veya genel güvenlik gereklilikleri olan uygulamalar bakımından kabul edilebilirliğini belirten kurallar bütününe Sertifika İlkeleri denilmektedir. Nitelikli Elektronik Sertifika İlkeleri, Elektronik Sertifika Hizmet Sağlayıcıları tarafından umuma açıklanan yukarıda belirtilen amaçları karşılamaya yönelik bir belgedir. ESHS tarafından yayınlanan NESİ ye, "Sertifika Kullanıcı ları uymak zorundadır. NESİ ye, duruma göre zaman zaman yapılabilecek değişiklikler de dahil olmak üzere, "ESHS"nin web sitesinden erişilebilir. Sertifika İptal Listesi Adına "ESHS" tarafından "NES" düzenlenen gerçek kişi. Bu doküman içerisinde geçen Sertifika Sahibi ve NES Sahibi kavramları Sertifika Kullanıcısı ile eş anlamlı olarak kullanılmaktadır. Secure Signature Creation Device Güvenli Elektronik İmza Oluşturma Aracı Nitelikli Elektronik Sertifika Uygulama Esasları Sertifika Kullanıcı ları başta olmak üzere NESİ içerisinde tanımlanan her bir tarafın NESİ içinde tanımlı operasyonları gerçekleştirmek için uymak zorunda olduğu gerekliliklerin tespit - 11 -