e-güven Finans Kurumları Nitelikli Elektronik Sertifika İlkeleri

e-güven Finans Kurumları Nitelikli Elektronik Sertifika İlkeleri Sürüm 1.0 Yürürlük Tarihi: Mart, 2005 OID 2.16.792.3.0.1.1.1.1 Elektronik Bilgi Güvenliği Anonim Şirketi Vali Konağı cad. no:147/14 34365 Nişantaşı / İstanbul Türkiye Tel : 0212 296 81 46 Fax : 0212 296 81 48 Çağrı Merkezi : 0216 459 3747 (ESHS) Web Adresi : http://www.e-guven.com

e-güven Finans Kurumları Nitelikli Elektronik Sertifika Uygulama İlkeleri 2005 Elektronik Bilgi Güvenliği A.Ş. Her hakkı saklıdır. Revizyon tarihi: Mart 2005 Açıklamalar ve Uyarılar Bu dokümanda kullanılan markalar Elektronik Bilgi Güvenliği A.Ş veya ilgili tarafların mülkiyetindedir. Yukarıda belirtilen haklar saklı kalmak kaydıyla ve aşağıda özel olarak aksine izin verilen durumlar hariç olmak üzere, bu yayının hiçbir parçası, önceden Elektronik Bilgi Güvenliği A.Ş. nin izni alınmadan herhangi bir formda veya herhangi bir araçla (elektronik, mekanik, fotokopi, kayıt veya başka araçlar) çoğaltılamaz, aktarılamaz ya da bir veri okuma sistemine kaydedilemez veya işlenemez. Bununla birlikte, (i) yukarıdaki telif hakkı uyarısının ve giriş paragraflarının her bir nüshanın başında açıkça gösterilmesi ve (ii) bu dokümanın, Elektronik Bilgi Güvenliği A.Ş. ye atıf yapılarak, bir bütün halinde ve hatasız kopyalanması şartıyla, bu eserin ücreti ödenmeden çoğaltılmasına ve dağıtılmasına izin verilebilir. Bununla birlikte çoğaltma ve dağıtım izni herhangi bir kişiye münhasıran verilmez. e-güven Finans Kurumları Nitelikli Elektronik Sertifika Uygulama İlkeleri (FKNESİ); 5070 Sayılı Elektronik İmza Kanunu ve ilgili mevzuat uyarınca ve ETSI TS 101 456, ETSI TS 102 023, CWA 14167-1, IETF RFC 3647 standartlarına uygun olarak hazırlanmıştır. İşbu FKNESİ ile ilgili yorum ve uyuşmazlıklar öncelikle e-güven ile uyuşmazlığın karşı tarafı veya dokumanla ilgili olan kişi arasında akdedilen işbu FKNESİ ye atıfta bulunan sözleşme; yorumlamaya konu olan olayın meydana geldiği ve uyuşmazlıkların ortaya çıktığı zaman yürürlülükte olan FKNESİ nin hükümleri çerçevesinde değerlendirilecektir. İşbu FKNESİ de geçen terimler, değerlendirmeler ve açıklamalar 5070 Sayılı Elektronik İmza Kanunu nun kapsamındadır. İşbu FKNESİ ile ilgili uyuşmazlıklarda ve yorumlamalarda 5070 Sayılı Elektronik İmza Kanunu hükümleri ve bu kanunla ilgili mevzuat geçerli olacaktır. İşbu FKNESİ içersinde Elektronik Bilgi Güvenliği A.Ş. web sitesinden erişilebileceği veya e-guven.com uzantılı elektronik posta adresinden bildirimde bulunulabileceği belirtilen iletişim adresi, bilgi, belge ve dokümanlara www.eguven.com sitesinden ulaşılabilecektir. İşbu e-güven Finans Kurumları Nitelikli Elektronik Sertifika İlkeleri ile ilgili çoğaltılma izinleri (ve yanı sıra e-güven den kopyalarının temini) için talepler

Elektronik Bilgi Güvenliği A.Ş., Vali Konağı Cad. No:147/14 34365 Nişantaşı / İstanbul- Türkiye, Dikkatine: Uygulama Geliştirme adresine yapılmalıdır. Tel: +90 212 296 81 46 Faks: +90 212 296 81 48 Elektronik Posta: nesue@eguven.com Teşekkür Elektronik Bilgi Güvenliği A.Ş., dokümanın incelenmesinde görev alan ve hukuk, politika ve teknoloji gibi çok çeşitli alanlarda uzman olan çok sayıda kişiye katkılarından dolayı teşekkür eder. - ii -

İÇİNDEKİLER Kısaltmalar 5 1. FKNESİ ye Genel Bakış 5 2. FKNESİ nin ve NES lerin Tanımlanması 7 3. Kullanılabilirlik 9 3.1 NES Kullanımı... 9 3.1.1 İzin Verilen NES Kullanımı... 9 3.1.2 Yasaklanan NES Kullanımı... 10 4. Haklar, Sorumluluklar ve Yükümlülükler 11 4.1 ESHS nin Hakları, Sorumlulukları ve Yükümlülükleri... 11 4.2 NES Sahibinin Hakları, Sorumlulukları ve Yükümlülükleri... 12 4.3 Kurumsal Başvuru Sahibi Finans Kurumunun Hakları, Sorumlulukları ve Yükümlülükleri... 13 4.4 Üçüncü Kişilerin Hakları, Sorumlulukları ve Yükümlülükleri... 13 4.5 Güvenli Elektronik İmza Oluşturma Ve Doğrulama Araçları Sağlayıcılarının Hakları, Sorumlulukları ve Yükümlülükleri... 14 5. Tanımlama ve Kimlik Doğrulama 14 6. İmza Oluşturma ve Doğrulama Verilerini Yaratma Prosedürü 16 7. NES Başvurusu 16 8. NES in Yayınlanması ve Dağıtılması 17 9. NES in Kabulü 18 10. NES İptal ve Askıya Alma Prosedürleri 18 10.1.1. NES İptalinin Şartları... 19 10.1.2 Kimler İptal Başvurusunda Bulunabilir... 20 10.1.3 İptal Başvurusuna İlişkin Talepler... 20 10.1.4 İptal Başvurusuna İlişkin Değerlendirme Süreci... 20 10.1.5 İptal Durumuna İlişkin Üçüncü Kişilerin Kontrol Yükümlülüğü... 20 10.1.6 İptal Durum Kaydı (İDK) Yayınlama Sıklığı... 20 10.1.7 Çevrimiçi İptal Kontrolü Erişilebilirliği... 21 10.2 Askı Koşulları... 21 10.2.1 Kimler Askı Talebinde Bulunabilir... 21 10.2.2 Askı Talebi Süreci... 21 10.2.3 Askı Süresindeki Limitler... 21 11. NES in Yenilenmesi 22 11.1.1 NES lerin Yeniden Anahtarlanmasını Gerektiren Durumlar... 22 11.1.2 Kimler Yeni İmza Doğrulama Verisinin Sertifikalanması İçin Talepte Bulunabilirler... 22 11.1.3 NES lerin Yeniden Anahtarlanmasına Yönelik Taleplerin İşleyişi... 22 12. Kişisel Verilerin Korunması 23 13. Şikayet ve Uyuşmazlıkların Çözümü 23 EK A NES Başvurusunda İstenen Belgeler 24 EK B FKNESİ / RFC 3647 Karşılaştırma Tablosu 26 - iii -

EK C e-güven Zaman Damgası İlkeleri 27 1. Genel Hükümler 27 1.1 Giriş... 27 1.2 ESHS Zaman Damgası Sağlayıcısı... 27 1.3 Kullanıcılar... 27 1.4 Zaman Damgası Uygulama Esasları (ZDUE) ve Zaman Damgası İlkeleri (ZDİ)... 27 1.4.1 Amaç... 27 1.4.2 Özellik Seviyesi... 27 1.4.3 Yaklaşım... 28 2. ZDİ 28 2.1 Genel... 28 2.2 Tanımlama... 28 2.3 Kullanılabilirlik... 28 2.4 Uyumluluk... 28 3. Sorumluluklar ve Yükümlülükler 28 3.1 ESHS nin Yükümlülükleri... 28 3.2 Kullanıcının Yükümlülükleri... 29 3.3 Üçüncü Kişilerin Yükümlülükleri... 29 4. Zaman Damgası Hizmetleri Operasyonel Gereklilikler 29 4.1 Anahtar Yönetimi Yaşam Döngüsü... 29 4.1.1 ESHS Zaman Damgası Hizmet, Anahtarı Yaratma... 29 4.1.2 Zaman Damgası Ünitesi Kapalı Anahtar Koruması... 30 4.1.3 Zaman Damgası Ünitesi Açık Anahtar Dağıtımı... 30 4.1.4 Zaman Damgası Ünitesi Anahtarının Yeniden Anahtarlanması... 30 4.1.5 Zaman Damgası Ünitesi Anahtar Yaşam Döngüsünün Sonlandırılması... 30 4.1.6 Zaman Damgası Hizmetinde Kullanılan Şifreleme Modüllerinin Yaşam Döngüsü Yönetimi 30 4.2 Zaman Damgası Hizmeti... 31 4.2.1 Zaman Damgası... 31 4.2.2 UTC ile Saat Senkronizasyonu... 31 4.3 ESHS Zaman Damgası Hizmeti Yönetimi ve Operasyonları... 32 4.3.1 Güvenlik Yönetimi... 32 4.3.2 Risk Değerlendirmesi... 32 4.3.3 Personel Güvenliği... 32 4.3.4 Fiziksel ve Çevresel Güvenlik... 32 4.3.5 Operasyon Yönetimi... 32 4.3.6 Sistem Erişimi Yönetimi... 32 4.3.7 Güvenilir Ortam... 32 4.3.8 ESHS Zaman Damgası Hizmeti İmza Oluşturma Verisinin Açığa Çıkması... 32 4.3.9 ESHS Zaman Damgası Sağlayıcı İptali... 32 4.3.10 Yasal Gerekliliklere Uyumluluk... 32 4.3.11 ESHS Zaman Damgası Hizmeti Faaliyet Günlüğü... 33 5. Organizasyonel Plan 33 - iv -

Kısaltmalar e-güven Elektronik Bilgi Güvenliği A.Ş. Finansal Kurum Banka, sigorta şirketi, aracı kurum, faktoring şirketi, finansal kiralama şirketi gibi bunlarla sınırlı olmamak üzere mali piyasalarda faaliyet gösteren tüzel kişiler. e-güven mali piyasalarda faaliyet göstermemesine rağmen işbu FKNESİ hükümleri uyarınca nitelikli elektronik sertifika almak için Kurumsal Başvuruda bulunmayı talep eden tüzel kişilerle de işbu FKNESİ de bulunan koşullar çerçevesinde anlaşabilir. CEN Comité Européen de Normalisation / Avrupa Standardizasyon Komitesi CWA CEN Workshop Agreement / CEN Çalıştay Kararını EGA e-güven Güven Ağı ETSI European Telecommunications Standards Institute / Avrupa Telekomünikasyon Standartları Enstitüsü ETSI TS ETSI Technical Specification / ETSI Teknik Özellikleri ESHS Elektronik Sertifika Hizmet Sağlayıcısı SİL Sertifika İptal Listesi NES Nitelikli Elektronik Sertifika FKNESİ Finans Kurumları Nitelikli Elektronik Sertifika İlkeleri NESUE Nitelikli Elektronik Sertifika Uygulama Esasları PYO Politika Yönetim Otoritesi IETF RFC Internet Engineering Task Force Request for Comments / İnternet Mühendisliği Görev Grubu Yorum Talebi SSCD Secure Signature Creation Device / Güvenli Elektronik İmza Oluşturma Aracı QCP Qualified Certificate Policy / Nitelikli Elektronik Sertifika Politikası Sertifika veya NES Sahibi Adına e-güven tarafından nitelikli elektronik sertifika tanzim edilen gerçek kişi Kurum Telekomünikasyon Kurumu Kanun 23 Ocak 2004 tarih 25355 sayılı Resmi Gazete de yayımlanan 5070 Sayılı Kanun Yönetmelik Tebliğ ZDUE ZDİ 6 Ocak 2005 tarih 25692 sayılı Resmi Gazete de yayımlanan Elektronik İmza Kanununun Uygulanmasına İlişkin Usul ve Esaslar Hakkında Yönetmelik 6 Ocak 2005 tarih 25692 sayılı Resmi Gazete de yayımlanan Elektronik İmza ile İlgili Süreçlere ve Teknik Kriterlere İlişkin Tebliğ Zaman Damgası Uygulama Esasları Zaman Damgası İlkeleri 1. FKNESİ ye Genel Bakış Elektronik sertifikaların belli bir topluluk ve/veya genel güvenlik gereklilikleri olan uygulamalar bakımından kabul edilebilirliğini belirten kurallar bütününe Sertifika İlkeleri denilmektedir. Sertifika İlkeleri, Elektronik Sertifika Hizmet Sağlayıcıları tarafından umuma açıklanan ve yukarıda belirtilen amaçları karşılamaya yönelik belgelerdir. NES lerin uygulama alanlarına veya belli bir topluluğa özgü olmalarına göre farklı Sertifika İlkeleri bulunabilir. FKNESİ, e-güven tarafından düzenlenen "NES"lerin finansal kurumların oluşturduğu topluluk özelinde kabul edilebilirliğini belirten kurallar bütününü açıklamaktadır. - 5 -

Bu doküman e-güven Finans Kurumları Nitelikli Elektronik Sertifika İlkeleri dir (FKNESİ). FKNESİ, 5070 Sayılı Elektronik İmza Kanunu ve ilgili mevzuat hükümlerine uygun olarak hazırlanmıştır. FKNESİ aynı zamanda Telekomünikasyon Kurumu tarafından 1 yayınlanan, Elektronik İmza Kanunun Uygulanmasına İlişkin Usul ve Esaslar Hakkında Yönetmelik ve Elektronik İmzaya İlişkin Süreçler ile Teknik Kriterlere İlişkin Tebliğ de atıfta bulunulan Avrupa Telekomünikasyon Standartları Enstitüsü (ETSI), Avrupa Standardizasyon Komitesi (CEN), İnternet Mühendisliği Görev Grubu nun (IETF) nitelikli elektronik sertifika ilkeleri ve zaman damgası ilkeleri ile ilgili standartları ETSI TS 101 456, ETSI TS 102 023, CWA 14167-1, IETF RFC 3647 standartlarına uyumlu olacak şekilde hazırlanmıştır. FKNESİ 2 ; e-güven in ESHS olarak finans kurumları aracılığıyla son kullanıcılara ulaştırdığı NES lerin düzenlenmesi, yönetilmesi, iptal edilmesi ve yenilenmesi gibi uygulamalarını açıklayan; e-güven in finans kurumları ve finans kurumları aracılığıyla ulaştığı topluluk özelinde sertifika ilkelerini belirleyen belgedir. NESUE ise, e-güven in FKNESİ içersinde belirtilen katılımcılar başta olmak üzere belli bir topluluk ve/veya genel güvenlik gereklilikleri olan uygulamalar bakımından kabul edilebilirliğini belirten kuralların nasıl uygulanacağını mevcut ve müstakbel bütün EGA katılımcılarına detaylı bir şekilde açıklayan belgedir. FKNESİ, EGA yı düzenleyen ilkelerden biridir. FKNESİ, EGA içinde yer alan finans kurumları aracılığıyla dağıtılacak olan nitelikli elektronik sertifikaların onaylanması, düzenlenmesi, yönetilmesi, kullanılması, iptal edilmesi, yenilenmesi ve tüm bunların yanı sıra ilgili güvenli servislerinin sağlanması için ticari, hukuki ve teknik şartları belirler. EGA, Kayıt Makamları, NES sahipleri, kurumsal başvuru sahipleri, üçüncü kişiler, Operasyon Merkezi ve elektronik imza oluşturma ve doğrulama araçları sağlayıcıları gibi katılımcıları içerir. FKNESİ, EGA içerisinde finans kurumlarının kurumsal başvuru sahibi olduğu modelin işleyişine ilişkin ilkeleri düzenler. FKNESİ, e-güven Politika Yönetim Otoritesi (PYO) tarafından hazırlanmıştır. PYO, FKNESİ de yapılacak değişikliklerden, FKNESİ nin ilgili standartlara ve ilgili mevzuata uyumlu olmasından sorumludur. FKNESİ, finans kurumlarının EGA içersinde Kurumsal Başvuru Sahibi olduğu model için geçerli olacak hükümleri ortaya koymaktadır. FKNESİ, EGA içersinde kurumsal başvuru sahibi olan finansal kurumlar ve bu kurumların yapmış olduğu kurumsal başvuru sonucu dolaşımda bulunan NES leri kulllanan, kullanılmasını sağlayan, güvenerek işlem yapan veya NES ler aracılığıyla oluşturulmuş güvenli elektronik imzaları doğrulayan bireyler ve kuruluşlar (yani EGA Katılımcıları) için NES lerin yaşam zincirine ilişkin ilkeleri düzenler. Elektronik Sertifika Hizmet Sağlayıcı (ESHS) olan e-güven, EGA içersinde kök sertifika otoritesi olarak hiyerarşik ilişkide en üstte yer almaktadır. e-güven, EGA içersinde teknik anlamda bir kök sertifika otoritesinin tüm fonksiyonlarını yürütebilme yetisine sahip olan tek sujedir. EGA sertifika zincirinde içersinde e-güven dışında herhangi bir kök sertifika otoritesi veya sertifika otoritesi bulunmamaktadır. 1 Elektronik İmza Kanununun uygulanmasına ilişkin ikincil düzenleme yapma yetkisi Elektronik İmza Kanunun 20. maddesi ile Telekomünikasyon Kurumu na verilmiştir. 2 FKNESİ, https://www.e-guven.com/e-imza/bilgideposu sitesindeki e-güven Bilgi Deposunda elektronik formda yayınlanır. - 6 -

Elektronik Bilgi Güvenliği A.Ş. ( E-Güven ), 5070 Sayılı Elektronik İmza Kanunu kapsamında bir Elektronik Sertifika Hizmet Sağlayıcıdır ( ESHS ). e-güven, bu Kanun ve ilgili mevzuat hükümleri uyarınca yüklendiği görev ve sorumlulukları, işbu belge, Kanun ve mevzuat hükümlerine uygun olarak yerine getirir. e-güven bunun dışında, elektronik ortamda iş ve işlemlerde bulunan her türlü gerçek ve tüzel kişi için dünyanın en önde gelen güvenlik alt yapısı hizmeti olan Açık Anahtar Alt Yapısı 3 ( AAA ) servislerini sunmaktadır. 5070 sayılı Elektronik İmza Kanunu nun beşinci maddesine göre güvenli elektronik imza, elle atılan imza ile aynı hukuki sonucu doğurur. Kanunun dördüncü maddesine göre güvenli elektronik imza; nitelikli elektronik sertifika ve güvenli elektronik imza oluşturma aracı ile oluşturulabilir. e-güven bu kapsamda nitelikli elektronik sertifikalar (NES) sağlamaktadır. Sertifika kullanıcıları e-güven den aldıkları NES ler ve ilgili sağlayıcılardan aldıkları güvenli elektronik imza oluşturma araçları sayesinde elle atılmış imza ile aynı hukuki sonucu doğuran güvenli elektronik imza oluşturabilirler. Sertifika sahipleri ve üçüncü kişiler ise güvenli elektronik imzaları ve nitelikli elektronik sertifikaları doğrulamak için Yönetmeliğin 16. maddesine göre güvenli elektronik imza oluşturma aracı kullanmak ya da ilgili NES in iptal ve geçerlilik durumunu kontrol etmek zorundadırlar. e-güven işbu FKNESİ hükümleri uyarınca sertifika sahiplerine münhasıran ve müstakilen NES sağlayacak ve sağladığı NES lerin yaşam zincirini yönetecektir. e-güven düzenlediği NES ile birlikte çalışabilecek, güvenli elektronik imza oluşturabilmek için gerekli olan güvenli elektronik imza oluşturma araçları ile güvenli elektronik imzaları doğrulamada kullanılan güvenli elektronik imza doğrulama araçlarını web sitesinden kamuoyuna duyuracaktır. e-güven, Elektronik İmza Kanunu ve ilgili mevzuat hükümleri uyarınca; oluşturduğu NES lerin kullanım alanlarını, ESHS olarak işleyişini ve yükümlülüklerini açıkladığı sertifika ilkeleri belgelerini (FKNESİ ve diğer sertifika ilkeleri belgeleri) ve sertifika ilkelerinde yer alan hususların nasıl uygulanacağını detaylı olarak anlatan Nitelikli Elektronik Sertifika Uygulama Esasları (NESUE) belgesini yayımlar. NESUE, EGA daki ESHS hizmetlerinin, EGA daki bütün bireyler ve kuruluşlarca (bir bütün halinde, e-güven Güven Ağı Katılımcıları) kullanımını düzenler. e-güven in sağladığı hizmetlerden nitelikli elektronik sertifika hizmetleri dışındaki hizmetler ve e-güven Güvenlik Sertifikaları bu NESUE nin kapsamı dışındadır. 2. FKNESİ nin ve NES lerin Tanımlanması FKNESİ nin kapsamı, 5070 sayılı Elektronik İmza Kanunu ile tanımlanan ve güvenli elektronik imzanın oluşturulma ve doğrulanma süreçlerinde kullanılan ve finans kurumları aracılığıyla dağıtılan NES lerle sınırlıdır. FKNESİ kapsamında NES ler güvenli elektronik imza oluşturma araçlarına NES sahipleri tarafından yüklenilmekte ve imza oluşturma ve doğrulama verileri NES sahipleri tarafından oluşturulmaktadır. ETSI TS 101 456 standardında, bu standarda uygun işleyişlerini sürdüren ESHS lerin kullanmak zorunda oldukları Nitelikli Elektronik Sertifika İlkeleri Belirteçleri açıkça belirtilmiştir. ETSI 101 862 standardına göre ise nitelikli elektronik sertifikalar, bu standartta belirlenen nitelikli elektronik sertifika belirtecini kullanmak zorundadırlar. e-güven FKNESİ de ayrıntılarıyla belirtilen ve kapsamı açıklanan işleyişini ETSI TS 101 456 QCP 3 Public Key Infrastructure PKI. - 7 -

ilkelerine göre yürüttüğü ve ETSI 101 862 standardına uygun NES ler düzenlediği için FKNESİ de ve NES lerin içersinde bu standartlarda belirtilen belirteçleri kullanır. Bu doğrultuda FKNESİ ye dahil NES lerin sertifika ilkeleri - certificate policies eki aşağıdaki şekilde oluşturulur; A Grubu Sertifikalar [1]Certificate Policy: Policy Identifier=2.16.792.3.0.1.1.1.1 (FKNESi Belirteci) [1,1]Policy Qualifier Info: Policy Qualifier Id=CPS Qualifier: https://www.e-guven.com/e-imza/bilgideposu [1,2]Policy Qualifier Info: Policy Qualifier Id=User Notice Qualifier: Notice Text= Bu sertifika Elektronik İmza Kanunu hükümleri uyarınca elektronik sertifika hizmet sağlayıcısı olan Elektronik Bilgi Güvenliği A.Ş. tarafından yayınlanmış nitelikli elektronik sertifikadır. [2]Certificate Policy: Policy Identifier=2.16.792.3.0.1.1.5.1 (e-güven A Grubu NES Belirteci) [3]Certificate Policy: Policy Identifier=0.4.0.1456.1.2 (ETSI 101 456 QCP Conformance Belirteci) [4]Certificate Policy: Policy Identifier=0.4.0.1862.1.1 (ETSI 101 862 QC Conformance Belirteci) B Grubu Sertifikalar [1]Certificate Policy: Policy Identifier=2.16.792.3.0.1.1.1.1 (FKNESi Belirteci) [1,1]Policy Qualifier Info: Policy Qualifier Id=CPS Qualifier: https://www.e-guven.com/e-imza/bilgideposu [1,2]Policy Qualifier Info: Policy Qualifier Id=User Notice Qualifier: Notice Text= Bu sertifika Elektronik İmza Kanunu hükümleri uyarınca elektronik sertifika hizmet sağlayıcısı olan Elektronik Bilgi Güvenliği A.Ş. tarafından yayınlanmış nitelikli elektronik sertifikadır. [2]Certificate Policy: Policy Identifier=2.16.792.3.0.1.1.5.2 (e-güven B Grubu NES Belirteci) [3]Certificate Policy: Policy Identifier=0.4.0.1456.1.2 (ETSI 101 456 QCP Conformance Belirteci) [4]Certificate Policy: Policy Identifier=0.4.0.1862.1.1 (ETSI 101 862 QC Conformance Belirteci) - 8 -

C Grubu Sertifikalar [1]Certificate Policy: Policy Identifier=2.16.792.3.0.1.1.1.1 (FKNESi Belirteci) [1,1]Policy Qualifier Info: Policy Qualifier Id=CPS Qualifier: https://www.e-guven.com/e-imza/bilgideposu [1,2]Policy Qualifier Info: Policy Qualifier Id=User Notice Qualifier: Notice Text= Bu sertifika Elektronik İmza Kanunu hükümleri uyarınca elektronik sertifika hizmet sağlayıcısı olan Elektronik Bilgi Güvenliği A.Ş. tarafından yayınlanmış nitelikli elektronik sertifikadır. [2]Certificate Policy: Policy Identifier=2.16.792.3.0.1.1.5.3 (e-güven C Grubu NES Belirteci) [3]Certificate Policy: Policy Identifier=0.4.0.1456.1.2 (ETSI 101 456 QCP Conformance Belirteci) [4]Certificate Policy: Policy Identifier=0.4.0.1862.1.1 (ETSI 101 862 QC Conformance Belirteci) [5]Certificate Policy: Policy Identifier= İmza Politikası Belirteci(Opsiyonel) 3. Kullanılabilirlik 3.1 NES Kullanımı İşbu FKNESİ; EGA katılımcıları olan e-güven, Operasyon Merkezi, kurumsal başvuru sahibi finans kurumları, kurumsal başvuru sahibi finans kurumu tarafından adlarına NES başvurusunda (Yönetmeliğin 2. Maddesinde belirtilen Kurumsal Başvuru) bulunulan NES sahipleri, üçüncü kişiler ve güvenli elektronik imza oluşturma ve doğrulama araçları sağlayıcıları için geçerlidir. FKNESİ kapsamındaki NES ler münhasıran ve müstakilen 5070 sayılı Elektronik İmza Kanunu kapsamında güvenli elektronik imza oluşturma ve güvenli elektronik imza doğrulama süreçlerinde kullanılabilirler. 3.1.1 İzin Verilen NES Kullanımı e-güven tarafından oluşturulan NES ler münhasıran ve müstakilen güvenli elektronik imza oluşturma ve doğrulama süreçlerinde kullanılabilir. e-güven NES leri ile ilişkili olan güvenli elektronik imza işlemlerine ilişkin sınırlamalar NES çeşitlerine göre belirlenecektir. Sınırlamalar, kullanıma ve maddi kapsama ilişkin sınırlamalar olmak üzere iki gruba ayrılmaktadır. Maddi kapsama ilişkin sınırlamalar ile sertifikanın kullanılacağı maksimum/minimum işlem değeri parasal olarak belirlenebilir. Kullanıma ilişkin sınırlamalar ise sertifikanın kullanılacağı işlem tiplerini sınırlamak için kullanılır. NES sahipleri ve üçüncü kişiler bu sınırlamalara dikkat etmek zorundadır. Güvenli elektronik imza oluşturan NES sahibi, NES in kullanımına ve maddi kapsamına ilişkin sınırlamalar dahilinde işlem - 9 -

yapmalıdır. Güvenli elektronik imzayı doğrulayan üçüncü kişiler ise doğruladıkları güvenli elektronik imzanın oluşturulma sürecinde kullanılan NES in kullanımına ve maddi kapsamına ilişkin sınırlamaları kontrol etmek ve bu sınırlar dahilinde iş ve işlemlerde bulunmakla yükümlüdür. Üçüncü kişilerin, NES in içersinde belirtilen kullanım ve maddi kapsama ilişkin sınırlamaların dışında kalan iş ve işlemlere dayanarak herhangi bir tasarrufta bulunması durumunda oluşabilecek zararlarda e-güven NES sahiplerine ve üçüncü kişilere karşı sınırlamalar dışında kalan kısım için hiçbir sorumluluk kabul etmeyecektir. e-güven ESHS işleyişinde NES lerle ilgili sınırlamalar NES çeşitleri ile belirlenmiştir. NES çeşitleri ile ilgili ayrıntılı bilgiye http://www.e-guven.com/e-imza/nes adresinden ulaşılabilir. (Ayrıca bkz. NESUE Ek B.) NES ler, güvenli elektronik imzaları doğrulama sürecinde de kullanılır. 5070 sayılı Elektronik İmza Kanunu na göre güvenli elektronik imza oluşturma aracı kullanılarak yaratılan güvenli elektronik imzalar elle atılmış imza ile aynı hukuki değeri taşımaktadır. Buna göre EGA katılımcıları (özellikle NES sahipleri ve üçüncü kişiler) güvenli elektronik imza oluşturma araçları ile yaratılmış güvenli elektronik imzaların elle atılmış imza ile aynı hükümde olduğunu; güvenli elektronik imza ya dayanarak yaptığı her işlemin usulü dairesinde hukuki sonuçlar doğuracağını kabul etmektedirler. İmza Oluşturma Verisi Elektronik İmza ile İlgili Süreçlere ve Teknik Kriterlere İlişkin Tebliğ de belirtilen standartlara uygun olan ve e-güven tarafından http://www.eguven.com/e-imza/arac adresinde tavsiye edilen güvenli elektronik imza oluşturma araçları ile kullanılabilirler. e- Güven, NES sahipleri ve üçüncü kişilerin elle atılmış imza ile aynı hukuki sonuçları doğuran güvenli elektronik imza ya güvenerek işlem yapabilmeleri için güvenli elektronik imzanın doğrulanmasında ve güvenli elektronik imzayla bağlantılı NES in geçerliliğinin kontrol edilmesinde, güvenli elektronik imza doğrulama aracı kullanmalarını kesinlikle tavsiye eder. e-güven tarafından düzenlenen NES ler ile birlikte kullanılabilecek ve Tebliğ de belirtilen CWA 14171 standardına uygun güvenli elektronik imza doğrulama araçları, e-güven tarafından http://www.e-guven.com/e-imza/arac adresinden kamuoyuna duyurulacaktır. 3.1.2 Yasaklanan NES Kullanımı e-güven NES leri tehlikeli ortamlarda kontrol ekipmanı olarak kullanım veya tekrar satış için ya da arızaların doğrudan ölüme, yaralanmaya veya ciddi çevresel hasara yol açabileceği nükleer tesis işletimi, uçak seyir veya haberleşme sistemleri, hava trafik kontrol sistemleri veya silah kontrol sistemleri gibi çok üst düzeyde özel güvenli işletim gerektiren kullanımlar için tasarlanmamıştır ve bu gibi alanlarda kullanımlarına izin verilmemektedir. Kanun un 5. maddesine uygun olarak Kanunların resmî şekle veya özel bir merasime tabi tuttuğu hukukî işlemler ile teminat sözleşmeleri, e-güven NES leri ile ilişkili güvenli elektronik imza kullanılarak yapılamaz. Bunun yanında e-güven tarafından oluşturulan NES lerin münhasıran ve müstakilen güvenli elektronik imza oluşturma ve doğrulama süreçleri ile NES in içersinde belirtilen kullanıma ve maddi kapsama ilişkin sınırlamaların dışında kullanılması yasaktır. - 10 -

4. Haklar, Sorumluluklar ve Yükümlülükler 4.1 ESHS 4 nin Hakları, Sorumlulukları ve Yükümlülükleri ESHS lerin sorumlulukları Elektronik İmza Kanunu nun 13. maddesinde belirtilmiştir. Buna göre ESHS nin NES sahibine karşı sorumluluğu genel hükümlere göre belirlenecektir. ESHS istihdam ettiği kişiler tarafından Kanun veya bu Kanuna dayanılarak çıkarılan yönetmelik hükümlerinin ihlal edilmesi durumunda, doğacak zarardan da sorumlu olup Borçlar Kanunu nun 55. Maddesi hükmü uyarınca Kurtuluş Kanıtı ileri süremez. ESHS lerin sorumlulukları ancak NES içersinde belirtilen kullanım ve maddi kapsama ilişkin sınırlamalar dahilinde sınırlandırılabilir. ESHS, NES içersinde belirtilen kullanım ve maddi kapsama ilişkin sınırlamalar dışında sertifikanın kullanılması durumunda sınırlamaların dışında kalan kullanımlar bakımından herhangi bir sorumluk yüklenmemektedir. (Bkz. NESUE EK B). ESHS, Elektronik İmza Kanunu ndan doğan yükümlülüklerini yerine getirmemesi sonucu doğan zararların karşılanması amacıyla Elektronik İmza Kanunu nun 13.maddesinde belirtilen zorunlu sertifika malî sorumluluk sigortasını yaptırmak zorundadır (Bkz. NESUE 9.2.1). ESHS, Elektronik İmza Kanunu hükümlerinin ihlâli suretiyle üçüncü kişilere verdiği zararları tazminle yükümlüdür. ESHS kusursuzluğunu ispat ettiği takdirde tazminat ödeme yükümlülüğü doğmaz. ETSI TS 101 456 ve Elektronik İmza Kanunu doğrultusunda e-güven NES sahiplerine ve üçüncü kişilere; Elektronik Sertifika Hizmet Sağlayıcısı olarak, ilgili mevzuat uyarınca kendine yüklenmiş olan tüm yükümlülükleri yerine getirerek faaliyetlerini yürüttüğünü ve/veya yürüteceğini NES in yayınlandığı zamanda içeriğindeki bilgilerin doğru olduğu ve bu bilgilerin FKNESİ EK A da belirtilen belgelere dayanarak tespit edildiğini e-güven NES lerinin, NES lerin yayınlandığı sırada ilgili mevzuat hükümleri gereğince belirlenen bir nitelikli elektronik sertifikanın gerektirdiği hukuki ve teknik bütün gereksinimleri sağladığı İmza sahibinin NES te belirtilen imza doğrulama verisine karşılık gelen imza oluşturma verisine sahip olduğu İmza oluşturma ve doğrulama verisini e-güven in yaratması halinde bu verilerin birlikte çalışabilirliği Bütün NES iptal taleplerini değerlendirdiği ve kaydettiği Kurumsal başvuru sahibi finans kurumlarının ve e-güven in ESHS işleyişinde hizmet fonksiyonu bulunan bütün katılımcıların, NES in düzenlenmesi sırasında temelde bu FKNESİ ye uygun hareket ettiği. konularında garanti verir. e-güven yayınladığı NES ler, SİL ler ve askı listeleri başta olmak üzere üçüncü kişileri bilgilendirici diğer belgeleri yayınladığı https://www.e-guven.com/e-imza/bilgideposu ile crl.e-guven.com web adresleri üzerinden bilgi deposu ve SİL hizmetlerini sunar. NES sahipleri, kurumsal başvuru sahipleri ve yetkili diğer kişiler tarafından yapılan NES iptal ve 4 e-güven - 11 -

askıya alma başvuruları üzerine crl.e-guven.com web adresinden SİL ler ve askı listeleri güncellenerek yayınlanır. e-güven aşağıdakiler için veri depolama işlevinden sorumludur: e-güven Kök Sertifikası (ESHS Sertifikası), e-güven Zaman Damgası Sertifikası Sertifikası ve e-güven ÇSDP Sertifikası e-güven NES leri e-güven Sertifika İptal Listeleri İptal Durum Kayıtları (SİL) ve Askı Listeleri e-güven, https://www.e-guven.com/e-imza/bilgideposu adresindeki web sitesinin veri bankası bölümünde belirli ESHS bilgilerini aşağıda tarif edildiği gibi yayınlar. e-güven, web sitesinin bilgi deposu bölümünde; NESİ, NESUE, NES Son Kullanıcı Sözleşmesi, Kurumsal Başvuru Sözleşmeleri, Kayıt Makamı Hizmet Sözleşmeleri Üçüncü Kişiler Bildirimini NES Kullanımına İlişkin e-güven Bilgilendirme Dokümanı yayınlar. e-güven aşağıdaki tabloda belirtilen konumlarda NES leri ve kendi sertifikasını yayınlar. Sertifika Tipi e-güven Kök Sertifikası Yayınlama Gereksinimleri e-güven Kök Sertifikası güvenli elektronik imza doğrulama araçlarında bulunur. Bunun dışında e-güven bilgi deposunda yayınlanır ve NES sertifika zincirinden görüntülenebilir. e-güven Kök Sertifikası https://www.e-guven.com/eimza/bilgideposu adresinden yüklenebilir. e-güven "NES" https://www.e-guven.com/e-imza/bilgideposu adresinden son kullanıcılar ve ilgili taraflar tarafından yüklenebilir. NES lerin e-güven tarafından yayınlanması NES sahibinin rızasına bağlıdır, bu yüzden sadece rıza gösteren NES sahiplerinin NES leri yayınlanır. Tablo 1 e-güven NES Yayınlama Gereksinimleri 4.2 NES Sahibinin Hakları, Sorumlulukları ve Yükümlülükleri FKNESİ ye uygun olarak düzenlenen e-güven NES Kullanıcı Sözleşmesi hükümleri uyarınca NES sahibi aşağıdaki yükümlülüklere uyacağını taahhüt etmektedir: Güvenli elektronik imza oluşturma süreciyle ilişkili olan NES in geçerlilik kontrolünün yapılması, geçerliliği sona ermiş veya iptal edilmiş NES in güvenli elektronik imza oluşturma sürecinde kullanılmaması. NES sahibinin imza oluşturma verisine hiçbir yetkisiz şahsın erişmemiş olması. - 12 -

NES sahibinin NES başvurusu sırasında kurumsal başvuru sahibi olan finans kurumuna verdiği bütün bilgi ve belgelerin hukuka uygun, doğru ve geçerli olması. NES in sadece bu FKNESİ ye ve e-güven NES Kullanıcı Sözleşmesi ne; hukuka uygun amaçlarla ve sadece güvenli elektronik imza oluşturma ve doğrulama süreçlerinde kullanılması İmza oluşturma verisi, Elektronik İmza Kanunu na ve EGA standartlarına göre güvenli elektronik imza oluşturma aracında oluşturulur. FKNESİ kapsamında imza oluşturma verisi, NES sahibi tarafından oluşturulabilir. İmza oluşturma verisi yaratıldıktan sonra hiçbir suretle güvenli elektronik imza oluşturma aracından çıkarılamaz. 4.3 Kurumsal Başvuru Sahibi Finans Kurumunun Hakları, Sorumlulukları ve Yükümlülükleri Kurumsal başvuru sahibi finans kurumunun hakları, sorumlukları ve yükümlülükleri Elektronik Bilgi Güvenliği A.Ş. Kurumsal Başvuru Sözleşmesi (Kurumsal Başvuru Modeli I Finansal Kurumlar İçin) ile ayrıntılı bir şekilde açıklanmıştır. Elektronik Bilgi Güvenliği A.Ş. Kurumsal Başvuru Sözleşmesi (Kurumsal Başvuru Modeli I Finansal Kurumlar İçin) ne göre kurumsal başvurularda, kurumsal başvuru sahibi finans kurumu, adlarına NES başvurusunda bulunduğu kimselerin NES içersinde yer alacak bilgilerinin doğruluğundan, kimlik bilgilerinin belirlenen usullere göre tespitinden, NES içersinde yer alacak bilgilerin tespitinde kullanılan belgelerin geçerliliğinden ve belirlenen süreyle saklanmasından e- Güven e karşı sorumludur. Kurumsal başvuru sahibi finans kurumunun bu sorumlulukları yerine getirmemesinden dolayı e-güven in ve üçüncü kişilerin doğmuş ve doğacak zararlarından Kurumsal Başvuru Sözleşmesi uyarınca kurumsal başvuru sahibi finans kurumu sorumludur. 4.4 Üçüncü Kişilerin Hakları, Sorumlulukları ve Yükümlülükleri Üçüncü kişiler, Üçüncü Kişiler Bildirimi nde ayrıntılı bir şekilde belirtildiği üzere; sertifikaya güvenerek işlem yapmak için bu sertifikada yer alan bilgilerin doğruluğunu kontrol edebilme hususunda yeterli bilgiye sahip olduklarını, bu bilgileri kullanıp kullanmama konusunda karar vermekten tek başlarına sorumlu olduklarını ve NESUE 4.5.2 ve NESUE 4.9.6 daki üçüncü kişilerin yükümlülüklerini yerine getirmedikleri takdirde bu fiillerin hukuki sonuçlarına katlanacaklarını kabul ederler. e-güven, üçüncü kişilerin elle atılmış imza ile aynı hukuki sonuçlara sahip güvenli elektronik imza ya ve bu güvenli elektronik imzayla ilişkili olan NES e güvenerek işlem yapabilmeleri için bu güvenli elektronik imzayı ve NES i güvenli elektronik imza doğrulama aracı ile doğrulamalarını kesinlikle tavsiye eder. e-güven tarafından yayınlanan NES leri ve bu NES lerle bağlantılı olarak oluşturulan güvenli elektronik imzaları doğrulayacak olan Tebliğ in 8/II bölümünde belirtilen CWA 14171 standardına uygun güvenli elektronik imza doğrulama araçları, e-güven tarafından http://www.e-guven.com/e-imza/arac adresinden kamuoyuna duyurulacaktır. - 13 -

4.5 Güvenli Elektronik İmza Oluşturma Ve Doğrulama Araçları Sağlayıcılarının Hakları, Sorumlulukları ve Yükümlülükleri e-güven NES leri ile birlikte çalışabilecek güvenli elektronik imza oluşturma ve doğrulama araçları e-güven tarafından http://www.e-guven.com/e-imza/arac adresinde kamuoyuna duyurulacaktır. Güvenli elektronik imza oluşturma ve doğrulama araçları sağlayıcıları, Tebliğ de belirtilen güvenli elektronik imza oluşturma ve doğrulama araçları ile ilgili standartlara uymak zorundadırlar. Araç sağlayıcıları e-güven, Telekomünikasyon Kurumu veya ilgili bir kurum tarafından talep edildiğinde Tebliğ de belirtilen standartlara uyumluluk ile ilgili belgelerini veya standarda uyumluluk koşullarını açıklayan bir dokümanı (sadece güvenli elektronik imza doğrulama aracı sağlayıcıları) ibraz etmek zorundadırlar. Tebliğ de belirtilen standartlara uyumluluk ile ilgili belgelerini veya ilgili dokümanlarını e-güven e ibraz eden ve e-güven tarafından kamuoyuna tavsiye edilen araç sağlayıcıları, araçlarının belirtilen standartlara uygun olmaması sebebiyle e-güven in herhangi bir zarara uğraması durumunda; e-güven in bu zararını tazmin edeceklerini kabul ve taahhüt ederler. 5. Tanımlama ve Kimlik Doğrulama e-güven Kök Sertifikası, Düzenleyen ve Konu alanlarında X.501 Özgün İsim içerir. e-güven Kök Sertifikası Özgün İsimleri aşağıdaki Tablo 8 de belirtilen elemanlardan oluşur. Özellik Ülke (C) = Kurum (O) = Ortak İsim (CN) = Değer TR Elektronik Bilgi Guvenligi A.S. e-guven Elektronik Sertifika Hizmet Saglayicisi Tablo 2 e-güven Kök Sertifikasındaki Özgün İsim Özellikleri EGA da yer alan NES ler, konu ismi alanında bir X.501 özgün ismi içerir ve aşağıdaki tablolarda belirtilen elemanlardan oluşur. NES çeşitlerine ait özgün isimler ayrı tablolarda belirtilmiştir. Tüm NES çeşitleri ETSI 102 862 standardına uygun olarak oluşturulur. NES A Özellik Ülke (C) = Ortak İsim (CN) = Kurum (O) = Değer TR NES sahibinin adı ve soyadı Elektronik Bilgi Güvenliği A.Ş. T.C. Kimlik Numarası Doğum Yeri Doğum Tarihi Uyruğu Ülke Kodu Maddi Kapsama İlişkin Sınırlamalar/10.000 YTL Kurumsal Başvuru Sahibi İsmi /Kurumsal Başvuru Sahibi tarafından talep edilmesi halinde) - 14 -

Tablo 3 NES A Özgün İsim Özellikleri NES B Özellik Ülke (C) = Ortak İsim (CN) = Kurum (O) = Ek Bilgiler (T) = Değer TR NES sahibinin adı ve soyadı Elektronik Bilgi Güvenliği A.Ş. T.C. Kimlik Numarası Doğum Yeri Doğum Tarihi Uyruğu Ülke Kodu Mesleği Kişisel Bilgiler/İkametgah Kişisel Bilgiler/Medeni Durum Kişisel Bilgiler/Pasaport No Kişisel Bilgiler/Telefon No Maddi Kapsama İlişkin Sınırlamalar/30.000 YTL Kurumsal Başvuru Sahibi İsmi (Kurumsal Başvuru Sahibi tarafından talep edilmesi halinde) Tablo 4 NES B Özgün İsim Özellikleri NES C Özellik Ülke (C) = Ortak İsim (CN) = HKurum (O) = Ek Bilgiler (T) = Değer TR NES sahibinin adı ve soyadı Elektronik Bilgi Güvenliği A.Ş. T.C. Kimlik Numarası Doğum Yeri Doğum Tarihi Uyruğu Ülke Kodu Mesleği Kişisel Bilgiler/İkametgah Kişisel Bilgiler/Medeni Durum Kişisel Bilgiler/Pasaport No Kişisel Bilgiler/Telefon No Kullanıma İlişkin Sınırlamalar Maddi Kapsama İlişkin Sınırlamalar (Kurumsal Başvuru Sahibi tarafından belirlenecektir.) Bağlı Olduğu Şirketin Ticaret Unvanı Bağlı Olduğu Şirketin Ticaret Sicili Bağlı Olduğu Şirketin Tescilli Adresi Bağlı Olduğu Şirketin Ticaret Sicil Numarası Bağlı Olduğu Şirketin Faaliyet Konusu Görevi İmza Politikası - 15 -

NES C Özellik Değer Kurumsal Başvuru Sahibi İsmi (Kurumsal Başvuru Sahibi tarafından talep edilmesi halinde) Tablo 5 NES C Özgün İsim Özellikleri 6. İmza Oluşturma ve Doğrulama Verilerini Yaratma Prosedürü İşbu FKNESİ kapsamında, güvenli elektronik imza oluşturma aracı sertifika sahibine kurumsal başvuru sahibi finans kurumu tarafından sağlanacaktır. NES Sahibi, kurumsal başvuru sahibi tarafından kendisine sağlanan güvenli elektronik imza oluşturma aracını aktif hale getirebilmek için şifresini, 7/24 hizmet veren kurumsal başvuru sahibine ait çağrı merkezini arayarak alacaktır. NES sahibine bahsi geçen şifre kurumsal başvuru sahibi nezrinde tutulan NES sahibine ait bilgilerin NES sahibi tarafından doğrulanması şart ve koşulu ile açıklanacaktır. Kurumsal başvuru sahibi tarafından, NES sahiplerine sağlanan güvenli elektronik imza oluşturma araçlarının gerekli biçimde kurulumu yapıldıktan sonra, NES sahipleri e-güven tarafından kurumsal başvuru sahibine bildirilen yöntem ve modeli takip ederek Yönetmelik Madde 15/c ile Tebliğ Madde 6/a içersinde belirtilen algoritma ve parametreleri kullanarak elektronik imza oluşturma ve doğrulama verilerini oluşturacak ve sadece NES sahiplerinin minimum SSL 128 bit güvenlik seviyesine sahip açık ağ üzerindeki bir ortam (Örn. İnternet Bankacılığı) veya İntranet veya extranet üzerinden erişebilecekleri bir güvenli elektronik ortam üzerinden imza doğrulama verisini e-güven e göndereceklerdir. NES sahipleri daha sonra e-güven tarafından oluşturulan NES leri yine e-güven in onayından geçmiş olan ve kurumsal başvuru sahibi finans kurumu tarafından tanzim edilen Sertifika Oluşturma ve Yükleme Kılavuzu içersinde belirlenen yöntemi takip ederek güvenli elektronik imza oluşturma aracı içersine yükleyeceklerdir. 7. NES Başvurusu Adına NES başvurusunda bulunduğu kimsenin rızasını alması ve adına NES başvurusunda bulunduğu kimsenin kendisinin çalışanı, müşterisi, üyesi veya hissedarı olması koşuluyla tüm finans kurumları bu FKNESİ kapsamında kurumsal başvuruda bulunabilir. Finans kurumlarına özel kurumsal başvurularda, NES başvurusunun ve kimlik tespitinin nasıl yapılacağı Elektronik Bilgi Güvenliği A.Ş. Kurumsal Başvuru Sözleşmesi (Kurumsal Başvuru Modeli I Finansal Kurumlar İçin) içersinde ayrıntılı biçimde açıklanmaktadır. Bunun dışında finans kurumlarına özel kurumsal başvurular genel olarak aşağıdaki prosedürlere tabidir; Kurumsal başvuru sahibinin Elektronik Bilgi Güvenliği A.Ş. Kurumsal Başvuru Sözleşmesi (Kurumsal Başvuru Modeli I Finansal Kurumlar İçin) sözleşmesini imzalaması Kurumsal başvuru sahibinin adına NES başvurusunda bulunacağı sertifika sahiplerine e- Güven NES Kullanıcı Sözleşmesi ni veya Sertifika Taahhütnamesi ni ilgili bölümleri doldurmasını sağlayarak imzalattırması - 16 -

Kurumsal başvuru sahibinin sertifika sahibi tarafından imza edilen ve doldurulan e-güven NES Kullanıcı Sözleşmelerini veya Sertifika Taahhütnameleri nin ilgili nüshalarını ve sertifika sahibi tarafından kendisine iletilen sertifika sahibi nin NES içersinde yer alacak bilgilerini doğrulamakta kullanılan NESUE 3.2.3.2 de belirtilen belgelerle birlikte toplaması Kurumsal başvuru sahibinin sertifika sahiplerinin NES içersinde yer alacak bilgilerini, e- Güven tarafından kurumsal başvuru sahibi tarafında kurulan sistem yoluyla e-güven e iletmesi Kurumsal başvuru sahibinin sertifika sahiplerine doldurduğu ve imza ettirdiği e-güven NES Kullanıcı Sözleşmesi ni veya Sertifika Sahibi Taahhütnamesi nin sertifika sahibi ve ESHS nüshaları ile sertifika sahiplerinin NES içersinde yer alacak bilgilerini tespit edilmesinde ve doğrulanmasında kullanılan belgeleri Elektronik Bilgi Güvenliği A.Ş. Kurumsal Başvuru Sözleşmesi (Kurumsal Başvuru Modeli I Finansal Kurumlar İçin) hükümleri uyarınca saklaması Elektronik Bilgi Güvenliği A.Ş. Kurumsal Başvuru Sözleşmesi (Kurumsal Başvuru Modeli I Finansal Kurumlar İçin) içersinde açıklanan sürecin takip edilmesi ve bu sürece ilişkin yükümlülüklere uyulması Kurumsal başvuru yetkilileri NESUE 3.2 de belirtilen yöntemlerle tanımlama ve kimlik kontrolü yapmak zorundadırlar. Kurumsal başvuru sahibi finans kurumları veya e-güven aşağıdaki koşulların sağlanması halinde NES başvurularını kabul ederler; NESUE 3.2 de belirtilen tanımlama ve kimlik kontrolü prosedürlerinin eksiksiz olarak yerine getirilmiş olması, Kurumsal başvuru sahibi finans kurumları veya e-güven aşağıdaki durumlarda NES başvurularını reddederler; NESUE 3.2 de belirtilen tanımlama ve kimlik kontrolü prosedürlerinin eksiksiz olarak yerine getirilmemiş olması, NES başvurunda bulunan kişinin veya kurumsal başvuru sahibi finans kurumunun kendisinden istenen bilgi ve belgeleri eksiksiz olarak temin etmemiş olması, NES başvurusunda bulunan kişinin veya kurumsal başvuru sahibinin (kurumsal başvurular sadece e-güven e yapılabilir) kendisine yollanan ihbarlara zamanında ve doğru olarak cevap vermemiş olması, Kurumsal başvuru sahibinin Elektronik Bilgi Güvenliği A.Ş. Kurumsal Başvuru Sözleşmesi (Kurumsal Başvuru Modeli I Finansal Kurumlar İçin) yükümlülüklerine aykırı davranması 8. NES in Yayınlanması ve Dağıtılması FKNESİ ye göre e-güven doğrudan kendisine gelen kurumsal başvurular üzerine başvuru sahiplerine ve adına başvuruda bulunulan kimselere başvuru belgelerindeki bilgileri içeren NES leri yayınlar. - 17 -

Finans kurumlarına ait kurumsal başvurularda, kurumsal başvuru sahibi NESUE 4.1.2.1 de belirtilen prosedürleri yerine getirdikten sonra ilgili belgeleri arşivler ve ilgili bilgileri e- Güven e iletir. Bu aşamadan sonra aşağıdaki prosedürler izlenir; Kurumsal başvuru sahibinin adına NES başvurusunda (Kurumsal Başvuru) bulunduğu sertifika sahiplerine güvenli elektronik imza oluşturma aracı ve/veya güvenli elektronik imza doğrulama aracı sağlanması. NESUE 6.1 e göre imza oluşturma ve doğrulama verilerinin NES sahibi tarafından güvenli elektronik imza oluşturma aracıyla yaratılması. NES sahibinin imza doğrulama verisini NESUE 6.1.3 e göre e-güven e iletmesi. NES sahibinin, e-güven e verilen imza doğrulama verisine karşılık gelen imza oluşturma verisine sahip olduğunun NESUE 3.1.7 ye göre e-güven e kanıtlanması. e-güven tarafından NES in yaratılması ve son kullanıcının güvenli elektronik imza oluşturma aracına yüklenmesi e-güven NESUE 4.3.1.1 ve 4.3.1.2 de belirtilen konular için şu garantileri verir; e-güven i NES i oluşturduktan sonra NES sahibinden aldığı rıza doğrultusunda NES i sertifika dizininde yayınlar. e-güven tarafından yaratılan NES ler 5070 sayılı Elektronik İmza Kanunu nun 9. maddesindeki niteliklere sahip ve ETSI 101 862 standardına uygun nitelikli elektronik sertifikalardır. e-güven NESUE 3.1.5 doğrultusunda yayınladığı NES lerdeki isimlerin tek/eşsiz olmasını garanti eder. e-güven, NES başvurusu ve NES içeriği ile ilgili bilgilerin, son kullanıcı veya ESHS işlevleriyle ilgili bileşenler arasında dolaşımı sırasında gizliliğini ve bütünlüğünü garanti eder. Kurumsal başvuru sahibi finans kurumlarına ve son kullanıcı NES sahiplerine NES in yayınlanmasından sonra e-posta, telefon veya faks aracılığıyla bildirimde bulunulur. 9. NES in Kabulü NES sahibinin NES ini güvenli elektronik imza oluşturma aracına yüklemesi NES in kabulü sayılır. e-güven NES leri kamuya açık bir dizinde yayınlar. NES in yayınlanması NES sahibinin iznine bağlıdır. 10. NES İptal ve Askıya Alma Prosedürleri e-güven sertifika iptal ve askıya alma prosedürleri ile ilgili olarak aşağıdaki garantileri verir; NES lerin e-güven in bir kusuru sonucu iptal edilmesi durumunda, sertifika sahipleri adına yeniden NES oluşturulması e-güven tarafından ücretsiz olarak gerçekleştirilecektir. İptal edilen NES, geçerlilik süresi sonuna kadar Sertifika İptal Listesi nde (SİL) yer alır. - 18 -

e-güven, SİL leri herhangi bir kimlik doğrulamasına gerek olmaksızın ücretsiz ve kesintisiz olarak kamu erişimine açık tutar. Kayıtların bir sonraki güncelleme zamanı SİL lerde açıkça gösterilir. e-güven, NES leri geçmişe yönelik olarak iptal etmeyecektir. NES iptal edildiği takdirde yenilenemez ancak gerekli prosedürler yerine getirilerek yeniden oluşturulur. SİL her 24 saatte bir yayınlanır. Askıya alma ve iptal hizmetleri 7/24 (haftada 7 gün, günde 24 saat) olmak üzere hizmete açık olacaktır. e-güven in kontrolü dışında sistemin arızalanması veya hizmetin aksaması durumunda, e-güven bu aksamaların veya arızaların kabul edilemeyecek bir zaman periyodu boyunca sürmemesi için elinden gelen tüm çabayı sarf edecektir. Askıya alma ve sertifika iptal listeleri (SİL) 7/24 (haftada 7 gün, günde 24 saat) olmak üzere erişime açık olacaktır. e-güven in kontrolü dışında sistemin arızalanması veya hizmetin aksaması durumunda, e-güven bu aksamaların veya arızaların kabul edilemeyecek bir zaman periyodu boyunca sürmemesi için elinden gelen tüm çabayı sarf edecektir. SİL lerin bütünlüğü ve tanımlanması, SİL lerin e-güven tarafından, e-güven ESHS kök sertifikası ile elektronik olarak imzalanması sonucu sağlanacaktır. e-güven SİL leri http://crl.e-guven.com/ adresinden temin edilebilir. 10.1.1. NES İptalinin Şartları NES ler aşağıdaki koşullarda iptal edilebilir: e-güven tarafında, kurumsal başvuru sahibi finans kurumunda, herhangi bir son kullanıcıda, NES sahibinin imza oluşturma verisiyle ilgili bir tehdit bulunduğu yönünde bir kanaat veya güçlü bir şüphe oluşması. e-güven NES Kullanıcı Sözleşmesi ne göre sözleşmenin feshi için haklı sebep sayılabilecek bir durumun ortaya çıkması, NES sahibinin sözleşmeden ve ilgili mevzuattan doğan yükümlülüklerini yerine getirmemesi, NES sahibinin güvenlikle ilgili yeterli önlemleri almaması NES sahibiyle yapılan e-güven NES Kullanıcı Sözleşmesi nin sona ermiş olması. e-güven, kurumsal başvuru sahibi finans kurumu veya NES sahibinde, NES başvurusundaki bir maddi durumun yanlış olduğu yönünde kanaat oluşturan bir sebebin ortaya çıkması. NES yayınlama ile ilgili bir esaslı önşartın yerine getirilmediği veya bu şarttan feragatin gerçekleştirilmediğinin tespiti. NES te bulunan bilgilerin yanlış veya değiştirilmiş olması. NES sahibinin, NES sahibi tarafından yetkilendirilmişse kurumsal başvuru sahibinin veya NES sahibi tarafından yetkilendirilmişse bir üçüncü kişinin NESUE 3.4 e göre NES in iptalini talep etmesi. NES de bulunan bilgilerin geçerliliğini yitirmesi e-güven in elindeki NES leri başka bir ESHS ye devredemeden faaliyetine son vermesi (Bu ihtimalde NES sahipleri, NES lerin iptalinden en az iki ay önce haberdar edilecek ve NES başvurusu ve NES içeriği ile ilgili tüm bilgi ve belgeler e-güven tarafından en az 20 yıl boyunca saklanacaktır.) Yukarıda sayılanlara ek olarak; e-güven NES Kullanıcı Sözleşmesi nde ve Elektronik Bilgi Güvenliği A.Ş. Kurumsal Başvuru Sözleşmesi (Kurumsal Başvuru Modeli I Finansal Kurumlar İçin) içersinde NES in iptali ile ilgili hükümlerde belirtilen şartlardan - 19 -