istanbul TicARET ODASı 2005-37 YAYıN NO:

YAYıN NO: 2005-37 istanbul TicARET ODASı

İSTANBUL TİCARET ODASI DİJİTAL İMZA REHBERİ HAZİRLAYAN: IVlüge Buiut Uzman Yardımcısı AB ve Uluslararası İşbirliği Şubesi YAYIN NO:2005-37 İstanbul 2005

Bu eserin tüm telif hakları İstanbul Ticaret Odası'na (İTO) aittir. Eser üzerinde 5846 sayılı FSEK tarafından sağlanan tüm haklar saklıdır. İTO'nun ve yazarın adı belirtilmek koşuluyla eserden normal ölçüde alıntı yapılabilir. İTO ve yazarın izni olmadan eserin tamamı veya bir bölümü fotokopi, faksimile veya başka bir araçla çoğaltılamaz, dağıtılamaz, elektronik ortamlarda ticari ya da başka bir amaçla kullanılamaz. İstanbul Ticaret Odası: 06.07.12 DİJ Dijital İmza Rehberi. Haz. Müge Bulut. İstanbul, 2005, 62 sayfa. 1.E-TİCARET I.ELEKTRONÎK İMZA II.DİJİTAL İMZA III.ÎTO ISBN NO: 9944-60-035-0 Türkçe Reşadiye Cad.Eminönü/İstanbul İTO BİLGİ HATTI (212)4556161 www.ito.org.tr İTO yayınları için ayrıntılı bilgi Bilgi ve Doküman Yönetimi Şubesi'nden alınabilir. Tel: (212) 455 63 29 Faks: (212) 512 06 41 E. Posta: ito.yayin@ito.org.tr Web: www.ito.org.tr YAYINA HAZIRLIK, BASKI, CİLT furomat ENTEGRE MATBAACILIK ANONİM ŞİRKETİ Sanayi Caddesi No :17 34510 Çobançeşme-Yenlbosna / İSTANBUL Tel: (212) 451 70 70 (pbx) Faks: (212) 451 70 55 www.euromat.com.tr

ÖNSÖZ Bilindiği üzere günümüzde bilgi teknolojileri büyük bir hızla gelişmektedir. Özellikle iletişim alanında kaydedilen gelişmeler, bilgi, belge ve veri transferine ek olarak sözleşme gibi birçok önemli işlemin elektronik ortamda yürütülmesi zorunluluğunu doğurmuştur. İletişim teknolojilerindeki bu gelişmelere bağlı olarak, dünyaca uygulanan ticari yöntemlerde de köklü değişimler meydana gelmiş, 20. yüzyılın son döneminde elektronik ticaret hacmi büyük ölçüde artmıştır. Herkesin erişimine açık olan riskli internet ortamının cazip hale gelmesi ise ciddi bir güvenlik sorununu ortaya çıkarmış, elektronik ortama aktarılan kamusal ve ticari alandaki uygulamaların güvenilir ve etkin hale getirilmesi büyük bir ihtiyaç haline gelmiştir. İşte bu noktada karşımıza çıkan "elektronik imza", iletişim ve veri güvenliğini sağlamak amacıyla geliştirilmiş bir teknolojidir. Bilindiği üzere, bir belge altına elle atılan (ıslak imza) klasik imza, hem imzayı atan kişinin kimliğini doğrulamakta hem de bu kişinin sözkonusu belge tarafından kendisine yüklenen sorumlulukları ve hukuki bağlayıcılığını kabul ettiğini teyit etmektedir. Kişinin imzası ile hukuken geçerlilik ve bağlayıcılık kazanan işlemlerin, elektronik ortamda aynı özelliklere sahip olabilmesi için elektronik olarak imzalanması gerekmektedir. Bu ise, e-devletin ve yaklaşık 6 trilyon dolar değerindeki dünya elektronik ticaretinin altyapısını oluşturan, "elektronik imza" ile mümkün olup, elektronik ortamda gerçekleştirilen iş ve işlemlere hukuki zemin sağlaması ve güvenlik sorununa bir çözüm getirmesi açısından büyük öneme sahiptir. Elinizde bulunan "Dijital İmza" adlı rehber kitapta, genel hatlarıyla elektronik imza ve elektronik imzanın bir çeşidi olan "Dijital İmza" incelenmiştir. Araştırmayı gerçekleştiren Avrupa Birliği ve Uluslararası İşbirliği Şubesi Uzman Yardımcısı Müge Bulut'a teşekkür eder, araştırmanın tüm üyelerimize ve konuyla ilgili herkese faydalı olmasını dilerim. Dr. Cengiz Ersun Genel Sekreter

içindekiler I. BÖLÜM DİJİTAL İMZA Ll. Dijital İmza Nedir? 7 1. 1.1 Elektronik İmza 7 1.1.2. Dijital (Sayısal) İnıza... 7 1.2. Dijital İmzanm Dayandığı Teknik Temeller 8 1.3. Dijital İmza Nasıl Oluşturulur? 9 1.3.1 Şifreleme 9 1.3.1.1. Tek Anahtarlı Simetrik Şifreleme 9 1.3.1.2. Asimetrik (Açık Anahtarlı) Şifreleme 9 1.3.2. Açık Anahtar Altyapısı (AAA) LO 1.3.2.1. Açık Anahtar Altyapısı'nın Temel Bileşenleri 10 la. Kimler Dijital İmza Kullanmalıdır? 14 1.5. Dijital İmza Nerelerde Kullanılır? 15 1.6. Dijital İmzanın Ekonomiye Olası Etkileri 15 1.7. Dijital İmza Konusundaki Yasal Düzenlemeler 16 1. 7.1 Amerika Birleşik Devletleri 16 1. 7.2. Avrupa Birliği 17 II. BÖLÜM TÜRKİYE'DE DİJİTAL İMZA 2.1. Dijital İmza Konusundaki Yasal Düzenlemeler 18 2.2. Türkiye'de Elektronik Sertifika Hizmet Sağlayıcısı (ESHS) Yapılanması.. 19 2.2.1. Hukuki Altyapıs!.. 19 2.2.2. Türkiye' deki ESHS'ler 20 2.2.3. Kamu Sektöründe ESHS Yapılanmas!. 2l 2.2A. Özel Sektörde ESHS Yapılanması... 22 2.3. Türkiye' de Dijital İmzanın Kullanım Alanları 23 2A. Türkiye'de ESHS Ohnak İçin Ne Yapılmalıdır? 23 III. EKLER EK 1 Dijital İmza Rehberi 24 EK 2 Kaynaklar 26 EK3 Faydalı Adresler 27

2.2. TÜRKİYE'DE ELEKTRONİK SERTİFİKA HİzMET SAGLAYlCISI (ESHS) YAPıLANMASı 2.2. ı. HUKUKİ ALTYAPıSı 5070 Sayılı Elektronik İmza Kanunu'nun İkinci Bölümü, 8. Maddesi'ne göre, Elektronik Sertifıka Hizmet Sağlayıcısı; "elektronik sertiftka, zaman damgası ve elektronik imzalarla ilgili hizmetleri sağlayan kamu kurum ve kuruluşları ile gerçek veya özel hukuk tüzel kişilerdir. Elektronik sertiftka hizmet sağlayıcısı, Kuruma yapacağı bildirimden iki ay sonra faaliyete geçer". Sözkonusu Kanun'un 10. Maddesi'nde, Elektronik sertifika hizmet sağlayıcısının yükümlülükleri aşağıdaki gibi sıralanmıştır; a) Hizmetin gerektirdiği nitelikte personel istihdam etmek, b) Nitelikli sertifıka verdiği kişilerin kimliğini resmi belgelere göre güvenilir bir biçimde tespit etmek, c) Sertifıka sahibinin diğer bir kişi adına hareket edebilme yetkisi, mesleki veya diğer kişisel bilgilerinin sertifıkada bulunması durumunda, bu bilgileri de resmi belgelere dayandırarak güvenilir bir biçimde belirlemek, d) İmza oluşturma verisinin sertifıka hizmet sağlayıcısı tarafından veya sertifıka talep eden kişi tarafından sertifıka hizmet sağlayıcısına ait yerlerde üretilmesi durumunda bu işlemin gizliliğini sağlamak veya sertifıka hizmet sağlayıcısının sağladığı araçlarla üretilmesi durumunda, bu işleyişin güvenliğini sağlamak, e) Sertifıkanın kullanımına ilişkin özelliklerin ve uyuşmazlıkların çözüm yolları ile ilgili şartların ve kanunlarda öngörülen sınırlamalar saklı kalmak üzere güvenli elektronik imzanın elle atılan imza ile eşdeğer olduğu hakkında sertifika talep eden kişiyi sertifikanın tesliminden önce yazılı olarak bilgilendirmek, f) Sertifıkada bulunan imza doğrulama verisine karşılık gelen imza oluşturma verisini başkasına kullandırmaması konusunda, sertifıka sahibini yazılı olarak uyarmak ve bilgilendirmek, 19

ŞEKİL 5 Türkiye'deki ESHS Yapılanması ---------------------------------------------, Diğer Sertinka Hizmet Kaynak: Kamu Bilişim Platformu VII 2.2.3. KAMU SEKTÖRÜNDE ESHS YAPıLANMASı 6 Eylül 2004 tarihinde yayınlanan ve 2004/21 No'lu Kamu Sertifıkasyon Merkezi (KSM) Oluşturulması konulu Başbakanlık Genelgesi'ne göre; (EK 4) "Tüm kamu kurum ve kuruluşlarının aynı kurumsal sertifikasyon yapısı altında toplanmasını hedefleyen, sadece kamu kurum ve kuruluşlarına kurumsal sertifikazarın oluşturulması ve sertifika yaşam çevriminin yönetilmesini sağlayacak Kamu Sertifikasyon Yapısının kurulması ve işletilmesi görev ve sorumluluğu Türkiye Bilimsel ve Teknik Araştırma Kurumu 'na (TÜBİTAK) bağlı Ulusal Elektronik ve Kriptoloji Araştırma Enstitüsü Müdürlüğü 'ne (UEKAE) verilmiştir. Söz konusu yapının gözden geçirilmesi ve uygunluğunun izlenmesi görev ve sorumluluğu ise Telekomünikasyon Kurumuna verilmiştir". (2) TUBİTAK - Ulusal Elektronik ve Kriptoloji Araştırma Enstitüsü (UEKAE) Kamu Sertifikasyon Merkezi'nin misyonu; "bilgi güvenliği, haberleşme ve ileri elektronik 21 2 Telekomünikasyon Kurumu, 27 Ocak 2000 tarih ve 4502 Sayılı Yasa ile kurulmuş, 15 Ağustos 2000 tarihinde faaliyetlerine başlamıştır.

alanlarında Türkiye 'nin teknolojik bağımsızlığını sağlamak ve sürdürmek için nitelikli insan gücü ve uluslararası düzeyde kabul görmüş altyapısı ile, bilimsel ve teknolojik çözümler üretmek ve uygulamaktır ". ŞEKİL 6 Kamuda Sertifikasyon Yapılanması Kaynak: Kamu Bilişim Platformu VII 2.2.4. ÖZEL SEKTÖRDE ESHS YAPıLANMASı Türkiye' de ticari olarak ESHS hizmeti verecek olan kurumlar şunlardır: E-güven Elektronik Bilgi Güvenliği A.Ş. TürkTrust Bilgi iletişim ve Bilişim Güvenliği Hizmetleri A.Ş. ŞEKİL 7 TÜRKİYE'DE TİcARİ ESHS YAPıLANMASı f~~~.". '. ~--"i; / Kaynak: Kamu Bilişim Platformu VII 22

2.3. TÜRKİYE'DE DiJiTAL imzanin KULLANIM ALANLARI Türkiye'deki muhtemel elektronik imza uygulama alanları, Telekomünikasyon Kurumu'nca şu şekilde sıralanmıştır; Kamusal Alandaki Uygulamalar Her türlü başvurular (ÖSS, KPSS, LES, pasaport vb.) Kurumlar arası iletişim (Emniyet Müdürlükleri, Nüfus ve Vatandaşlık İşleri Müdürlükleri vb) Sosyal güvenlik uygulamaları Sağlık uygulamaları (Sağlık personeli - hastaneler - eczaneler) Vergi ödemeleri Elektronik oy verme işlemleri Ticari Alandaki Uygulamalar İnternet bankacılığı Sigortacılık işlemleri Kağıtsız ofisler e-sözleşmeler e-sipariş 2.4. TÜRKİYE'DE ESHS OLMAK için NE YAPıLMALıDıR? Bir kurum, ESHS olabilmek için Telekomünikasyon Kurumu'na bir bildirimde bulunmalıdır. Bu bildirimde sunulması gerekli bilgi ve belgeler yönetmelikte belirlenmiş olup, sözkonusu kurum; ı. Güvenli ürün ve sistemleri kullanmak, 2. Hizmeti güvenilir bir biçimde yürütmek, 3. Sertifikaların taklit ve tahrif edilmesini önleınek ile ilgili tüm tedbirleri almakla ilgili şartların tamamını sağladığını ispat etmelidir. Telekomünikasyon Kurumu, bu bildirimi inceler. Bildirimin şartlarını eksiksiz yerine getiren ESHS, bildirimin yapıldığı tarihten 2 ay sonra faaliyete geçebilmektedir. 23

III. EKLER EK 1: DİJİTAL İMZA REHBERİ Açık Anahtar Altyapısl(AAA) : "VeriJbilgi iletişiminde açık anahtarlı kriptografinin yaygın ve güvenli olarak kullanılabilmesini sağlayan ve birbirleriyle eşgüdüm içinde çalışan anahtar üretimi, anahtar yönetimi, onay kurumu, sayısal noterlik, zaman damgası gibi hizmetlerin tümünü kapsamaktadır". Anahtar: Şifreleme algoritmasının kullanıldığı uzun sayı dizisi anlamına gelen rakamsal bir değerdir. AçıkAnahtar (Publle Key): Açık anahtarlı şifrelernede herkes tarafından erişilebilen anahtardır. Sadece eşi olan özel anahtara sahip kişi tarafından açılması istenen verileri şifrelemek için ya da özel anahtar sahibi tarafından şifrelenmiş verileri çözmek için kullanılır. Özel Anahtar (Private Key): Açık anahtarlı şifrelemede, sadece sahibi tarafından bilinmesi gereken anahtardır. Karşılık gelen açık anahtarla şifrelenmiş verileri çözmek veya veri imzalamak için kullanılır. Elektronik İmza: Başka bir elektronik veriye eklenen veya elektronik veriyle mantıksal bağlantısı bulunan ve kimlik doğrulama amacıyla kullanılan elektronik veridir. (5070 Sayılı Elektronik İmza Kanunu) Elektronik Sertifika Hizmet Sağlayıcısı: Elektronik sertifika, zaman damgası ve elektronik imzalarla ilgili hizmetleri sağlayan kamu kurum ve kuruluşları ile gerçek veya özel hukuk tüzel kişilerdir. (5070 Sayılı Elektronik İmza Kanunu) Elektronik Veri: Elektronik, optik veya benzeri yollarla üretilen, taşınan veya saklanan kayıtlardır. (5070 Sayılı Elektronik İmza Kanunu) İmza Sahibi: Elektronik imza oluşturmak amacıyla bir imza oluşturma aracını kullanan gerçek kişidir. (5070 Sayılı Elektronik İmza Kanunu) 24

İmza Oluşturma Verisi: İmza sahibine ait olan, imza sahibi tarafından elektronik imza oluşturma amacıyla kullanılan ve bir eşi daha olmayan şifreler, kriptografık gizli anahtarlar gibi verileridir. (5070 Sayılı Elektronik İmza Kanunu) İmza Oluşturma Aracı: Elektronik imza oluşturmak üzere, imza oluşturma verisini kullanan yazılım veya donanım aracıdır. (5070 Sayılı Elektronik İmza Kanunu) İmza Doğrulama Verisi: Elektronik imzayı doğrulamak için kullanılan şifreler, kriptografik açık anahtarlar gibi verilerdir. (5070 Sayılı Elektronik İmza Kanunu) İmza Doğrulama Aracı: Elektronik imzayı doğrulamak amacıyla imza doğrulama verisini kullanan yazılım veya donanım aracıdır. (5070 Sayılı Elektronik İmza Kanunu) Zaman Damgası: Bir elektronik verinin, üretildiği, değiştirildiği, gönderildiği, alındığı ve / veya kaydedildiği zamanın tespit edilmesi amacıyla, elektronik sertifika hizmet sağlayıcısı tarafından elektronik imzayla doğrulanan kaydıdır. (5070 Sayılı Elektronik İmza Kanunu) 25

EK 2: KAYNAKLAR "Dijital İmza ve Yasal Düzenlemeler" Bilişim Şurası Hukuk Çalışma Grubu Taslak Raporu Bilişim Şurası E-toplum Çalışma Grubu e-birey Alt Çalışma Grubu Raporu TBD Kamu-BİB, Kamu Bilişim Platformu VII, 26-29 Mayıs 2005, "e-imza; Nitelikli Sertifikasyon Altyapısı ve Yetkilendirme", ı. Çalışma Grubu TBD Kamu-BİB Kamu Bilişim Platformu VII, 26-29 Mayıs 2005, "e-imza'mn Toplumsal Boyutu", 2. Çalışma Grubu Keser L., Elektronik İmza Ulusal Koordinasyon Kurulu Hukuk Çalışma Grubu İlerleme Ve Sonuç Raporu, Temmuz 2004 Eruğrul Z., "Kamuda E-İmza Uygulamalarinin İsrafi Önlemeye Ve Verimliliğe Etkileri" Dr. Tolga Tüfekçi, "Elektronik İmza Niçin Yaygınlaşamıyor" - Tübitak Yüksek Planlama Kurulu Tebliği 24/3/2005 Web-Sayfalan http://www.ab.org.tr http://www.e-ticaret.gov.tr http://www.e-imza.gen.tr http://www.e-guven.com/css.php http://www.tk.gov.tr 26

EK 3: FAYDALı ADRESLER DÜNYA Birleşmiş Milletler Uluslararası Ticaret Hukuku Komisyonu (UNCITRAL) (United Nations Commission on International Trade Law) Adres : P.O. Box 500, A-1400 Vienna, AVUSTURYA Telefone : (0043) (1) 260604060-4061 Faks : (0043) (1) 26060 5813 E-Posta : uncitral@uncitral.org Web Sitesi : www.uncitral.org TÜRKİYE Mevzuat ve Standartlar Bilgi Teknolojileri ve Koordinasyon Dairesi Başkanlığı Telekomünikasyon Kurumu Adres : Yeşilırmak Sok. No: 16 Demirtepe / ANKARA Telefon : (312) 550 50 43 Faks : (312) 550 51 73 E-Posta : info@tk.gov.tr Web Sitesi : www.tk.gov.tr Elektronik Sertifika Hizmet Sağlayıcıları Elektronik Bilgi Güvenliği A.Ş. Adres : Vali Konağı Cad. No: 147 D:14 34365 Nişantaşı / istanbul Telefon : (212) 296 81 46 Faks : (212) 296 81 48 E-Posta : info@e-guven.com Web Sitesi : www.e-guven.com Türkiye Bilimsel ve Teknolojik Araştırına Kurumu - TÜBİTAK Ulusal Elektronik ve Kriptoloji Araştırma Enstitüsü - UEKAE Kamu Sertifikasyon Merkezi Telefon : (262) 648 18 18 Faks : (262) 648 1800 27

E-Posta Web Sitesi : bilgi@kamusm.gov.tr : www.kamusm.gov.tr TÜRKTRUST - Bilgi iletişim ve Bilişim Güvenliği HizmetleriA.Ş. Adres : Hollanda Caddesi 62.Sokak No:7 06550 Yıldız, Çankaya / ANKARA Çağrı Merkezi: 444 O 263 Telefon : (312) 439 LO 00 Faks : (312) 439 10 OL E-Posta : bilgi@turktrust.com.tr (genel bilgi) sertifıka@turktrust.com.tr (sertifika hizmetleri) Web Sitesi : www.turktrust.com.tr Kamu Kuruluşları ve Üniversiteler Türkiye Bilimsel ve Teknolojik Araştırma Kurumu - TÜBİTAK Adres : Tunus Cd. No: 8006100 K.dere / ANKARA Telefon : (312) 468 53 00 E-Post : bhi@tubitak.gov.tr Web Sitesi : www.tubitak.gov.tr T.C. Başbakanlık Dış Ticaret Müsteşarlığı, Ekonomik Araştırmalar ve Değerlendirmeler Genel Müdürlüğü e-ticaret Genel Koordinatörlüğü Adres : 17. Kat, İnönü Bulvarı, 16510, Emek/ANKARA Telefon : (312) 2048020 Faks : (312) 2124492 E-Post : e-bilgi@dtm.gov.tr Web Sitesi : www.dtm.gov.tr TÜBİTAK - BİLTEN Bilgi Teknolojileri ve Elektronik Araştırma Enstitüsü Adres : ODTÜ Yerleşkesi 065311ANKARA Telefon : (312) 210 13 10 Faks : (312) 210 13 15 E-Post : info@bilten.metu.edu.tr Web Sitesi : www.bilten.metu.edu.tr 28

T.C. Başbakanlık Devlet Planlama Teşkilatı Müsteşarlığı Bilgi Toplumu Dairesi Adres : Necatibey Cad. No:ıo8, 14.Kat, Bakanlıklar/ANKARA Telefon : (312) 2946417 Faks : (312) 2946477 E-Post : btd@dpt.gov.tr Web Sitesi : www.bilgitoplumu.gov.tr Sivil Toplum Kuruluşları Türkiye Bilişim Derneği (TBD) Adres : Çetin Emeç Bulvarı 4. Cad No: 3/11-12 06450 A.Öveçler ANKARA Telefon : (312) 479 34 62 (pbx) Faks : (312) 479 34 67 E-Posta : tbd-merkez@tbd.org.tr Web Sitesi : http://www.tbd.org.tr Türkiye Bilişim Vakfı (TBV) Adres : Valikonağı Cad. No:147114 80220 Nişantaşı / İSTANBUL Telefon : (212) 296 8146, (212) 296 8147 Faks : (212) 296 81 48 E-Posta : info@tbv.org.tr Web Sitesi : http://www.tbv.org.tr/channels Bilişim Sektörü Derneği (TÜBİDER) Adres : Sivritaş Sok. KanatApt., No:8 K:4 D:ll, Mecidiyeköy / İSTANBUL Telefon : (212) 288 62 76 - (212) 2886277 Faks : (212) 211 2064 E-Posta : tubider@tubider.org.tr Web Sitesi : http://www.tubider.org.tr/ İnternet Teknolojileri Derneği (İNETD) Adres Pazarbasi Mah. Duduoğlu Sok. Gül Apt., No:18 Kat 3 D. Üsküdar / İSTANBUL Telefon : (532) 325 91 94 - (312) 290 1237 Faks : (312) 2664054 E-Posta : bilgi@inetd.org.tr Web Sitesi : http://www.inetd.org.trliletisim. php 29

Tüm İnternet Derneği (TİD) Adres : Dikilitaş, Eren Sok. No:6/6 Kat:3 Beşiktaş i İSTANBUL Telefon : (212) 227 11 88 i (212) 227 13 65 Faks : (212) 258 82 70 E-Posta : info@tid.org.tr Web Sitesi : www.tid.org.tr Mobil İletişim Sistemleri ve Araçlan İş Adamlan Derneği (MOBİSAD) Adres : Avide-i Hürriyet Cad. No: 182/8, Şişli i İSTANBUL Telefon : (212) 231 0231 Faks : (212) 219 73 30 E-Posta : mobisad@mobisad.org Web Sitesi : http://www.mobisad.org/iletisim.htm Telekomünikasyon ve Enerji Hizmetleri Tüketici Haklan ve Sektörel Araş. Der. (TEDER) Adres : İçerenköyMalı. çetinkaya Sk. No:2/4 Kadıköy, 81120 istanbul Telefon : (216) 575 33 17 Faks : (216) 57533 10 E-Posta : info@teder.org.tr Web Sitesi : www.teder.org.tr Türk Telekomünikasyon İş Adamlan Derneği (TUTED) Adres : Sıraselviler Cad. BAKRAÇ Sok. No:31 D.2 i CİHANGİR Telefon : (212) 2449137-0212 245 8164 Faks : (212) 245 8165 Web Sitesi : http://www.tuted.org.tr Serbest Adres Telefon Faks E-Posta Web Sitesi Telekomünikasyon İşletmecileri Derneği : G.M.K. Bulvarı, Şehit Daniş Tunalıgil Sok. No: 2/34, 06570, Maltepe i ANKARA : (312) 232 1452 : (312) 232 13 80 : telkoder@telkoder.org.tr : http://www.telkoder.org.tr (TELKODER) 30

EK 4: 5070 SAYILI ELEKTRONİK İMZA KANUNU 23 Ocak 2004 Tarihli Resmi Gazete Sayı 25355 Kanun No 5070 Kabul Tarihi 15.01.2004 Elektronik İmza Kanunu BİRİNCİ KısıM Amaç, Kapsam ve Tanımlar Amaç MADDE ı. - Bu Kanunun amacı, elektronik imzanın hukuki ve teknik yönleri ile kullanımına ilişkin esasları düzenlemektir. Kapsam MADDE 2. - Bu Kanun, elektronik imzanın hukuki yapısını, elektronik sertifika hizmet sağlayıcılarının faaliyetlerini ve her alanda elektronik imzanın kullanımına ilişkin işlemleri kapsar. Tanımlar MADDE 3. - Bu Kanunda geçen; a) Elektronik veri: Elektronik, optik veya benzeri yollarla üretilen, taşınan veya saklanan kayıtları, b) Elektronik imza: Başka bir elektronik veriye eklenen veya elektronik veriyle mantıksal bağlantısı bulunan ve kimlik doğrulama amacıyla kullanılan elektronik veriyi, c) İmza sahibi: Elektronik imza oluşturmak amacıyla bir imza oluşturma aracını kullanan gerçek kişiyi, d) İmza oluşturma verisi: İmza sahibine ait olan, imza sahibi tarafından elektronik imza oluşturma amacıyla kullanılan ve bir eşi daha olmayan şifreler, kriptografık gizli anahtarlar gibi verileri, e) İmza oluşturma aracı: Elektronik imza oluşturmak üzere, imza oluşturma verisini kullanan yazılım veya donanım aracını, f) İmza doğrulama verisi: Elektronik imzayı doğrulamak için kullanılan şifreler, kriptografik açık anahtarlar gibi verileri, g) İmza doğrulama aracı: Elektronik imzayı doğrulamak amacıyla imza doğrulama 31

verisini kullanan yazılım veya donanım aracını, h) Zaman damgası: Bir elektronik verinin, üretildiği, değiştirildiği, gönderildiği, alındığı ve / veya kaydedildiği zamanın tespit edilmesi amacıyla, elektronik sertifika hizmet sağlayıcısı tarafından elektronik imzayla doğrulanan kaydı, ı) Elektronik sertifika: İmza sahibinin imza doğrulama verisini ve kimlik bilgilerini birbirine bağlayan elektronik kaydı, j) Kurum: Telekomünikasyon Kurumunu, ifade eder. İKİNCİ KıSıM Güvenli Elektronik İmza ve Sertifika Hizmederi BİRİNCİ BÖLÜM Güvenli Elektronik İmza, Güvenli Elektronik İmza Oluşturma ve Doğrulama Araçlan Güvenli elektronik imza MADDE 4. - Güvenli elektronik imza; a) Münhasıran imza sahibine bağlı olan, b) Sadece imza sahibinin tasarrufunda bulunan güvenli elektronik imza oluşturma aracı ile oluşturulan, c) Nitelikli elektronik sertifikaya dayanarak imza sahibinin kimliğinin tespitini sağlayan, d) İmzalanmış elektronik veride sonradan herhangi bir değişiklik yapılıp yapılmadığının tespitini sağlayan, Elektronik imzadır. Güvenli elektronik imzanın hukuki sonucu ve uygulama alanı MADDE 5. - Güvenli elektronik imza, elle atılan imza ile aynı hukuki sonucu doğurur. Kanunların resmi şekle veya özel bir merasime tabi tuttuğu hukuki işlemler ile teminat sözleşmeleri güvenli elektronik imza ile gerçekleştirilemez. Güvenli elektronik imza oluştunna araçlan MADDE 6. - Güvenli elektronik imza oluştunna araçlan; a) Ürettiği elektronik imza oluşturma verilerinin kendi aralarında bir eşi daha bulunmamasını, b) Üzerinde kayıtlı olan elektronik imza oluşturma verilerinin araç dışına hiçbir 32

biçimde çıkarılamamasını ve gizliliğini, c) Üzerinde kayıtlı olan elektronik imza oluşturma verilerinin, üçüncü kişilerce elde edilememesini, kullanılamamasını ve elektronik imzanın sahteciliğe karşı korunmasını, d) imzalanacak verinin imza sahibi dışında değiştirilememesini ve bu verinin imza sahibi tarafından imzanın oluşturulmasından önce görülebilmesini, Sağlayan imza oluşturma araçlarıdır. Güvenli elektronik İmza doğrulama araçları MADDE 7. - Güvenli elektronik imza doğrulama araçları; a) imzanın doğrulanması için kullanılan verileri, değiştirmeksizin doğrulama yapan kişiye gösteren, b) İmza doğrulama işlemini güvenilir ve kesin bir biçimde çalıştıran ve doğrulama sonuçlarını değiştirmeksizin doğrulama yapan kişiye gösteren, c) Gerektiğinde, imzalanmış verinin güvenilir bir biçimde gösterilmesini sağlayan, d) imzanın doğrulanması için kullanılan elektronik sertifikanın doğruluğunu ve geçerliliğini güvenilir bir biçimde tespit ederek sonuçlarını değiştirmeksizin doğrulama yapan kişiye gösteren, e) İmza sahibinin kimliğini değiştirmeksizin doğrulama yapan kişiye gösteren, f) İmzanın doğrulanması ile ilgili şartlara etki edecek değişikliklerin tespit edilebilmesini sağlayan, İmza doğrulama araçlarıdır. İKİNCİ BÖLÜM Elektronik Sertifika Hizmet Sağlayıcısı, Yabancı Elektronik Sertifikalar Nitelikli Elektronik Sertifika ve Elektronik sertifika hizmet sağlayıcısı MADDE 8. - Elektronik sertifika hizmet sağlayıcısı, elektronik sertifika, zaman damgası ve elektronik imzalarla ilgili hizmetleri sağlayan kamu kurum ve kuruluşları ile gerçek veya özel hukuk tüzel kişilerdir. Elektronik sertifika hizmet sağlayıcısı, Kuruma yapacağı bildirimden iki ay sonra faaliyete geçer. Elektronik sertifika hizmet sağlayıcısı yapacağı bildirimde; a) Güvenli ürün ve sistemleri kullanmak, b) Hizmeti güvenilir bir biçimde yürütmek, c) Sertifikaların taklit ve tahrif edilmesini önlemekle ilgili her türlü tedbiri almak, İle ilgili şartları sağladığını ayrıntılı bir biçimde gösterir. 33

Kurum, yukarıdaki şartlardan birinin eksikliğini veya yerine getirilmediğini tespit ederse, bu eksikliklerin giderilmesi için, elektronik sertifika hizmet sağlayıcısına bir ayı geçmemek üzere bir süre verir, bu süre içinde elektronik sertifıka hizmet sağlayıcısının faaliyetlerini durdurur. Sürenin sonunda eksikliklerin giderilmemesi halinde elektronik sertifika hizmet sağlayıcısının faaliyetine son verir. Kurumun bu kararlarına karşı ı 9 uncu maddenin ikinci fıkrası hükümleri gereğince itiraz edilebilir. Elektronik sertifıka hizmet sağlayıcılarının faaliyetlerinin devamı sırasında bu maddede gösterilen şartları kaybetmeleri halinde de yukarıdaki fıkra hükümleri uygulanır. Elektronik sertifıka hizmet sağlayıcıları, Kurumun belirleyeceği ücret alt ve üst sınırlarına uymak zorundadır. Nitelikli elektronik sertifika MADDE 9. - Nitelikli elektronik sertifikada; a) Sertifıkanın "nitelikli elektronik sertifıka" olduğuna dair bir ibarenin, b) Sertifika hizmet sağlayıcısının kimlik bilgileri ve kurulduğu ülke adının, c) İmza sahibinin teşhis edilebileceği kimlik bilgilerinin, d) Elektronik imza oluşturma verisine karşılık gelen imza doğrulama verisinin, e) Sertifikanın geçerlilik süresinin başlangıç ve bitiş tarihlerinin, f) Sertifikanın seri numarasının, g) Sertifika sahibi diğer bir kişi adına hareket ediyorsa bu yetkisine ilişkin bilginin, h) Sertifika sahibi talep ederse mesleki veya diğer kişisel bilgilerinin, ı) Varsa sertifikanın kullanım şartları ve kullanılacağı işlemlerdeki maddi sınırlamalara ilişkin bilgilerin, j) Sertifıka hizmet sağlayıcısının sertifikada yer alan bilgileri doğrulayan güvenli elektronik imzasının, Bulunması zorunludur. Elektronik sertifika hizmet sağlayıcısının yükümlülükleri MADDE 10. - Elektronik sertifika hizmet sağlayıcısı; a) Hizmetin gerektirdiği nitelikte personel istihdam etmekle, b) Nitelikli sertifıka verdiği kişilerin kimliğini resmi belgelere göre güvenilir bir biçimde tespit etmekle, 34

c) Sertifıka sahibinin diğer bir kişi adına hareket edebilme yetkisi, mesleki veya diğer kişisel bilgilerinin sertifıkada bulunması durumunda, bu bilgileri de resmi belgelere dayandırarak güvenilir bir biçimde belirlemekle, d) İmza oluşturma verisinin sertifika hizmet sağlayıcısı tarafından veya sertifika talep eden kişi tarafından sertifıka hizmet sağlayıcısına ait yerlerde üretilmesi durumunda bu işlemin gizliliğini sağlamak veya sertifıka hizmet sağlayıcısının sağladığı araçlarla üretilmesi durumunda, bu işleyişin güvenliğini sağlamakla, e) Sertifıkanın kullanımına ilişkin özelliklerin ve uyuşmazlıkların çözüm yolları ile ilgili şartların ve kanunlarda öngörülen sınırlamalar saklı kalmak üzere güvenli elektronik imzanın elle atılan imza ile eşdeğer olduğu hakkında sertifika talep eden kişiyi sertifikamn tesliminden önce yazılı olarak bilgilendirmekle, f) Sertifıkada bulunan imza doğrulama verisine karşılık gelen imza oluşturma verisini başkasına kullandırmaması konusunda, sertifıka sahibini yazılı olarak uyarmak ve bilgilendirmekle, g) Yaptığı hizmetlere ilişkin tüm kayıtları yönetmelikle belirlenen süreyle saklamakla, h) Faaliyetine son vereceği tarihten en az üç ay önce durumu Kuruma ve elektronik sertifika sahibine bildirmekle, Yükümlüdür. Elektronik sertifika hizmet sağlayıcısı üretilen imza oluşturma verisinin bir kopyasını alamaz veya bu veriyi saklayamaz. Nitelikli elektronik sertifikalarm iptal edilmesi MADDE ıl. - Elektronik sertifika hizmet sağlayıcısı; a) Nitelikli elektronik sertifıka sahibinin talebi, b) Sağladığı nitelikli elektronik sertifikaya ilişkin veri tabanında bulunan bilgilerin sahteliğinin veya yanlışlığının ortaya çıkması veya bilgilerin değişmesi, c) Nitelikli elektronik sertifıka sahibinin fıil ehliyetinin sınırlandığının, iflasının veya gaipliğinin ya da ölümünün öğrenilmesi durumunda vermiş olduğu nitelikli elektronik sertifikaları derhal iptal eder. Elektronik sertifika hizmet sağlayıcısı, nitelikli elektronik sertifikaların iptal edildiği zamanın tam olarak tespit edilmesine imkan veren ve üçüncü kişilerin hızlı ve güvenli bir biçimde ulaşabileceği bir kayıt oluşturur. Elektronik sertifika hizmet sağlayıcısı, faaliyetine son vermesi ve vermiş olduğu nitelikli elektronik sertifıkaların başka bir elektronik sertifıka hizmet sağlayıcısı tarafmdan kullanımının sağlanamaması durumunda vermiş olduğu nitelikli elektronik sertifikaları derhal iptal eder. 35

-~----- Elektronik sertifika hizmet sağlayıcısının faaliyetine Kurum tarafından son verilmesi halinde Kurum, faaliyetine son verilen elektronik sertifika hizmet sağlayıcısının vermiş olduğu nitelikli elektronik sertifikaların başka bir elektronik sertifika hizmet sağlayıcısına devredilmesine karar verir ve durumu ilgililere duyurur. Elektronik sertifika hizmet sağlayıcısı geçmişe yönelik olarak nitelikli elektronik sertifıka iptal edemez. Bilgilerin korunması MADDE 12. - Elektronik sertifika hizmet sağlayıcısı; a) Elektronik sertifika talep eden kişiden, elektronik sertifika vermek için gerekli bilgiler hariç bilgi talep edemez ve bu bilgileri kişinin rızası dışında elde edemez, b) Elektronik sertifıka sahibinin izni olmaksızın sertifıkayı üçüncü kişilerin ulaşabileceği ortamlarda bulunduramaz, c) Elektronik sertifıka talep eden kişinin yazılı rızası olmaksızın üçüncü kişilerin kişisel verileri elde etmesini engeller. Bu bilgileri sertifika salıibinin onayı olmaksızın üçüncü kişilere iletemez ve başka amaçlarla kullanamaz. Hukuki sorumluluk MADDE 13. - Elektronik sertifika hizmet sağlayıcısının, elektronik sertifika sahibine karşı sorumluluğu genel hükümlere tabidir. Elektronik sertifika hizmet sağlayıcısı, bu Kanun veya bu Kanuna dayanılarak çıkarılan yönetmelik hükümlerinin ihlali suretiyle üçüncü kişilere verdiği zararları tazminle yükümlüdür. Elektronik sertifika hizmet sağlayıcısı kusursuzluğunu ispat ettiği takdirde tazminat ödeme yükümlülüğü doğmaz. Elektronik sertifika hizmet sağlayıcısı, söz konusu yükümlülük ihlalinin istihdam ettiği kişilerin davranışına dayanması halinde de zarardan sorumlu olup, elektronik sertifika hizmet sağlayıcısı, bu sorumluluğundan, Borçlar Kanununun 55 inci maddesinde öngörülen türden bir kurtuluş kanıtı getirerek kurtulamaz. Nitelikli elektronik sertifıkanın içerdiği kullanım ve maddi kapsamına ilişkin sınırlamalar hariç olmak üzere, elektronik sertifika hizmet sağlayıcısının üçüncü kişilere ve nitelikli elektronik inıza salıibine karşı sorumluluğurıu ortadan kaldıran veya sınırlandıran her türlü şart geçersizdir. Elektronik sertifika hizmet sağlayıcısı, bu Kanundan doğan yükümlülüklerini 36

yerine getirmemesi sonucu doğan zararların karşılanması amacıyla sertifıka mali sorumluluk sigortası yaptırmak zorundadır. Sigortaya ilişkin usul ve esaslar Hazin Müsteşarlığının görüşü alınarak Kurum tarafından çıkarılacak yönetmelik" belirlenir. Bu maddede öngörülen sertifika mali sorumluluk sigortası Türkiye'de ilgili branşta çalışmaya yetkili olan sigorta şirketleri tarafından yapılır. Bu sigorta şirketleri sertifıka mali sorumluluk sigortasını yapmakla yükümlüdürler. Bu yükümlülüğe uymayan sigorta şirketlerine Hazine Müsteşarlığınca sekizmilyar lira idari para cezası verilir. Bu para cezasının tahsilinde ve cezaya itiraz usulünde IS inci madde hükümleri uygulanır. Elektronik sertifika hizmet sağlayıcısı, nitelikli elektronik sertifıkayı elektronik imza sahibine sigorta ettirerek teslim etmekle yükümlüdür. Yabancı elektronik sertifikalar MADDE 14. - Yabancı bir ülkede kurulu bir elektronik sertifika hizmet sağlayıcısı tarafından verilen elektronik sertifikaların hukuki sonuçları milletlerarası anlaşmalarla belirlenir. Yabancı bir ülkede kurulu bir elektronik sertifika hizmet sağlayıcısı tarafından verilen elektronik sertifikaların, Türkiye'de kurulu bir elektronik sertifika hizmet sağlayıcısı tarafindan kabul edilmesi durumunda, bu elektronik sertifikalar nitelikli elektronik sertifika sayılır. Bu elektronik sertifikaların kullanılması sonucunda doğacak zararlardan, Türkiye'deki elektronik sertifika hizmet sağlayıcısı da sorumludur. ÜÇÜNCÜ KıSıM Denetİm ve Ceza Hükümleri Denetim MADDE 15. - Elektronik sertifika hizmet sağlayıcılarının bu Kanunun uygulanmasına ilişkin faaliyet ve işlemlerinin denetimi Kururnca yerine getirilir. Kurum, gerekli gördüğü zamanlarda elektronik sertifika hizmet sağlayıcılarını denetleyebilir. Denetleme sırasında, denetleme yapmaya yetkili görevliler tarafindan her türlü defter, belge ve kayıtların verilmesi, yönetim yerleri, binalar ve eklentilerine girme, yazılı ve sözlü bilgi alma, örnek alma ve işlem ve hesapları denetleme isteminin elektronik sertifika hizmet sağlayıcıları ve ilgililer tarafından yerine getirilmesi zorunludur. 37