EBG Bilişim Teknolojileri ve Hizmetleri A.Ş NİTELİKLİ ELEKTRONİK SERTİFİKA UYGULAMA ESASLARI (NESUE)

EBG Bilişim Teknolojileri ve Hizmetleri A.Ş NİTELİKLİ ELEKTRONİK SERTİFİKA UYGULAMA ESASLARI (NESUE) Sürüm 2.1 Yürürlük Tarihi: Mayıs, 2012 Güncelleme Tarihi: 30/04/2012 OID 2.16.792.3.0.4.1.1.2 EBG Bilişim Teknolojileri ve Hizmetleri A.Ş Tel: 0-312-472 21 13 www.e-tugra.com

EBG Bilişim Teknolojileri ve Hizmetleri A.Ş Nitelikli Elektronik Sertifika Uygulama Esasları 2006 EBG Bilişim Teknolojileri ve Hizmetleri A.Ş Her hakkı saklıdır. Açıklamalar ve Uyarılar Bu dokümanda kullanılan markalar EBG Bilişim Teknolojileri ve Hizmetleri A.Ş. veya ilgili tarafların mülkiyetindedir. Yukarıda belirtilen haklar saklı kalmak kaydıyla ve aşağıda özel olarak aksine izin verilen durumlar hariç olmak üzere, bu yayının hiçbir parçası, önceden EBG Bilişim Teknolojileri ve Hizmetleri A.Ş nin izni alınmadan herhangi bir formda veya herhangi bir araçla (elektronik, mekanik, fotokopi, kayıt veya başka araçlar) çoğaltılamaz, aktarılamaz ya da bir veri okuma sistemine kaydedilemez veya işlenemez. Bununla birlikte, (i) yukarıdaki telif hakkı uyarısının ve giriş paragraflarının her bir nüshanın başında açıkça gösterilmesi ve (ii) bu dokümanın, EBG Bilişim Teknolojileri ve Hizmetleri A.Ş ye atıf yapılarak, bir bütün halinde ve hatasız kopyalanması şartıyla, bu eserin ücreti ödenmeden çoğaltılmasına ve dağıtılmasına izin verilebilir. Bununla birlikte çoğaltma ve dağıtım izni herhangi bir kişiye münhasıran verilmez. - ii -

İÇİNDEKİLER 1. Giriş 1 1.1. Genel... 2 1.2. Tanımlama... 3 1.3. Katılımcılar... 3 1.3.1. Elektronik Sertifika Hizmet Sağlayıcısı - "ESHS" ( e-tuğra )... 3 1.3.2. Kayıt Birimleri... 4 1.3.3. NES Başvuru Sahibi / NES Sahibi, Kurumsal Başvuru Sahibi... 5 1.3.4. Üçüncü Kişiler... 5 1.3.5. Diğer Katılımcılar... 6 1.3.5.1 Güven Merkezi... 6 1.4. Sertifika Kullanımı... 6 1.4.1. İzin Verilen Sertifika Kullanımı... 6 1.4.2. Yasaklanan Sertifika Kullanımı... 6 1.5. Politika Yönetimi... 7 1.5.1. NESUE ile ilgili Yetkili Kurum... 7 1.5.2. İrtibat Görevlisi... 7 1.5.3. NESUE nin Politikaya Uygunluğunu Belirleyen Kişi... 7 1.5.4. NESUE Onaylama Prosedürü... 7 1.6. Tanımlar ve Kısaltmalar... 8 2. Yayınlama ve Bilgi Deposu Sorumlulukları 12 2.1. Bilgi Deposu... 12 2.2. Sertifika Bilgilerinin Yayınlanması... 12 2.3. Yayınlanma Sıklığı... 13 2.4. Bilgi Deposu Erişim Kontrolleri... 13 3. Tanımlama ve Kimlik Doğrulama 13 3.1. İsimlendirme (İlk Kayıt)... 13 3.1.1. İsim Tipleri... 13 3.1.2. İsimlerin Anlamlı Olması Gerekliliği... 14 3.1.3. "NES" Başvurusunda Bulunan Kişilerin İsimlerini Gizlemesi Veya Takma İsim Kullanımı... 14 3.1.4. Değişik İsim Tiplerini Yorumlamak İçin Kurallar... 14 3.1.5. İsimlerin Benzersizliği... 14 3.1.6. Tanımlama, Doğrulama ve Markaların Rolü... 14 3.2. İlk Kimlik Doğrulaması... 14 3.2.1. İmza Oluşturma Verisinin Zilyetliğinin Kanıtlanması Metodu... 14 3.2.2. Tüzel Kişilerin Kimliğinin Doğrulanması... 15 3.2.3. Gerçek Kişilerin Kimliğinin Doğrulanması... 15 3.2.4. Doğrulanmayan Başvuru Bilgileri... 15 3.2.5. NES Sahibinin Bağlı Olduğu Kurumlarla İlişkisinin Kanıtlanması... 15 3.2.6. Karşılıklı İşlerlik Kriterleri... 15 3.3. Yeniden Anahtarlama için Tanımlama ve Kimlik Doğrulama... 16 3.3.1. Rutin Yeniden Anahtarlama için Tanımlama ve Kimlik Doğrulama... 16 - iii -

3.3.2. Sertifika İptali Sonrası Yeniden Anahtarlama İçin Tanımlama ve Kimlik Doğrulama... 16 3.4. İptal Talebi İçin Tanımlama ve Kimlik Doğrulama... 16 4. Sertifika Yaşam Zinciri Operasyonel Gereklilikler 17 4.1. NES Başvurusu... 17 4.1.1. Kim NES Başvurusunda Bulunabilir... 17 4.1.2. Kayıt Süreci ve Sorumluluklar... 17 4.1.2.1 Bireysel Başvuru... 17 4.1.2.1.1 KB Aracılığıyla Bireysel Başvuru... 17 4.1.2.1.2 Çevrimiçi Bireysel Başvuru... 18 4.1.2.2 Kurumsal Başvuru... 18 4.1.2.2.1 KB aracılığıyla kurumsal başvuru... 18 4.2. NES Başvuru Süreci... 20 4.2.1. Tanımlama İşlemi ve Kimlik Kanıtlama Fonksiyonları... 20 4.2.2. NES Başvurularının Kabulü ve Reddi... 20 4.2.3. NES Başvuru Süreci Zamanlaması... 20 4.3. NES Oluşturulması... 21 4.3.1. NES Oluşturulması Sırasında ESHS nin Faaliyetleri... 21 4.3.2. NES Başvurusunda Bulunan Kişiye Sertifikayı Oluşturan ESHS Tarafından Yapılan Bildirim... 21 4.4. NES in Kabulü... 21 4.4.1. NES in Kabulü Sayılan İşlemler... 21 4.4.2. ESHS Tarafından Sertifikaların Yayınlanması... 22 4.4.3. Diğer İlgililere ESHS Tarafından Sertifika Yayınlanmasına ilişkin Yapılan Bildirim 22 4.5. İmza Oluşturma/Doğrulama Verileri ve NES Kullanımı... 22 4.5.1. NES Sahiplerinin İmza Oluşturma Verisi ve NES Kullanımı... 22 4.5.2. Üçüncü Kişilerin İmza Doğrulama Verisi ve NES Kullanımı... 23 4.6. NES Yenileme... 23 4.6.1. NES lerin Yenilenmesini Gerektiren Durumlar... 24 4.6.2. NES Yenileme Başvurusunda Kimler Bulunabilir... 24 4.6.3. NES Yenileme Taleplerinin İşleyiş Süreci... 24 4.6.4. Yeni Sertifika Oluşturulmasının NES Yenileme Başvurusunda Bulunan Kişiye Bildirimi 24 4.6.5. NES Yenilemenin Kabulü Sayılan İşlemler... 24 4.6.6. "ESHS" Tarafından Yenilenen NES lerin Yayınlanması... 25 4.6.7. NES in Yayınlandığının ESHS Tarafından Diğer İlgililere Bildirilmesi... 25 4.7. NES lerin Yeniden Anahtarlanması... 25 4.7.1. NES lerin Yeniden Anahtarlanmasını Gerektiren Durumlar... 25 4.7.2. Kimler Yeni İmza Doğrulama Verisinin Sertifikalanması İçin Talepte Bulunabilirler... 25 4.7.3. NES lerin Yeniden Anahtarlanmasına Yönelik Taleplerin İşleyişi... 25 4.7.4. Yeniden Anahtarlama Talebinde Bulunanlara Yeni NES Yayınlama Bildiriminin Yapılması... 25 4.7.5. NES lerin Yeniden Anahtarlanmasının Kabulü Sayılan İşlemler... 26 4.7.6. ESHS Tarafından Yeniden Anahtarlanan NES in Yayınlanması... 26 - iv -

4.7.7. Diğer İlgililere NES Yayınlanmasına İlişkin ESHS Tarafından Yapılan Bildirim 26 4.8. NES ler Üzerinde Yapılan Değişiklik... 26 4.8.1. NES lerde Değişiklik Yapılmasını Gerektiren Durumlar... 26 4.8.2. Kimler NES de Değişiklik Yapılmasını Talep Edebilir... 26 4.8.3. NES Üzerinde Değişiklik Yapılmasına İlişkin Taleplerin Süreci... 26 4.8.4. Yeni Sertifika Oluşturulmasına İlişkin NES Başvurusunda Bulunanlara Yapılan Bildirim 26 4.8.5. Değiştirilmiş NES lerin Kabulü Sayılan İşlemler... 26 4.8.6. ESHS Tarafından Sertifika Değişikliklerine İlişkin Yayın... 27 4.8.7. ESHS Tarafından Diğer Kuruluşlara Sertifika Olşturulmasına İlişkin Bildirim.. 27 4.9. NES İptali ve Askıya Alma... 27 4.9.1. NES İptalini Gerektiren Durumlar... 27 4.9.2. Kimler İptal Başvurusunda Bulunabilir... 28 4.9.3. Sertifika İptal Prosedürleri... 28 4.9.4. Sertifika İptal Talebi Gecikme Periyodu... 29 4.9.5. ESHS nin İptal Talebini İşleme Koyma Süresi... 29 4.9.6. İptal Durumuna İlişkin Üçüncü Kişilerin Kontrol Yükümlülüğü... 29 4.9.7. Sertifika İptal Listesi (SİL) Yayınlama Sıklığı... 29 4.9.8. SİL lerin Yayınlanma Zamanı... 30 4.9.9. Çevrimiçi İptal Kontrolü Erişilebilirliği... 30 4.9.10. Çevrimiçi İptal Kontrolü Gereklilikleri... 30 4.9.11. İptal Duyurularının Diğer Biçimlerine Erişilebilirlik... 30 4.9.12. ESHS İmza Oluşturma Verisinin Güvenliğinin Şüpheye Düşmesi Halinde Gereksinimler... 30 4.9.13. Askı Koşulları... 30 4.9.14. Kimler Askı Talebinde Bulunabilir... 31 4.9.15. Askı Talebi Süreci... 31 4.9.16. Askı Süresindeki Limitler... 31 4.10. Sertifika Durum Hizmetleri... 31 4.10.1. Operasyonel Özellikler... 31 4.10.2. Hizmet Erişilebilirliği... 32 4.10.3. Seçimlik Özellikler... 32 4.11. NES Sahipliğinin Sona Ermesi... 32 4.12. İmza Oluşturma Verisi Kurtarma ve Yedekleme... 32 4.12.1. İmza Oluşturma Verisi Kurtarma ve Yedekleme Politikası ve Esasları... 32 4.12.2. Oturum Anahtarı Sarma (Encapsulation) ve Kurtarma Politikası ve Uygulamaları 32 5. Tesis, Yönetim ve Operasyonel Kontroller 32 5.1. Fiziksel Kontroller... 33 5.1.1. Güven Merkezi Konumu ve İnşası... 33 5.1.2. Fiziksel Erişim... 33 5.1.3. Elektrik ve Klima Koşulları... 33 5.1.4. Suya Karşı Korunma... 33 5.1.5. Yangın Önlemleri ve Korunması... 34 5.1.6. Veri Araçları Saklanması... 34 - v -

5.1.7. Atık Kontrolü... 34 5.1.8. Harici Alan Yedeklemesi... 34 5.2. Prosedür Kontrolleri... 35 5.2.1. Güvenli Roller... 35 5.2.2. Her Bir Görev için Gereken Kişi Sayısı... 36 5.2.3. Her Bir Görev için Tanımlama ve Kimlik Kontrolü... 36 5.2.4. Sorumlukların Ayrılmasını Gerektiren Roller... 36 5.3. Personel Kontrolleri... 37 5.3.1. Mesleki Bilgi, Nitelikler, Deneyim ve Resmi Makam İzinlerinin Şartları... 37 5.3.2. Mesleki Bilgi Kontrol Prosedürleri... 38 5.3.3. Eğitim Şartları... 38 5.3.4. Eğitim Sıklığı ve Şartları... 39 5.3.5. İş Rotasyon Sıklığı ve Sırası... 39 5.3.6. Yetkisiz Eylemlere Karşı Yaptırımlar... 39 5.3.7. Bağımsız Yüklenici İsterleri... 39 5.3.8. Personele Verilen Dokümanlar... 40 5.4. Denetim ve Kayıt Prosedürleri... 40 5.4.1. Kaydedilen Olay Tipleri... 40 5.4.2. Kayıt İşleme Sıklığı... 40 5.4.3. Denetim Kaydı Saklama Süresi... 40 5.4.4. Denetim Kaydının Korunması... 41 5.4.5. Denetim Kaydı Yedekleme Prosedürleri... 41 5.4.6. Denetim Bilgisi Toplama Sistemi... 41 5.4.7. Olaya Sebep Olan NES Sahibine veya İlgiliye İhbarda Bulunma... 41 5.4.8. Güvenlik Açıklarının Değerlendirilmesi... 41 5.5. Kayıtların Arşivlenmesi... 41 5.5.1. Kaydedilen Olay Tipleri... 42 5.5.2. Arşiv Saklama Periyodu... 42 5.5.3. Arşivin Korunması... 42 5.5.4. Arşiv Yedekleme Prosedürleri... 43 5.5.5. Kayıtlara Zaman Damgası Basma Şartları... 43 5.5.6. Arşiv Toplama Sistemi... 43 5.5.7. Arşiv Bilgisine Ulaşma ve Doğrulama Prosedürleri... 43 5.6. İmza Oluşturma Doğrulama Verileri (Anahtar) Değiştirme... 43 5.7. Tehlike ve Felaketten Kurtarma... 44 5.7.1. Olayları ve Tehlikeleri Kontrol Altında Tutma Prosedürleri... 44 5.7.2. Donanım, Yazılım ve/veya Veri Bozulması... 44 5.7.3. ESHS İmza Oluşturma Verisinin Zarar Görmesi... 44 5.7.4. Felaket Sonrası İş Sürekliliği... 45 5.8. ESHS nin veya Kayıt Merkezi nin Operasyonunun Durdurulması... 45 5.8.1. Bilgi Teknolojileri ve İletişim Kurumu Tarafından Faaliyete Son Verilmesi... 45 5.8.2. ESHS nin Faaliyetine Son Vermesi... 47 6. Teknik Güvenlik Kontrolleri 48 6.1. İmza Oluşturma ve Doğrulama Verilerini Oluşturma ve Kurma... 48 6.1.1. İmza Oluşturma ve Doğrulama Verilerini Yaratma... 48 6.1.2. NES Sahibine İmza Oluşturma Verisinin Verilmesi... 49 - vi -

6.1.3. ESHS ye İmza Doğrulama Verisinin Verilmesi... 49 6.1.4. Kullanıcılara ESHS İmza Doğrulama Verilerinin Verilmesi... 50 6.1.5. İmza Oluşturma ve Doğrulama Verilerinin Büyüklüğü... 50 6.1.6. Anahtar Üretim Parametreleri ve Kalite Kontrolü... 50 6.1.7. Anahtar Kullanım Amaçları... 50 6.2. İmza Oluşturma Verisinin Korunması ve Şifreleme Modülü Sistem Kontrolleri... 51 6.2.1. Şifreleme Modülü Standartları ve Kontrolleri... 51 6.2.2. İmza Oluşturma Verisi (n* m) Birden Fazla Kişi Kontrolü... 51 6.2.3. İmza Oluşturma Verisinin Saklanması... 51 6.2.4. İmza Oluşturma Verisi Yedekleme... 51 6.2.5. İmza Oluşturma Verisi Arşivleme... 51 6.2.6. İmza Oluşturma Verisinin Kriptografik Modül Transferi... 52 6.2.7. Şifreleme Modülünde İmza Oluşturma Verisi Saklanması... 52 6.2.8. İmza Oluşturma Verisinin Aktif Hale Getirilmesinin Metodu... 52 6.2.9. İmza Oluşturma Verisinin Aktif Durumdan Çıkarılmasının Metodu... 52 6.2.10. İmza Oluşturma Verisinin Yok Edilmesi Metodu... 53 6.2.11. Şifreleme Modül Operasyonel Limitleri... 53 6.3. Anahtar Çifti Yönetiminin Diğer Yönleri... 53 6.3.1. İmza Doğrulama Verisi Saklanması... 53 6.3.2. Sertifikanın Operasyonel Periyodu ve Anahtar Çifti Kullanımı Periyodu... 53 6.4. Erişim Verileri... 54 6.4.1. Erişim Verilerinin Yaratılması ve Kurulması... 54 6.4.2. Erişim Verilerinin Korunması... 54 6.4.3. Erişim Verileriyle İlgili Diğer Durumlar... 54 6.5. Bilgisayar Güvenlik Kontrolleri... 55 6.5.1. Özel Bilgisayar Güvenliği Teknik Gereklilikleri... 55 6.5.2. Bilgisayar Güvenliği Operasyonel Limitleri... 55 6.6. Yaşam Zinciri Teknik Kontrolleri... 55 6.6.1. Sistem Geliştirme Kontrolleri... 55 6.6.2. Güvenlik Yönetim Kontrolleri... 55 6.6.3. Yaşam Zinciri Güvenlik Kontrolleri... 55 6.7. Ağ Güvenlik Kontrolleri... 56 6.8. Zaman Damgası... 56 7. NES, SİL ve ÇSDP 56 7.1. NES Profili... 56 7.1.1. Sürüm Numarası/Numaraları... 56 7.1.2. Sertifika Uzantıları... 56 7.1.3. Algoritma Nesne Belirteçleri (OID)... 57 7.1.4. İsim Formları... 57 7.1.5. İsim Kısıtlamaları... 57 7.1.6. Sertifika İlkeleri Nesne Belirteci... 57 7.1.7. Sertifika İlkeleri Kısıtlamaları Uzantısının Kullanımı... 57 7.1.8. Sertifika İlkeleri Belirteçleri için Yazımsal ve Anlamsal Özellikler... 57 7.1.9. Kritik Sertifika İlkeleri Uzantıları için Anlamsal İşlem Özellikleri... 58 7.2. SİL Profili... 58 7.2.1. Sürüm Numarası/Numaraları... 58 - vii -

7.2.2. SİL ve SİL Girdi Ekleri... 58 7.3. Çevrimiçi Sertifika Durum Protokolü (ÇSDP) Profili... 58 7.3.1. Sürüm Numarası(Veya Numaraları)... 58 7.3.2. ÇSDP Uzantıları... 59 8. Uyum Denetimi ve Diğer Değerlendirmeler 59 8.1. Değerlendirmelerin Sıklığı ve Değerlendirme Durumları... 59 8.2. Değerlendirme Yapan Kişinin Tanımlanması ve Nitelikleri... 59 8.3. Değerlendirme Yapan Kişinin Değerlendirme Yapılan Kuruluşla İlişkisi... 60 8.4. Değerlendirme Tarafından Kapsanan Konular... 60 8.5. Eksikliğin Ortaya Çıkması Durumunda Gerçekleştirilecek Eylemler... 60 8.6. Değerlendirme Sonuçlarının Yayınlanması ve İlgili Taraflara İletimi... 61 9. Diğer Ticari Ve Hukuki Konular 61 9.1. Ücretler... 61 9.1.1. Sertifika Oluşturma Veya Yenileme Ücretleri... 61 9.1.2. Sertifikalara Erişim Ücretleri... 62 9.1.3. Sertifikaların İptal veya Durum Kayıtlarına İlişkin Bilgilere Erişim Ücretleri... 62 9.1.4. Diğer Hizmetler İçin Ücretler... 62 9.1.4.1 Zaman Damgası Ücretleri... 62 9.1.4.2 Nitelikli Elektronik Sertifika İlkeleri Bilgisi Gibi Diğer Servislerin Ücretleri. 62 9.1.5. Geri Ödeme Politikası... 63 9.2. Finansal Sorumluluklar... 64 9.2.1. Sigorta Kapsamı (Sertifika Mali Sorumluluk Sigortası)... 64 9.2.2. Diğer Varlıklar... 66 9.2.3. Son Kullanıcılar İçin Sigorta veya Diğer Garantilerin Kapsamı... 66 9.3. Ticari Bilgilerin Gizliliği... 66 9.3.1. Gizli Bilgilerin Konusu... 66 9.3.2. Gizli Bilgilerin Konusu İçerisinde Olmayan Bilgiler... 66 9.3.3. Gizli Bilgilerin Korunmasına İlişkin Sorumluluklar... 67 9.4. Kişisel Bilgilerin Mahremiyeti (Gizliliği)... 67 9.4.1. Mahremiyet Planı... 67 9.4.2. Özel Sayılan Bilgiler... 67 9.4.3. Özel Sayılmayan Bilgiler... 67 9.4.4. Özel Bilgiyi Koruma Sorumluluğu... 68 9.4.5. Kişisel Bilgilerin Kullanılmasına İlişkin Bildirim ve İzin... 68 9.4.6. Adli ve İdari Süreçlerde Kullanılmak Üzere Yapılan Açıklamalar... 68 9.4.7. Bilgilerin Açıklandığı Diğer Durumlar... 68 9.5. Fikri Mülkiyet Hakları... 69 9.6. Sorumluluk ve Garantiler... 69 9.6.1. ESHS nin Sorumluluk ve Garantileri... 69 9.6.2. KB nin Sorumlulukları ve Garantileri... 70 9.6.3. NES Sahibinin ve Kurumsal Başvuru Sahibinin Sorumlulukları ve Garantileri70 9.6.4. Üçüncü Kişilerin Sorumlulukları ve Garantileri... 71 9.6.5. Diğer Katılımcıların Sorumlulukları ve Garantileri... 72 9.7. Garantilerin Reddi... 72 9.8. ESHS nin Sorumluluğun Sınırlandırılması... 72 9.9. Tazminatlar... 72 - viii -

9.10. NESUE nin Geçerliliği ve Sona ermesi... 73 9.10.1. Geçerlilik... 73 9.10.2. Sona Erme... 73 9.10.3. Sona Ermenin Etkileri... 73 9.11. Bireysel Bildirimler ve Katılımcılar Arasında İletişim... 73 9.12. Değişiklikler... 73 9.12.1. Değişiklik Prosedürleri... 73 9.12.2. Bildirim Mekanizması ve Periyodu... 74 9.12.2.1 İhbarda Bulunulmadan Değiştirilebilecek Maddeler... 74 9.12.2.2 İhbarda Bulunarak Değiştirilebilecek Maddeler... 74 9.12.3. Sertifika İlkeleri Belirteci (OID) veya NESİ İşaretinde Değişiklik Gerektiren Değişiklikler... 74 9.13. Uyuşmazlıkların Çözüm Yolları... 75 9.14. Uygulanacak Hukuk... 75 9.15. Mevzuata Uyumluluk... 75 9.16. Çeşitli Hükümler... 75 9.16.1. Bütün sözleşme... 75 9.16.2. Devir ve Temlik... 75 9.16.3. Bölünebilirlik... 76 9.16.4. Yaptırımlar (Vekalet Ücreti ve Haktan Feragat)... 76 9.16.5. Mücbir Sebep... 76 9.16.6. Diğer Hükümler... 76 - ix -

1. Giriş EBG Bilişim Teknolojileri ve Hizmetleri A.Ş. (Kısaca e-tuğra ) Türk Ticaret Kanunu hükümleri uyarınca kurularak faaliyetlerini sürdüren bir anonim şirkettir. e-tuğra, 5070 sayılı Elektronik İmza Kanunu nun 8. Maddesi hükmü uyarınca Bilgi Teknolojileri ve İletişim Kurumu na usulü dairesinde bildirimde bulunarak ve kanuni gereklilikleri yerine getirerek Elektronik Sertifika Hizmet Sağlayıcı (Kısaca ESHS ) sıfatıyla elektronik imza, elektronik sertifika ve zaman damgası ile ilgili hizmetleri sunma hak ve yetkisini elde etmiştir. Nitelikli elektronik sertifika uygulama esasları (Kısaca NESUE ) olarak isimlendirilen bu doküman 5070 sayılı Elektronik İmza Kanunu (Kısaca Kanun ), Elektronik İmza Kanununun Uygulanmasına İlişkin Usul ve Esaslar Hakkında Yönetmelik (Kısaca Yönetmelik ) ile Elektronik İmza ile İlgili Süreçlere ve Teknik Kriterlere İlişkin Tebliğ (Kısaca Tebliğ ) uyarınca e-tuğra nın ESHS sıfatıyla yürüttüğü faaliyetler sırasında yerine getirdiği teknik ve hukuki gereklilikleri, ESHS nin faaliyetlerini, teknik ve organizasyonel altyapısını, ESHS nin sunduğu hizmetlere ilişkin süreçlerde belirli roller üstlenen tarafların sorumluluklarını açıklamak ve kamuoyuna duyurmak üzere hazırlanmıştır. Bu doküman Tebliğ de belirtilen ETSI TS 101 456, CWA 14167-1, IETF RFC 3647 standartlarına uygun olarak hazırlanmıştır. e-tuğra nın sunduğu zaman damgası hizmetlerini tanımlamaya, zaman damgası hizmetlerinden tarafların hangi teknik ve hukuki koşullar içerisinde yararlanacaklarını belirtmeye ayrıca zaman damgası hizmetlerinin e-tuğra tarafından hangi hukuki ve teknik çerçeveler içerisinde yürütüldüğünü kamuoyuna açıklamaya yönelik olan Zaman Damgası İlkeri ve Zaman Damgası Uygulama Esasları dökümanları ise Yönetmelik ve Tebliğ in amir hükümleri uyarınca ETSI TS 102 023 standardına uygun olarak hazırlanarak, e-tuğra nın web sitesinde kamuoyuna duyurulmuştur. - 1 -

1.1. Genel 5070 sayılı Elektronik İmza Kanunu nun 5. maddesine göre güvenli elektronik imza, elle atılan imza ile aynı hukuki sonucu doğurur. Kanun un 4. maddesine göre güvenli elektronik imza; sadece imza sahibinin tasarrufunda bulunan güvenli elektronik imza oluşturma aracı ile oluşturulabilir ve yalnızca nitelikli elektronik sertifika (Kısaca NES ) ya dayanarak imza sahibinin kimliği tespit edilebilir. Güvenli elektronik imza oluşturma sürecindeki gerekli bileşenlerden biri olan NES, yalnızca 5070 Sayılı Elektronik İmza Kanunu ve ilgili mevzuat hükümlerinde tanımlanmış olan Elektronik Sertifika Hizmet Sağlayıcı lar tarafından oluşturulabilir. Elektronik Sertifika Hizmet Sağlayıcı lar Kanun un 8. Maddesi hükmü uyarınca Bilgi Teknolojileri ve İletişim Kurumu na bildirimde bulunarak; ilgili mevzuat hükümleri uyarınca bildirimde bulunduğu koşulları yerine getirdiği Bilgi Teknolojileri ve İletişim Kurumu nca uygun görülerek faaaliyete geçebilirler. Elektronik Sertifika Hizmet Sağlayıcı lar elektronik sertifika, zaman damgası ve elektronik imzayla ilgili hizmetleri sunan gerçek veya tüzel kişilerdir. e-tuğra, Kanun ve ilgili mevzuattaki gereklilikleri yerine getirerek Bilgi Teknolojileri ve İletişim Kurumu na usulü dairesinde bildirimde bulunmuş ve bildirimde belirttiği koşulları sağladığı Bilgi Teknolojileri ve İletişim Kurumu tarafından uygun görülerek faaliyete geçmesi hususunda yetki verilmiş bir Elektronik Sertifika Hizmet Sağlayıcısı dır. e-tuğra, kendisi tarafından oluşturulan NES lerin özelliklerini ve kullanımına ilişkin hususları, sertifikasyon sürecini, sertifikasyon sürecine katılan tarafların hak ve yükümlülüklerini, "ESHS" olarak yürüttüğü teknik ve operasyonel faaliyetlerini Nitelikli Elektronik Sertifika İlkeleri ( NESİ ) belgesinde kamuoyuna ve ilgili taraflara açıklar. e- Tuğra bunun yanında NESİ belgesinde yer alan hususların nasıl uygulandığını detaylı olarak Nitelikli elektronik sertifika uygulama esasları (Kısaca NESUE ) dokümanında belirterek bu dökümanı da kamuoyunun ve ilgili tarafların bilgisine sunar. Tebliğ in 5. Maddesine göre "ESHS"ler işleyişlerinin bütün aşamalarında ETSI TS 101 456 ve CWA 14167-1 standartlarına uymak zorundadırlar. ETSI TS 101 456 standardı, - 2 -

"ESHS" işleyişinde iki grup sertifika ilkesi yayınlanabileceğini belirtmektedir. qualified certificate policy ve qualified certificate policy + SSCD gruplarıdır. Bunlar e-tuğra, ESHS olarak işleyişinde ETSI TS 101 456 standardında belirtilen qualified certificate policy + SSCD grubuna uygun olarak kendi sertifika ilkesini oluşturmuştur. Buna göre hem güvenli elektronik imza oluşturmak için gerekli olan güvenli elektronik imza oluşturma aracı hem de imza sahibinin kimliğinin tespitini sağlayan ve e-tuğra tarafından oluşturulan NES e-tuğra tarafından Sertifika Sahibi ne sağlanacaktır. 1.2. Tanımlama Nitelikli Elektronik Sertifika Uygulama Esasları için Belirteç e-tuğra Nitelikli Elektronik Sertifika Uygulama Esasları Sürüm 1.0 Nesne Belirteci : 2.16.792.3.0.4.1.1.2 Nitelikli Elektronik Sertifika İlkeleri için Belirteç e-tuğra Nitelikli Elektronik Sertifika İlkeleri Sürüm 1.0 Nesne Belirteci : 2.16.792.3.0.4.1.1.1 1.3. Katılımcılar NESUE kapsamında katılımcı olarak tanımlanan sujeler, e-tuğra nın ESHS işleyişinde rol alan, işleyişle ilgili hak ve yükümlülükleri bulunan taraflardır. NESUE kapsamında katılımcılar, e-tuğra, kayıt birimleri, bireysel ve kurumsal NES başvurusunda bulunan kimseler, NES sahipleri ve üçüncü kişilerdir. 1.3.1. Elektronik Sertifika Hizmet Sağlayıcısı - "ESHS" ( e-tuğra ) e-tuğra, ESHS işleyişi içerisinde 5070 sayılı Elektronik İmza Kanunu ve ilgili mevzuat hükümleri ile bu NESUE doğrultusunda hak ve yükümlülükleri belirlenmiş olan bir ESHS dir. e-tuğra tarafından oluşturulan NES ler, e-tuğra ESHS alt kök - 3 -

sertifikası tarafından imzalanır; e-tuğra ESHS alt kök sertifikası da e-tuğra kök sertifikası tarafından imzalanır. 1.3.2. Kayıt Birimleri Kayıt Birimleri (Kısaca KB ), NES başvurusu, iptal ve yenileme talepleriyle ilgili hizmetleri yürüten, doğrudan e-tuğra nın kontrol ve denetimi altında olan yerleşik yapılar ve bu yerleşik yapılar içerisinde istihdam edilen ve/veya ettirilen e-tuğra ya bağlı personel veya e-tuğra ile Kayıt Birimi Sözleşmesi yapmış olan gerçek ve/veya tüzel kişilerdir. KB ler e-tuğra tarafından belirlenen belgelere dayanarak, NES talebinde bulunan kişilerin kimliklerini ve NES içerisinde yer alacak bilgilerin geçerliliğini kontrol ederler. KB ler bunun yanında Sertifika Sahipleri ile e-tuğra arasında sertifikanın yaşam zinciri süresince yürütülecek olan işlemlere ilişkin başvuruların alınması ve gerekli olan operasyonların e-tuğra adı ve hesabına yürütülmesi noktasında sorumluluk üstlenebilirler. KB ler ayrıca NES sahiplerine asgari güvenli elektronik imza oluşturma aracı ve NES ten oluşan ancak bunlarla sınırlı kalmamak üzere e-tuğra nın yürüttüğü faaliyetlere ilişkin çeşitli ekipman ve hizmetlerin de içerisinde yer alabileceği güvenli e-imza paketi ne ilişkin başvuru işlemlerinin de e-tuğra adı ve hesabına yürütülmesini de sağlarlar. KB ler aracılığıyla yapılacak NES başvuruları, başvuru sahibinin KB ofisine bizzat gelerek yüz yüze başvuruda bulunması; gerekli bilgi ve belgeleri KB ofisi yetkilisine teslim etmesi esasına dayanmaktadır. KB lere e-tuğra tarafından fotoğraflı bir KB Yetkilisi Belgesi tanzim edilmekte, KB ler NES başvuru sahipleri ile herhangi bir işlem yapmadan önce e-tuğra tarafından kendileri adına tanzim edilen yetki belgelerini NES başvuru sahiplerine ibraz etmektedirler. e-tuğra, KB ofislerinin adreslerini ve iletişim bilgilerini web sitesi aracılığıyla kamuoyuna duyurur. - 4 -

1.3.3. NES Başvuru Sahibi / NES Sahibi, Kurumsal Başvuru Sahibi 5070 sayılı Elektronik İmza Kanunu na göre NES ler sadece gerçek kişiler adına ESHS ler tarafından oluşturulabilirler. NES sahibi e-tuğra tarafından kamuoyuna açıklanan NESUE, NESİ, NES Sahibi ile akdedilen NES Kullanıcı Sözleşmesi ve e-tuğra tarafından belirlenen gereklilikleri yerine getirerek adına NES oluşturulmuş gerçek kişilerdir. NES başvuruları bireysel başvuru ve kurumsal başvuru olmak üzere iki şekilde yapılabilir; Bireysel başvuru sahibi, kendisi adına NES başvurusunda bulunan ve gerekli prosedürleri yerine getirerek e-tuğra ile NES Kullanıcı Sözleşmesi imzalamış olan gerçek kişilerdir. Kurumsal başvuru sahibi; çalışanları veya müşterileri veya üyeleri veya hissedarları adına NES başvurusunda bulunan ve gerekli prosedürleri yerine getirerek e-tuğra ile Kurumsal Başvuru Sözleşmesi imzalamış olan tüzel kişilerdir. 1.3.4. Üçüncü Kişiler Üçüncü kişiler, e-tuğra tarafından oluşturulan NES ler kullanılarak güvenli elektronik imza ile imzalanmış verileri imzalayan kişinin kimliğini tespit eden; NES lerin, e-tuğra kök ve alt kök sertifikalarının, e-tuğra zaman damgalarının geçerlilik kontrollerini yerine getirerek veya güvenli elektronik imza doğrulama aracı kullanmak suretiyle doğrulama işlemini gerçekleştiren ve güvenli elektronik imzayla imzalanmış verilere güvenerek iş ve işlemlerde bulunan kişilerdir. NES sahipleri yukarıda bahsedilen doğrulama süreçlerini kendileri yerine getirmeleri durumunda üçüncü kişi olarak hareket etmektedirler. - 5 -

1.3.5. Diğer Katılımcılar 1.3.5.1 Güven Merkezi Güven Merkezi, e-tuğra nın tüm sertifika yaşam zinciri operasyonlarını yürüttüğü ve sertifika otoritesi teknik altyapısını kurup işlettiği, gerekli tüm fiziki ve teknik güvenlik gereksinimlerini yerine getiren merkezidir. Güven Merkezi TS ISO/IEC 27001 güvenlik sertifikasına sahip olup, tüm işleyişini 5070 sayılı Elektronik İmza Kanunu, ilgili mevzuat ve bu mevzuatla atıfta bulunulan uluslararası standartlara uygun olarak yürütmektedir. 1.4. Sertifika Kullanımı 1.4.1. İzin Verilen Sertifika Kullanımı e-tuğra kök ve alt kök sertifikaları sadece NES imzalanması, SİL imzalanması, ÇSDP ve zaman damgası sertifikalarının imzalanması ile bahsi geçen sertifikaların ve verilerin doğrulanması süreçlerinde kullanılabilir. e-tuğra tarafından oluşturulan NES ler sadece güvenli elektronik imza oluşturma ve doğrulama süreçleri içerisinde, NES in içinde yer alan kullanıma ve maddi kapsama ilişkin sınırlamalar dahilinde ve NES Kullanıcı Sözleşmesi hükümlerine uygun olarak kullanılabilirler. NES ler aynı zamanda üçüncü kişiler tarafından NES in geçerliliğinin doğrulanması ve NES içeriğine erişilmesi amaçlarıyla da kullanılabilirler. 1.4.2. Yasaklanan Sertifika Kullanımı e-tuğra tarafından oluşturulan NES ler ile kök ve alt kök sertifikalarının NESUE 1.4.1. de belirtilen alanlar dışında kullanılmaları yasaktır. Elektronik İmza Kanunu nun 5. maddesi hükmü uyarınca Kanunların resmî şekle veya özel bir merasime tabi tuttuğu hukukî işlemler ile teminat sözleşmeleri güvenli elektronik imza kullanılarak yapılamaz. Bu nedenle bahsi geçen işlemlerin güvenli elektronik imzayla yapılması ve bu işlemlere ilişkin güvenli elektronik imza oluşturma ve doğrulama süreçlerinde NES lerin kullanılması yasaktır. - 6 -

1.5. Politika Yönetimi 1.5.1. NESUE ile ilgili Yetkili Kurum NESUE dokümanının yayınlanmasından, değiştirilmesinden, yenilenmesinden ve bu dokümana ilişkin diğer tüm işlemlerden e-tuğra tarafından bu hususla ilgili yetkilendirilmiş e-tuğra personelinin oluşturduğu güvenlik forumu sorumludur. 1.5.2. İrtibat Görevlisi NESUE ile ilgili sorularınızı aşağıdaki adrese iletiniz: EBG Bilişim Teknolojileri ve Hizmetleri A.Ş. Ceyhun Atıf Kansu Cad. No. 130/58 Balgat/ANKARA Telefon : 0-312-472 21 13 / 0-312-473 56 90 Faks: 0-312-473 56 91 e-mail: info@e-tugra.com.tr 1.5.3. NESUE nin Politikaya Uygunluğunu Belirleyen Kişi NESUE nin, NESİ dokümanına ve e-tuğra ESHS işleyiş süreçlerine uygunluğunu yetkili e-tuğra personeli denetler. 1.5.4. NESUE Onaylama Prosedürü e-tuğra yetkilileri düzenli olarak NESUE dokümanı ve e-tuğra ESHS işleyiş süreçleri ile ilgili denetim çalışmalarını sürdürürler. Denetim çıktıları doğrultusunda ve/veya işleyiş süreçlerinde değişikliğe gidilmesi durumunda NESUE üzerinde değişiklik veya yenileme yapılır. NESUE üzerindeki değişiklikler veya yeni sürümler yetkili e-tuğra personelinin onayına sunulur. NESUE ve NESİ üzerinden yapılan tüm değişiklikler yayımlanmadan ve kamuoyuna duyurulmadan önce, Bilgi Teknolojileri ve İletişim Kurumu nun onayına sunulur. Bilgi Teknolojileri ve İletişim Kurumu nun onayından geçen değişiklikleri içeren NESUE ve NESİ nin yeni sürümleri usulü dairesinde kamuouyunun bilgisine sunulur. - 7 -

1.6. Tanımlar ve Kısaltmalar KAVRAM/KISALTMA Başvuru Yöntemleri Bireysel Sahibi CEN CWA ÇSDP EAL e-tuğra Elektronik Kanunu ESHS ETSI ETSI TS Başvuru İmza AÇIKLAMA/TANIM "ESHS" ile NES Başvuru Sahibi arasında başvurunun yapılması, sertifika sahibinin kimliğinin tespiti, gerekli evrakların hazırlanması, sertifika ücretlerinin ödenmesi, evrakların saklanması, nitelikli elektronik sertifikaların yayınlanması ve sertifika sahibi ne iletilmesi, sertifika iptal, yenileme ve askı taleplerinin iletimindeki usuller gibi hususların belirlendiği teknik ve idari süreçlerden oluşan yöntemler. Bu yöntemlere www.etugra.com adresinden ulaşılabilir. Kendisi adına NES başvurusunda bulunan ve gerekli prosedürleri yerine getirerek e-tuğra ile NES Kullanıcı Sözleşmesi imzalamış olan gerçek kişilerdir. Comité Européen de Normalisation - Avrupa Standardizasyon Komitesi CEN Workshop Agreement- CEN Çalıştay Kararı Çevrimiçi Sertifika Durum Protokolü Evaluation Assurance Level - Değerlendirme Garanti Düzeyi EBG Bilişim Teknolojileri ve Hizmetleri A.Ş. 23 Ocak 2004 tarih 25355 sayılı Resmi Gazete de yayımlanan 5070 Sayılı Kanun. Elektronik Sertifika Hizmet Sağlayıcı European Telecommunication Standartization Institute - Avrupa Telekomünikasyon Standartları Enstitüsü ETSI Technical Specifications - ETSI Teknik Özellikleri Güvenli Elektronik Güvenli elektronik imza; a) Münhasıran imza sahibine bağlı olan, - 8 -

İmza Güvenli İmza Aracı Güvenli İmza Aracı Güvenli Paketi Elektronik Doğrulama Elektronik Oluşturma e-imza b) Sadece imza sahibinin tasarrufunda bulunan güvenli elektronik imza oluşturma aracı ile oluşturulan, c) Nitelikli elektronik sertifikaya dayanarak imza sahibinin kimliğinin tespitini sağlayan, d) İmzalanmış elektronik veride sonradan herhangi bir değişiklik yapılıp yapılmadığının tespitini sağlayan, Elektronik imzadır. Güvenli elektronik imza doğrulama araçları; a) İmzanın doğrulanması için kullanılan verileri, değiştirmeksizin doğrulama yapan kişiye gösteren, b) İmza doğrulama işlemini güvenilir ve kesin bir biçimde çalıştıran ve doğrulama sonuçlarını değiştirmeksizin doğrulama yapan kişiye gösteren, c) Gerektiğinde, imzalanmış verinin güvenilir bir biçimde gösterilmesini sağlayan, d) İmzanın doğrulanması için kullanılan elektronik sertifikanın doğruluğunu ve geçerliliğini güvenilir bir biçimde tespit ederek sonuçlarını değiştirmeksizin doğrulama yapan kişiye gösteren, e) İmza sahibinin kimliğini değiştirmeksizin doğrulama yapan kişiye gösteren, f) İmzanın doğrulanması ile ilgili şartlara etki edecek değişikliklerin tespit edilebilmesini sağlayan ve CWA 14171 standardına uygun imza doğrulama araçlarıdır. Güvenli elektronik imza oluşturma araçları; a) Ürettiği elektronik imza oluşturma verilerinin kendi aralarında bir eşi daha bulunmamasını, b) Üzerinde kayıtlı olan elektronik imza oluşturma verilerinin araç dışına hiçbir biçimde çıkarılamamasını ve gizliliğini, c) Üzerinde kayıtlı olan elektronik imza oluşturma verilerinin, üçüncü kişilerce elde edilememesini, kullanılamamasını ve elektronik imzanın sahteciliğe karşı korunmasını, d) İmzalanacak verinin imza sahibi dışında değiştirilememesini ve bu verinin imza sahibi tarafından imzanın oluşturulmasından önce görülebilmesini, Sağlayan ve ISO/IEC 15408 (-1,-2,-3) e göre en az EAL4+ seviyesinde olan araçlardır. En az nitelikli elektronik sertifika ve güvenli elektronik imza oluşturma aracından oluşan "ESHS" tarafından Sertifika - 9 -

Kullanıcıları na sağlanan hizmet ve ekipmanlar bütünü. Güvenli e-imza Paketi nin fiyatları ile içerdiği ekipmanlar ve hizmetlere ilişkin detaylı açıklamaya www.e-tugra.com web adresinden erişilebilir. IETF RFC Internet Engineering Task Force Request for Comments - İnternet Mühendisliği Görev Grubu Yorum Talebi ISO/IEC International Organisation for Standardisation / International Electrotechnical Commitee - Uluslararası Standardizasyon Teşkilatı / Uluslar arası Elektroteknik Komitesi. Kayıt Birimi "ESHS"ye bağlı olarak faaliyette bulunan Sertifika Kullanıcıları ile Kurumsal Başvuru Sahipleri nin NES başvurularını alan "ESHS"nin yetkili birimi. Kimlik Bilgileri Sertifika Kullanıcısı nın Adı-Soyadı, Türkiye Cumhuriyeti Kimlik Numarası, doğum yeri, doğum tarihi ve uyruğu. Kurumsal Başvuru Kurumsal Başvuru Sahibi Kurumsal Başvuru Yetkilisi NES NES Başvuru Sahibi Bir tüzel kişiliğin çalışanları veya müşterileri veya üyeleri veya hissedarları adına yaptığı nitelikli elektronik sertifika başvurusunu "ESHS" ile Kurumsal Başvuru Sözleşmesi akdetmiş olan ve bu sözleşme hükümleri ve Yönetmeliğin 3. ve 9. maddeleri uyarınca çalışanları veya müşterileri veya üyeleri veya hissedarları adına nitelikli elektronik sertifika başvurusunda bulunan tüzel kişilik Sertifika Kullanıcısı adına "NES" düzenlenmesi için "ESHS"ye bildirilecek olan bilgileri Yönetmeliğin Mad. 9/1.de belirtilen belgelere dayanarak tespit eden ve Kurumsal Başvuru Sözleşmesi içerisinde kendisiyle ilgili belirtilen işlemleri Kurumsal Başvuru Sahibi adı ve hesabına yerine getiren Kurumsal Başvuru Sahibi nin çalışanı. Nitelikli Elektronik Sertifika ESHS ye bireysel veya kurumsal başvuruda bulunan kişi. - 10 -

Nitelikli Elektronik Sertifika" OID NESİ Nitelikli Elektronik Sertifika İlkeleri SİL Sertifika Kullanıcısı SSCD NESUE Nitelikli Elektronik Sertifika Uygulama Esasları 5070 Sayılı Kanunun 9. Maddesinde içerik olarak; Elektronik İmza ile İlgili Süreçlere ve Teknik Kriterlere İlişkin Tebliğ in 5. Maddesinde ise teknik bakımdan özellikleri belirtilen elektronik sertifika. Object Identifier - Nesne betimleyicisi. Nitelikli Elektronik Sertifika İlkeleri Sertifikaların belli bir topluluk ve/veya genel güvenlik gereklilikleri olan uygulamalar bakımından kabul edilebilirliğini belirten kurallar bütününe Sertifika İlkeleri denilmektedir. Nitelikli Elektronik Sertifika İlkeleri, Elektronik Sertifika Hizmet Sağlayıcıları tarafından umuma açıklanan yukarıda belirtilen amaçları karşılamaya yönelik bir belgedir. ESHS tarafından yayınlanan NESİ ye, "Sertifika Kullanıcı ları uymak zorundadır. NESİ ye, duruma göre zaman zaman yapılabilecek değişiklikler de dahil olmak üzere, "ESHS"nin web sitesinden erişilebilir. Sertifika İptal Listesi Adına "ESHS" tarafından "NES" düzenlenen gerçek kişi. Bu doküman içerisinde geçen Sertifika Sahibi ve NES Sahibi kavramları Sertifika Kullanıcısı ile eş anlamlı olarak kullanılmaktadır. Secure Signature Creation Device Güvenli Elektronik İmza Oluşturma Aracı Nitelikli Elektronik Sertifika Uygulama Esasları Sertifika Kullanıcı ları başta olmak üzere NESİ içerisinde tanımlanan her bir tarafın NESİ içinde tanımlı operasyonları gerçekleştirmek için uymak zorunda olduğu gerekliliklerin tespit edildiği, uygulamaların ve prosedürlerin açıklandığı, belli süreçler içerisinde güncellenen ve ESHS tarafından umuma yapılan bir açıklamadır. NESUE ye, duruma göre zaman zaman yapılabilecek değişiklikler de dahil olmak üzere, - 11 -

Tebliğ TC Yönetmelik "ESHS"nin web sitesinden erişilebilir. 6 Ocak 2005 tarih 25692 sayılı Resmi Gazete de yayımlanan Elektronik İmza ile İlgili Süreçlere ve Teknik Kriterlere İlişkin Tebliğ Türkiye Cumhuriyeti 6 Ocak 2005 tarih 25692 sayılı Resmi Gazete de yayımlanan Elektronik İmza Kanununun Uygulanmasına İlişkin Usul ve Esaslar Hakkında Yönetmelik. 2. Yayınlama ve Bilgi Deposu Sorumlulukları 2.1. Bilgi Deposu e-tuğra oluşturduğu NES leri, SİL leri, NESUE ve NESİ dokümanlarını, ESHS işleyişi içerisinde kullandığı sözleşmeleri, bilgilendirici dokümanları ve ilgili görsel ve işitsel yayımları bilgi deposunda yayınlar. Bilgi deposu NES sahiplerinin, üçüncü kişilerin ve ilgili herkesin erişimine 7/24 hizmet verecek şekilde erişime açık bulundurulur. 2.2. Sertifika Bilgilerinin Yayınlanması e-tuğra bilgi deposuna ait http://www.e-tugra.com yayınlar; adresinden aşağıdakileri e-tuğra Kök Sertifikası e-tuğra Alt Kök Sertifikası e-tuğra Zaman Damgası Sertifikası e-tuğra ÇSDP Sertifikası Sertifika sahibinin izin vermesi durumunda NES ler e-tuğra SİL NESİ ve NESUE e-tuğra NES Kullanıcı Sözleşmeleri, - 12 -

Kurumsal Başvuru Sözleşmeleri, NES başvurularına ilişkin dokümanlar Bilgilendirme dokümanları ve ilgili görsel ve işitsel yayımlar 2.3. Yayınlanma Sıklığı NESUE ve NESİ de yapılan güncellemeler ve yeni sürümler ile sözleşmelerde yapılan değişiklikler NESUE 9.12. ye göre yayınlanır. NES ler ve e-tuğra Kök ve Alt Kök Sertifikaları düzenlendikleri tarihte yayınlanır. Sertifika durum bilgileri NESUE 4.9.7. ve NESUE 4.9.10. a göre yayınlanır. 2.4. Bilgi Deposu Erişim Kontrolleri Bilgi deposu 7/24 hizmet verecek şekilde tüm ilgililerin erişimine açık tutulur. Bilgi deposundaki bilgilerin geçerliliği ve doğruluğu konusunda yetkili e-tuğra personeli düzenli kontroller yapar. 3. Tanımlama ve Kimlik Doğrulama e-tuğra NES başvuru sahiplerine NES temin etmeden önce başvuru sahibinin kimlik bilgilerini, NES içerisinde yer alacak bilgilerini, NES in kullanılmasıyla ilgili yetkilerini resmi kayıtlara dayanarak doğrular. 3.1. İsimlendirme (İlk Kayıt) 3.1.1. İsim Tipleri NES lerin DN alanı içerisinde sadece ITU X.500 biçiminin desteklediği isim tipleri kullanılır. - 13 -

3.1.2. İsimlerin Anlamlı Olması Gerekliliği NES lerde NES sahibinin adı, kimlik doğrulama sırasında vermiş olduğu resmi belgelerde belirtilen adla aynıdır. e-tuğra Kök ve Alt Kök Sertifikasında, e-tuğra nın ESHS olduğuna dair kayıt ve ticari unvan bulunur. 3.1.3. "NES" Başvurusunda Bulunan Kişilerin İsimlerini Gizlemesi Veya Takma İsim Kullanımı Kanun a göre NES lerde takma isim kullanımı ve/veya NES sahibinin ismini gizlemesi mümkün değildir. 3.1.4. Değişik İsim Tiplerini Yorumlamak İçin Kurallar İlgili değildir. 3.1.5. İsimlerin Benzersizliği e-tuğra oluşturduğu NES lerde, farklı kişilere ait NES lerdeki kimlik bilgilerinin benzersiz olması sağlanır. NES lerdeki bu benzersizlik T.C. vatandaşları için T.C. kimlik numarası, yabancı uyruklular için pasaport numarası ile sağlanır. Bir NES sahibinin birden çok NES e sahip olması durumunda NES ler içerisindeki kimlik bilgilerinin aynı olmasına izin verilir. 3.1.6. Tanımlama, Doğrulama ve Markaların Rolü NES başvuru sahiplerinin, bireysel veya kurumsal başvurularda başkalarının fikri mülkiyet haklarını ihlal eden isimler kullanmaları yasaktır. 3.2. İlk Kimlik Doğrulaması 3.2.1. İmza Oluşturma Verisinin Zilyetliğinin Kanıtlanması Metodu e-tuğra ESHS işleyişi içerisinde imza oluşturma ve doğrulama verileri sadece ESHS tarafından oluşturulmaktadır. Bu sebeple NES in ve güvenli elektronik imza - 14 -

oluşturma aracının NES sahibine imza karşılığı teslim edilmesi halinde, sahibinin imza oluşturma verisine sahip olduğu kabul edilir. NES 3.2.2. Tüzel Kişilerin Kimliğinin Doğrulanması Kurumsal başvurularda ve/veya NES içerisine ilgili tüzel kişi adına yetki ile ilgili bilgi konulması gerektiği takdirde, doğrulanır. tüzel kişinin kimliği resmi belgelere dayanılarak 3.2.3. Gerçek Kişilerin Kimliğinin Doğrulanması Bireysel ve kurumsal başvurularda gerçek kişinin kimliği nüfus cüzdanı, pasaport, sürücü belgesi gibi fotoğraflı ve geçerli bir belgeye dayanılarak ve yüz yüze kimlik doğrulaması yoluyla tespit edilir. Kurumsal başvurularda gerçek kişiler için yüz yüze kimlik tespiti yapılması zorunlu değildir. 3.2.4. Doğrulanmayan Başvuru Bilgileri NES sahibinin NES içerisinde yer alan bilgileri dışındaki bilgilerin e-tuğra tarafından doğrulanmasına gerek yoktur. 3.2.5. NES Sahibinin Bağlı Olduğu Kurumlarla İlişkisinin Kanıtlanması Kurumsal başvurularda ve/veya NES içerisine ilgili tüzel kişi adına yetki ile ilgili bilgi konulması gerektiği takdirde, tüzel kişinin kimliği ve NES sahibinin yetkileriyle ilgili bilgiler resmi belgelere dayanılarak doğrulanır. 3.2.6. Karşılıklı İşlerlik Kriterleri İlgili değildir. - 15 -

3.3. Yeniden Anahtarlama için Tanımlama ve Kimlik Doğrulama 3.3.1. Rutin Yeniden Anahtarlama için Tanımlama ve Kimlik Doğrulama e-tuğra ESHS işleyişinde NES lerin yeniden anahtarlaması yapılmamaktadır; NES in geçerlilik süresinin dolmasından önce yenileme yapılabilir. Yenileme talepleri www.e-tugra.com adresindeki web sitesinden veya KB ler aracılığıyla yapılabilir. Yenileme talebinin web sitesi üzerinden yapılması halinde, NES in yenilenmesine ilişkin başvuru formu doldurulur ve form yenileme talebinde bulunan NES sahibinin güvenli elektronik imzası ile imzalanır. e-tuğra yenileme talebinde bulunan NES sahibinin güvenli elektronik imzasını doğrulayarak NES sahibinin kimlik doğrulamasını yapar. KB ye yapılan yenileme başvurularında KB, NES sahibinin nüfus cüzdanı, pasaport, sürücü belgesi gibi resmi kimlik belgelerine dayanarak kimlik doğrulamasını yapar. 3.3.2. Sertifika İptali Sonrası Yeniden Anahtarlama İçin Tanımlama ve Kimlik Doğrulama NES iptalinden sonra yeniden anahtarlama yapılmaz, yeniden anahtarlama talebi yeni bir NES başvurusu olarak kabul edilir ve NES başvurusu ile ilgili tüm prosedürler uygulanır. 3.4. İptal Talebi İçin Tanımlama ve Kimlik Doğrulama NES ler NES sahipleri, NES sahibi tarafından izin verilmesi halinde kurumsal başvuru sahipleri ve üçüncü kişiler tarafından iptal edilebilir. NESUE de belirtilen şartların gerçekleşmesi halinde e-tuğra da NES i kendi inisiyatifi ile iptal edilebilir. NES iptali ve askıya alma işlemi e-tuğra Çağrı Merkezi üzerinden, www.e-tugra.com adresindeki internet sitesinden veya KB lere başvuru yoluyla yapılabilir. e-tuğra ilgili taraflardan iptal talebi aldığında, iptal talebinde bulunan kimsenin kimliğini ve iptal talebinde bulunma yetkisini iptal talebinde bulunanın NES Başvurusu sırasında alınan bilgileri ve parololar aracılığıyla doğrular. - 16 -

4. Sertifika Yaşam Zinciri Operasyonel Gereklilikler 4.1. NES Başvurusu 4.1.1. Kim NES Başvurusunda Bulunabilir e-tuğra tarafından belirlenen prosedürleri yerine getiren gerçek kişiler ile çalışanları, müşterileri, üyeleri veya hissedarları adına Kurumsal Başvuru da bulunacak olan tüzel kişiler NES başvurusunda bulunabilirler. 4.1.2. Kayıt Süreci ve Sorumluluklar e-tuğra ESHS işleyişinde NES başvuruları çeşitli Başvuru Yöntemleri ile yapılabilmektedir. NES başvuruları başvuru yapan kişiye göre bireysel başvurular ve kurumsal başvurular olarak ikiye ayrılmaktadır. 4.1.2.1 Bireysel Başvuru Bireysel başvurular, NES başvuru sahibinin kendisi adına şahsen NES başvurusunda bulunmasını tanımlamaktadır. e-tuğra ya yapılacak bireysel başvurular temel olarak iki yöntem izlenerek yapılmaktadır. 4.1.2.1.1 KB Aracılığıyla Bireysel Başvuru Bireysel başvuru sahibi, NES başvurusunda bulunmak için, şahsen KB ye giderek NES başvurusunda bulunabilir. NES başvurusu sırasında KB yetkilisi, nüfus cüzdanı, pasaport veya sürücü belgesi gibi resmi bir belgeyle bireysel başvuru sahibinin kimliğini tespit eder ve doğrular. Bireysel başvuru sahibi bu sırada NES kullanıcı sözleşmesini imzalar, NES başvuru formunu doldurur. Bireysel başvuru sahibi imzalamış olduğu sözleşmenin bir nüshasını, doldurduğu başvuru formunu ve başvurusu sırasında kendisinden istenen ve www.e-tugra.com adresinden duyurulan diğer belgeleri KB yetkilisine teslim eder. - 17 -

4.1.2.1.2 Çevrimiçi Bireysel Başvuru Bireysel Başvuru Sahibi www.e-tugra.com web adresinde yer alan Bireysel Başvuru Formu nu doldurarak ön başvuruda bulunabilir. Bireysel Başvuru Sahibi web ortamındaki prosedürlerin tamamlanmasından sonra sözleşme ve başvuru formunun bir çıktısını alarak bunları doldurur ve imzalar. Bireysel Başvuru Sahibi çevrimiçi başvuru prosedürlerini yerine getirmesinden sonra, noterden kendi adına düzenlenmiş bir imza beyannamesi almak zorundadadır. Bireysel Başvuru Sahibi, noter tarafından tanzim edilen imza beyannamesini, kendisinin doldurarak imza ettiği NES Kullancısı Sözleşmesi ve NES başvuru formununun ESHS nüshalarını ve e-tuğra tarafından www.e-tugra.com adresinden belirtilen diğer belgeleri iadeli taahhütlü mektup veya kargo yoluyla e-tuğra nın ilgili birimine gönderir. Gönderinin e-tuğra ya ulaşmasıyla Bireysel Başvuru Sahibi NES başvurusunda bulunmuş olur. 4.1.2.2 Kurumsal Başvuru Kurumsal Başvuru, bir tüzel kişiliğin çalışanları veya müşterileri veya üyeleri veya hissedarları adına NES başvurusunda bulunmasıdır. Kurumsal Başvuru larda, Kurumsal Başvuru Sahibi, e-tuğra ile akdetmiş olduğu Kurumsal Başvuru Sözleşmesi Hükümleri uyarınca kendi üstlendiği yükümlülükleri kendi adı ve hesabına yerine getirmek üzere Kurumsal Başvuru Sahibi ile arasında geçerli bir hizmet akdi bulunan bir personelini Kurumsal Başvuru Yetkilisi olarak atar. e-tuğra nın iş modelinde kurumsal başvuru tek bir Başvuru Yöntemi ile yapılabilmektedir. e- Tuğra nın belirlediği bu temel Başvuru Yöntemi ne ilişikin genel olarak işleyiş aşağıda konumlandırılmaktadır. 4.1.2.2.1 KB aracılığıyla kurumsal başvuru Kurumsal Başvuru Sahibi, öncelikle e-tuğra nın web sitesinden yayınlanan veya herhangi KB den temin edeceği matbu Kurumsal Başvuru Sözleşmesi ni imzalar. Kurumsal Başvuru Sahibi, Kurumsal Başvuru Sözleşmesi ni imzalamasıyla eş zamanlı olarak Kurumsal Başvuru Yetkilisi ni atayarak, Kurumsal Başvuru Sözleşmesi içerisinde kendisine yüklenen sorumlulukların kendi adı ve hesabına Kurumsal Başvuru Yetkilisi tarafından yürütülmesini sağlar. Kurumsal Başvuru Sahibi, Kurumsal - 18 -

Başvuru Sözleşmesi nin ekinde yer alan Kurumsal Başvuru Formu nu da doldurarak imza eder. Kurumsal başvuru formunda, Kurumsal Başvuru Sahibi, Kurumsal Başvuru Sözleşmesi nin yürürlülüğü süresince asgari kaç adet Kurumsal Başvuru da bulunacağını, Kurumsal Başvuru Yetkilisi ne verdiği yetkiyi ve bu kişinin detaylı kimlik ve iletişim bilgilerini, Kurumsal Başvuru Sahibi olan tüzel kişilik hakkında gerekli olan bilgileri belirtir. Kurumsal Başvuru Yetkilisi, Yönetmeliğin 9. Maddesinin 2. fıkrası uyarınca Kurumsal Başvuru Sahibi nin "NES" taleplerini yazılı olarak belgelenmesi hususlarını da içeren Kurumsal Başvuru Sözleşmesi nin eki olan Sertifika Kullanıcısı Taahhütnamesi ni, adına NES başvurusunda bulunduğu kişiye imzalatır ve bir nüshasını da teslim eder. Kurumsal Başvuru Sahibi, Sertifika Kullanıcısı Taahhütnamelerinin ESHS nüshalarını, Kurumsal Başvuru Sözleşmesi ve eklerini, başvurusu sırasında kendisinden istenen ve www.e-tugra.com adresinden duyurulan diğer belgeleri KB yetkilisine teslim ederek Kurumsal Başvuru da bulunmuş olur. KB, Kurumsal Başvuru Sahibi tarafından imza edilen Kurumsal Başvuru Formu ve Kurumsal Başvuru Sözleşmesi ile Kurumsal Başvuru Yetkilisi nin yetkisini; Kurumsal Başvuru Yetkilisi nin nüfus cuzdanı, pasaport ve ehliyet fotokopilerinden Kurumsal Başvuru Yetkilisi nin kimliğini, Kurumsal Başvuru Sahibi nin imza sirküleri, Kurumsal Başvuru Sözleşmesi, Sertifika Kullanıcısı Taahhütnamesi nden ise Kurumsal Başvuru Sahibi nin yetki ve kimliğinin doğrulamasını yapar. Bir defada 50 (elli) adetten fazla NES için Kurumsal Başvuru da bulunulması durumunda KB veya KB Yetkilisi, Kurumsal Başvuru Sahibi nin belirttiği yerde bulunarak gerekli olan işlemlerin yürütülmesine yardımcı olur. Kurumsal Başvuru Sahibi nin belirttiği yerde KB veya KB Yetkilisinin kayıt sürecine yardımcı olması talebi e-tuğra nın çağrı merkezinin aranması ile yerine getirilir. - 19 -

4.2. NES Başvuru Süreci 4.2.1. Tanımlama İşlemi ve Kimlik Kanıtlama Fonksiyonları KB yetkilileri NES başvuru sahiplerinin, kurumsal başvuru sahiplerinin ve kurumsal başvuru yetkililerinin NESUE 3.2 ve NESUE 4.1 de belirtilen yöntemlerle kimlik doğrulamalarını yaparlar. 4.2.2. NES Başvurularının Kabulü ve Reddi NESUE, NESİ, NES Kullanıcı Sözleşmeleri ve e-tuğra tarafından belirlenen süreçler dahilinde yapılan NES Başvuruları "e-tuğra tarafından bahsi geçen belgelere ve süreçlere uygunluğu bakımından incelenerek; NESUE 4.2.3. Maddesi nde belirtilen süre içinde ilgililer, başvuru sonuçları konusunda e-tuğra tarafından bilgilendirilir. e- Tuğra kendisine yapılan başvuruları kabul etmekte veya reddetmekte serbesttir. e- Tuğra nın başvuruları reddi, evrak eksikliği, yazım hatası v.b. NES Başvuru Sahibi tarafından belirli bir süre içerisinde tamamlanabilecek hususlara dayanıyorsa; e-tuğra NES Başvuru Sahibi ne gerekli eksiklikleri tamamlaması hususunda kesin bir süre verir. NES Başvuru Sahibi nin verilen kesin süre içerisinde eksikliği tamamlaması durumunda; NES Başvurusu kabul edilir ve kabul edilme keyfiyeti kendisine ve ilgililere NESUE 4.2.3. maddesi uyarınca bildirilir. Aksi durumda NES Başvuru Sahibi nin başvurusu reddedilir ve bu durum yine NESUE 4.2.3. maddesi uyarınca kendisine ve ilgililere bildirilir.. 4.2.3. NES Başvuru Süreci Zamanlaması NESUE, NESİ, NES Kullanıcı Sözleşmeleri ve e-tuğra tarafından belirlenen süreçler dahilinde yapılan NES Başvuruları "e-tuğra tarafından incelenerek, başvuru sonuçları 15 (on beş) işgünü içerisinde e-tuğra" Çağrı Merkezi yetkilisi tarafından telefonla veya NES başvuru sahibinin ve Kurumsal Başvuru Yetkilisi nin elektronik mektup adresine gönderilecek güvenli elektronik imzalı elektronik mektupla NES başvuru sahibine ve/veya Kurumsal Başvuru Sahibi ne bildirilecektir. - 20 -

4.3. NES Oluşturulması 4.3.1. NES Oluşturulması Sırasında ESHS nin Faaliyetleri NESUE 4.2 de belirtilen başvuru süreçlerinin tamamlanarak başvurunun kabul edilmesinden sonra e-tuğra güvenli personel i tarafından Güven Merkezi içerisinde sertifika sahibine ait güvenli elektronik imza oluşturma aracında Tebliğ de belirtilen algoritma ve parametlere uygun olarak imza oluşturma ve doğrulama verileri oluşturulur. İmza oluşturma ve doğrulama verileri nin oluşturulmasının akabinde NES başvuru sahibinden ve/veya kurumsal başvuru sahibinden alınan bilgiler doğrultusunda sertifika sahibi ne ait elektronik imza doğrulama verisi ile bağlı NES oluşturulur. e-tuğra tarafından oluşturulan NES ile imza oluşturma ve doğrulama verilerinin yüklü olduğu güvenli elektronik imza oluşturma aracından oluşan Güvenli e-imza Paketi bireysel başvuru sahibi veya kurumsal başvuru sahibinin belirttiği yerde yalnızca sertifika sahibi ne kimlik kontrolü ve imza karşılığında teslim edilir. 4.3.2. NES Başvurusunda Bulunan Kişiye Sertifikayı Oluşturan ESHS Tarafından Yapılan Bildirim Bireysel başvurularda NES sahibi, kurumsal başvurularda NES sahibi ve Kurumsal Başvuru Yetkilisi e-posta veya telefon aracılığıyla başvurunun durumu hakkında bilgilendirilir. 4.4. NES in Kabulü 4.4.1. NES in Kabulü Sayılan İşlemler e-tuğra tarafından oluşturulan NES ile imza oluşturma ve doğrulama verilerinin yüklü olduğu güvenli elektronik imza oluşturma aracından oluşan Güvenli e-imza Paketi nin NES sahibi tarafından teslim alınması NES in kabulü sayılır. Sertifika Kullanıcısı Güvenli e-imza Paketi ni teslim aldıktan sonra paket içerisinde yer alan ekipmanların eksiksiz ve çalışır durumda olduğunu ivedilikle kontrol edecektir. Sertifika Kullanıcısı nın, Güvenli e-imza Paketi içerisinde almış olduğu ekipmanların eksik ve - 21 -