e-güven Sertifika Uygulama Hükümleri

Benzer belgeler
ULUSAL GRID ÇALIŞTAYI 2005

ULUSAL GRID ÇALIŞTAYI 2005

TODAİE edevlet MERKEZİ UYGULAMALI E-İMZA SEMİNERİ KASIM E-imza Teknolojisi. TODAİE Sunumu

ELEKTRONİK İMZALARA İLİŞKİN UNCITRAL MODEL KANUN TASARISI

TÜBİTAK KAMU SERTİFİKASYON MERKEZİ EĞİTİM KATALOĞU (2012) Sürüm 1.0

BİLGİ GÜVENLİĞİ POLİTİKASI

BİLGİ GÜVENLİĞİ VE BİLGİ İŞLEM PROSEDÜRÜ

e-fatura UYGULAMASINDA ÖZEL ENTEGRASYON YÖNTEMİ

BİLGİ GÜVENLİĞİ POLİTİKASI

Bilgi Güvenliği Yönetim Sistemi

e-güven Nitelikli Elektronik Sertifika Uygulama Esasları

e-fatura UYGULAMASINDA ÖZEL ENTEGRASYON YÖNTEMİ

Güven Kurumları ve İtibar Yönetimi Oturumu Can ORHUN

VERGİ SİRKÜLERİ NO: 2015/42 TARİH: 07/04/2015

SIRA NO SORUMLU BİRİM FAALİYET SORUMLU DURUM AÇIKLAMA

AK-TAŞ DIŞ TİCARET ANONİM ŞİRKETİ İNTERNET SİTESİ GİZLİLİK POLİTİKASI

ELEKTRONİK İMZADA GÜVENLİK VE STANDARTLAR

UE.18 Rev.Tar/No: /03 SAYFA 1 / 5

İLETİŞİM PROSEDÜRÜ. 1. AMAÇ Bu prosedürün amacı, Yıldız Teknik Üniversitesi ndeki iletişim yöntemlerini ve sorumlulukları belirlemektedir.

İSTANBUL, SİRKÜLER ( 2010/11 ) Konu: Faturanın elektronik belge olarak düzenlenmesine ilişkin usul ve esaslar


BİLGİ SİSTEMLERİ YÖNETİMİ TEBLİĞİ

5651 ve 5070 Sayılı Kanun Tanımlar Yükümlülükler ve Sorumluluklar Logix v2.3 Firewall. Rekare Bilgi Teknolojileri

2. KAPSAM OMÜ Mühendislik Fakültesi bünyesinde kullanılan Kalite Yönetim Sistemi dökümanlarını kapsar.

ÇELİKEL A.Ş. Bilgi Güvenliği Politikası

e-güven Nitelikli Elektronik Sertifika Uygulama Esasları

Ürün ve hizmet başvurularını işleme alma, ödeme ve işlemler gerçekleştirme, talimatları ya da talepleri tamamlama

İşbu web sitesindeki malzemeler ve dokümanlar hiçbir surette değiştirilemez, kopyalanamaz, çoğaltılamaz ve yeniden yayınlanamaz.

DOKÜMAN KONTROL PROSEDÜRÜ

e-fatura UYGULAMASI (Saklama Kılavuzu) Eylül 2013 ANKARA e-fatura Saklanma Kılavuzu Eylül 2013 Versiyon : 1.1 1/10

ELEKTRONİK TİCARETTE HİZMET SAĞLAYICI VE ARACI HİZMET SAĞLAYICILAR HAKKINDA YÖNETMELİK YAYIMLANDI:

Emre Kartaloğlu YEMİNLİ MALİ MÜŞAVİR DUYURU. Sayı: /04/2015. Elektronik Faturaya İlişkin 397 No.lu VUK Genel Tebliğinde Değişiklik Yapıldı.

Daha komplike uygulamalar elektronik ticaret, elektronik kimlik belgeleme, güvenli e-posta,

E-Ticaretin özelliklerini ve araçlarını tanımlayabileceksiniz. E-Ticaretin yararlarını karşılaştırabileceksiniz.

GÜVENLİ İNTERNET HİZMETİNE İLİŞKİN USUL VE ESASLAR

KONU: Vergi Usul Kanunu Genel Tebliğin (Sira No: 397) de Değişiklik Yapılmasına Dair Tebliğ (Sıra No: 447) Yayımlandı.

KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİ POLİTİKASI

e-imza KIBRIS Nitelikli Elektronik Sertifika Uygulama Esasları

ERTÜRK YEMİNLİ MALİ MÜŞAVİRLİK VE BAĞIMSIZ DENETİM A.Ş. SİRKÜLER 2013/44

bilgiçiftliği Genel Çevrimiçi Gizlilik ve Bilgi güvenliği Bildirimi

Kayıtlı Elektronik Posta (KEP)

HATAY KHB BILGI İŞLEM BİRİMİ

İletişim ve Bilgi Yönetimi (MCI) Copyright, Joint Commission International

EBG Bilişim Teknolojileri ve Hizmetleri A.Ş NİTELİKLİ ELEKTRONİK SERTİFİKA UYGULAMA ESASLARI (NESUE)

GENEL HİZMET SÖZLEŞMESİ

HP CloudSystem Matrix Yükseltme Uygulama Hizmetleri

DOKÜMANLARIN KONTROLÜ PROSEDÜRÜ Doküman No: Yürürlük Tarihi: Revizyon Tarih/No:

ve diğer Yerel Mevzuat Kapsamında Zaman Damgası

Yeni Nesil Ağ Güvenliği

SERTİFİKA İLKELERİ (Sİ)

KALİTE VE GIDA GÜVENLİĞİ SİSTEM KAYITLARI KONTROLÜ PROSEDÜRÜ

T. C. KAMU İHALE KURUMU

KURUMSAL BAŞVURU SÖZLEŞMESİ

Plus500 Ltd. Gizlilik Politikası

6563 Sayılı Elektronik Ticaretin Düzenlenmesi Hakkında Kanun Çerçevesinde E-ticaret Uygulamaları

Gizlilik ve Güvenlik GİZLİLİK VE GÜVENLİK POLİTİKASI

Türkiye de Satışı Yapılan Presario Ürünleri ne Yönelik Garanti Beyanı

Bilgi Güvenliği Politikası. Arvato Bertelsmann İstanbul, Türkiye. Versiyon 2016_1. Arvato Türkiye. Yayınlayan

Sirküler Rapor Mevzuat /76-1 VERGİ USUL KANUNU GENEL TEBLİĞİ (SIRA NO: 397) NDE DEĞİŞİKLİK YAPILMASINA DAİR TEBLİĞ (SIRA NO: 447) YAYIMLANDI

Atılım Üniversitesi Bilgi & Đletişim Teknolojileri Müdürlüğü Bilgi Güvenliği ve Ağ Yönetim Uzmanı Görev Tanımı

PRESTİJ BİZDE TARİFESİ TAAHHÜTNAMESİ

BİLGİ TEKNOLOJİLERİ VE İLETİŞİM KURULU KARARI

Sözleşmeler taraflara yüklediği borçlara göre: Tek taraflı borç yükleyen sözleşmeler, İki taraflı borç yükleyen sözleşmeler olarak ayrılır.

Alan Adı / Domain Kayıt Tescil Sözleşmesi. etmek, yenilemek, transfer etmek veya toplu transfer etmek veya sözleşme konusu diğer

ÇEVRİM İÇİ VERİ TABANLARININ SEÇİMİ VE KULLANIMINDA KÜTÜPHANECİLERİN ROLÜ

T.C. ANKARA ÜNİVERSİTESİ BELGE YÖNETİMİ VE ARŞİV SİSTEMİ STRATEJİSİ

TARIM REFORMU GENEL MÜDÜRLÜĞÜ

Sibergüvenlik Faaliyetleri

UYGULAMASI ELEKTRONİK

TÜRK AKREDİTASYON KURUMU. Ürün Hizmet ve Muayene Akreditasyon Başkanlığı Ürün Belgelendirme Akreditasyonu

Bu internet sitesini (Kısaca "PORTAL" olarak anılacaktır) kullanmak için lütfen aşağıda yazılı koşulları okuyunuz.

TAKASNET SİSTEM KATILIM KURALLARI

VODAFONE TOPLU ABONELİK SATIŞ SÖZLEŞMESİ

HACCP Sistem Tetkikine Ait Resmi Form Resmi Kontrol Rapor No:

E-İmza Kavramı. Bilginin bütünlüğünü ve tarafların kimliklerinin doğruluğunu sağlayan sayısal imzaları da içermektedir.

E-Fatura Uygulaması Hakkında Genel Bilgiler

E-İmza Kavramı. Elektronik bilginin bütünlüğünü ve tarafların kimliklerinin doğruluğunu sağlar.

POL.01 Rev.Tar/No: /1.0 HĠZMETE ÖZEL

Kurumlarda E-imzaya Yapılması Gerekenler TODAİE E Sunumu. Ferda Topcan Başuzman Araştırmacı ferdat@uekae.tubitak.gov.tr (312)

PERİYODİK KONTROL TEKLİF FORMU

ONAYLANMIŞ KURULUŞ NUMARASI VE LOGO KULLANIM TALİMATI

e-güven Zaman Damgası İlkeleri

ISO 13485:2016 TIBBİ CİHAZLAR KALİTE YÖNETİM SİSTEMİ GEÇİŞ KILAVUZU

T.C. EMNİYET GENEL MÜDÜRLÜĞÜ

ELEKTRONİK NÜSHA. BASILMIŞ HALİ KONTROLSUZ KOPYADIR

KURUMSAL BAŞVURU SÖZLEŞMESİ

ÖZ DEĞERLENDİRME SORU LİSTESİ

TÜRK AKREDİTASYON KURUMU. Ürün Hizmet ve Muayene Akreditasyon Başkanlığı Muayene Kuruluşu Akreditasyonu

e-fatura UYGULAMASI (Başvuru Kılavuzu) Ağustos 2013 ANKARA e-fatura Uygulaması Başvuru Kılavuzu Ağustos 2013 Versiyon : 1.3 1/9

ISO 27001:2013 BGYS BAŞDENETÇİ EĞİTİMİ. Kapsam - Terimler

Ön İnceleme Çalışması Gizlilik Sözleşmesi

BİRİNCİ BÖLÜM Amaç, Kapsam, Dayanak ve Tanımlar

(I nternet Sitesi)

(SİRKÜLER ) Vergi Usul Kanunu Genel Tebliği Sıra No:424 yayımlanmış olup, bu tebliğde;

KAPSAM YEMİNLİ MALİ MÜŞAVİRLİK LTD. ŞTİ.

Peşin Fiyatlandırma Anlaşması Rehberi: En Çok Sorulan 15 Soru. Mayıs kpmg.com.tr kpmgvergi.com

SĠRKÜLER NO: 19/2015 Ġstanbul, KONU: E-Fatura ve E-Defter Uygulamasına ĠliĢkin Bazı DeğiĢiklikler Yapıldı

BELGE, MARKA ve LOGO KULLANIMI PROSEDÜRÜ

Çok Önemli Not : ilgili yasaya ilişkin görüş ve yorumlarını yansıtmaktadır. Hiçbir kurum ve kuruluşu bağlayıcı niteliği yoktur.

e-müstahsil Makbuzu Nedir?

Transkript:

e-güven Sertifika Uygulama Hükümleri Sürüm 1.0 Yürürlük Tarihi: Mayıs, 2004 Elektronik Bilgi Güvenliği Anonim Şirketi Vali Konağı cad. no:147/14 34365 Nişantaşı / İstanbul Türkiye Tel: 212-296 81 46 Fax: 212-296 81 48 www.e-guven.com

e-güven Sertifika Uygulama Hükümleri 2004 Elektronik Bilgi Güvenliği A.Ş. Her hakkı saklıdır. Revizyon tarihi: Mayıs 2004 Açıklamalar ve Uyarılar VeriSign ve Managed PKI, VeriSign, Inc. in tescilli markalarıdır. VeriSign logosu, VeriSign Trust Network ve Go Secure!, VeriSign, Inc. in ticari markaları, hizmet markaları ve servis işaretleridir. Bu dokümanda kullanılan diğer ticari markalar, hizmet markaları ve servis işaretleri ise Elektronik Bilgi Güvenliği A.Ş. veya Siemens Business Services Servis Hizmetleri A.Ş. (SBS) veya ilgili tarafların mülkiyetindedir. Yukarıda belirtilen haklar saklı kalmak kaydıyla ve aşağıda özel olarak aksine izin verilen durumlar hariç olmak üzere, bu yayının hiçbir parçası, önceden Elektronik Bilgi Güvenliği A.Ş. nin izni alınmadan herhangi bir formda veya herhangi bir araçla (elektronik, mekanik, fotokopi, kayıt veya başka araçlar) çoğaltılamaz, aktarılamaz ya da bir veri okuma sistemine kaydedilemez veya işlenemez. Bununla birlikte, (i) yukarıdaki telif hakkı uyarısının ve giriş paragraflarının her bir nüshanın başında açıkça gösterilmesi ve (ii) bu dokümanın, Elektronik Bilgi Güvenliği A.Ş. ye atıf yapılarak, bir bütün halinde ve hatasız kopyalanması şartıyla, bu eserin ücreti ödenmeden çoğaltılmasına ve dağıtılmasına izin verilebilir. Bununla birlikte çoğaltma ve dağıtım izni herhangi bir kişiye münhasıran verilmez. İşbu Sertifika Uygulama Hükümleri (SUH) ile ilgili yorum ve uyuşmazlıklar öncelikle e-güven ile uyuşmazlığın karşı tarafı veya dokumanla ilgili olan kişi arasında akdedilen işbu SUH a atıfta bulunan sözleşme; yorumlamaya konu olan olayın meydana geldiği ve uyuşmazlıkların ortaya çıktığı zaman yürürlülükte olan SUH un hükümleri çerçevesinde değerlendirilecektir. İşbu SUH da geçen terimler, değerlendirmeler ve açıklamalar 5070 Sayılı Elektronik İmza Kanunu nun kapsamı dışındadır. İşbu SUH la ilgili uyuşmazlıklarda ve yorumlamalarda 5070 Sayılı Elektronik İmza Kanunu hükümleri ve bu kanunla ilgili mevzuat uygulanmayacaktır. İşbu SUH içersinde Elektronik Bilgi Güvenliği web sitesinden erişilebileceği veya e-guven.com uzantılı elektronik posta adresinden bildirimde bulunulabileceği belirtilen iletişim adresi, bilgi, belge ve dokümanlara, ilgili siteyle ilgili alt yapı, hazırlık ve kurulum çalışmaları devam ettiğinden dolayı erişilememekte veya iletişim kurulamamaktadır. İşbu SUH içersinde Elektronik Bilgi Güvenliği nin http://www.e-guven.com alan adından yayın yapacak olan web sitesiyle ilgili

gerekli hazırlıklar tamamlandığında ve web üzerinden ilgili bilgi, belge ve dokümanların yayınına başlandığında ilgili taraflara SUH da belirtilen linkler vasıtasıyla belirtilen bilgi, belge ve dokümanlara erişebilecekleri ve e-guven.com uzantılı elektronik posta adresinden iletişimde bulunulabilecekleri bildirilecektir. İşbu e-güven Sertifika Uygulama Hükümleri ile ilgili çoğaltılma izinleri (ve yanı sıra e-güven den kopyalarının temini) için talepler Elektronik Bilgi Güvenliği A.Ş., Vali Konağı Cad. No:147/14 34365 Nişantaşı / İstanbul- Türkiye, Dikkatine: Uygulama Geliştirme adresine yapılmalıdır. Tel: +90 212 296 81 46 Faks: +90 212 296 81 48 Elektronik Posta: practices@e-guven.com Teşekkür Elektronik Bilgi Güvenliği A.Ş., dokümanın incelenmesinde görev alan ve hukuk, politika ve teknoloji gibi çok çeşitli alanlarda uzman olan çok sayıda kişiye katkılarından dolayı teşekkür eder. - ii -

İÇİNDEKİLER 1. Giriş 1 1.1 Genel... 2 1.1.1 Politika Hakkında Genel Bilgi... 5 1.1.2 VeriSign ın VTN Servisleri Sunumu... 8 1.1.2.1 Sertifika Dağıtım Servisleri... 8 1.1.2.1.1 e-güven in Sunduğu VeriSign Managed PKI... 8 1.1.2.1.2 VeriSign Küresel Ortak Programı... 10 1.1.2.1.3 Web Host Programı... 10 1.1.2.2 Katma Değerli Sertifikalandırma Hizmetleri... 10 1.1.2.2.1 Kimlik Kontrolü Servisleri... 10 1.1.2.2.2 e-güven in Sunduğu VeriSign Dijital Onay Servisi... 11 1.1.2.3 Özel Sertifika Tipleri... 12 1.1.2.3.1 e-güven in Sunduğu VeriSign Managed PKI Key Manager Servisleri... 12 1.1.2.3.2 e-güven in Sunduğu VeriSign Roaming Servisi... 12 1.2 Tanımlama... 13 1.3 Kullanıcı Grubu ve Kullanılabilirlik... 13 1.3.1 Sertifika Otoriteleri... 13 1.3.2 Kayıt Otoriteleri... 14 1.3.3 Son Kullanıcılar... 14 1.3.4 Geçerlilik... 15 1.3.4.1 Uygun Başvurular... 16 1.3.4.2 Sınırlı Başvurular... 16 1.3.4.3 Yasaklanmış Başvurular... 17 1.4 İrtibat Detayları... 17 1.4.1 SUH le ilgili Yetkili Kurum... 17 1.4.2 İrtibat Görevlisi... 17 1.4.3 SUH un Politikaya Uygunluğunu Belirleyen Kişi... 18 2. Genel Hükümler 18 2.1 Sorumluluklar...18 2.1.1 SO nun Sorumlulukları... 18 2.1.2 KO nun Sorumlulukları... 19 2.1.3 Abone Sorumlulukları... 19 2.1.4 İtimat Eden Tarafın Sorumlulukları... 20 2.1.5 Veri Depolama Sorumlulukları... 21 2.2 Sorumluluk... 21 2.2.1 Sertifika Otoritesinin Sorumlulukları... 21 2.2.1.1 Aboneler ve İtimat Eden Taraflar için Sertifika Otoritesi Garantileri... 22 2.2.1.2 Sertifika Otoritesi Sorumsuzluk Kaydı... 22 2.2.1.3 Sertifika Otoritesinin Sorumluluğunun Sınırlandırılması... 22 2.2.1.4 Mücbir Sebep... 23 2.2.2 Kayıt Otoritesinin Sorumluluğu... 23 2.2.3 Abonenin Sorumluluğu... 23 2.2.3.1 Abonenin Vereceği Garantiler... 23 2.2.3.2 Kapalı Anahtarın Korunması... 24 - iii -

2.2.4 İtimat Eden Tarafların Sorumluluğu... 24 2.3 Mali Sorumluluk... 24 2.3.1 Abonelerin ve İtimat Eden Tarafların Ödeyecekleri Tazminat... 24 2.3.1.1 Abonelerin Ödeyecekleri Tazminat... 24 2.3.1.2 İtimat Eden Tarafların Ödeyecekleri Tazminat... 25 2.3.2 Güvene Dayalı İlişki... 25 2.3.3 İdari Süreçler... 25 2.4 Yorumlama ve Uygulama Kanunları... 26 2.4.1 Uygulanacak Hukuk... 26 2.4.2 Bölünebilirlik, Post Contractus Hükümler,, Bütünlük, İhbar... 26 2.4.3 Uyuşmazlıkların Çözüm Yolları... 26 2.4.3.1 e-güven ile Müşteriler Arasındaki İhtilaflar... 26 2.4.3.2 Son Kullanıcı Abonelerle ve İtimat Eden Taraflar Arasındaki İhtilaflar... 26 2.5 Ücretler... 27 2.5.1 Sertifika Düzenleme veya Yenileme Ücretleri... 27 2.5.2 Sertifika Erişim Ücretleri... 27 2.5.3 İptal veya Durum Bilgisi Erişim Ücretleri... 27 2.5.4 Politika Bilgisi Gibi Diğer Servislerin Ücretleri... 27 2.5.5 Geri Ödeme Politikası... 27 2.6 Yayınlama ve Veri Depolama... 28 2.6.1 SO Bilgisinin Yayınlanması... 28 2.6.2 Yayınlama Sıklığı... 29 2.6.3 Erişim Kontrolleri... 29 2.6.4 Veri Bankaları (Tabanları)... 29 2.7 Uygunluk Denetimi... 29 2.7.1 Kuruluş Uygunluk Denetiminin Sıklığı... 30 2.7.2 Denetçinin Kimliği/Nitelikleri... 30 2.7.3 Denetçinin Denetlenen Tarafla İlişkisi... 30 2.7.4 Denetim Kapsamındaki Konular... 31 2.7.5 Bir Eksiklik İçin Alınan Önlemler... 31 2.7.6 Sonuçların İletilmesi... 31 2.8 Gizlilik ve Özel Bilgi... 31 2.8.1 Gizli ve Özel Bilgi Kapsamında Tutulacak Bilgi Çeşitleri... 31 2.8.2 Gizli veya Özel Bilgi Kabul Edilmeyen Bilgi Çeşitleri... 32 2.8.3 Sertifika İptal/Askıya Alma Bilgisinin İfşa Edilmesi... 32 2.8.4 Bilgilerin Resmi Makamlara Açıklanması... 32 2.8.5 Bilgilerin Hukuk Davaları Sırasında Yapılan İstemler Üzerine Açıklanması... 32 2.8.6 Bilgi Sahibinin Talebi Üzerine Açıklama... 32 2.8.7 Diğer Bilgi Açıklama Koşulları... 32 2.9 Fikri Mülkiyet Hakları... 32 2.9.1 Sertifikalar ve İptal Bilgisinin Mülkiyet Hakları... 32 2.9.2 SP nin ve SUH un Mülkiyet Hakları... 33 2.9.3 İsim ve Marka Üzerindeki Hakları... 33 2.9.4 Anahtarların ve Anahtar Malzemesinin Mülkiyet Hakları... 33 3. Tanımlama ve Kimlik Kontrolü 33 3.1 İlk Kayıt... 33 - iv -

3.1.1 İsim Tipleri... 33 3.1.2 İsimlerin Anlamlı Olması Gereksinimi... 35 3.1.3 Çeşitli İsim Formlarının Yorumlanmasına Dair Kurallar... 35 3.1.4 İsimlerin Tek Olması... 35 3.1.5 İsim İhtilaflarını Çözme Prosedürü... 36 3.1.6 Ticari Markaların Tanınması, Onaylanması ve İşlevi... 36 3.1.7 Kapalı Anahtara Sahip Olunduğunu Kanıtlama Yöntemi... 36 3.1.8 Kurumun Kimliğinin Kontrolü... 36 3.1.8.1 Kurumsal Son Kullanıcı Abonelerin Kimlik Kontrolü... 36 3.1.8.1.1 Perakende Kurumsal Sertifikalar için Kimlik Kontrolü... 36 3.1.8.1.2 SSL için Managed PKI Müşterileri veya SSL Premium Edition için Managed PKI Müşterileri için Kimlik Kontrolü... 37 3.1.8.1.3 Sınıf 3 Kurumsal ASB Sertifikaları için Kimlik Kontrolü... 37 3.1.8.2 SO ların ve KO ların Kimlik Kontrolü... 38 3.1.9 Bireysel Kimliğin Kontrolü... 38 3.1.9.1 Sınıf 1 Bireysel Sertifikalar... 39 3.1.9.2 Sınıf 2 Bireysel Sertifikalar... 39 3.1.9.2.1 Sınıf 2 Managed PKI Sertifikaları... 39 3.1.9.2.2 Sınıf 2 Perakende Sertifikalar... 40 3.1.9.3 Sınıf 3 Bireysel Sertifikalar... 40 3.1.9.3.1 Sınıf 3 Bireysel Sertifikalar... 40 3.1.9.3.2 Sınıf 3 İdareci Sertifikaları... 40 3.2 Rutin Anahtarlama ve Yenileme... 41 3.2.1 Son Kullanıcı Abone Sertifikaları için Rutin Yeniden Anahtarlama ve Yenileme 42 3.2.2 SO Sertifikaları için Rutin Yeniden Anahtarlama ve Yenileme... 43 3.3 İptal Sonrasında Yeniden Anahtarlama... 43 3.4 İptal Talebi... 44 4. Operasyon Şartları 45 4.1 Sertifika Başvurusu... 45 4.1.1 Son Kullanıcı Abone Sertifikaları için Sertifika Başvuruları... 45 4.1.2 SO, KO, Altyapı ve Personel Sertifikaları için Sertifika Başvuruları... 46 4.1.2.1 KO Sertifikaları... 46 4.1.2.2 KO Sertifikaları... 46 4.1.2.3 Altyapı Sertifikaları... 47 4.1.2.4 VeriSign Personel Sertifikaları... 47 4.2 Sertifika Düzenleme... 47 4.2.1 Son Kullanıcı Abone Sertifikaları Düzenleme... 47 4.2.2 SO, KO ve Altyapı Sertifikaları Düzenleme... 47 4.3 Sertifika Kabulü...48 4.4 Sertifikayı Askıya Alma veya İptal Etme... 48 4.4.1 İptal Koşulları... 48 4.4.1.1 Son Kullanıcı Abone Sertifikaları için İptal Koşulları... 48 4.4.1.2 SO, KO veya Altyapı Sertifikaları için İptal Koşulları... 49 4.4.2 Kimler İptal Talebinde Bulunabilir... 49 4.4.2.1 Kimler Bir Son Kullanıcı Abone Sertifikasının İptalini Talep Edebilir... 49 - v -

4.4.2.2 Kimler Bir SO, KO veya Altyapı Sertifikasının İptalini Talep Edebilir... 50 4.4.3 İptal Talebi Prosedürü... 50 4.4.3.1 Bir Son Kullanıcı Abone Sertifikasının İptalini Talep Etme Prosedürü... 50 4.4.3.2 Bir SO veya KO Sertifikasının İptalini Talep Etme Prosedürü... 50 4.4.4 İptal Talebi Süresi... 50 4.4.5 Askıya Alma Koşulları... 50 4.4.6 Kimler Askıya Alma Talebinde Bulunabilir... 50 4.4.7 Askıya Alma Talebi Prosedürü... 51 4.4.8 Askıya Alma Süresi Limitleri... 51 4.4.9 CRL Yayınlama Sıklığı... 51 4.4.10 Sertifika İptal Listesi Kontrol Şartları... 51 4.4.11 Çevrim İçi İptal/Durum Kontrolü Bilgisi Alma... 51 4.4.12 Çevrim İçi İptal Kontrolü Şartları... 52 4.4.13 Mevcut Diğer İptal Duyuru Formları... 52 4.4.14 Diğer İptal Duyuruları için Kontrol Şartları... 52 4.4.15 Anahtar Tehditleriyle İlgili Özel Şartlar... 52 4.5 Güvenlik Denetimi Prosedürleri... 52 4.5.1 Kaydedilen Olay Tipleri... 52 4.5.2 Kayıt İşleme Sıklığı... 53 4.5.3 Denetim Kaydı Saklama Süresi... 53 4.5.4 Denetim Kaydının Korunması... 53 4.5.5 Denetim Kaydı Yedekleme Prosedürleri... 53 4.5.6 Denetim Bilgisi Toplama Sistemi... 54 4.5.7 Olaya Sebep Olan Sertifika Konusuna İhbarda Bulunma... 54 4.5.8 Güvenlik Açıklarının Değerlendirilmesi... 54 4.6 Kayıtların Arşivlenmesi... 54 4.6.1 Kaydedilen Olay Tipleri... 54 4.6.2 Arşiv Saklama Periyodu... 55 4.6.3 Arşivin Korunması... 55 4.6.4 Arşiv Yedekleme Prosedürleri... 55 4.6.5 Kayıtlara Zaman Damgası Basma Şartları... 55 4.6.6 Arşiv Bilgisine Ulaşma ve Doğrulama Prosedürleri... 55 4.7 Anahtar Değiştirme... 55 4.8 SO nun Operasyonunun Durdurulması... 56 5. Fiziksel, Prosedür ve Personel Güvenlik Kontrolleri 56 5.1 Fiziksel Kontroller... 57 5.1.1 Tesisin Yeri ve Yapısı... 57 5.1.2 Fiziksel Erişim... 57 5.1.3 Elektrik ve Klima Sistemleri... 58 5.1.4 Su Etkisi... 58 5.1.5 Yangın Önleme ve Yangına Karşı Korunma... 58 5.1.6 Araçların Saklanması... 58 5.1.7 Atık Atma... 59 5.1.8 Tesis Dışı Yedekleme... 59 5.2 Prosedür Kontrolleri... 59 5.2.1 Güvenilen Şahıslar... 59 - vi -

5.2.2 Her Bir Görev için Gereken Kişi Sayısı... 60 5.2.3 Her Bir Görev için Tanımlama ve Kimlik Kontrolü... 60 5.3 Personel Kontrolleri... 60 5.3.1 Mesleki Bilgi, Nitelikler, Deneyim ve Resmi Makam İzinlerinin Şartları... 60 5.3.2 Mesleki Bilgi Kontrol Prosedürleri... 61 5.3.3 Eğitim Şartları... 61 5.3.4 Eğitim Sıklığı ve Şartları... 62 5.3.5 İş Rotasyon Sıklığı ve Sırası... 62 5.3.6 Yetkisiz Eylemlere Karşı Yaptırımlar... 62 5.3.7 Sözleşmeli Personel Şartları... 62 5.3.8 Personele Verilen Dokümanlar... 62 6. Teknik Güvenlik Kontrolleri 62 6.1 Anahtar Çifti Yaratma ve Kurma... 62 6.1.1 Anahtar Çifti Yaratma... 62 6.1.2 Kuruluşa Özel Anahtar Verilmesi... 63 6.1.3 Sertifika Düzenleyiciye Açık Anahtar Verilmesi... 63 6.1.4 Kullanıcılara SO Açık Anahtarının Verilmesi... 64 6.1.5 Anahtarların Büyüklüğü... 64 6.1.6 Genel Kod Parametrelerinin Yaratılması... 64 6.1.7 Parametre Kalitesi Kontrolü... 64 6.1.8 Donanım/Yazılım anahtari Yaratılması... 64 6.1.9 Anahtar Kullanımının Amaçları... 64 6.1.10 Şifreleme Modülleri için Standartlar... 65 6.1.11 Kapalı Anahtarın (m/n) Birden Fazla Şahısça Kontrolü... 65 6.1.12 Kapalı Anahtarın Geçici Olarak Üçüncü Şahıslara Verilmesi... 66 6.1.13 Kapalı Aanahtarın Yedeklenmesi... 67 6.1.14 Kapalı Anahtarların Arşivlenmesi... 67 6.1.15 Kapalı Anahtarların Şifreleme Modülüne Girilmesi... 67 6.1.16 Kapalı Anahtarları Etkinleştirme Yöntemleri... 67 6.1.16.1 Son Kullanıcı Abone Kapalı Anahtarları... 67 6.1.16.1.1 Sınıf 1 Sertifikalar... 68 6.1.16.1.2 Sınıf 2 Sertifikalar... 68 6.1.16.1.3 İdareci Sertifikaları Haricindeki Sınıf 3 Sertifikalar... 68 6.1.16.2 İdarecilerin Kapalı anahtarları... 69 6.1.16.2.1 İdareciler... 69 6.1.16.2.2 Bir Şifreleme Modülü (Otomatik Yönetimli veya Managed PKI Key Manager Servisli) kullanan Managed PKI İdarecileri... 69 6.1.16.3 e-güven in Kapalı anahtarları... 69 6.1.17 Kapalı Anahtarın Etkinliğini Kaldırma Yöntemi... 70 6.1.18 Kapalı Anahtar İmha Yöntemi... 70 6.2 Anahtar Çifti Yönetiminin Diğer Yönleri... 70 6.2.1 Açık Anahtarın Arşivlenmesi... 70 6.2.2 Açık ve Kapalı Anahtarların Kullanım Süreleri... 70 6.3 Aktivasyon Verileri... 72 6.3.1 Aktivasyon Verilerinin Yaratılması ve Kurulması... 72 6.3.2 Aktivasyon Verilerinin Korunması... 72 - vii -

6.3.3 Aktivasyon Verilerinin Diğer Yönleri... 73 6.4 Bilgisayar Güvenlik Kontrolleri... 73 6.4.1 Özel Bilgisayar Güvenliği Teknik Şartları... 73 6.5 Geçerlilik Süresi İçindeki Teknik Kontroller... 73 6.5.1 Sistem Geliştirme Kontrolleri... 73 6.5.2 Güvenlik Yönetim Kontrolleri... 74 6.5.3 Geçerlilik Süresi İçindeki Güvenlik Derecelendirmeleri... 74 6.6 Ağ Güvenlik Kontrolleri... 74 6.7 Şifreleme Modülü Mühendislik Kontrolleri... 74 7. Sertifika ve SİL (CRL) Profili 74 7.1 Sertifika Profili... 74 7.1.1 Versiyon Numarası/Numaraları... 75 7.1.2 Sertifika Ekleri... 75 7.1.2.1 Kod Kullanımı... 75 7.1.2.2 Sertifika Politikaları Eki... 75 7.1.2.3 Sertifika Konusu Alternatif İsimleri... 75 7.1.2.4 Temel Sınırlamalar... 76 7.1.2.5 Uzatılmış Anahtar Kullanımı (Extended Key Usage)... 76 7.1.2.6 SİL Dağıtım Noktaları... 77 7.1.2.7 Otorite Anahtarı Tanımlayıcı ( Authority Key İdentifier)... 77 7.1.2.8 Sertifika Süjesi Anahtarı Tanımlayıcı (Algorithm Object Identifier)... 77 7.1.3 Algoritma Nesnesi Tanımlayıcıları... 77 7.1.4 İsim Formları... 78 7.1.5 İsim Sınırlamaları... 78 7.1.6 Sertifika Politikası Nesnesi Tanımlayıcı... 78 7.1.7 Politika Sınırlamaları Ekinin Kullanımı... 78 7.1.8 Politika Niteleyiciler için Yazımsal ve Anlamsal Özellikler... 78 7.1.9 Kritik Sertifika Politika Eki için Anlamsal İşlem Özellikleri... 78 7.2 SİL Profili... 78 7.2.1 Versiyon Numarası/Numaraları... 79 7.2.2 SİL ve SİL Girdi Ekleri... 79 8. Spesifikasyon Yönetimi 79 8.1 Spesifikasyon Değişikliği Prosedürleri... 79 8.1.1 İhbarda Bulunulmadan Değiştirilebilecek Maddeler... 79 8.1.2 İhbarda Bulunarak Değiştirilebilecek Maddeler... 79 8.1.2.1 Maddelerin Listesi... 80 8.1.2.2 İhbar Mekanizması... 80 8.1.2.3 Açıklama Süresi... 80 8.1.2.4 Açıklama İşleme Mekanizması... 80 8.1.3 Sertifika Politikası OID veya SUH İşaretinde Değişiklik Gerektiren Değişiklikler 80 8.2 Yayın ve İhbar Politikaları... 81 8.2.1 SUH da Yayınlanmayan Maddeler... 81 8.2.2 SP nin Dağıtımı... 81 8.3 SUH Onay Prosedürleri... 81 Kısaltmalar ve Tanımlar 81 - viii-

Kısaltmalar Tablosu... 81 Tanımlar... 82 - ix -

1. Giriş Bu doküman e-güven Sertifika Uygulama Hükümleridir ( SUH ) ve VeriSign ın Sertifika Uygulama Hükümleri temel alınarak hazırlanmıştır (Bkz. https://www.verisign.com/cps). 1 Bu doküman, e-güven e bağlı olan sertifika otoritelerinin ( SO lar ), sertifikaların, VeriSign Trust Network Sertifika Politikalarına ( SP ) göre düzenlenmesi, yönetilmesi, iptal edilmesi ve yenilenmesi de dahil olmak ve fakat bunlarla sınırlı olmamak üzere sertifikalandırma Not: Bu SUH da baş harfleri büyük yazılan terimler, özel anlamları olan, tanımı yapılmış terimlerdir. Tanımların listesini Bölüm 9 da bulabilirsiniz. hizmetlerinin sunumunda kullandığı uygulamaları açıklar. VeriSign, Inc. ( VeriSign ), web siteleri, ticari kuruluşlar, kurumlar, elektronik ticaret servis sağlayıcıları ve bireyler için önde gelen güvenilen altyapı hizmetleri sağlayıcısıdır. Tanımlanan alt yapı hizmetleri, şirketin alan adı, dijital sertifikası ve ödeme hizmetleri, güvenli e-ticaret ve haberleşme hizmetlerini yürütmek için çevrim içi faaliyetlerin gerektirdiği kritik web kimliği, kimlik kontrolü ve işlem altyapısını temin eder. SP, hem kablolu, hem de kablosuz uygulamalar için dijital sertifikalar ( Sertifikalar ) sağlayan küresel açık anahtar altyapısı olan VeriSign Trust Network SM ( VTN ) yi tarif eder. VTN, haberleşme ve bilgi güvenliğinde farklı ihtiyaçları bulunan büyük, herkese açık ve geniş dağılım gösteren bir kullanıcı grubu içerir. VeriSign, tüm dünyada, Elektronik Bilgi Güvenliği A.Ş. nin de dahil olduğu ( e-güven ) ve küresel işbirliği yaptığı ortakların ( Küresel Ortaklar ) oluşturduğu ağ ile birlikte VTN içinde yer alan servis sağlayıcılardan biridir. SP, VTN yi düzenleyen politikanın ana ilkesidir. SP, VTN içinde dijital sertifikaların onaylanması, düzenlenmesi, yönetilmesi, kullanılması, iptal edilmesi, yenilenmesi ve tüm bunların yanı sıra ilgili güvenli servislerinin sağlanması için ticari, hukuki ve teknik şartları belirler. VTN Standartları olarak adlandırılan bu şartlar VTN nin güvenliğini ve bütünlüğünü korur, bütün VTN katılımcılarına uygulanır ve dolayısıyla tüm VTN de eşdüzeyde güveni garanti eder. SP de, VTN ve VTN Standartlarıyla ilgili ayrıntılı bilgi bulunabilir. 2 VeriSign ve her bir Küresel Ortak, VTN nin bir kısmı üzerinde yetkilidir. VTN nin VeriSign veya e-güven tarafından kontrol edilen kısmına VTN nin Altalanı denir. Bir Küresel Ortağın altalanı, kendi kontrolündeki VTN bölümüdür. e-güven in VTN içindeki alt alanı, Müşteriler, Kurumsal SO lar, Kayıt Otoriteleri, Sertifika Kullanıcıları, ve İtimat Eden Taraflar gibi sujelerdir. e-güven, VeriSign ve her bir Küresel Ortak,, VTN içindeki kendi Altalanını düzenleyen bir SUH a sahiptir. SP, VTN katılımcılarının uyması gereken şartları belirtmekle birlikte, bu SUH, 1 SUH bölümlerine dahili çapraz başvurular (yani, SUH formunda) bu dokümanın bölümlerine yapılan atıflardır. SUH terimine yapılan diğer atıflar, bu dokümanı veya VTN Bağlıları gibi başka şahısların SUH lerini içerebilecek bir sertifikalandırma uygulaması açıklamasına atıflardır. Bkz. SUH 9 (Tanımlar). 2 CP, https://www.verisign.com/cp sitesindeki VeriSign Veri Bankasında elektronik formda yayınlanır. VeriSign, ayrıca, CP-requests@verisign.com a gönderilen talep üzerine SP yi Adobe Acrobat pdf veya Word formatında kullanıma sunar. SP, aşağıdaki adrese talepte bulunularak VeriSign Trust Network Politika Yönetimi Otoritesinden ( PMA ) basılı formda temin edilebilir: VeriSign, Inc., 487 East Middlefield Road, Mountain View, CA 94043 USA, Attn: Practices Development CP. - 1 -

VTN nin e-güven Altalanında (Türkiye de), bu şartları nasıl karşıladığını tarif eder. Daha açık bir ifade ile, bu SUH, VTN nin e-güven alt alanında aşağıdaki faaliyetler için SP ve onun VTN Standartlarının şartlarına uygun olarak yaptığı uygulamaları açıklar 3 : VTN yi destekleyen ana altyapının güvenli yönetimi. VTN Sertifikalarının düzenlenmesi, yönetilmesi, iptali ve yenilenmesi. 1.1 Genel Bu SUH özellikle aşağıdakiler için geçerlidir: VeriSign ın Genel Ana Sertifikalandırma Otoriteleri (PCA lar), e-güven AltYapı SO ları ve VeriSign Trust Network ü destekleyen e-güven İdari SO ları. e-güven in Genel SO ları ve VTN içinde Sertifikalar düzenleyen e-güven ile Temel Hizmetler Sözleşmesi 4 akdetmiş olan Kurumsal Sertifika Otoritelerinin SO ları. Daha genel kapsamlı ele alırsak, SUH, VTN nin e-güven Altalanındaki VTN servislerinin e- Güven Altalanındaki bütün bireyler ve kuruluşlarca (bir bütün halinde, e-güven Altalanı Katılımcıları) kullanımını düzenler. e-güven in kapsamındaki özel SO lar ve hiyerarşiler bu SUH nin kapsamı dışındadır. VTN üç Sertifika Sınıfı içerir (Sınıf 1-3) ve SP de bu üç Sınıfın, ortak güvenlik gereksinimlerine sahip üç uygulama sınıfına nasıl karşılık geldiğini açıklar. SP, üç sertifika politikasını tanımlayan (her bir Sınıf için bir politika) ve her bir Sınıf için VTN Standartlarını belirleyen tek dokümandır. e-güven, VTN deki Altalanında her üç Sertifika Sınıfını da sunar. Bu SUH, e-güven in Altalanındaki her bir Sınıf için SP gereksinimlerini nasıl karşıladığını açıklar. Bu suretle, SUH, tek doküman olarak, her üç Sertifika Sınıfının düzenlenmesi ve yönetimiyle ilgili uygulamaları ve prosedürleri kapsar. (a) e-güven SUH sinin ve Diğer Uygulama Dokümanlarının Rolü SP, VTN nin genel ticari, hukuki ve teknik altyapısını genel olarak tarif eder. Bu SUH, daha sonra, SP deki VTN Standartlarını e-güven Altalanı katılımcılarına uygular ve e-güven in SP ye karşılık olarak spesifik uygulamalarını açıklar. Daha spesifik olarak ele alırsak, SUH, başka hususların yanı sıra aşağıdakileri de tarif eder: VTN nin e-güven Altalanındaki Sertifika Otoritelerinin, Kayıt Otoritelerinin, Sertifika Kullanıcılarının ve İtimat Eden Tarafların sorumlulukları. e-güven Altalanında her türlü hizmet anlaşmaları ve İtimat Eden Taraf Anlaşmaları kapsamındaki hukuki konular. e-güven in ve e-güven Altalanı Katılımcılarının yaptığı denetim, ilgili güvenlik ve uygulama incelemeleri. 3 VeriSign SO lar Küresel Ortakların SO larına sertifika düzenlemesine rağmen, bir Küresel Ortağın ilgili uygulamalar bu SUH dan ziyade Bağlı Şahsın SUH un kapsamındadır. 4 Elektronik Bilgi Güvenliği A.Ş. Sertifikasyon ve Açık Anahtarlı Alt Yapı Hizmetleri Temel Hizmetler Sözleşmesi. Bundan böyle işbu doküman içersinde Temel Hizmetler Sözleşmesi olarak anılacaktır. - 2 -

e-güven Altalanında her bir Sertifika Sınıfı için yapılan Sertifika Başvurularının kimliğini doğrulamak için kullanılan yöntemler. e-güven Altalanında Sertifika yaşam döngüsü hizmetleri için operasyon prosedürleri: Sertifika Uygulamaları, düzenleme, kabul, iptal ve yenileme. e-güven Altalanında kullanılan denetim kaydı, kayıt tutma ve felaketten kurtarma için operasyon güvenliği prosedürleri. e-güven Altalanı katılımcılarının fiziksel, personel, kod yönetimi ve lojik güvenlik uygulamaları. e-güven Altalanındaki Sertifika ve Sertifika İptal Listesi içeriği. Düzeltme yöntemleri dahil SUH nin idaresi. Bununla birlikte, SUH, VTN nin e-güven Altalanıyla ilgili doküman setinden sadece bir dokümandır. Diğer dokümanlar şunlardır: Aşağıdakiler gibi daha ayrıntılı gereksinimleri vererek SP ve SUH yi tamamlayan yardımcı güvenlik ve operasyon dokümanları: - VTN altyapısını düzenleyen güvenlik ilkelerini belirleyen VeriSign Güvenlik Politikası. - e-güven için personel, fiziksel, telekomünikasyon, lojik ve şifreleme anahtar yönetimi güvenliğiyle ilgili ayrıntılı gereksinimleri tarif eden Güvenlik ve Denetim Gereksinimleri Kılavuzu. - e-güven ile Temel Hizmetler Sözleşmesi akdetmiş olan müşteriler için personel, fiziksel, telekomünikasyon, lojistik ve şifreleme anahtar yönetimi güvenliğiyle ilgili ayrıntılı gereksinimleri tarif eden Kurumsal Güvenlik Kılavuzu. - Ayrıntılı anahtar yönetimi operasyon gereksinimlerini sunan Anahtar Yaratma Prosedürü Referans Kılavuzu. - e-güven tarafından düzenlenen yardımcı anlaşmalar ise e-güven in Müşterilerini, Aboneleri ve İtimat Eden Tarafları bağlar. Anlaşmalar, başka unsurların yanı sıra VTN Standartlarını VTN Katılımcılarına aktarır ayrıca VTN Standartlarını nasıl karşılamaları gerektiğine dair spesifik uygulamaları belirtir. Çoğu durumda, SUH, VTN nin e-güven Altalanının güvenliğini tehlikeye sokabilecek VTN Standartlarının uygulandığı spesifik, ayrıntılı uygulamalarla ilgili olarak Tablo 1 de ve işbu SUH içersinde belirtilen yardımcı dokümanlara atıfta bulunur. Tablo 1, herkesin kullanımına açık olsun veya olmasın çeşitli VTN ve e-güven uygulama dokümanlarını ve bunların yerlerini gösteren bir matristir. Tablo 1 deki listenin geniş kapsamlı olması amaçlanmamıştır. VTN nin güvenliğini sağlamak için, herkesin kullanımına sunulmamış bazı dokümanların gizli tutulduğu işbu tablo içersinde görülebilir. Dokümanlar Durum Kullanıma açık olduğu yerler Kullanıma SP 8.2.2'ye göre e-güven Veri Bankası. Bkz. açık https://www.e-guven.com/repository VeriSign Trust Network Sertifika Politikaları VTN Yardımcı Güvenlik ve Operasyon Dokümanları SBS Güvenlik Politikası Gizli ------------- - 3 -

Dokümanlar Durum Kullanıma açık olduğu yerler Güvenlik ve Denetim Şartları Kılavuzu Gizli ------------- Anahtar Yaratma Prosedürü Referans Gizli ------------- Kılavuzu Managed PKI 5 İdareci Elkitabı Kullanıma https://www.e-guven.com/enterprise/library/index.html açık Managed PKI Anahtar Yönetimi Servisi Kullanıma https://www.e-guven.com/enterprise/library/index.html İdareci Kılavuzu açık Kurumsal Güvenlik Kılavuzu Gizli ------------- e-güven'e Özel Dokümanlar e-güven Sertifika Uygulama Hükümleri Kullanıma açık SP 2.6.1'ye göre e-güven Veri Bankası. Bkz. https://www.e-guven.com/repository e-güven in yardımcı anlaşmaları İtimat Eden Tarafl Anlaşmaları Kullanıma açık; SP 2.6.1'ye göre e-güven Veri Bankası. Bkz. https://www.e-guven.com/repository Tablo 1 Uygulama Dokümanlarının Kullanılabilirliği (b) Dijital Sertifikalar ve VTN Hiyerarşisiyle İlgili Önbilgi Bu SUH, okuyucunun Dijital İmzaları, Açık Anahtarlı Altyapı sistemini ve VTN'yi bildiğini ve bu hususlarla ilgili temel nosyona sahip olduğunu varsayar. Okuyucunun bu konularla ilgili nosyonu yok ise, e-güven okuyucunun VTN'de uygulanan açık anahtar şifrelemesi ve açık anahtar altyapısı hakkında belirli bir düzeyde eğitim almasını tavsiye eder. Genel bilgilere e- Güven'in http://www.e-guven.com adresinden ulaşılabilir. Ayrıca, SP'nin Bölüm 1.1(b)'sinde farklı VTN Katılımcılarının görevleri özetlenmiştir. (c) Geçerli Standartlara Uygunluk Bu SUH'de öngörülen uygulamalar, Sertifika Otoriteleri için AICPA/CICA WebTrust Programı, ANS X9.79:2001 PKI Uygulamaları ve Politikası Çerçevesi ve SO'ların operasyonuyla ilgili diğer sektör standartları da dahil genel olarak kabul edilen ve geliştirilmekte olan standartları karşılamaktadır. Bu SUH'nin yapısı, genel olarak, bir Internet standartları kurulu olan Internet Mühendislik Görev Ekibinin (IETF) RFC 2527 numaralı açıklama talebi olarak bilinen Internet X.509 Açık Anahtar Altyapısı Sertifika Politikası ve Sertifika Uygulama Hükümleri Çerçevesi'ne uygundur. RFC 2527 çerçevesi Açık Anahtarlı Alt Yapı (Public Key Infrastructure PKI) sektöründe standart haline gelmiştir. Bu SUH, e-güven hizmetlerini kullanan veya kullanmayı düşünen kişiler için politika belirleme ve karşılaştırmalar için RFC 2527 çerçevesine uygun bir yapıda hazırlanmıştır.. e-güven faaliyet modellerinin karmaşıklığından dolayı başlıkta ve ayrıntılarda küçük değişiklikler gerekli olmasına rağmen, e-güven, SUH'yi mümkün olduğunca RFC 2527 yapısına uygun hale getirmiştir. e-güven gelecekte RFC 2527'ye sıkı sıkıya bağlı kalma politikasına 5 Managed PKI e-güven ile Elektronik Bilgi Güvenliği A.Ş. Sertifikasyon ve Açık Anahtarlı Alt Yapı Hizmetleri Temel Hizmetler Sözleşmesi (Bundan böyle kısaca Temel Hizmetler Sözleşmesi olarak anılacaktır) akdetmiş olan taraflara e-güven tarafından sunulacağı taahhüt edilen hizmetleri tanımlamak amacıyla kullanılmaktadır. - 4 -

devam etmeyi düşünmekle birlikte, gerekli olduğu ölçüde, örneğin SUH'nin kalitesini veya e- Güven Altalan Katılımcılarına uygunluğunu artırmak için RFC 2527 yapısında değişiklik yapma hakkını saklı tutmaktadır. 1.1.1 Politika Hakkında Genel Bilgi e-güven, hem kablolu ve kablosuz Internet, hem de politikaları SP'de tarif edilen üç Sertifika Sınıfına karşılık gelen diğer ağlar için üç farklı sertifikalandırma servisi (Sınıf 1-3) sunar. Her bir Sertifika seviyesi veya sınıfı özel işlevsellik ve güvenlik özellikleri sağlar ve belirli bir güven seviyesine karşılık gelir. e-güven Altalan Katılımcıları (son kullanıcı sertifika sahipleri, Kurumsal Sertifika Otoriteleri) ihtiyaç duydukları Sınıfları seçer. SP'nin işlevlerinden biri üç Sertifika Sınıfını ayrıntılı olarak tarif etmektir. 6 Bununla birlikte, bu bölüm, e-güven'in Altalanında sunduğu Sertifika Sınıflarını da özetler. Sınıf 1 Sertifikalar, e-güven'in Altalanında en düşük güvence seviyesini sunar. Bunlar, geçerlilik kontrol prosedürlerinin, abonenin özgün isminin SO'ların Altalanında tek ve açık olması ve belirli bir e-posta adresinin bir açık anahtarla bağlantılı olması güvencesine dayandığı bireysel Sertifikalardır. Bunlar, kimliğin kanıtlanmasına gerek olmayan düşük değerli veya ticari olmayan işlemler için şifrelemeye ve erişim kontrolüne uygundur. Sınıf 2 Sertifikalar, diğer iki Sınıfa nazaran orta düzeyde güvence sunar. Bunlar da bireysel Sertifikalardır. Sınıf 2 geçerlilik kontrol prosedürleri, Sınıf 1 geçerlilik kontrol prosedürlerine ilave olarak, Sertifika başvuru sahibinin verdiği bilgilerin faaliyet kayıtları veya veri tabanları ya da e-güven'in onayladığı kimlik kanıtlama servisinin veri tabanıyla karşılaştırılmasına dayanan prosedürler içerirler. Bunlar, orta değerli işlemlerde kimlik kanıtı olarak kullanılmalarının yanı sıra şifreleme ve erişim kontrolü için kullanılabilir. Sınıf 3 Sertifikalar e-güven'in Altalanında en yüksek düzeyde güvence sağlar. Sınıf 3 Sertifikalar bireylere, kurumlara SO ve KO İdarecilerine verilir. Sınıf 3 bireysel Sertifikalar, yüksek değerli işlemlerde kimlik kanıtı olmalarının yanı sıra şifreleme ve erişim kontrolü için kullanılabilir. Sınıf 3 bireysel Sertifikalar, en azından iyi bilinen bir resmi kimlik veya başka bir kimlik belgesi kullanarak abonenin kimliğini doğrulayan bir yetkili şahsın huzurunda abonenin şahsen (fiziksel olarak) bulunmasına dayanarak abonenin kimliğiyle ilgili güvence verirler. Diğer Sınıf 3 kurumsal Sertifikalar, kimlik kontrolü, mesaj, yazılım ve içerik bütünlüğü ile gizlilik maksatlı şifreleme için cihazlara verilir. Sınıf 3 kurumsal Sertifikalar, kurumun gerçekte varolduğunun, kurumun Sertifika Başvurusuna izin verdiğinin ve kurum adına Sertifika Başvurusunu yapan kişinin bunu yapmaya yetkili olduğunun doğrulanması şartıyla kurumun kimliği konusunda güvence verir. Sunucular için verilen Sınıf 3 kurumsal Sertifikalar (Güvenli Sunucu Kimlikleri ve Global Sunucu Kimlikleri), kurumların, Sertifika Başvurusunda listelenen alan adını kullanmaya yetkili olduğuna dair güvence de verir. Sınıf 3 Kurumsal ASB Sertifikaları (Bkz. SP 1.1.2.2.1), Sertifikayı bir kurum adına kullanan bir yetkili temsilcinin kullanımı için kuruma sunulur. Sınıf 3 Kurumsal ASB Sertifikaları, kurumun kapalı anahtarını kontrolü altında tutan kişinin Sertifikadaki açık anahtara karşılık 6 Bkz. SP 1.1.1. - 5 -

2024 © DocPlayer.biz.tr Gizlilik Politikası | Hizmet koşulları | Geri bildirim