EN
TR
Görüntüleme Ayarları:
Salt metin olarak göster (Kelime işlemcilere uygun görünüm)
A⇡ Yazı karakterini büyüt
ᴀ⇣ Yazı karakterini küçült
ᴀ⇣ Yazı karakterini küçült
Salt metin olarak göster (Kelime işlemcilere uygun görünüm)
Mülga veya iptal edilen kısımları gizle
Değişikliklere ilişkin notları gizle
Değişikliklere ilişkin notları gizle
BİRİNCİ BÖLÜM
Genel Hükümler
Amaç
Bu Yönetmeliğin amacı; elektronik imzanın hukuki ve teknik yönleri ile uygulanmasına ilişkin usul ve esasları düzenlemektir.
Kapsam
Bu Yönetmelik; bildirim ve sertifikasyon süreçlerine, güvenli elektronik imza oluşturma ve doğrulama verileri ile araçlarına, elektronik sertifika hizmet sağlayıcısı, Kurum, nitelikli elektronik sertifika sahibi ve üçüncü kişilerin yükümlülüklerine, denetime, faaliyetin sona erme hallerine, zaman damgasına, yabancı elektronik sertifikalara, güvenliğe, teknik ve mali hususlara ilişkin usul ve esasları kapsar.
Dayanak
Bu Yönetmelik 15/1/2004 tarihli ve 5070 sayılı Elektronik İmza Kanununa dayanılarak hazırlanmıştır.
Tanımlar
Bu Yönetmelikte geçen;
a) Arşiv: Bu Yönetmeliğin 14 üncü maddesinin ikinci fıkrasında belirtilen ve Elektronik Sertifika Hizmet Sağlayıcısının saklamakla yükümlü olduğu bilgi, belge ve elektronik verileri,
b) Bildirim Şartları: Kanunun 8 inci maddesinin ikinci fıkrasında belirtilen şartları,
c) Denetim: Elektronik Sertifika Hizmet Sağlayıcısının her türlü faaliyet ve işleyişinin ilgili mevzuat hükümlerine uygunluğunun incelenerek; muhtemel hata, noksanlık, usulsüzlük ve/veya suiistimallerin tespit edilmesi ve ilgili mevzuatta öngörülen yaptırımların uygulanması amacıyla yapılan çalışmalar bütününü,
ç) Dizin: Geçerli sertifikaları içinde bulunduran elektronik depoyu,
d) Elektronik Kimlik Doğrulama Sistemi (EKDS): Türkiye Cumhuriyeti kimlik kartının elektronik kimlik doğrulama işlemlerinde kullanılabilmesini sağlayan sistemi,
e) EKDS standardı: Türk Standartları Enstitüsü (TSE) tarafından EKDS ile ilgili belirlenen TS 13678, TS 13679, TS 13680 ve TS 13681 standartlarını,
f) EKDS Yönetmeliği: 22/10/2020 tarihli ve 31282 sayılı Resmî Gazete’de yayımlanan Türkiye Cumhuriyeti Kimlik Kartı Elektronik Kimlik Doğrulama Sistemi Yönetmeliğini,
g) Erişim Verisi: Güvenli elektronik imza oluşturma araçlarına erişim için kullanılan parola, biyometrik değer gibi verileri,
ğ) ESHS: Elektronik Sertifika Hizmet Sağlayıcısını,
h) İnceleme: Kuruma yapılan bildirimin gerekli şartları sağlayıp sağlamadığını tespit etmek amacıyla yapılan çalışmalar bütününü,
ı) Güvenli Erişim Modülü (GEM) Akıllı Kartı: Kart erişim cihazı üzerindeki kriptografik işlemlerin gerçekleştirilmesi için kullanılan güvenlik modülünü,
i) Güvenli iletişim sertifikası: Kart Erişim Cihazı ve rol sunucusu arasında güvenli hat kurmak için gerekli olan sertifikayı,
j) Görevli ESHS: EKDS Yönetmeliği kapsamında belirlenerek Türkiye Cumhuriyeti İçişleri Bakanlığı Nüfus ve Vatandaşlık İşleri Genel Müdürlüğünün internet sayfasından duyurulan ESHS’yi,
k) İptal Durum Kaydı: Kullanım süresi dolmamış sertifikaların iptal bilgisinin yer aldığı, iptal zamanının tam olarak tespit edilmesine imkân veren ve üçüncü kişilerin hızlı ve güvenli bir biçimde ulaşabileceği kaydı,
l) Kanun: 15/1/2004 tarihli ve 5070 sayılı Elektronik İmza Kanununu,
m) Kart Erişim Cihazı (KEC): Vatandaşın kimliğini doğrulama işlevi için kullanılan terminali,
n) KEC standardı: Elektronik kimlik kartları için güvenli kart erişim cihazları ile ilgili TSE tarafından belirlenen TS 13582, TS 13583, TS 13584 ve TS 13585 standartlarını,
o) Kimlik Doğrulama Bildirimi (KDB): KEC’in GEM Akıllı Kart aracılığı ile elektronik kimlik doğrulama için kimlik kartı ile etkileşim halinde yapmış olduğu kriptografik ve biyometrik işlemlerin sonucunu gösteren elektronik bildirimi,
ö) Kimlik Doğrulama Başarım Onayı (KDBO): Kimlik doğrulama sunucusu DS tarafından KDB’nin doğrulanması sonrasında oluşturulan ve Uygulama Sunucusuna gönderilen sayısal veriyi,
p) Kimlik Doğrulama Hizmet Sağlayıcı (KDHS): EKDS standartlarına uygun olarak elektronik kimlik doğrulama ve kimlik doğrulamanın arşivlenmesine ilişkin hizmeti sağlayan kamu veya özel hukuk tüzel kişilerini,
r) Kimlik Doğrulama Yönetmeliği: 26/6/2021 tarihli ve 31523 sayılı Resmî Gazete’de yayımlanan Elektronik Haberleşme Sektöründe Başvuru Sahibinin Kimliğinin Doğrulanma Süreci Hakkında Yönetmeliği,
s) Kimlik kartı: Türkiye Cumhuriyeti vatandaşlarının kimliğini ispata yarayan Türkiye Cumhuriyeti Kimlik Kartını,
ş) Kurul: Bilgi Teknolojileri ve İletişim Kurulunu,
t) Kurum: Bilgi Teknolojileri ve İletişim Kurumunu,
u) Kurumsal Başvuru: Bir tüzel kişiliğin çalışanları veya müşterileri veya üyeleri veya hissedarları adına yaptığı nitelikli elektronik sertifika başvurusunu,
ü) Nitelikli Elektronik Sertifika: Kanunun 9 uncu maddesinde sayılan nitelikleri haiz elektronik sertifikayı,
v) NVİGM: Türkiye Cumhuriyeti İçişleri Bakanlığı Nüfus ve Vatandaşlık İşleri Genel Müdürlüğünü,
y) Özet değeri: 6/1/2005 tarihli ve 25692 sayılı Resmî Gazete’de yayımlanan Elektronik İmza ile İlgili Süreçlere ve Teknik Kriterlere İlişkin Tebliğin 6 ncı maddesinde yer alan özetleme algoritmalarından biri kullanılarak hesaplanan değeri,
z) Özetleme Algoritması: İmzalanacak elektronik verilerin sabit uzunlukta bir özetinin çıkarılmasında kullanılan algoritmayı,
aa) Rol sertifikası: Rol doğrulamada kullanılan yetki sertifikasını,
bb) Rol sunucusu: Rol doğrulamada kullanılan ve kimlik kartındaki alanlara erişen sunucuyu,
cc) Sertifika Özet Değeri: Sertifikanın, özetleme algoritması ile elde edilen çıktısını,
çç) Sertifika İlkeleri: ESHS’nin işleyişi ile ilgili genel kuralları içeren belgeyi,
dd) Sertifika Uygulama Esasları: Sertifika ilkelerinde yer alan hususların nasıl uygulanacağını detaylı olarak anlatan belgeyi,
ee) Sertifika Mali Sorumluluk Sigortası: ESHS’nin, Kanundan doğan yükümlülüklerini yerine getirmemesi sonucu doğacak zararların karşılanması amacıyla yaptırmakla yükümlü olduğu sigortayı,
ff) Zaman Damgası İlkeleri: Zaman damgası ve hizmetleri ile ilgili genel kuralları içeren belgeyi,
gg) Zaman Damgası Uygulama Esasları: Zaman damgası ilkelerinde yer alan hususların nasıl uygulanacağını detaylı olarak anlatan belgeyi
ifade eder.
Bu Yönetmelikte yer almayan tanımlar için Kanunda yer alan tanımlar geçerlidir.
İlkeler
Bu Yönetmeliğin uygulanmasında aşağıdaki temel ilkeler göz önüne alınır;
a) Objektif nedenler aksini gerektirmedikçe, niceliksel ve niteliksel devamlılık, güvenilirlik, ayrımcı olmama, düzenlilik, verimlilik, açıklık, şeffaflık ve kaynakların etkin kullanılması,
b) Tüketici haklarının korunması,
c) Hizmet kalitesinin sağlanması,
d) Etkin ve sürdürülebilir rekabet ortamının sağlanması ve devamına yönelik uygulamaların teşvik edilmesi,
e) Uluslararası standartların dikkate alınması,
f) Elektronik imza kullanımının yaygınlaşması için yeni yatırımların ve uygulamaların özendirilmesi,
g) Elektronik sertifika sahibinin, talep ettiği hizmet ya da ürünler dışında herhangi bir hizmeti ya da ürünü satın almak zorunda bırakılmaması,
h) Bir hizmetin ya da ürünün diğer bir hizmetin ya da ürünün ücreti yoluyla desteklenmesinden veya karşılanmasından kaçınılması.
İKİNCİ BÖLÜM
Bildirim Süreci
Bildirimin yapılması
Kamu kurum ve kuruluşları ile gerçek veya özel hukuk tüzel kişileri, ESHS olma talebini içeren dilekçeyi ve Ek-1’de yer alan bilgi ve belgeleri eksiksiz olarak Kuruma ibraz etmek suretiyle bildirimde bulunur. ESHS yapmış olduğu bildirimde, bildirim şartlarını sağladığını ayrıntılı bir biçimde gösterir.
Bildirimin incelenmesi ve sonuçları
Kurum, yapılan bildirimi derhal incelemeye alır ve incelemeyi iki (2) ay içinde sonuçlandırır. Bildirim şartlarını eksiksiz olarak yerine getiren ESHS, bildirim yaptığı tarihten iki (2) ay sonra faaliyete geçer.
Kurum, inceleme sonucunda bildirim şartlarından bir veya birkaçının eksikliğini veya yerine getirilmediğini tespit ederse, bu eksikliklerin giderilmesi için ESHS’ye bir (1) ayı geçmemek üzere bir süre verir. ESHS bu sürenin sonuna kadar faaliyette bulunamaz. ESHS, Kurum tarafından verilen süre içinde bildirim şartlarındaki eksiklikleri giderdiğini ispatlayan bilgi ve belgeleri Kuruma sunar. Bu şartları sağladığı Kurum tarafından tespit edilen ESHS, bildirim yaptığı tarihten itibaren iki (2) aylık sürenin tamamlanmış olması halinde faaliyete geçer. Kurum, vermiş olduğu sürenin sonuna kadar bildirim şartlarındaki eksiklikleri gidermeyen ESHS’nin ESHS olma vasfını kaybettiğine karar verir.
Bildirimdeki değişiklikler
ESHS, faaliyete geçtikten sonra, yapmış olduğu bildirimde herhangi bir değişiklik meydana gelmesi halinde, bu değişiklikleri yedi (7) gün içinde Kuruma bildirir.
ÜÇÜNCÜ BÖLÜM
Sertifikasyon Süreci, Kimlik Kartına Nitelikli Elektronik Sertifika Yüklenmesi, Yenilenmesi ve İptali
Nitelikli elektronik sertifika başvurusu
ESHS, nitelikli elektronik sertifika vereceği kişilerin kimliğini; kimlik kartı, nüfus cüzdanı, pasaport, sürücü belgesi gibi fotoğraflı ve geçerli resmi belgelere veya elektronik ortamda Kimlik Doğrulama Yönetmeliği hükümlerine göre göre tespit eder. Nitelikli elektronik sertifika verilecek kişi kimlik tespiti esnasında bizzat hazır bulunur.
ESHS, nitelikli elektronik sertifika verilecek kişinin kimliğinin birinci fıkra hükümlerine göre önceden tespit edilmiş olduğu hallerde veya kurumsal başvurularda kimlik tespiti için bizzat hazır bulunma şartını aramayabilir. Kimlik kartı ile 13/Ç maddesine ve elektronik ortamda Kimlik Doğrulama Yönetmeliği hükümlerine göre kişinin kimliğinin doğrulanması halinde bizzat hazır bulunma şartı aranmayabilir Kurumsal başvuru sahibi, adına başvuruda bulunduğu kişilerin nitelikli elektronik sertifika taleplerini yazılı olarak belgelendirir. Nitelikli elektronik sertifika başvurusu sırasında sertifika verilecek kişiye ait kimliğin doğru ve güvenilir biçimde tespit edilmesinden ESHS sorumludur.
ESHS, nitelikli elektronik sertifika sahibinin diğer bir kişi adına hareket edebilme yetkisinin, mesleki veya diğer kişisel bilgilerinin sertifikada yer alması durumunda, bu bilgileri resmi belgelere dayanarak eksiksiz, doğru ve güvenilir biçimde tespit eder; sertifika verilecek kişiden, sertifika vermek için gerekli olan bilgiler hariç bilgi talep edemez. ESHS, bu bilgileri nitelikli elektronik sertifika sahibinin onayı olmaksızın üçüncü kişilere iletemez ve başka amaçlarla kullanamaz.
Nitelikli elektronik sertifikanın oluşturulması
ESHS, nitelikli elektronik sertifika başvurusundan sonra sertifikayı oluşturur ve sertifika sahibine teslim eder. Nitelikli elektronik sertifikanın geçerlilik süresi sözleşme ve/veya taahhütnameler ile belirlenir.
Nitelikli elektronik sertifikanın yayımlanması
ESHS, sertifika sahibinin onayını almak kaydıyla nitelikli elektronik sertifikayı kamuya açık bir dizinde yayımlar. ESHS, dizin hizmetinin kesintisiz olarak verilmesini sağlar.
Nitelikli elektronik sertifikanın yenilenmesi
Nitelikli elektronik sertifika, geçerlilik süresinin sona ermesinden önce sertifika sahibinin veya sertifika sahibinin onayını almak koşuluyla kurumsal başvuru sahibinin talebi doğrultusunda ESHS tarafından yenilenebilir. ESHS nitelikli elektronik sertifikayı, sertifika sahibine ait bilgilerin geçerliliğini doğrulayarak yeniler.
Nitelikli elektronik sertifikanın iptal edilmesi
Nitelikli elektronik sertifikanın iptaline ilişkin talepler; ESHS, sertifika sahibi ve sözleşme ile belirlenen kişiler tarafından yapılabilir. ESHS; bu duruma ilişkin taleplerin yapılabilmesini, asgari olarak telefonla ve kesintisiz sağlar. ESHS nitelikli elektronik sertifika sahibini söz konusu durum hakkında bilgilendirir. Kurumsal başvurularda başvuru sahibi de bilgilendirilir.
İptal talebinin alınmasından sonra nitelikli elektronik sertifika derhal iptal edilir. İptal edilen nitelikli elektronik sertifika, geçerlilik süresi sonuna kadar iptal durum kayıtlarında yer alır. ESHS, nitelikli elektronik sertifikalara ilişkin iptal durum kaydını herhangi bir kimlik doğrulamasına gerek olmaksızın ücretsiz ve kesintisiz olarak kamu erişimine açık tutar. Kayıtların bir sonraki güncelleme zamanı söz konusu kayıtlarda açıkça gösterilir. ESHS, nitelikli elektronik sertifikayı geçmişe yönelik olarak iptal edemez.
ESHS’nin imza oluşturma verisinin çalınması, kaybolması, gizliliğinin veya güvenilirliğinin ortadan kalkması ya da sertifika ilkelerinin değişmesi gibi sertifika sahibinin kusurunun bulunmadığı durumların sonucunda nitelikli elektronik sertifikaların ESHS tarafından iptal edilmesi ve yenilenmesi halinde, yenileme işlemleri için hiçbir ücret talep edilemez.
Kimlik kartına nitelikli elektronik sertifika yüklenmesine ilişkin genel hususlar
ESHS, kimlik kartına uzaktan nitelikli elektronik sertifika ve benzer altyapıyı kullanan farklı elektronik sertifikalar yükleyebilir.
ESHS, kimlik kartına uzaktan nitelikli elektronik sertifika yükleme, yenileme ve iptal işlemlerini kendi rol ve güvenli iletişim sertifikalarını kullanarak KDHS üzerinden veya EKDS yönetmeliği ve EKDS standartlarına uygun olarak doğrudan KEC ile güvenli iletişim sağlayarak ve özel anahtarların cihazdan dışarı çıkmaması, veri sızıntısı olmaması için yazılımsal ve donanımsal gerekli tüm tedbirleri alarak/aldırarak yapabilir. Güvenli iletişim esnasında kullanılan tüm bileşenlerin (KDHS ve sistemleri, KEC cihazı ve sistemleri) Türkiye Cumhuriyeti sınırları içerisinde olması sağlanır.
ESHS internet sayfasından, başvuru sahibinin kimlik kartına nitelikli elektronik sertifika yüklenmesi talebinin ön başvurusunu alabilir. Bu başvurunun uygun bulunması halinde, başvuru sahibini nitelikli elektronik sertifika yükleme işleminin yapılacağı KEC’in olduğu yere yönlendirebilir.
Kimlik kartına nitelikli elektronik sertifika ve benzer altyapıyı kullanan farklı elektronik sertifikaların yüklenebilmesi için gerekli olan rol ve güvenli iletişim sertifikaları sadece Kanun kapsamında faaliyet gösteren ESHS’lere verilir.
Görevli ESHS tarafından rol ve güvenli iletişim sertifikaları KEC Standardı (TS 13585) ile belirlenen sürelere uygun üretilir.
Görevli ESHS, rol ve güvenli iletişim sertifikalarına ilişkin diğer ESHS’lerden ücret talep edemez.
ESHS, kimlik kartı vasıtasıyla kimlik doğrulayarak uzaktan gerçekleştirilen;
a) Nitelikli elektronik sertifika yükleme,
b) Nitelikli elektronik sertifika yenileme,
c) Nitelikli elektronik sertifika iptal
işlemlerinin kesintisiz olarak yapılmasını sağlar.
ESHS’nin rol ve güvenli iletişim sertifikası
ESHS, rol ve güvenli iletişim sertifikası başvurusuna ilişkin aşağıdaki işlemleri yapar:
a) Rol sunucusu temin ve kurulumunu kendi bünyesinde TSE tarafından EKDS ile ilgili yayımlanan TS 13681 standardına uygun olarak gerçekleştirir.
b) Rol sertifikası ve güvenli iletişim sertifikası için gerekli olan anahtar çiftlerini KEC standardında (TS 13585) belirlenen güvenli elektronik imza oluşturma aracında üretir.
c) Rol Sertifikası ve Güvenli İletişim Sertifikası için üretmiş olduğu Sertifika İmzalama Talepleri (Certificate Signing Request - CSR) ve Rol Sunucusunun ilgili EKDS standartları ile EKDS Yönetmeliğine uygun olduğuna ilişkin yetkili kurum ve kuruluşlardan alınan belge ile birlikte Kuruma başvuruda bulunur, Kurumun onayını alır ve bu onayı NVİGM’ye iletir.
NVİGM, ESHS’nin başvurusunu inceler ve uygun bulunması halinde başvuruyu Görevli ESHS’ye iletir. Aksi durumda başvuru sahibi ESHS’ye bilgi verir.
Görevli ESHS Rol ve Güvenli İletişim Sertifikalarını üretir ve güvenli bir şekilde başvuru sahibi ESHS’ye iletir.
ESHS Rol ve Güvenli İletişim Sertifikalarını kendi güvenli elektronik imza oluşturma aracına yükler.
Rol Sertifikası ve Güvenli İletişim Sertifikalarının yenilenmesi halinde bu maddenin birinci fıkrasının (c) bendi kapsamında istenen bilgi ve belgeler tekrar Kuruma sunulmaz. ESHS bu sertifikaların yenilenmesine ilişkin NVİGM’ye başvuruda bulunur ve başvuru NVİGM tarafından görevli ESHS’ye iletilir. Görevli ESHS tarafından Rol ve Güvenli İletişim Sertifikaları yenilenir ve başvuru sahibi ESHS’ye iletir.
Kimlik kartına nitelikli elektronik sertifika yüklenirken kullanılacak KEC
ESHS, kimlik kartına uzaktan nitelikli elektronik sertifika yüklemek, yenilemek ve iptal etmek amacıyla kullanılacak KEC’e ilişkin aşağıdaki bilgi ve belgeleri Kuruma iletir:
a) KEC üretici bilgileri,
b) KEC’in kullanıldığı yer veya uygulama bilgisini,
c) KEC’in, TSE tarafından yayınlanan KEC standartlarına uygunluğunun gösterir bilgi ve belgeyi,
ç) Güvenli elektronik imza oluşturma aracı olarak kullanılacak KEC’in ortak kriterler uygunluk belgesini,
d) KEC’in ortak kriterlerden geçen KEC donanım yazılımının (firmware) veya ortak kriterlerden geçen KEC güncellenen donanım yazılımının özet değerini,
e) Nitelikli elektronik sertifika yüklerken kullanılacak KEC’in donanım yazılımının özet değerinin, ortak kriterlerden geçen KEC donanım yazılımının özet değeri ile eşdeğer olmasının sağlanabilmesi için gerekli güvenlik tedbirlerini alacağına ilişkin taahhütnameyi.
Kimlik kartı vasıtasıyla nitelikli elektronik sertifika başvurusu
Kimlik kartı vasıtasıyla başvuru sahibinin kimlik doğrulama işlemi EKDS Yönetmeliğinin 30 uncu maddesinin birinci fıkrasının (h) bendine uygun olarak yapılır.
Kimlik doğrulama için TS 13679 standardına uygun olarak KDB ve KDBO üretilir. EKDS standardına uygun olarak KDB içerisinde asgari;
a) Kimliği doğrulanan kişinin Kimlik Kartı doğrulama sertifikası örneği,
b) Doğrulamada kullanılan yöntem bilgisi,
c) Doğrulama zaman bilgisi
yer alır.
EKDS standardına uygun olarak KDBO içerisinde asgari;
a) Kimlik Doğrulama Bildiriminin Tekil Numarası,
b) KEC Seri Numarası,
c) KDB Doğrulama İsteğinin Özeti,
ç) Biyometrik Doğrulama Durumu
yer alır.
Ayrıca KDBO’ya ek olarak;
a) KEC’in üretici firma bilgisi,
b) KEC’in markası ve seri numarası,
c) KEC’in donanım yazılımı bilgisi,
ç) KEC’in donanım yazılımının özet değeri,
d) Görevli ESHS tarafından imzalanmış ve GEM bildirim imzalama açık anahtarını içeren sertifikası
ilgili ESHS’ye iletilir.
ESHS, başvuru sahibinin Kimlik Kartı ve KEC kullanmak suretiyle Kimlik Doğrulama Yönetmeliğine uygun olarak başvuru belgesini PADES-LTV formatında oluşturur.
Kimlik kartına nitelikli elektronik sertifika yüklenmesi
ESHS kimlik kartına uzaktan nitelikli elektronik sertifika yüklenebilmesi için öncelikle 13/Ç maddesine uygun olarak başvuru sahibinin kimliğini doğrular.
Kimlik kartında daha önceden yüklenmiş sertifika mevcut ise başvuru sahibi bu sertifikalara ilişkin KEC vasıtasıyla bilgilendirilir.
Kimlik kartında nitelikli elektronik sertifika yüklenebilecek bütün alanların dolu olması halinde, başvuru sahibi KEC vasıtasıyla bilgilendirilir ve yeni nitelikli elektronik sertifikanın kimlik kartına yüklenmesi için var olan sertifikalardan hangi sertifikanın üzerine yazılacağına ilişkin başvuru sahibinin onayı alınarak başvurunun yapıldığı ESHS’ye iletilir.
ESHS’ye başvuru sahibinin yeni sertifika talebi, KEC vasıtasıyla doğrudan ya da KDHS üzerinden iletilir. Bu talebin içerisinde aşağıdaki bilgilerin yer alması sağlanır:
a) Kimlik doğrulama sonucunda üretilen ve başvuru sahibine ait olan KDB’nin KDBO,
b) KEC’in donanım yazılımının özet değeri,
c) Sertifika üretimi için başvuru sahibinin sertifika geçerlilik süresine ilişkin talep bilgisi,
ç) Başvuru sahibinin Kimlik Kartı doğrulama sertifikası örneği.
ESHS, gelen başvuru talebine ilişkin; talebin geldiği KEC’e ait bilgilerin, Kuruma bildirmiş olduğu bilgiler ile uyumlu olduğunu, KDBO’nun 13/Ç maddesinde belirtilen kriterlere uygun olduğunu ve EKDS Yönetmeliği kapsamında yetkili bir KDHS tarafından üretilmiş olduğunu kontrol eder.
ESHS, kendisine gelen başvuru sahibinin Kimlik Kartı doğrulama sertifikası örneği içerisinde yer alan bilgileri kullanarak nitelikli elektronik sertifikayı üretir, kendi güvenli iletişim sertifikası ve rol sertifikasını kullanarak KEC ile güvenli iletişim kurar, sertifikayı ve anahtarları doğrudan veya KDHS üzerinden KEC’e iletir.
ESHS’den gelen sertifika ve anahtarlar KEC vasıtasıyla güvenli bir şekilde kimlik kartına yüklenir.
Kimlik kartında önceden yüklenmiş elektronik sertifika olup olmadığı kontrol edilir. Yüklenecek nitelikli elektronik sertifika ilk sertifika ise başvuru sahibinin erişim verisini oluşturması sağlanır. Kimlik kartında yüklü başka elektronik sertifika bulunması halinde başvuru sahibine “kimlik kartındaki tüm sertifikalarda aynı erişim verisinin geçerli olacağı” bilgisi verilerek onayı alınır, isterse yeni erişim verisini oluşturması ve başvuru sahibi tarafından oluşturulan erişim verisinin kimlik kartına yazılması sağlanır.
Kimlik kartına yüklenen nitelikli elektronik sertifikaya ilişkin başvuru taahhütnamesi ve özet değeri KEC vasıtasıyla başvuru sahibine gösterilir ve kimlik kartına yüklenen yeni nitelikli elektronik sertifika ile imzalaması sağlanır. İmzalanan taahhütname başvuru sahibine iletilir. ESHS bu taahhütnamenin doğruluğunu ve geçerliliğini kontrol eder ve nitelikli elektronik sertifikanın imzalama işlemlerinde kullanılmasını sağlar. Taahhütnameye ilişkin doğrulamanın geçerli olmaması halinde ESHS tarafından sertifika sahibi bilgilendirilerek sertifika askıya alınır.
Kimlik kartındaki nitelikli elektronik sertifikanın yenilenmesi
ESHS, sertifika sahibinin uzaktan nitelikli elektronik sertifika yenileme talebine ilişkin kimlik doğrulama işlemini 13/Ç maddesine uygun olarak gerçekleştirir.
Kimlik kartındaki sertifikalar, sertifika sahibine KEC vasıtasıyla gösterilir, sertifika sahibinin yenilemek istediği nitelikli elektronik sertifikayı seçmesi sağlanır ve başvuru sahibinin nitelikli elektronik sertifika yenileme talebi doğrudan veya KDHS üzerinden ESHS’ye iletilir. Bu talebin içerisinde;
a) Kimlik doğrulama sonucunda üretilen ve yenileme talebinde bulunan sertifika sahibine ait KDB’ye ait KDBO’nun,
b) KEC’in donanım yazılımının özet değerinin,
c) Sertifika yenilenmesi için başvuru sahibinin sertifika geçerlilik süresine ilişkin talep bilgisinin,
ç) Sertifika sahibinin Kimlik Kartı doğrulama sertifikası örneğinin
yer alması sağlanır.
ESHS öncelikle gelen nitelikli elektronik sertifika yenileme talebindeki sertifikanın kendisine ait olup olmadığını kontrol eder. Sertifika kendisine ait değilse başvuru sahibinin nitelikli elektronik sertifika yenileme talebini reddeder. Sertifika kendisine ait ise ESHS gelen yenileme talebine ilişkin olarak, talebin geldiği KEC’e ait bilgilerin Kuruma bildirmiş olduğu bilgiler ile uyumlu olduğunu, KDB’nin 13/Ç maddesinde belirtilen kriterlere uygun olduğunu ve EKDS Yönetmeliği kapsamında yetkili bir KDHS tarafından üretilmiş olduğunu kontrol eder.
ESHS, sertifika sahibinin Kimlik Kartı doğrulama sertifikası örneği içerisinde yer alan bilgileri kullanarak nitelikli elektronik sertifikayı yeniler. Kendi güvenli iletişim sertifikası ve rol sertifikasını kullanarak KEC ile güvenli iletişim kurar. Sertifikayı ve anahtarları doğrudan veya KDHS üzerinden güvenli bir şekilde KEC’e iletir. ESHS’den gelen sertifika KEC vasıtasıyla güvenli bir şekilde kimlik kartına yüklenir.
Kimlik kartında önceden yüklenmiş elektronik sertifika olup olmadığı kontrol edilir. Kimlik kartında yüklü başka elektronik sertifika mevcutsa sertifika sahibine “kimlik kartındaki tüm sertifikalarda aynı erişim verisinin geçerli olacağı” bilgisi verilir. Başvuru sahibi isterse yeni erişim verisini oluşturması ve başvuru sahibi tarafından oluşturulan yeni erişim verisinin kimlik kartına yazılması sağlanır.
Kimlik kartında yenilenen nitelikli elektronik sertifikaya ilişkin başvuru taahhütnamesi ve özet değeri KEC vasıtasıyla başvuru sahibine gösterilir ve kimlik kartında yenilenen nitelikli elektronik sertifika ile imzalaması sağlanır. İmzalanan taahhütname başvuru sahibine iletilir. ESHS bu taahhütnamenin doğruluğunu ve geçerliliğini kontrol eder ve nitelikli elektronik sertifikanın imzalama işlemlerinde kullanılmasını sağlar. Taahhütnameye ilişkin doğrulamanın geçerli olmaması halinde ESHS tarafından sertifika sahibi bilgilendirilerek sertifika askıya alınır.
Kimlik kartındaki nitelikli elektronik sertifikanın iptal edilmesi
Sertifika sahibi tarafından kimlik kartındaki nitelikli elektronik sertifikanın iptal talepleri aşağıda belirlenen usullerden birisi ile yapılabilir:
a) 13 üncü maddenin birinci fıkrasında yer alan yöntemlerden birisiyle,
b) KEC vasıtasıyla.
Kimlik kartındaki nitelikli elektronik sertifikanın iptalinin uzaktan KEC vasıtasıyla gerçekleştirilmesi halinde sertifika sahibinin nitelikli elektronik sertifika iptal talebine ilişkin kimlik doğrulama işlemi ESHS tarafından 13/Ç maddesine uygun olarak gerçekleştirilir.
Kimlik kartındaki sertifikalar, sertifika sahibine KEC vasıtasıyla gösterilir, sertifika sahibinin iptal etmek istediği nitelikli elektronik sertifikayı seçmesi sağlanır ve başvuru sahibinin nitelikli elektronik sertifikanın iptaline ilişkin talebi doğrudan veya KDHS üzerinden ESHS’ye iletilir. Bu talebin içerisinde;
a) Kimlik doğrulama sonucunda üretilen ve iptal talebinde bulunan sertifika sahibine ait KDB’ye ait KDBO’nun,
b) KEC’in donanım yazılımının özet değerinin,
c) İptal edilecek sertifikanın
yer alması sağlanır.
ESHS öncelikle gelen iptal talebindeki nitelikli elektronik sertifikanın kendisine ait olup olmadığını kontrol eder. Nitelikli elektronik sertifika kendisine ait değilse başvuru sahibinin iptal talebini reddeder. Nitelikli elektronik sertifika kendisine ait ise gelen iptal talebini derhal işleme alır ve bu talebe ilişkin olarak, talebin geldiği KEC’e ait bilgilerin Kuruma bildirmiş olduğu bilgiler ile uyumlu olduğunu, KDBO’nun 13/Ç maddesinde belirtilen kriterlere uygun olduğunu ve EKDS Yönetmeliği kapsamında yetkili bir KDHS tarafından üretilmiş olduğunu kontrol ettikten sonra nitelikli elektronik sertifikayı iptal eder.
ESHS kendi güvenli iletişim sertifikası ve rol sertifikasını kullanarak KEC ile doğrudan veya KDHS üzerinden güvenli iletişim kurar ve KEC vasıtasıyla kimlik kartından nitelikli elektronik sertifikanın ve anahtarın silinmesini sağlar.
DÖRDÜNCÜ BÖLÜM
Yükümlülükler
ESHS’nin yükümlülükleri
ESHS; nitelikli elektronik sertifika verilecek kişiyi nitelikli elektronik sertifika vermeden önce asgari olarak;
a) Kanunda öngörülen sınırlamalar saklı kalmak üzere, güvenli elektronik imzanın elle atılan imza ile eşdeğer olduğuna,
b) İmza oluşturma verisini ve aracını başkasına kullandırmamasına,
c) Nitelikli elektronik sertifikanın kullanımı ile ilgili usul ve sınırlamaların kapsamına,
d) Nitelikli elektronik sertifikanın iptal durumuna,
e) Nitelikli elektronik sertifika sahibi ile arasında çıkacak uyuşmazlıklarda başvurulabilecek alternatif uyuşmazlık çözüm yollarına,
f) Sözleşmenin ve/veya taahhütnamelerin hüküm ve şartlarında meydana gelecek değişikliklere,
ilişkin yazılı olarak bilgilendirir.
ESHS;
a) Geçerlilik süresi sona eren nitelikli elektronik sertifikaları,
b) Nitelikli elektronik sertifika başvurusunda talep edilen bilgi, belge ve elektronik verileri,
c) Sertifika ilkelerini ve sertifika uygulama esaslarını,
d) Zaman damgası ilkelerini ve zaman damgası uygulama esaslarını,
e) Geçerlilik süresinin sona ermesinden itibaren kendi sertifikasını,
f) Nitelikli elektronik sertifika yönetimine ilişkin tüm işlemlere, bu işlemlerin yapıldığı zamana ve işlemleri yapan kişiye veya kişilere ait bilgileri içeren kaydı,
g) Kimlik kartı vasıtasıyla uzaktan nitelikli elektronik sertifika yönetimine ilişkin tüm işlemlere, bu işlemlerin yapıldığı zamana işlemleri yapan kişi veya kişilere ait bilgileri içeren kaydı güvenliğini, gizliliğini, bütünlüğünü sağlayarak
en az yirmi (20) yıl süreyle saklar.
ESHS;
a) Sertifika uygulama esaslarının sertifika sahibini veya üçüncü kişileri ilgilendiren bölümlerini ve sertifika ilkelerini internet sayfasında yayımlamakla,
b) Nitelikli elektronik sertifika, zaman damgası ve elektronik imza ile ilgili hizmetlere ait ücretleri, bunları uygulamaya koyduktan sonra en geç onbeş (15) gün içinde Kuruma bildirmekle,
c) Sertifika mali sorumluluk sigortası yaptırmakla,
d) Nitelikli elektronik sertifika sahibine imza oluşturma aracı vermesi durumunda, bu aracın güvenli imza oluşturma aracı olmasını sağlamakla,
yükümlüdür.
Nitelikli elektronik sertifika sahibinin yükümlülükleri
Nitelikli elektronik sertifika sahibi;
a) Nitelikli elektronik sertifika almak için gerekli tüm bilgi ve belgeleri eksiksiz ve doğru olarak sağlamakla,
b) ESHS’ye vermiş olduğu bilgilerde değişiklik meydana gelmesi halinde ESHS’yi derhal bilgilendirmekle,
c) İmza oluşturma verisini kendisi üretmesi durumunda Elektronik İmza ile İlgili Süreçlere ve Teknik Kriterlere İlişkin Tebliğ ile belirlenen algoritmaları ve parametreleri kullanmakla,
d) İmza oluşturma ve doğrulama verilerini sadece elektronik imza oluşturma ve doğrulama amaçlı olarak ve nitelikli elektronik sertifikanın içerdiği kullanıma ve maddi kapsama ilişkin sınırlamalar dahilinde kullanmakla,
e) İmza oluşturma verisini başkalarına kullandırmamakla ve bu konuda gerekli tedbirleri almakla,
f) İmza oluşturma verisinin gizliliğinden veya güvenliğinden şüphe etmesi durumunda ESHS’yi derhal bilgilendirmekle,
g) Güvenli elektronik imza oluşturma aracını kullanmakla,
h) İmza oluşturma ve doğrulama verilerinin ESHS’ye ait olmayan yerlerde ve araçlarla üretilmesi durumunda gerekli güvenliği sağlamakla,
i) İmza oluşturma aracının veya erişim verisinin kaybolması, çalınması, güvenilirliğinden şüphe edilmesi durumunda ESHS’yi derhal bilgilendirmekle,
yükümlüdür.
Üçüncü kişilerin yükümlülükleri
Üçüncü kişiler;
a) Sertifikanın “nitelikli elektronik sertifika” olup olmadığını kontrol etmekle,
b) Nitelikli elektronik sertifikanın iptal ve geçerlilik durumunu kontrol etmekle veya güvenli elektronik imza doğrulama aracı kullanmakla,
c) Nitelikli elektronik sertifikanın kullanımına yönelik herhangi bir kısıtlamanın olup olmadığını kontrol etmekle,
yükümlüdür.
Kurumun yükümlülükleri
Kurum, ESHS’lerin bildirim sürecine ve faaliyet durumuna ilişkin bilgileri internet sayfasında yayımlar.
Kurum, elektronik imzaya ilişkin yaptığı çalışmalarla ve sektörün durumuyla ilgili yıllık durum raporu hazırlar ve internet sayfasında yayımlar.
BEŞİNCİ BÖLÜM
Teknik Hususlar ve Güvenlik
İmza oluşturma ve doğrulama verileri
ESHS, kendi imza oluşturma ve doğrulama verileri ile sertifikasını Türkiye Cumhuriyeti sınırları içerisinde oluşturur ve imza oluşturma verisini hiçbir şekilde bu sınırların dışına çıkaramaz.
ESHS’ye ait imza oluşturma ve doğrulama verilerinin geçerlilik süresi on (10) yılı aşamaz.
ESHS, faaliyete geçmesini müteakip yedi (7) gün içinde; sertifikasının sertifika özet değerini ve özetleme algoritmasını kendi internet sayfasında yayımlar, ulusal yayın yapan en yüksek tirajlı üç (3) gazetede ilan vermek suretiyle kamuoyuna duyurur ve gazete ilanlarının bir örneğini Kuruma iletir.
Güvenlik kriterleri
ESHS özel hukuk tüzel kişisi ise, kurucu ortakları, tüzel kişiliği temsile yetkili yöneticileri ve istihdam ettiği veya ettirdiği personeli; gerçek kişi ise kendisi, temsile yetkili yöneticileri ve istihdam ettirdiği personeli taksirli suçlar hariç olmak üzere, affa uğramış olsalar bile ağır hapis veya altı (6) aydan fazla hapis yahut basit veya nitelikli zimmet, irtikap, rüşvet, hırsızlık, dolandırıcılık, sahtekarlık, inancı kötüye kullanma, dolanlı iflas gibi yüz kızartıcı suçlar ile istimal ve istihlak kaçakçılığı dışında kalan kaçakçılık suçları, resmi ihale ve alım satımlara fesat karıştırma, kara para aklama veya devlet sırlarını açığa vurma, vergi kaçakçılığı ya da iştirak veya bilişim alanındaki suçlar nedeniyle hüküm giymemiş olmalıdır.
ESHS; bilgi güvenliği, elektronik imza teknolojileri ve veri tabanı yönetimi alanlarında yeteri kadar teknik personel istihdam eder veya ettirir. Teknik personel, konusunda yeterli mesleki deneyime sahip ya da ilgili alanlarda eğitim almış olmalıdır. ESHS organizasyon şemasında istihdam ettiği veya ettirdiği tüm personelinin görev tanımını ve dağılımını belirler.
ESHS; güvenli sistem ve cihazlar kullanır, bu sistem ve cihazlar ile bunların bulunduğu bina veya alanın korunmasını sağlar.
ALTINCI BÖLÜM
Mali Hususlar
Nitelikli elektronik sertifika, zaman damgası ve ilgili hizmetlerin ücretleri
Nitelikli elektronik sertifika, zaman damgası ve ilgili hizmetlere ait ESHS’lerin uymakla yükümlü olduğu ücretlerin alt ve üst sınırlarının belirlenmesine ilişkin usul ve esaslar Kurum tarafından tespit edilir.
İdari ücret
Kurum ESHS’den bir önceki yıla ait nitelikli elektronik sertifika, zaman damgası ve elektronik imzalarla ilgili hizmetlerin net satışlarının binde dördü ( % 0,4) kadar idari ücret alır. ESHS, bu ücretin tespit edilebilmesini teminen sunmuş olduğu hizmetler ile bu hizmetlere ilişkin hesapları ayrıştırır. İdari ücretin tamamı Nisan ayının son iş gününe kadar Kuruma ödenir.
YEDİNCİ BÖLÜM
Denetim Usul ve Esasları
Denetim
ESHS’nin denetimi Kurum tarafından gerek görülmesi halinde ve iki (2) yılda en az bir defa re’sen yapılır.
Denetimde uyulacak ilkeler
Denetimde aşağıdaki ilkelere uyulur;
a) Denetim faaliyeti sırasında, sonuçların değerlendirilmesinde ve denetim raporunun hazırlanmasında tarafsız olmak,
b) Dürüstlüğü ve tarafsızlığı etkileyebilecek herhangi bir müdahaleye imkan vermemek,
c) Denetim faaliyetine ilişkin çalışmaların her aşamasında gerekli özeni göstermek.
Denetim görevlilerinin yetkileri
Denetim görevlileri;
a) Gerekli gördükleri her türlü defteri, belgeyi ve kayıtları istemeye, incelemeye ve bunların aslı ve/veya örneklerini almaya,
b) Yönetim yerleri, binalar ve eklentilerine girmeye ve bu yerlerde inceleme yapmaya,
c) Konu ile ilgili yazılı ve/veya sözlü bilgi istemeye ve gerekli tutanakları düzenlemeye,
d) Her türlü işlem ve hesapları denetlemeye,
yetkilidir.
Denetim görevlilerinin yükümlülükleri
Denetim görevlileri;
a) Denetime başlamadan önce denetim görevlisi olduklarına dair belge ile kendilerini tanıtmakla,
b) İlgililer tarafından kendilerine tevdi edilen defter, belge ve kayıtları işin gerektirdiği süre içinde olduğu gibi muhafaza ve işin bitiminde iade etmekle,
c) Denetim faaliyeti dolayısıyla edindikleri gizlilik niteliği taşıyan bilgileri, kanunen yetkili kılınanlardan başkasına açıklamamak ve doğrudan veya dolaylı şekilde kendi yararlarına kullanmamakla,
d) Defter, belge ve kayıtlar üzerinde incelemenin gereği olan işaretler dışında; şerh, ilave veya düzeltme yapmamakla,
e) Denetim yaptıkları yerlerde yönetim ve yürütme işlerine müdahale etmemekle,
yükümlüdürler.
ESHS’nin denetime ilişkin yükümlülükleri
ESHS, denetim görevlilerinin yetkileri çerçevesindeki taleplerini en kısa sürede karşılamakla ve denetim görevlilerine elverişli bir çalışma ortamı sağlamakla yükümlüdür.
ESHS, gizlilik ve sır saklama gibi gerekçeler ileri sürerek denetim yükümlülüklerinden imtina edemez.
Raporların sunulması
Denetim görevlileri tarafından hazırlanan denetim raporu, denetim faaliyetinin sona ermesinden itibaren otuz (30) gün içinde Kurula sunulur.
Denetim sırasında ESHS’lerin faaliyet ve işleyişini olumsuz yönde etkileyebilecek derecede önem arz eden hususların tespit edilmesi halinde denetim görevlileri denetim faaliyetinin sonuçlanmasını beklemeksizin bu hususları içeren bir rapor hazırlayarak Kurula sunar.
Kurul kararı
Denetim raporu ve 27 nci maddenin ikinci fıkrasında belirtilen rapor Kurul tarafından öncelikli olarak gündeme alınır. Kurul, raporları değerlendirerek karar verir. Raporlarda, ilgili mevzuat hükümlerine aykırılık tespit edilmiş olması ve bu tespitin Kurul tarafından da sabit görülmesi halinde, ilgili mevzuatta öngörülen yaptırım ve cezaların uygulanmasına karar verilir.
SEKİZİNCİ BÖLÜM
Faaliyetin Sona Ermesi
Kurum tarafından faaliyete son verilmesi
Kurum, yaptığı denetim sonucunda, ESHS’nin faaliyetinin devamı sırasında bildirim şartlarından birini veya birkaçını kaybettiğini tespit etmesi halinde ESHS’ye bu eksikliğin giderilmesi için bir (1) aya kadar süre verir ve bu süre içinde ESHS’nin faaliyetini durdurur. Kurum, vermiş olduğu sürenin sonunda eksikliğin giderilmemesi veya Kanunun 18 inci maddesindeki suçların işlendiği tarihten itibaren geriye doğru üç (3) yıl içinde üçüncü kez işlenmiş olması halinde ESHS’nin faaliyetine son verir.
Birinci fıkrada geçen faaliyete son verme hallerinden birinin gerçekleşmesi ile faaliyetine son verilen ESHS, faaliyete son verme kararının tebliği tarihinden itibaren onbeş (15) gün içinde faaliyette bulunan herhangi bir ESHS ile nitelikli elektronik sertifikaların devri konusunda anlaşabilir. Kurum, taraflar arasında anlaşma sağlanması durumunda, faaliyetine son verilen ESHS’nin oluşturduğu nitelikli elektronik sertifikaların anlaşma sağlanan ESHS’ye devredilmesine karar verir. Faaliyetine son verilen ESHS ile faaliyette bulunan herhangi bir ESHS arasında onbeş (15) gün içinde nitelikli elektronik sertifikaların devrine ilişkin anlaşma sağlanamaması durumunda Kurum, sertifikaların herhangi bir ESHS’ye devrine re’sen karar verir. Nitelikli elektronik sertifikaları devralan ESHS sertifika yenileme işlemlerini başlatır ve devir kararının tebliği tarihinden itibaren bir (1) ay içinde bu işlemleri tamamlar. Kurum, uygun görmesi halinde, bir (1) ayı geçmemek üzere ek süre verebilir.
ESHS, Kurumun faaliyete son verme kararının tebliğinden itibaren elektronik sertifika, zaman damgası ve elektronik imzalarla ilgili hizmetleri sağlayamaz. Ancak, sertifika yenileme işlemleri tamamlanıncaya kadar iptal durum kaydı hizmetini devam ettirir.
Faaliyetine son verilen ESHS nitelikli elektronik sertifikaları devralan ESHS’ye kimlik doğrulamada kullanılan belgeleri, dizini, arşivi ve sertifika yenileme işlemlerinin tamamlanmasından sonra iptal durum kaydını devreder ve kendi imza oluşturma verisi ile yedeklerini imha eder.
Kurum, nitelikli elektronik sertifikaları re’sen devredebileceği herhangi bir ESHS’nin bulunmaması durumunda, faaliyetine son verdiği ESHS’nin oluşturduğu nitelikli elektronik sertifikaların iptal edilmesine karar verir. Faaliyetine son verilen ESHS son iptal durum kaydını oluşturduktan sonra kendi imza oluşturma verisi ile yedeklerini imha eder, geçerlilik süresi en geç sona eren nitelikli elektronik sertifikanın geçerlilik süresi sonuna kadar iptal durum kaydı hizmetini devam ettirir ve arşivi en az yirmi (20) yıl süreyle saklar.
Kurum, nitelikli elektronik sertifikaların devrine ilişkin kararları internet sayfasında yayımlar. Faaliyetine son verilen ESHS devire ilişkin kararları nitelikli elektronik sertifika sahiplerine elektronik posta ile duyurur ve internet sayfasında yayımlar.
ESHS’nin faaliyetine son vermesi
ESHS faaliyetine son vereceği tarihten en az üç (3) ay önce durumu Kuruma yazılı olarak bildirir. ESHS, faaliyetine son verme kararının Kuruma bildirilmesinden itibaren nitelikli elektronik sertifika başvurusu kabul edemez ve yeni nitelikli elektronik sertifika oluşturamaz.
ESHS faaliyetine son vereceği tarihten en az üç (3) ay önce faaliyetine son verme kararını internet sayfasında yayımlar, sertifika sahiplerine elektronik posta ile bildirir ve ulusal yayın yapan en yüksek tirajlı üç (3) gazetede ilan vermek suretiyle kamuoyuna duyurur.
ESHS; faaliyetine son verme tarihine kadar geçerlilik süresi sona ermeyecek ve kullanımı faaliyette bulunan herhangi bir ESHS tarafından sağlanabilecek nitelikli elektronik sertifikaları, faaliyete son verme tarihinden bir (1) ay öncesine kadar faaliyette bulunan herhangi bir ESHS’ye devredebilir. Faaliyetine son veren ESHS devir hususunda sertifika sahiplerini elektronik posta ile bilgilendirir. Nitelikli elektronik sertifikaların devredilmesi halinde sertifikaları devralan ESHS sertifika yenileme işlemlerini başlatır ve bir (1) ay içinde bu işlemleri tamamlar. Kurum, uygun görmesi halinde, bir (1) ayı geçmemek üzere ek süre verebilir.
Nitelikli elektronik sertifikaları devreden ESHS sertifikaları devralan ESHS’ye kimlik doğrulamada kullanılan belgeleri, dizini, arşivi ve sertifika yenileme işlemlerinin tamamlanmasından sonra iptal durum kaydını devreder ve kendi imza oluşturma verisi ile yedeklerini imha eder.
Faaliyetine son verme tarihinden bir (1) ay öncesine kadar nitelikli elektronik sertifikaların devredilememesi veya nitelikli elektronik sertifikaların kullanımının faaliyette bulunan herhangi bir ESHS tarafından sağlanamaması durumunda, faaliyetine son vermek isteyen ESHS nitelikli elektronik sertifikaları faaliyete son verme tarihinde iptal eder. Faaliyetine son veren ESHS son iptal durum kaydını oluşturduktan sonra kendi imza oluşturma verisi ile yedeklerini imha eder, geçerlilik süresi en geç sona eren nitelikli elektronik sertifikanın geçerlilik süresi sonuna kadar iptal durum kaydı hizmetini devam ettirir ve arşivi en az yirmi (20) yıl süreyle saklar.
DOKUZUNCU BÖLÜM
Diğer Hükümler
Zaman damgası ve hizmetleri
ESHS, zaman damgası ve hizmetlerini sağlamakla yükümlüdür. Nitelikli elektronik sertifika sahibi, bu hizmeti talep etmesi halinde alır.
Yabancı elektronik sertifikaların kabul edilmesi
Yabancı elektronik sertifikaların hukuki sonuçlarına ve kabul edilmesine ilişkin şartlar milletlerarası anlaşmalarla belirlenir.
Milletlerarası anlaşma bulunmaması halinde, yabancı bir ülkede kurulu bir ESHS tarafından verilen elektronik sertifikaların Türkiye’de kurulu bir ESHS tarafından kabul edilmesi için asgari olarak;
a) Yabancı elektronik sertifikanın, Kanunda ve bu Yönetmelikte yer alan nitelikli elektronik sertifikanın teknik şartlarını taşıması,
b) Yabancı ESHS’nin kurulu bulunduğu ülkede ESHS olarak faaliyet göstermesi,
gerekir.
Türkiye’de kurulu bir ESHS, kabul edeceği yabancı elektronik sertifika ile ilgili aşağıdaki belgeleri, sertifikaların kullanımına başlanmadan bir (1) ay önce Kuruma verir;
a) Elektronik sertifikalarını kabul edeceği yabancı ESHS’nin kendi sertifikasının örneği,
b) Yabancı ESHS’nin kurulu bulunduğu ülkede ESHS olduğuna dair yetkili merciden alınmış belge,
c) Yabancı elektronik sertifikanın, Kanun ve bu Yönetmelikte yer alan nitelikli elektronik sertifikanın teknik şartlarını taşıdığına dair bilgi ve belgeler.
Kurum, yabancı ESHS’ye ait bilgileri internet sayfasında yayımlar.
Kabul edilen yabancı elektronik sertifikaların kullanılması sonucunda doğacak her türlü zarardan sertifikaları kabul eden Türkiye’deki ESHS de sorumludur.
Faaliyet raporu
ESHS, Kuruma her yıl Mart ayı sonuna kadar bir önceki yıla ilişkin rapor verir. Rapor asgari aşağıdaki unsurları içerir;
a) Oluşturulan sertifika türleri ve sayıları,
b) Her bir sertifika türüne göre iptal edilen sertifika sayısı,
c) ESHS’nin geçmiş yıla ait mali durumunu gösterir bilgi ve belgeler,
d) Varsa kendisine devredilen sertifikaların durumuna ilişkin bilgiler,
e) ESHS’nin bir sonraki yıla ait pazar öngörüleri,
f) Kurum tarafından istenecek diğer bilgi ve belgeler.
Teknik hususlara ilişkin tebliğ
Nitelikli elektronik sertifika başvurusu, sertifikanın oluşturulması, yayımlanması, yenilenmesi, iptali ve arşivleme süreçleri dahil olmak üzere ESHS’nin işleyişine, imza oluşturma ve doğrulama verilerine, sertifika ilkelerine ve sertifika uygulama esaslarına, imza oluşturma ve doğrulama araçlarına, ESHS’nin faaliyetleri için kullandığı sistem, cihaz ile fiziki güvenliğine, personeline, zaman damgasına ve hizmetlerine ilişkin uyulması gereken teknik kriterler tebliğ ile belirlenir. Kurum gerekli görülen hallerde tebliği günceller.
Hüküm bulunmayan haller
Elektronik imzayla ilgili bu Yönetmelikte hüküm bulunmayan haller için Kurul Kararı ile düzenleme yapılır.
Geçici Hükümler
ESHS, Kurum tarafından nitelikli elektronik sertifika, zaman damgası ve ilgili hizmetlere ait ücretlerin alt ve üst sınırları belirleninceye kadar, 5 inci maddede yer alan genel ilkeler çerçevesinde nitelikli elektronik sertifika, zaman damgası ve ilgili hizmetlere ilişkin ücretleri belirleyebilir.
Yürürlük
Bu Yönetmelik yayımı tarihinde yürürlüğe girer.
Yürütme
Bu Yönetmelik hükümlerini Kurul Başkanı yürütür.
