Bilgi Teknolojileri ve İletişim Kurumundan:
BİRİNCİ BÖLÜM
Başlangıç Hükümleri
Amaç
MADDE 1- (1) Bu Yönetmeliğin amacı; elektronik mührün hukuki ve teknik yönleri ile uygulanmasına ilişkin usul ve esasları belirlemektir.
Kapsam
MADDE 2- (1) Bu Yönetmelik; elektronik mühür sertifika başvurularının alınması, elektronik mühür sertifikasının oluşturulması, kullanılması, iptali ve yenilenmesine yönelik süreçlere, elektronik mühür oluşturma ve doğrulama verileri ile araçlarına, elektronik mühür sahibinin yükümlülüklerine ilişkin usul ve esasları kapsar.
Dayanak
MADDE 3- (1) Bu Yönetmelik, 15/1/2004 tarihli ve 5070 sayılı Elektronik İmza Kanununun 20 nci ve ek 1 inci maddelerine dayanılarak hazırlanmıştır.
Tanımlar ve kısaltmalar
MADDE 4- (1) Bu Yönetmelikte geçen;
a) Devlet Teşkilatı Merkezi Kayıt Sistemi (DETSİS): Türkiye Cumhuriyeti Devlet Teşkilatı içerisinde yer alan kurum ve kuruluşlar ile bunların merkez, taşra ve yurt dışı teşkilatlarında bulunan her düzeydeki birimlerinin hiyerarşik yapıya uygun olarak Türkiye Cumhuriyeti Devlet Teşkilatı Numarası ile tanımlandığı sistemi,
b) DETSİS numarası: DETSİS’te tanımlı birimlere verilen Türkiye Cumhuriyeti Devlet Teşkilatı numarasını,
c) Elektronik mühür: Başka bir elektronik veriye eklenen veya elektronik veriyle mantıksal bağlantısı bulunan ve elektronik mühür sahibinin bilgilerini doğrulama amacıyla kullanılan elektronik veriyi,
ç) Elektronik mühür doğrulama: Elektronik mührün geçerli olduğuna dair doğrulama veya onaylama sürecini,
d) Elektronik mühür doğrulama verisi: Elektronik mührü geçerli kılmak için kullanılan veriyi,
e) Elektronik mühür sahibi: Elektronik mührü oluşturan kamu kurum ve kuruluşları, kamu idareleri, kamu kurumu niteliğindeki meslek kuruluşları ve üst kuruluşları, kamu ve özel hukuk tüzel kişileri ile yargı mercileri ve noterlikleri,
f) Elektronik mühür sertifikası: Elektronik mühür doğrulama verisini elektronik mühür sahibi ile ilişkilendiren ve bu kişinin unvanını doğrulayan elektronik onayı,
g) Elektronik mühür oluşturma aracı: Elektronik mühür oluşturmak amacıyla kullanılan yazılım veya donanımı,
ğ) Elektronik mühür oluşturma verisi: Elektronik mühür sahibi tarafından elektronik mühür oluşturmak için kullanılan benzersiz veriyi,
h) ESHS: Elektronik sertifika hizmet sağlayıcısını,
ı) Gelişmiş elektronik mühür: 8 inci maddede belirtilen şartları sağlayan elektronik mührü,
i) Güvenli elektronik mühür: Güvenli elektronik mühür oluşturma aracı kullanılarak oluşturulan ve elektronik mühür için nitelikli elektronik mühür sertifikasına dayanan gelişmiş elektronik mührü,
j) Güvenli elektronik mühür oluşturma aracı: 13 üncü maddede belirtilen şartları karşılayan elektronik mühür oluşturma aracını,
k) İptal durum kaydı: Kullanım süresi dolmamış sertifikaların iptal bilgisinin yer aldığı, iptal zamanının tam olarak tespit edilmesine imkân veren ve üçüncü kişilerin hızlı ve güvenli bir biçimde ulaşabileceği kaydı,
l) Kanun: 5070 sayılı Elektronik İmza Kanununu,
m) Kurum: Bilgi Teknolojileri ve İletişim Kurumunu,
n) MERSİS: Ticaret sicili kayıtlarını da içeren, Ticaret Bakanlığı tarafından oluşturulan ve yönetilen Merkezi Sicil Kayıt Sistemini,
o) MERSİS numarası: MERSİS üzerinden ticaret siciline kayıtlı tüzel kişilere verilen tekil numarayı,
ö) Nitelikli elektronik mühür sertifikası: ESHS tarafından verilmiş ve 9 uncu maddede belirtilen şartları karşılayan elektronik mühür sertifikasını,
p) Tebliğ: 6/1/2005 tarihli ve 25692 sayılı Resmî Gazete’de yayımlanan Elektronik İmza ile İlgili Süreçlere ve Teknik Kriterlere İlişkin Tebliği,
ifade eder.
(2) Bu Yönetmelikte geçen ancak birinci fıkrada yer almayan tanımlar için ilgili mevzuatta yer alan tanımlar geçerlidir.
İlkeler
MADDE 5- (1) Bu Yönetmeliğin uygulanmasında aşağıdaki temel ilkeler göz önünde bulundurulur:
a) Objektif nedenler aksini gerektirmedikçe kaynakların düzenli, verimli ve etkin kullanılması.
b) Niceliksel ve niteliksel devamlılık, güvenilirlik, ayrımcı olmama, açıklık ve şeffaflığın sağlanması.
c) Tüketici haklarının korunması.
ç) Hizmet kalitesinin sağlanması.
d) Etkin ve sürdürülebilir rekabet ortamının sağlanması ve devamına yönelik uygulamaların teşvik edilmesi.
e) Uluslararası standartların dikkate alınması.
f) Elektronik mühür kullanımının yaygınlaşması için yeni yatırımların ve uygulamaların özendirilmesi.
g) Elektronik mühür sahibinin, talep ettiği hizmet ya da ürünler dışında herhangi bir hizmeti ya da ürünü satın almak zorunda bırakılmaması.
ğ) Bir hizmetin ya da ürünün diğer bir hizmetin ya da ürünün ücreti yoluyla desteklenmesinden veya karşılanmasından kaçınılması.
h) Bu Yönetmelik kapsamındaki işlemlerin uzun süreli saklanması, elektronik mühürlerin uzun süreli olarak yasal geçerliliğinin temin edilmesi ve teknolojik gelişmelerden bağımsız olarak doğrulanabilmesinin sağlanması.
İKİNCİ BÖLÜM
Elektronik Mühre ve Sertifikaya İlişkin Hükümler
Elektronik mührün hukuki geçerliliği
MADDE 6- (1) Elektronik mühür, elektronik belgenin veya verinin elektronik mühür sahibi tarafından oluşturulduğunu, belgenin veya verinin kaynağını ve bütünlüğünü garanti eden delil kaydıdır.
(2) Güvenli elektronik mühür, resmî mühür dâhil her türlü fiziki mühür ile aynı hukuki niteliği haizdir.
Elektronik mührün kullanılması
MADDE 7- (1) Güvenli elektronik mühürler, elektronik mühür sahibinin kimliğinin doğrulanması ve mühürlenen verinin bütünlüğünün sağlanması için kullanılır.
(2) Gelişmiş elektronik mühürler, elektronik mühür sahibinin herhangi bir dijital varlığının kimlik doğrulaması için kullanılabilir.
(3) Nitelikli elektronik mühür sertifikası, güvenli elektronik imza oluşturmak amacıyla kullanılamaz.
Gelişmiş elektronik mühür
MADDE 8- (1) Gelişmiş elektronik mühür;
a) Elektronik mühür sahibi ile benzersiz bir şekilde bağlantılı olan,
b) Elektronik mühür sahibinin kimliğinin tespit edilmesini sağlayan,
c) Elektronik mühür sahibinin tasarrufunda bulunan elektronik mühür oluşturma verisiyle oluşturulan,
ç) Veride sonradan meydana gelen herhangi bir değişikliğin tespit edilmesini sağlayacak şekilde ilişkili olduğu veri ile bağlantılı olan,
elektronik mühürdür.
Nitelikli elektronik mühür sertifikası
MADDE 9- (1) Nitelikli elektronik mühür sertifikasında;
a) Otomatik işlemeye uygun bir biçimde, sertifikanın “nitelikli elektronik mühür sertifikası” olarak verildiğine dair bir ibarenin,
b) ESHS’nin kimlik bilgileri ve kurulduğu ülke adının,
c) Elektronik mühür sahibinin teşhis edilebileceği resmî kayıtlarda belirtilen unvanı ve MERSİS numarası veya DETSİS numarası veya Vergi Kimlik Numarası veya Ticaret Sicil Numarası veya başvuru sahibinin bağlı bulunduğu resmî sicile tescil edilen veya ilgili mevzuat ile belirlenen tekil kayıt numarası gibi kimlik bilgilerinin,
ç) Elektronik mühür oluşturma verisine karşılık gelen elektronik mühür doğrulama verisinin,
d) Sertifikanın geçerlilik süresinin başlangıç ve bitiş tarihinin,
e) ESHS için benzersiz olması gereken sertifika seri numarasının,
f) ESHS’nin elektronik imzasının veya güvenli elektronik mührünün,
g) (f) bendinde atıfta bulunulan elektronik imza veya güvenli elektronik mührü destekleyen sertifika bilgisinin sunulduğu yerin,
ğ) Sertifikanın geçerlilik durumunu sorgulamak için kullanılabilecek hizmetlerin yerinin,
bulunması zorunludur.
Nitelikli elektronik mühür sertifikası başvurusu ve oluşturulması
MADDE 10- (1) Nitelikli elektronik mühür sertifikası almak isteyen taraflar ESHS’ye başvuruda bulunur.
(2) Başvuru sahibi;
a) Ticaret şirketi ise; şirketin adı/unvanı, en son yayımlanan Ticaret Sicil Gazetesi veya ticaret sicil belgesi, vergi levhası, şirketin sicil tasdiknamesi veya şahıs şirketlerinde imza beyannamesi ve adres, telefon, faks, elektronik posta adresi, internet adresi ve kayıtlı elektronik posta adresi gibi iletişim bilgilerini,
b) Ticaret şirketi değil ise; başvuru sahibinin bağlı bulunduğu resmî sicile tescil edilen veya ilgili mevzuat ile belirlenen adı/unvanı ve ilgili birimlerine ait adres, telefon, faks, elektronik posta adresi, internet adresi ve kayıtlı elektronik posta adresi gibi iletişim bilgilerini,
başvuru aşamasında ESHS’ye iletir.
(3) ESHS, başvuru sahibinin; elektronik mühür sertifikası almaya yetkili olup olmadığını; başvuru sahibinin Vergi Kimlik Numarası, Ticaret Sicil Numarası, MERSİS numarası veya DETSİS numarası bilgilerinden birini, bu bilgilerden herhangi birine sahip olmayan diğer tüm başvuru sahiplerini de bağlı bulundukları resmî sicile tescil edilen veya ilgili mevzuatta yer alan bilgilerini kullanarak teyit eder.
(4) ESHS, Kanun ve ilgili mevzuat ile belirlenen teknik kriterlere uygun olarak nitelikli elektronik mühür sertifikasını, Tebliğin 6 ncı maddesinde imza oluşturma ve doğrulama verileri için belirlenen kriterlere uygun olarak üretir ve başvuru sahibine teslim eder.
(5) ESHS, başvuru sahibinin bilgilerini teyit edememesi veya nitelikli elektronik mühür sertifikası almaya yetkisi olmadığını belirlemesi halinde başvuruyu reddeder.
Nitelikli elektronik mühür sertifikasının yenilenmesi
MADDE 11- (1) Geçerlilik süresinin sona ermesinden önce elektronik mühür sahibinin talebi doğrultusunda nitelikli elektronik mühür sertifikası ESHS tarafından yenilenir.
(2) ESHS, nitelikli elektronik mühür sertifikasını, elektronik mühür sahibine ait bilgilerin ve nitelikli elektronik mühür sertifikasında yer alan bilgilerin geçerliliğini doğrulayarak yeniler.
(3) Nitelikli elektronik mühür sertifikasına ilişkin bilgilerde değişiklik meydana gelmesi hâlinde ilgili elektronik mühür sahibi ESHS’yi derhal bilgilendirir.
Nitelikli elektronik mühür sertifikasının iptal edilmesi
MADDE 12- (1) Nitelikli elektronik mühür sertifikasının iptaline ilişkin talepler; ESHS, elektronik mühür sahibi ve sözleşme veya taahhütname ile belirlenen kişiler tarafından yapılabilir.
(2) ESHS; nitelikli elektronik mühür sertifikasının iptaline ilişkin taleplerin yapılabilmesini kesintisiz olarak sağlar ve elektronik mühür sahibini söz konusu durum hakkında bilgilendirir.
(3) İptal talebinin alınmasını müteakip nitelikli elektronik mühür sertifikası ESHS tarafından derhal iptal edilir. İptal edilen nitelikli elektronik mühür sertifikası, geçerlilik süresi sonuna kadar iptal durum kayıtlarında yer alır.
(4) ESHS, nitelikli elektronik mühür sertifikalarına ilişkin iptal durum kaydını herhangi bir kimlik doğrulamasına gerek olmaksızın ücretsiz ve kesintisiz olarak kamu erişimine açık tutar ve kayıtların bir sonraki güncelleme zamanının bu kayıtlarda açıkça gösterilmesini sağlar.
(5) Nitelikli elektronik mühür sertifikasının güvenliğine ilişkin tehdit oluşması, elektronik mühür oluşturma verisinin yetkisiz ele geçirilmesi veya unutulması, sertifikada bilgi değişikliği gerekmesi, elektronik mühür sahibinin talebi gibi durumlarda sertifika ESHS tarafından iptal edilir ve elektronik mühür sahibi bilgilendirilir.
(6) ESHS, nitelikli elektronik mühür sertifikasını geçmişe yönelik olarak iptal edemez.
Güvenli elektronik mühür oluşturma araçları
MADDE 13- (1) Güvenli elektronik mühür oluşturma araçları, elektronik mühür oluşturmak için kullanılan elektronik mühür oluşturma verilerinin;
a) Araç dışına hiçbir biçimde çıkarılamamasını ve gizliliğini,
b) Kendi aralarında bir eşi daha bulunmamasını, hiçbir şekilde yeniden elde edilememesini, kullanılamamasını ve mevcut teknoloji kullanılarak sahteciliğe karşı güvenilir bir şekilde korunmasını,
c) Elektronik mühür sahibi dışında değiştirilmemesini ve üçüncü kişiler tarafından kullanımına karşı güvenilir bir şekilde korunabilmesini,
sağlayan elektronik mühür oluşturma araçlarıdır.
(2) Güvenli elektronik mühür oluşturma araçları, mühürlenen verilerin, değiştirilmemesini ve mühürleme öncesinde elektronik mühür sahibine gösterilmesini sağlamalıdır.
(3) Güvenli elektronik mühür oluşturma araçları, Tebliğin 8 inci maddesinde güvenli elektronik imza oluşturma araçları veya 11 inci maddesinde mobil elektronik imza hizmetlerinde dolaşım için belirlenen kriterlere uygun olmalıdır.
Genel hükümler
MADDE 14- (1) Elektronik mühürler için nitelikli elektronik mühür sertifikaları veren ESHS’ler, nitelikli elektronik mühür sertifikası alan elektronik mühür sahibini temsil eden gerçek kişinin kimliğini doğrulayabilmek için adli veya idari süreçler bağlamında gerekli tedbirleri almakla yükümlüdür.
(2) ESHS; geçerlilik süresi sona eren nitelikli elektronik mühür sertifikalarını, nitelikli elektronik mühür sertifika başvurusunda talep edilen bilgi, belge ve elektronik verileri, nitelikli elektronik mühür sertifika yönetimine ilişkin tüm işlemlere, bu işlemlerin yapıldığı zamana ve işlemleri yapan kişiye veya kişilere ait bilgileri içeren kaydı; güvenliğini, gizliliğini, bütünlüğünü ve erişilebilirliğini sağlayarak en az yirmi (20) yıl süreyle saklar.
(3) ESHS’nin elektronik mühür oluşturma verisinin çalınması, kaybolması, gizliliğinin veya güvenilirliğinin ortadan kalkması ya da sertifika ilkelerinin değişmesi gibi elektronik mühür sahibinin kusurunun bulunmadığı durumların sonucunda nitelikli elektronik mühür sertifikalarının ESHS tarafından iptal edilmesi ve yenilenmesi halinde, bu işlemler için hiçbir ücret talep edilemez.
(4) Nitelikli elektronik mühür sertifika başvurularının alınması, oluşturulması, yenilenmesi, iptal edilmesi ve yaşam döngüsünün yönetiminde, nitelikli elektronik sertifikalar ile elektronik mühür sertifikaları arasındaki yapısal ve işlevsel farklılıklar nedeniyle uygulanamayan hususlar dışında, Kanun ve ilgili düzenlemelerde nitelikli elektronik sertifikalar için tanımlanmış süreç ve teknik kriterlere uyulması esastır.
(5) Nitelikli elektronik mühür sertifika başvurusunun alınması, oluşturulması, yenilenmesi, iptal edilmesi gibi işlemler, Kanun ve ilgili mevzuat kapsamında; ilgili başvuru sahibi ile ESHS arasında akdedilen sözleşme veya taahhütnamede öngörülen yöntemlerle yapılır.
ÜÇÜNCÜ BÖLÜM
Çeşitli ve Son Hükümler
Denetim
MADDE 15- (1) Kurum, ESHS’lerin bu Yönetmeliğin uygulanmasına ilişkin faaliyet ve işlemlerini Kanun kapsamında resen veya şikâyet üzerine 14/12/2011 tarihli ve 28142 sayılı Resmî Gazete’de yayımlanan Bilgi Teknolojileri ve İletişim Kurumunun Denetim Çalışmalarına İlişkin Yönetmelik uyarınca denetleyebilir veya denetletebilir.
Nitelikli elektronik mühür sertifika ücretleri
MADDE 16- (1) Kurum, sürdürülebilir rekabet ortamının sağlanmasını ve tüketici haklarının korunmasını teminen, gerektiğinde ESHS’nin elektronik mühür sertifikalarına ilişkin sunduğu hizmetlerin ücretlerine alt ve üst sınır getirebilir.
İdari ücret
MADDE 17- (1) Kurum, ESHS’den elektronik mühür ve elektronik mühür sertifikalarına ilişkin bir önceki yıla ait net satışlarının binde dördü (%0,4) kadar idari ücret alır. ESHS bu ücretin tespit edilebilmesini teminen, sunmuş olduğu hizmetler ile bu hizmetlere ilişkin hesapları ayrıştırır.
(2) İdari ücretin tamamı her takvim yılı nisan ayının sonuna kadar Kuruma ödenir.
İdari yaptırımlar
MADDE 18- (1) Bu Yönetmelik ile belirlenen yükümlülüklerin yerine getirilmemesi halinde, 5070 sayılı Kanunun 18 inci ve 19 uncu maddeleri ile 15/2/2014 tarihli ve 28914 sayılı Resmî Gazete’de yayımlanan Bilgi Teknolojileri ve İletişim Kurumu İdari Yaptırımlar Yönetmeliği hükümleri uygulanır.
Yürürlük
MADDE 19- (1) Bu Yönetmelik yayımı tarihinde yürürlüğe girer.
Yürütme
MADDE 20- (1) Bu Yönetmelik hükümlerini Bilgi Teknolojileri ve İletişim Kurulu Başkanı yürütür.