Elektronik İmza Kanun Tasarısı, Adalet Bakanlığı, Sanayi ve Ticaret Bakanlığı, Hazine Müsteşarlığı, Dış Ticaret Müsteşarlığı, Telekomünikasyon Kurulu Başkanlığı ve ilgili sivil toplum örgütlerinin katıldığı komisyonlarca görüşülüyor. Sanayi, Ticaret, Enerji, Tabii Kaynaklar, Bilgi ve Teknoloji Komisyonu, ilgili gördüğü maddeleri görüşerek, yaptığı değişiklikleri tamamladı. Söz konusu tali komisyon, raporunu ana komisyon olan Adalet Komisyonu’na gönderdi.
Söz konusu tali komisyonun tasarıda yalnızca yazım kurallarını düzelttiği dikkat çekiyor. Oysa kamuoyunda “e-imza” olarak adlandırılan tasarının tartışılması gereken bir çok noktası var. Sektör uzmanlarından TurSign Dijital Sertifikalar Hizmetleri Sertifika Yöneticisi Muharrem Büyükbahçeci’nin konuyla ilgili görüşlerini aldık. Büyükbahçeci, e-imza tasarısında açıklığa kavuşturulması gereken bir çok konunun olduğunu dile getiriyor.
Turk-internet.com: Tasarı ile ilgili sizin çekinceleriniz var mı? Eklenmesi gereken, çıkarılması gerekenleri görüşleriniz ile bildirir misiniz?
BÜYÜKBAHÇECİ: Kısaca belirtmek gerekirse;
- Düzenleyici kurum kesinlikle bağımsız bir kurum olmalıdır. Bu kurum Telekomünikasyon Kurumu olarak kalmadır. Çünkü zaman zaman, bu kurumun Tübitak olarak değiştirilmesi isteniyor.
- Madde 14’de belirtilen milletlerarası anlaşmalardan kastın ne olduğu açıklanmalıdır. Ayrıca diğer ülkelerdeki sertifika mercilerinin de nitelikli sertifika yaratabilen bir kurum için hangi gerekli şartları taşıması gerekiyor, bunlar net olmalıdır.
- Diğer bir konu ise Sertifika Mercii’leri ya da Sertifika Hizmet Sağlayıcıların sorumluluğu konusu… Bu tek taraflı hazırlanmış ve neredeyse her koşulda bizleri sorumlu tutuyor ki aksini kanıtlaması durumunda bu geçerli değil..Ayrıca Sertifika Hizmet Sağlayıcıların yayınladıkları anonim sertifikalarda limitlerini belirlemek durumundadır ve bunun dışında kullanılması durumunda yada kaybedilmesi, çalınması durumunda Sertifika Hizmet Sağlayıcıların sorumlu olması söz konusu bile olamaz. Zaten böyle bir uygulamayı Sertifika Otoritesi hiçbir zaman hakim olamaz. Ancak teknik alt yapısı çok büyük yatırımlar ile desteklenmeli ki şu anda ne Globalsign ne de Verisign bu yatırımları yapmıştır. Otorite sadece sertifikayı verdiği kişiyi veya kurumu doğrular ve saklama, çaldırmama veya kopyalattırmama gibi sorumlulukları tamamı ile sertifika sahibine verir. Anlaşmaları da sertifika sahipleri ile böyle yapar. Bundan dolayı yasa içerisindeki Sertifika Otoritesi ve Sertifika Sahibi sınırlı sorumlulukları kesin ve net hatlar ile çizilmelidir.
- Ayrıca e-imza yaratanlar AB yönergesinde özel ve tüzel kişiler olarak geçerken bizde bu sadece kurum olarak gösterilmiş.
- Tarafsız ve güvenilirlik esası da çok önemli. Daha öncede belirtmiştim ama söz konusu tasarıda “tarafsızlık ve güvenilirlik” neye göre olduğu fazla belirtilmemiş. Örneğin tarafsızlık konusunda şüphe yaratan veya taraflı olan kurumlar veya kişiler bu işi yapabilecekler mi? Elbette taraflı olanlar yapamayacaklardır ama benim taslakta okuduğum kadarı ile bunun önleyen bir madde yok.
Turk-internet.com: Tasarının ne zaman yasalaşmasını öngörüyorsunuz? Yasalaştığı zaman hangi bürokratik aşamalardan geçilecek?
BÜYÜKBAHÇECİ: Dijital sertifikanın bir ürün çeşidi olan sunucu sertifikası (kurumun dijital imzası) bazındaki satışlar yaklaşık 1995 senesinden bu yana Türkiye’de gündemde ve kullanılırlık seviyesine gelmiştir. Aynı şekilde kişisel boyuttaki kişisel sertifikalar (kişinin dijital imzası) da aynı senelerde nadiren yönetici grupları tarafından e-mail adreslerinin doğrulanması için kullanılmaya başlanmıştır. Hatta internet üzerinden basını takip edenler arşivlere girip baktıklarında 1998 senesinden bu yana ülkede bu konunun ciddi manada tartışıldığını ve eğitime dayalı yazılar çıktığını görebilirler.
Kısacası, yaklaşık 5 senedir ülkenin teknoloji sektöründeki internet güvenliğinin gündem maddesi olan e-imza yasası en kısa sürede çıkmalı ve şirketlerin bu teknolojinin sunduğu zaman ve kağıt tasarrufu gibi yararlarının yanı sıra internet ortamında kullanacakları dijital imzaları ile hem güvenlik (128 bit’lik şifreleme metodu) hem de doğrulama boyutundan da yararlanmaya başlamaları gereklidir.
Fikrimce ilgili mercilerin şu anki çalışmalarına bakıldığında önümüzdeki en kısa periyotta çıkmasını ümit ediyorum. Ümit ediyorum diyorum ve zaman veremiyorum, çünkü ülkemizin gündemi çeşitli siyasi ve politik gündemler ile yoğun olduğundan bu ve bunun gibi önem taşıyan konular ne yazık ki üzücü ama bazen çok arka planda kalabiliyor.
Turk-internet.com: Tasarı yasalaştığı zaman sertifika edinme şartları hangi aşamalardan geçilecek?
BÜYÜKBAHÇECİ: Türkiye’de bürokrasi dediğiniz zaman insanların kafasında dağlar kadar iş ve kağıt yığını oluşuyor. Bu kelimeyi sertifika edinme şartları olarak değiştirirsek daha net ve uygun olur düşüncesindeyim. AB’nin Tarafsız ve Güvenilir Sertifika Otoritesi Globalsign’ın Kayıt Mercii olarak şu anda kişi veya kurumların bizden sertifika talep ettiklerinde Globalsign’ın Sertifika Uygulama Prosedürleri çerçevesinde uyguladığımız prosedürler kısaca şöyle;
Kişisel Sertifikalarda;
Sertifikanın verilebilmesi için gerekli olan belgeler ise:
- GlobalSign sitesinden yapılan online başvurunun sonucunda alınan anlaşma metni ve başvuru formu çıktısı.
- Nüfus cüzdanı veya pasaport fotokopisi – Kağıdın boş bir yerine günün tarihi ile beraber “GlobalSign Sözleşmesini Okudum ve Kabul Ediyorum“ yazılması ve kişi tarafından imzalanması gerekmektedir.
Sunucu Sertifikalarında ise;
Belgeler;
- Ticaret Sicil Gazetesi Kopyası
- Vergi Levhası Kopyası
- 2003 İmza Sirküleri Kopyası
- 2003 Faaliyet Belgesi
- www.globalsign.com.tr adresinde yapacağınız başvuru ve çıktısının imza sirkülerinde imzası olan bir kişi tarafından imzalanması.
Yukarıda sözü edilen belgelerin her birinin kişiyi veya kurumu doğrulama aşamasında sertifika otoritesine yardımı var. Ürün çeşidine göre istenilecek evrak sayısı fazla veya eksik olabilir. Fakat AB ve ABD harici ülkelerdeki uygulamaların bir kısmında ne yazık ki bu kadar sıkı takip (sıkı doğrulama prosedürleri) söz konusu değil. Bundan dolayı yasa ve yönetmeliklerde sertifika otoritesinin sertifika dağıtma şartları ve/veya kişi veya kurumların sertifika edinme şartları ile ilgili maddeler çok önem arz etmektedir.
Örneğin global pazarda öyle şartlar ile çalışan sertifika otoriteleri var ki web sitesine giriyorsunuz sadece “Sertifika İmzalama İsteği” dosyanızı veriyor aynı zamanda kredi kartınızı verirseniz yaklaşık 10 dakika içinde herhangi bir doğrulama yapmadan sertifikanız mail yolu ile size gönderiyor. Bu ve bunun gibi aksak uygulamaları ülkemize sokmamak ve ilerleyen dönemlerdeki tehlikeleri önlemek için yasanın ve yönetmeliklerin fikrimce AB yönerge ve direktifleri göz önüne alınarak yapılmalıdır.
Daha sonra sertifika otoritesi olmak isteyen her tüzel kişilik bu yasa doğrultusunda kendi iç yasasını yani “Sertifika Uygulama Prosedürlerini” hazırlayacak ve bu prosedürler doğrultusunda doğrulama standartlarını belirleyecektir. Yasa taslağının içerisinde de bu ve bunun gibi konular tamamı ile yönetmeliklere bağlandığı için şu anda sertifika edinme şartları hakkında ne gibi şartlar getirilir birşey diyemiyorum. Fakat doğrulama için istenen yukarıdaki belgelerden ve yapmış olduğumuz doğrulama prosedürlerinden farklı bir uygulama olacağını sanmıyorum.
Turk-internet.com: GlobalSign’ın yasa çıktıktan sonra bir çalışması olacak mı? Pazarda nasıl bir rekabet sizi bekliyor?
BÜYÜKBAHÇECİ: Sadece yasa çıktıktan sonra yapılacak çalışmalar ile konuyu değerlendirmemek gerektiği inancındayım. Çünkü Globalsign 1998 senesinden bu yana Türkiye’de dijital imza platformunda misyonu gereği bir çok çalışması yapmıştır. Sadece Globalsign’ın değil Türkiye’deki şirket ismimiz olan Tursign adıyla da yasal bağlıyıcı e-iş çözümleri (e-iş akış süreçlerindeki imzalama metotları) ve tamamlayıcı ürünler (SSL Hızlandırıcıları, Yazılım Bazlı Saklama Cihazları vs…) bazında da ülkede bir çok kurumsal firmaya hem bilinçlendirme çalışmaları yapmış hem de dijital imza konusunda uygulama yapmıştır.
Örneğin e-imza platformunun Türkiye’de duyulmasında, anlatılmasında ve uygulama standartlarının belirlenmesinden hem seminer hem de fuar bazındaki katılımları ile bir çok noktada konuyu kişilere anlatmış ve anlatmaya devam etmektedir. Hatta geçtiğimiz en yakın zamanda Microsoft ile Doruk Net’in düzenlemiş olduğu yarışmada ödül bazında dijital imza dağıtarak, kullanım dahilinde ne gibi yararlarının olacağını göstermeyi amaçlamıştır. Bu ve bunun gibi çalışmaların sonucunu da zaten hepimiz internet ortamında net olarak görmekteyiz. Fakat bundan sonraki çalışmalarımız hem daha hızlı hem de daha etkili bir yol izleyecektir. Bunun ilk adımlarını yasanın gündemde olması ile bir çok şirketin bize göndermiş oldukları eğitim taleplerinde görmekteyiz. Bu ve bunun gibi çalışmalar 2003 ve önümüzdeki seneler içerisinde planlı olarak yapılacak ve Türkiye’de bir çok kurumu dijital imzanın hem yüksek seviyedeki güvenliğinden hem de tasarruf tarafındaki düşük maliyetlerinden yararlandırmak için devam edecektir.
Rekabet deyince ünlü bir büyüğümüzün, “Rekabet ticaretin iksiridir” sözünü burada çok önemli olduğu için belirtmek isterim. Hakikaten de bir sektörde rekabet olmadığı zaman iş hayatının zevkli ve çalkantılı dönemleri geri de kalıyor. Bundan dolayı bahse konu yasanın çıkması akabinde bazı yabancı menşeli sertifika otoriteleri ve yeni kurulacak olan Yerel Sertifika Otoriteleri Türkiye’de piyasaya giriş yapacaklardır. Fakat bu noktada önemli olan kurumların vereceklerin hizmetlerin standartları ve çıkacak olan yasaya göstereceği uygun koşullardır.
Şu anda Türkiye’de sertifika otoritesinin yetkili resmi kayıt mercii olarak biz bulunmaktayız. Türkçe ve Fotokopi belge istememiz ve doğrulama aynı zamanda yayınlama işlemlerini Türkiye’de bir gün gibi kısa bir sürede yapmamız buradaki önemimizi bir kez daha artırmaktadır. Konu hakkında hem teknik hem de pazarlama açısında yaşadığımız 5 senelik deneyim akabinde ilerleyen dönemlerdeki rekabetin çok hoş bir piyasa oluşturacağını düşünüyorum.
Kaynak : 