Elektronik İmza Kanunu Türkiye Büyük Millet Meclisi (TBMM) Genel Kurulu’nda kabul edildikten sonra, uygulanabilmesi için yönetmeliklerin hazırlanması gerekiyor. Bu aşamada Telekomünikasyon Kurumu’na büyük iş düşüyor. Tursign Digital Sertifikalar Hizmetlerinden, Sertifika Yöneticisi Muharrem Büyükbahçeci, elektronik imza konusunda bundan sonra ne olacağına ilişkin sorularımızı yanıtladı.
Büyükbahçeci, Telekomünikasyon Kurumu’na büyük iş düşeceğini ifade ediyor.
turk-internet.com: E-imza kanunu TBMM’den geçti. Kanunun bu haliyle eksiği olduğunu düşünüyor musunuz?
BÜYÜKBAHÇECI : Evet, geçtiğimiz hafta TBMM Genel Kurulu’nda Elektronik İmza Yasa tasarısı kabul edildi ve 6 ay içerisinde tasarıda Denetleyici Kurum olarak atanan Telekominiskayon Kurumunun ilgili yönetmelikleri hazırlamasını akabinde yürürlüğe girmesini bekliyoruz.
Öncelikle şunu belirtmekte fayda var. Yasa, elektronik imzanın hukuki yapısını, elektronik hizmet sağlayacılarının faaliyetleri ve her alanda elektronik imzanın kullanımına ilişkin işlemleri içermektedir.
Yasa Tasarısına genel olarak bakıldığında ve tasarıdaki maddeler incelediğinde genel hükümlerin açık ve net bir şekilde tanımlandığını görmekteyiz. Örneğin; güvenli elektronik imzanın tanımı, güvenli elektronik imza oluşturma araçlarının özellikleri, sertifika hizmet sağlayıcılarının özellikleri vs. Fakat tasarı olduğundan dolayı bu genel hükümlerden sonraki en önemli aşama olan yönetmelikler bu noktada çok büyük önem arz etmektedir. Şu anda resmin yarısını görmekteyiz. Yönetmelikler tamamlanıp, 6 ay sonra yürürlüğe girdiği zaman resmin tümünü görmüş olacağız. O noktada eğer var ise eksiklikleri veya diğer unsurları değerlendirebiliriz. Şu anki halinin yeterli olduğundan dolayı, bir eksik vardır demek doğru olmaz.
turk-internet.com: Uygulanabilirlik açısından, Telekomünikasyon Kurumu’nun bazı yönetmelikler yayınlayacağını biliyoruz. Bunlar hangi konularda olacak?
BÜYÜKBAHÇECI : Az öncede belirttiğim gibi bahse konu yasa Avrupa Parlementosu ve Konseyinin direktifi örnek alınarak hazırlanmış. Aynı zamanda ülkemizde düzenleyici ve denetleyici kurum olarak da Telekominikasyon kurumu seçilmiştir. Denetleyici Kurumun, yasa tasarısında da belirtilen bir çok genel hükümler içeren maddeleri 6 ay içerisinde yapacağı yönetmelikler ile ilgili maddeleri bağlayacaktır. Tabii yönetmelik konuları çok uzun ve başlı başına kendisi bir konu olduğu için burda teker teker hepsinin üzerinde durmak imkansız. Bir kaç örnek vererek başlıklar halinde açıklamaya çalışayım;
- Güvenli Elektronik İmza oluşturma araçları,
- Güvenli Elektronik İmza doğrulama araçları,
- Elektronik Sertifika hizmet sağlayıcısı,
- Elektronik Sertifika Hizmet Sağlayıcısnın yükümlülükleri,
- Nitelikli Elektronik Sertifikaların İptal edilmesi,
- Sertifika hizmet sağlayıcılarının hizmetlere ilişkin tüm kayıtlarını nasıl ve ne kadar zaman tutması gerektiği yönetmeliklerde belirlenecektir,
- Sertifika Hizmet Sağlayıcılarının niteklikli sertifikaları hangi şartlarda ve hangi bedeller ile sigorta kapsam bedeline alacağı. Sigortaya ait usul ve esaslar Hazine Müsteşarlığının görüşü alınarak denetleyici kurum tarafında yönetmelik düzenleneceği konusuda tasarıda belirtilmiştir.
turk-internet.com : Digital imzanın kullanım alanları ve dünya örneklerini anlatır mısınız?
BÜYÜKBAHÇECI : Bu yasa ile birlikte ıslak imzanın geçerli olduğu alanlarda elektronik imzada artık hukuki geçerliliğe kavuşmaktadır. Fakat bu noktada bir konu var ki özellikle üstüne bastırarak belirtmek lazım. O da bu yasada belirtilen elektronik imzanın “kanunların resmi şekle veya özel bir merasime tabi tuttuğu hukuki işlemler ile teminat sözleşmelerinde” geçerli olmamasıdır. Bunun dışında bütün alanlarda geçerliliği olacaktır. Bunu özellikle belirtmemin nedeni Türkiye’deki kullanım alanlarının hangi çizgiler içinde olduğunu vurgulamak. Aynı zamanda bu bahsi geçen geçerli ve geçersiz olduğu uygulama alanlarının doğal bir süreçten kaynaklandığıdır. Her dünya ülkesinde olduğu gibi bu süreç hem uygulamada hem de teknik tarafında basamak basamak gitmektedir. Doğal olarak bu gelişimlerde hukuki tarafa yansımaktadır.
Örneğin Avrupa Birliği üyesi olan Almanya, Belçika, Avusturya ve Fransa gibi ülkelerde de bu süreç böyle ilerlemiştir. Örneğin; komşumuz olan Yunanistan’da 2002’de düzenlemeler yapılmış aynı zamanda yasa çıkartılmıştır. Bu ülkede sadece C2G ve G2G uygulamarında geçerli olmaktadır.
Bir diğer ülke Fransa aynı şekilde 2001 senesinde kanun halini almış olup, spesifik özel sektör uygulamlarında (elektronik iş akış süreçlerinde) elektronik imza kullanılmaktadır. Son olarak Almanya bu konuda epey ilerlemiş ve konuya hakim olan önde gelen AB üyesi ülkesidir. Bu ülkede ise bahse konu yasa yasal formlar üzerinde geçerliliğini sürdürmektedir. Almanya’da da Fransa gibi özel sektörlede ve bunun yanı sıra mahkeme takikatlarında da kullanılmaktadır.
turk-internet.com: Türkiye’de e-imza verecek kuruluşların standartları nasıl olmalı? Tursign digital imza veren bir kurum olarak kaç yıldır bu sektörde?
BÜYÜKBAHÇECI : Bu konuda belirleyici olamam ama fikirlerimi herkes ile paylaştığım gibi sizler ile de paylaşabilirim. Çünkü bu standartlar AB yönerge ve direktiflerinde açık ve net olarak belirlenmiştir. Bizde tasarıyı hazırlayan değerli hukukçularda bunlara uygun bir şekilde yasayı çıkarmaya çalışmışlardır.
Aslında AB’nin Tarafsız ve Güvenilir Sertifika Mercii olan Globalsign’ı örnek almak bence bu noktada doğru olacaktır. Çünkü Globalsign, AB yönerge ve direktifleri doğrultusunda çalışan yani sertifika dağıtan ve doğrulama süreçlerini bu direktifler doğrultusunda düzenleyen bir kurumdur. Bu noktada önemli olan bahse konu Sertifika Hizmet Sağlayıcısının tarafsız ve güvenilir olma esasını hem uygulama hem de teknik açıdan yerine getirebiliyor olmasıdır. Bunuda sertifika otoriteleri kuruluş aşamasında hazırladıkları Sertifika Uygulama Prosedürlerinde belirtirler. Her ülkenin yasaları, her şirketin iş disiplinine yönelik nasıl tüzükleri var ise Sertifika Otoritelerininde kendi iç kanunu anlamına gelen uymakla veya uyumluluk göstermek ile zorunlu bulunduğu Sertifika Uygulama Prosedürleri vardır. Bu prosedürler sertifika yayınlamadan tutun ki sertifikaların dökümantasyon tarafındaki doğrulama süreçlerine kadar büyük önem arz etmektedir. İşte, elektronik imza dağıtacak sertifika otoritelerininde standartları bu uygulama prosedürlerinde yazmalıdır.
Sorunuzun ikinci kısmında bir yanlış anlamayı düzeltmek istiyorum. Tursign, 1998 senesinde Türkiye’de AB’nin Sertifika Otoritesi olan Globalsign’ın Türkiye kayıt merciiliğini yaparak tüzel kişiliğine başlamıştır. Yani Tursign direkt olarak bir sertifika otoritesi değil, Belçika kökenli sertifika otoritesi olan Globalsign’ın Türkiye Kayıt Mercii’sidir. Tursign’ın altında bir iş kolu olan Globalsign ve Dijital İmza, Yasal Bağlayıcı E-İş Çözümleri ve Tamamlayıcı ürünler ile ülkemizde hizmet veren tek kuruluştur. Daha ayrıntılı bilgi için okuyucularınız veya konuya ilgi duyanlar kurumsal websitemiz olan www.tursign.com domain adresimizde bakabilirler.
Ek olarak, dünyanın yüksek teknoloji üreten lider kurumlarıyla yapmış olduğu ortaklıklar sayesinde “Elektronik Güven ve Güvenlik Hizmetleri” konusunda Türkiye ve bölgede ileri bir konumda bulunan TurSign özellikle şifreleme, software bazlı akıllı kartlar, yüksek tanılamalı ödeme sistemleri, digital watermarking, steganografi, zaman damgalama alanlarında ortaklıkları, uzmanlığı ve tecrübesi bulunmaktadır.
turk-internet.com: E-imza konusunda potansiyel kullanıcılara uyarılarınız var mı?
BÜYÜKBAHÇECI : Aslında bu en önemli sorulardan bir tanesiydi. Bunun için size çok teşekkür ederim. Bunun nedeni 1998 senesinden bu yana bu konuda mağdur olan bir çok kişi veya tüzel kişilik ile karşılaştık. Türkiye’de bu konunun yeni işlenmeye başlamasından dolayı (yaklaşık 5 senelik bir geçmişi var) tüketiciler bazı karşılaştırmaları yaparken anti-virus programı veya bir beyaz eşya alır gibi düşünüyorlar. Bu da onlara zaman zaman maddi ve manevi yönden zarar vermektedir.
Dijital Sertifika Alırken Dikkat Edilmesi Gereken Temel Noktalar;
- Sertifikanızı “Tarafsız ve Güvenlir Üçüncü Parti Sertifika Otoritesi”nden aldığınızdan emin olun.
- Dijital sertifikanızın şifreleme standartı Dünya Standart’ı olan 128 bit’den aşağı olmamalı.
- Sertifikanızın geçerliliğini ilgili Sertifika Otoritesi’nin “Sertifika İptal Liste (CRL)” lerinden gerçek zamanlı kontrol edilip edilmediğini öğrenin.
- Sertifikanızın “Sigorta Kapsam”ında olup olmadığını öğrenin.
- Dijital Sertifikalar sanal ortamdaki dijital kimliğiniz olduğu için kimlik doğrulama evraklarının sertifika otoritesi tarafından tam olarak istendiğinden emin olun.
- Sertifika Uygulama Prosedürlerini (Evrakların kontrolü, sertifikanın yayınlanması vs…) kaç gün içerisinde yerine getirdiklerini öğrenin.
- Sertifika otoritesinin kök sertifikalarının IE ve Netscape gibi günümüzde kullanılan popüler browser’larda yüklü olup olmadığını kontrol edin.
- İleride karşılaşacağınız problemler karşısında teknik destek konusundan emin olun. (Anonim Anahtar Yaratma Süreci (CSR), Sertifikanın server’a kurulması, Sertifika yedeğini alınması, Sertifika yedeğinin kurulması vs…)
turk-internet.com: Bundan sonra sektörde ne gibi hareket bekliyorsunuz?
BÜYÜKBAHÇECI : Açıkçası kısa vadede çok çok büyük gelişmeler beklemiyorum. Çünkü diğer ülkelerde baktığınızda bu böyle olmamış. Türkiye’de de bir anda olağan dışı yatırımlar veya rekabetler söz konusu olmaz. Ama piyasadaki yatırımların zaman içerisinde özellikle bu önümüzdeki bir sene içerisinde şekilleceğini düşünüyorum. Fakat kısa vadede bizim gibi dünyadaki çeşitli sertifika otoritelerinin kayıt merciiliği şeklinde çalışma prensipleri varsa piyasaya böyle giriş yapacak olan şirketlerinde varlığını hissettireceği konusunda bazı öngörülerim var. Ama bu demek değil ki ortada çok büyük bir yatırım veya buna benzer oluşumlar olucak.
Aslında benim bir hayalim var; Dünya geneline baktığınızda fikrimce bu işi çok iyi, hakkı ile yapan iki adet Sertifika Otoritesi var. Bunların bir tanesi AB’nin Tarafsız ve Güvenilir Sertifika Otoritesi olan ve bizim kayıt merciiğini yaptığımız Globalsign, diğeri ise ABD menşeyli bir şirket olan Verisign’dır. Bu şirketlerin büyük ve güçlü olmalarının nedeni ise dünya pazarına açılmış ve teknolojiye yatırım yapmış olmalıdır. Bence Türkiye’de de sağlıklı ve mantıklı bir yatırım ile dünya pazarında geçerli olabilecek bir sertifika otoritesi kurulabilir. Bunun uzun ve zorlu bir süreç olduğu konusunda hiç şüphem yok fakat ülkemiz için teknoloji sektörünce çok iyi bir yatırım ve global pazarda karizmatik bir imaj çizecektir. Diğer türlü lokal bazda kalırsanız yapacaklarınız ve gelir kaynağınız olarak kısıtlı kalacağımızı düşünüyorum.