04.02.2006 R.G DEĞİŞİKLİKLERİ İŞLENMİŞTİR
DEĞİŞİKLİKLER :
BİRİNCİ BÖLÜM
Genel
Hükümler
Amaç
Madde 1 –
Bu Yönetmeliğin amacı;
elektronik imzanın hukuki ve teknik yönleri ile uygulanmasına
ilişkin usul ve esasları düzenlemektir.
Kapsam
Madde 2 –
Bu Yönetmelik; bildirim ve sertifikasyon süreçlerine, güvenli
elektronik imza oluşturma ve doğrulama verileri ile araçlarına,
elektronik sertifika hizmet sağlayıcısı, Kurum, nitelikli elektronik
sertifika sahibi ve üçüncü kişilerin yükümlülüklerine, denetime,
faaliyetin sona erme hallerine, zaman damgasına, yabancı elektronik
sertifikalara, güvenliğe, teknik ve mali hususlara ilişkin usul ve
esasları kapsar.
Dayanak
Madde 3 –
Bu Yönetmelik 15/1/2004
tarihli ve 5070 sayılı Elektronik İmza Kanununa dayanılarak
hazırlanmıştır.
Tanımlar
Madde 4 – Bu
Yönetmelikte geçen;
Kanun:
15/1/2004 tarihli ve 5070 sayılı Elektronik İmza Kanununu,
Kurul:
Telekomünikasyon Kurulunu,
Kurum:Telekomünikasyon
Kurumunu,
ESHS:
Elektronik Sertifika Hizmet
Sağlayıcısını,
Arşiv:
Bu Yönetmeliğin 14 üncü maddesinin ikinci fıkrasında belirtilen ve
ESHS’nin saklamakla yükümlü olduğu
bilgi, belge ve elektronik verileri,
Bildirim
Şartları: Kanunun 8
inci maddesinin ikinci fıkrasında belirtilen şartları,
Denetim:
ESHS’nin her türlü faaliyet ve
işleyişinin ilgili mevzuat hükümlerine uygunluğunun incelenerek;
muhtemel hata, noksanlık, usulsüzlük ve/veya
suistimallerin tespit edilmesi ve ilgili mevzuatta öngörülen
yaptırımların uygulanması amacıyla yapılan çalışmalar bütününü,
Dizin:
Geçerli sertifikaları içinde
bulunduran elektronik depoyu,
Erişim
Verisi: Güvenli elektronik
imza oluşturma araçlarına erişim için kullanılan parola,
biyometrik değer gibi verileri,
İnceleme:
Kuruma yapılan bildirimin
gerekli şartları sağlayıp sağlamadığını tespit etmek amacıyla
yapılan çalışmalar bütününü,
İptal Durum
Kaydı: Kullanım süresi
dolmamış sertifikaların iptal bilgisinin yer aldığı, iptal zamanının
tam olarak tespit edilmesine imkan veren ve üçüncü kişilerin hızlı
ve güvenli bir biçimde ulaşabileceği kaydı,
Kurumsal
Başvuru: Bir tüzel
kişiliğin çalışanları veya müşterileri veya üyeleri veya
hissedarları adına yaptığı nitelikli elektronik sertifika
başvurusunu,
Nitelikli Elektronik Sertifika:
Kanunun 9 uncu maddesinde sayılan
nitelikleri haiz elektronik sertifikayı,
Özetleme
Algoritması:
İmzalanacak
elektronik verilerin sabit uzunlukta bir özetinin çıkarılmasında
kullanılan algoritmayı,
Sertifika Özet
Değeri:
Sertifikanın, özetleme algoritması ile elde edilen çıktısını,
Sertifika
İlkeleri:
ESHS’nin
işleyişi ile ilgili genel kuralları içeren belgeyi,
Sertifika
Uygulama Esasları:
Sertifika ilkelerinde yer alan hususların nasıl uygulanacağını
detaylı olarak anlatan belgeyi,
Sertifika Mali Sorumluluk Sigortası:
ESHS’nin, Kanundan doğan yükümlülüklerini yerine getirmemesi
sonucu doğacak zararların karşılanması amacıyla yaptırmakla yükümlü
olduğu sigortayı,
Zaman Damgası İlkeleri:
Zaman damgası ve hizmetleri ile ilgili
genel kuralları içeren belgeyi,
Zaman Damgası
Uygulama Esasları:
Zaman damgası ilkelerinde
yer alan hususların nasıl uygulanacağını detaylı olarak anlatan
belgeyi,
ifade eder.
Bu Yönetmelikte yer almayan tanımlar için Kanunda yer alan tanımlar
geçerlidir.
İlkeler
Madde 5 –
Bu Yönetmeliğin uygulanmasında aşağıdaki temel ilkeler göz önüne
alınır;
a)
Objektif nedenler aksini
gerektirmedikçe, niceliksel ve niteliksel devamlılık, güvenilirlik,
ayrımcı olmama, düzenlilik, verimlilik, açıklık, şeffaflık ve
kaynakların etkin kullanılması,
b)
Tüketici haklarının
korunması,
c)
Hizmet kalitesinin
sağlanması,
d)
Etkin ve sürdürülebilir
rekabet ortamının sağlanması ve devamına yönelik uygulamaların
teşvik edilmesi,
e)
Uluslararası
standartların dikkate alınması,
f)
Elektronik imza
kullanımının yaygınlaşması için yeni yatırımların ve uygulamaların
özendirilmesi,
g)
Elektronik sertifika
sahibinin, talep ettiği hizmet ya da
ürünler dışında herhangi bir hizmeti ya
da ürünü satın almak zorunda bırakılmaması,
h)
Bir hizmetin
ya da ürünün diğer bir hizmetin
ya da ürünün ücreti yoluyla
desteklenmesinden veya karşılanmasından kaçınılması.
İKİNCİ BÖLÜM
Bildirim
Süreci
Bildirimin
Yapılması
Madde 6 –
Kamu kurum ve kuruluşları
ile gerçek veya özel hukuk tüzel kişileri, ESHS olma talebini içeren
dilekçeyi ve Ek-1’de yer alan bilgi ve belgeleri eksiksiz olarak
Kuruma ibraz etmek suretiyle bildirimde bulunur. ESHS yapmış olduğu
bildirimde, bildirim şartlarını sağladığını ayrıntılı bir biçimde
gösterir.
Bildirimin
İncelenmesi ve Sonuçları
Madde 7 – Kurum,
yapılan bildirimi derhal incelemeye alır ve incelemeyi iki (2) ay
içinde sonuçlandırır. Bildirim şartlarını eksiksiz olarak yerine
getiren ESHS, bildirim yaptığı tarihten iki (2) ay sonra faaliyete
geçer.
Kurum, inceleme sonucunda bildirim şartlarından bir veya birkaçının
eksikliğini veya yerine getirilmediğini tespit ederse, bu
eksikliklerin giderilmesi için ESHS’ye
bir (1) ayı geçmemek üzere bir süre
verir. ESHS bu sürenin sonuna kadar faaliyette bulunamaz. ESHS,
Kurum tarafından verilen süre içinde bildirim şartlarındaki
eksiklikleri giderdiğini ispatlayan bilgi ve belgeleri Kuruma sunar.
Bu şartları sağladığı Kurum tarafından tespit edilen ESHS, bildirim
yaptığı tarihten itibaren iki (2) aylık sürenin tamamlanmış olması
halinde faaliyete geçer. Kurum, vermiş olduğu sürenin sonuna kadar
bildirim şartlarındaki eksiklikleri gidermeyen
ESHS’nin ESHS olma vasfını kaybettiğine karar verir.
Bildirimdeki Değişiklikler
Madde 8 –
ESHS, faaliyete geçtikten sonra, yapmış
olduğu bildirimde herhangi bir değişiklik meydana gelmesi halinde,
bu değişiklikleri yedi (7) gün içinde Kuruma bildirir.
ÜÇÜNCÜ BÖLÜM
Sertifikasyon
Süreci
Nitelikli
Elektronik Sertifika Başvurusu
Madde 9 –
ESHS, nitelikli elektronik
sertifika vereceği kişilerin kimliğini; nüfus cüzdanı, pasaport,
sürücü belgesi gibi fotoğraflı ve geçerli resmi belgelere göre
tespit eder. Nitelikli elektronik sertifika verilecek kişi kimlik
tespiti esnasında bizzat hazır bulunur.
ESHS, nitelikli
elektronik sertifika verilecek kişinin kimliğinin birinci fıkra
hükümlerine göre önceden tespit edilmiş olduğu hallerde veya
kurumsal başvurularda kimlik tespiti için bizzat hazır bulunma
şartını aramayabilir. Kurumsal başvuru sahibi, adına başvuruda
bulunduğu kişilerin nitelikli elektronik sertifika taleplerini
yazılı olarak belgelendirir. Nitelikli elektronik sertifika
başvurusu sırasında sertifika verilecek kişiye ait kimliğin doğru ve
güvenilir biçimde tespit edilmesinden ESHS sorumludur.
ESHS, nitelikli
elektronik sertifika sahibinin diğer bir kişi adına hareket edebilme
yetkisinin, mesleki veya diğer kişisel bilgilerinin sertifikada yer
alması durumunda, bu bilgileri resmi belgelere dayanarak eksiksiz,
doğru ve güvenilir biçimde tespit eder; sertifika verilecek kişiden,
sertifika vermek için gerekli olan bilgiler hariç bilgi talep
edemez. ESHS, bu bilgileri nitelikli elektronik sertifika sahibinin
onayı olmaksızın üçüncü kişilere iletemez ve başka amaçlarla
kullanamaz.
Nitelikli
Elektronik Sertifikanın Oluşturulması
Madde
10 — ESHS, nitelikli elektronik
sertifika başvurusundan sonra sertifikayı oluşturur ve sertifika
sahibine teslim eder. Nitelikli elektronik sertifikanın geçerlilik
süresi sözleşme ve/veya taahhütnameler ile belirlenir.
DEĞİŞİK(04.02.2006
R.G)
Nitelikli
Elektronik Sertifikanın Yayımlanması
Madde 11
– ESHS, sertifika sahibinin onayını almak kaydıyla nitelikli
elektronik sertifikayı kamuya açık bir dizinde yayımlar. ESHS, dizin
hizmetinin kesintisiz olarak verilmesini sağlar.
Nitelikli
Elektronik Sertifikanın Yenilenmesi
Madde 12 –
Nitelikli elektronik
sertifika, geçerlilik süresinin sona ermesinden önce sertifika
sahibinin veya sertifika sahibinin onayını almak koşuluyla kurumsal
başvuru sahibinin talebi doğrultusunda ESHS tarafından
yenilenebilir. ESHS nitelikli elektronik sertifikayı, sertifika
sahibine ait bilgilerin geçerliliğini doğrulayarak yeniler.
Nitelikli
Elektronik Sertifikanın İptal Edilmesi
Madde 13 –
Nitelikli elektronik
sertifikanın iptaline ilişkin talepler; ESHS, sertifika sahibi ve
sözleşme ile belirlenen kişiler tarafından yapılabilir. ESHS; bu
duruma ilişkin taleplerin yapılabilmesini, asgari olarak telefonla
ve kesintisiz sağlar. ESHS nitelikli elektronik sertifika sahibini
söz konusu durum hakkında bilgilendirir. Kurumsal başvurularda
başvuru sahibi de bilgilendirilir.
İptal talebinin
alınmasından sonra nitelikli elektronik sertifika derhal iptal
edilir. İptal edilen nitelikli elektronik sertifika, geçerlilik
süresi sonuna kadar iptal durum kayıtlarında yer alır. ESHS,
nitelikli elektronik sertifikalara ilişkin iptal durum kaydını
herhangi bir kimlik doğrulamasına gerek olmaksızın ücretsiz ve
kesintisiz olarak kamu erişimine açık tutar. Kayıtların bir sonraki
güncelleme zamanı söz konusu kayıtlarda açıkça gösterilir. ESHS,
nitelikli elektronik sertifikayı geçmişe yönelik olarak iptal
edemez.
ESHS’nin
imza oluşturma verisinin çalınması, kaybolması, gizliliğinin veya
güvenilirliğinin ortadan kalkması ya da
sertifika ilkelerinin değişmesi gibi sertifika sahibinin kusurunun
bulunmadığı durumların sonucunda nitelikli elektronik sertifikaların
ESHS tarafından iptal edilmesi ve yenilenmesi halinde, yenileme
işlemleri için hiçbir ücret talep edilemez.
DÖRDÜNCÜ
BÖLÜM
Yükümlülükler
ESHS’nin
Yükümlülükleri
Madde 14 –
ESHS; nitelikli elektronik sertifika verilecek kişiyi nitelikli
elektronik sertifika vermeden önce asgari olarak;
a)
Kanunda öngörülen
sınırlamalar saklı kalmak üzere, güvenli elektronik imzanın elle
atılan imza ile eşdeğer olduğuna,
b)
İmza oluşturma verisini
ve aracını başkasına kullandırmamasına,
c)
Nitelikli elektronik
sertifikanın kullanımı ile ilgili usul ve sınırlamaların kapsamına,
d)
Nitelikli elektronik
sertifikanın iptal durumuna,
e)
Nitelikli elektronik
sertifika sahibi ile arasında çıkacak uyuşmazlıklarda
başvurulabilecek alternatif uyuşmazlık çözüm yollarına,
f)
Sözleşmenin ve/veya taahhütnamelerin hüküm ve şartlarında meydana
gelecek değişikliklere,
04.02.2006 R.G
ilişkin yazılı olarak bilgilendirir.
ESHS;
a)
Geçerlilik süresi sona
eren nitelikli elektronik sertifikaları,
b)
Nitelikli elektronik
sertifika başvurusunda talep edilen bilgi, belge ve elektronik
verileri,
c)
Sertifika ilkelerini ve
sertifika uygulama esaslarını,
d)
Zaman damgası ilkelerini
ve zaman damgası uygulama esaslarını,
e)
Geçerlilik süresinin
sona ermesinden itibaren kendi sertifikasını,
f)
Nitelikli elektronik
sertifika yönetimine ilişkin tüm işlemlere, bu işlemlerin yapıldığı
zamana ve işlemleri yapan kişiye veya kişilere ait bilgileri içeren
kaydı,
en az yirmi (20) yıl süreyle saklar.
ESHS;
a)
Sertifika uygulama esaslarının sertifika sahibini veya üçüncü
kişileri ilgilendiren bölümlerini ve sertifika ilkelerini
internet sayfasında yayımlamakla,
b)
Nitelikli elektronik sertifika, zaman damgası ve elektronik
imza ile ilgili hizmetlere ait ücretleri, bunları uygulamaya
koyduktan sonra en geç onbeş (15) gün
içinde Kuruma bildirmekle,
c)
Sertifika mali sorumluluk sigortası yaptırmakla,
d)
Nitelikli elektronik sertifika sahibine imza oluşturma aracı
vermesi durumunda, bu aracın güvenli imza oluşturma aracı olmasını
sağlamakla,
yükümlüdür.
Nitelikli
Elektronik Sertifika Sahibinin Yükümlülükleri
Madde 15 –
Nitelikli elektronik sertifika sahibi;
a)
Nitelikli elektronik sertifika almak için gerekli tüm bilgi
ve belgeleri eksiksiz ve doğru olarak sağlamakla,
b)
ESHS’ye vermiş olduğu
bilgilerde değişiklik meydana gelmesi halinde
ESHS’yi derhal bilgilendirmekle,
c)
İmza oluşturma verisini kendisi üretmesi durumunda Elektronik
İmza ile İlgili Süreçlere ve Teknik Kriterlere İlişkin Tebliğ ile
belirlenen algoritmaları ve parametreleri kullanmakla,
d)
İmza oluşturma ve doğrulama verilerini sadece elektronik imza
oluşturma ve doğrulama amaçlı olarak ve nitelikli elektronik
sertifikanın içerdiği kullanıma ve maddi kapsama ilişkin
sınırlamalar dahilinde kullanmakla,
e)
İmza oluşturma verisini başkalarına kullandırmamakla ve bu
konuda gerekli tedbirleri almakla,
f)
İmza oluşturma verisinin gizliliğinden veya güvenliğinden
şüphe etmesi durumunda ESHS’yi derhal
bilgilendirmekle,
g)
Güvenli elektronik imza oluşturma aracını kullanmakla,
h)
İmza oluşturma ve doğrulama verilerinin
ESHS’ye ait olmayan yerlerde ve araçlarla üretilmesi
durumunda gerekli güvenliği sağlamakla,
i)
İmza oluşturma aracının veya erişim verisinin kaybolması,
çalınması, güvenilirliğinden şüphe edilmesi durumunda
ESHS’yi derhal bilgilendirmekle,
yükümlüdür.
Üçüncü Kişilerin
Yükümlülükleri
Madde 16 –
Üçüncü kişiler;
a)
Sertifikanın “nitelikli
elektronik sertifika” olup olmadığını kontrol etmekle,
b)
Nitelikli elektronik
sertifikanın iptal ve geçerlilik durumunu kontrol etmekle veya
güvenli elektronik imza doğrulama aracı kullanmakla,
c)
Nitelikli elektronik
sertifikanın kullanımına yönelik herhangi bir kısıtlamanın olup
olmadığını kontrol etmekle,
yükümlüdür.
Kurumun Yükümlülükleri
Madde 17 –
Kurum, ESHS’lerin bildirim sürecine ve
faaliyet durumuna ilişkin bilgileri internet
sayfasında yayımlar.
Kurum, elektronik imzaya ilişkin yaptığı çalışmalarla ve sektörün
durumuyla ilgili yıllık durum raporu hazırlar ve
internet sayfasında yayımlar.
BEŞİNCİ BÖLÜM
Teknik
Hususlar ve Güvenlik
İmza
Oluşturma ve Doğrulama
Verileri
Madde 18
– ESHS, kendi imza oluşturma ve doğrulama verileri ile
sertifikasını Türkiye Cumhuriyeti sınırları içerisinde oluşturur ve
imza oluşturma verisini hiçbir şekilde bu sınırların dışına
çıkaramaz.
ESHS’ye ait imza oluşturma ve doğrulama verilerinin geçerlilik
süresi on (10) yılı aşamaz.
ESHS, faaliyete geçmesini müteakip yedi (7) gün içinde;
sertifikasının sertifika
özet değerini ve özetleme algoritmasını kendi internet sayfasında
yayımlar, ulusal yayın yapan en yüksek tirajlı üç (3) gazetede ilan
vermek suretiyle kamuoyuna duyurur ve gazete ilanlarının bir
örneğini Kuruma iletir.
Güvenlik
Kriterleri
Madde 19 –
ESHS özel hukuk tüzel
kişisi ise, kurucu ortakları, tüzel kişiliği temsile yetkili
yöneticileri ve istihdam ettiği veya ettirdiği personeli; gerçek
kişi ise kendisi, temsile yetkili yöneticileri ve istihdam ettirdiği
personeli taksirli suçlar hariç olmak üzere, affa uğramış olsalar
bile ağır hapis veya altı (6) aydan fazla hapis yahut basit veya
nitelikli zimmet, irtikap, rüşvet, hırsızlık, dolandırıcılık,
sahtekarlık, inancı kötüye kullanma, dolanlı iflas gibi yüz
kızartıcı suçlar ile istimal ve istihlak kaçakçılığı dışında kalan
kaçakçılık suçları, resmi ihale ve alım satımlara fesat karıştırma,
kara para aklama veya devlet sırlarını açığa vurma, vergi
kaçakçılığı ya da iştirak veya bilişim
alanındaki suçlar nedeniyle hüküm giymemiş olmalıdır.
ESHS; bilgi
güvenliği, elektronik imza teknolojileri ve veri tabanı yönetimi
alanlarında yeteri kadar teknik personel istihdam eder veya ettirir.
Teknik personel, konusunda yeterli mesleki deneyime sahip
ya da ilgili alanlarda eğitim almış
olmalıdır. ESHS organizasyon şemasında istihdam ettiği veya
ettirdiği tüm personelinin görev tanımını ve dağılımını belirler.
ESHS; güvenli sistem ve cihazlar kullanır, bu
sistem ve cihazlar ile bunların
bulunduğu bina veya alanın korunmasını sağlar.
ALTINCI
BÖLÜM
Mali Hususlar
Nitelikli Elektronik
Sertifika, Zaman Damgası ve İlgili Hizmetlerin Ücretleri
Madde 20 –
Nitelikli elektronik sertifika, zaman damgası ve ilgili hizmetlere
ait ESHS’lerin uymakla yükümlü olduğu
ücretlerin alt ve üst sınırlarının belirlenmesine ilişkin usul ve
esaslar Kurum tarafından tespit edilir.
İdari Ücret
Madde 21
– Kurum
ESHS’den bir önceki yıla ait net
satışlarının binde dördü (% 0,4) kadar idari ücret alır. Bu
ücretin tamamı Nisan ayının son iş
gününe kadar Kuruma ödenir.
YEDİNCİ BÖLÜM
Denetim Usul
ve Esasları
Denetim
Madde 22 –
ESHS’nin denetimi Kurum tarafından gerek
görülmesi halinde ve iki (2) yılda en az bir defa
re’sen yapılır.
Denetimde
Uyulacak İlkeler
Madde 23 –
Denetimde aşağıdaki ilkelere uyulur;
a)
Denetim faaliyeti
sırasında, sonuçların değerlendirilmesinde ve denetim raporunun
hazırlanmasında tarafsız olmak,
b)
Dürüstlüğü ve
tarafsızlığı etkileyebilecek herhangi bir müdahaleye imkan vermemek,
c)
Denetim faaliyetine
ilişkin çalışmaların her aşamasında gerekli özeni göstermek.
Denetim
Görevlilerinin Yetkileri
Madde 24 –
Denetim görevlileri;
a)
Gerekli gördükleri her
türlü defteri, belgeyi ve kayıtları istemeye, incelemeye ve bunların
aslı ve/veya örneklerini almaya,
b)
Yönetim yerleri, binalar
ve eklentilerine girmeye ve bu yerlerde inceleme yapmaya,
c)
Konu ile ilgili yazılı
ve/veya sözlü bilgi istemeye ve gerekli tutanakları düzenlemeye,
d)
Her türlü işlem ve
hesapları denetlemeye,
yetkilidir.
Denetim
Görevlilerinin Yükümlülükleri
Madde 25 –
Denetim görevlileri;
a)
Denetime başlamadan önce
denetim görevlisi olduklarına dair belge ile kendilerini tanıtmakla,
b)
İlgililer tarafından
kendilerine tevdi edilen defter, belge ve kayıtları işin
gerektirdiği süre içinde olduğu gibi muhafaza ve işin bitiminde iade
etmekle,
c)
Denetim faaliyeti
dolayısıyla edindikleri gizlilik niteliği taşıyan bilgileri, kanunen
yetkili kılınanlardan başkasına açıklamamak ve doğrudan veya dolaylı
şekilde kendi yararlarına kullanmamakla,
d)
Defter, belge ve
kayıtlar üzerinde incelemenin gereği olan işaretler dışında; şerh,
ilave veya düzeltme yapmamakla,
e)
Denetim yaptıkları
yerlerde yönetim ve yürütme işlerine müdahale etmemekle,
yükümlüdürler.
ESHS’nin Denetime İlişkin
Yükümlülükleri
Madde 26 –
ESHS, denetim görevlilerinin yetkileri çerçevesindeki taleplerini en
kısa sürede karşılamakla ve denetim görevlilerine elverişli bir
çalışma ortamı sağlamakla yükümlüdür.
ESHS, gizlilik ve sır saklama gibi gerekçeler ileri sürerek denetim
yükümlülüklerinden imtina edemez.
Raporların
Sunulması
Madde 27 –
Denetim görevlileri
tarafından hazırlanan denetim raporu, denetim faaliyetinin sona
ermesinden itibaren otuz (30) gün içinde Kurula sunulur.
Denetim
sırasında ESHS’lerin faaliyet ve
işleyişini olumsuz yönde etkileyebilecek derecede önem arz eden
hususların tespit edilmesi halinde denetim görevlileri denetim
faaliyetinin sonuçlanmasını beklemeksizin bu hususları içeren bir
rapor hazırlayarak Kurula sunar.
Kurul Kararı
Madde 28 –
Denetim raporu ve 27 nci maddenin ikinci
fıkrasında belirtilen rapor Kurul tarafından öncelikli olarak
gündeme alınır. Kurul, raporları değerlendirerek karar verir.
Raporlarda, ilgili mevzuat hükümlerine aykırılık tespit edilmiş
olması ve bu tespitin Kurul tarafından da sabit görülmesi halinde,
ilgili mevzuatta öngörülen yaptırım ve cezaların uygulanmasına karar
verilir.
SEKİZİNCİ
BÖLÜM
Faaliyetin
Sona Ermesi
Kurum
Tarafından Faaliyete Son Verilmesi
Madde 29 –
Kurum, yaptığı denetim sonucunda, ESHS’nin
faaliyetinin devamı sırasında bildirim şartlarından birini veya
birkaçını kaybettiğini tespit etmesi halinde
ESHS’ye bu eksikliğin giderilmesi için bir (1) aya kadar süre
verir ve bu süre içinde ESHS’nin
faaliyetini durdurur. Kurum, vermiş olduğu sürenin sonunda
eksikliğin giderilmemesi veya Kanunun 18 inci maddesindeki suçların
işlendiği tarihten itibaren geriye doğru üç (3) yıl içinde üçüncü
kez işlenmiş olması halinde ESHS’nin
faaliyetine son verir.
Birinci fıkrada
geçen faaliyete son verme hallerinden birinin gerçekleşmesi ile
faaliyetine son verilen ESHS, faaliyete son verme kararının tebliği
tarihinden itibaren onbeş (15) gün
içinde faaliyette bulunan herhangi bir ESHS ile nitelikli elektronik
sertifikaların devri konusunda anlaşabilir. Kurum, taraflar arasında
anlaşma sağlanması durumunda, faaliyetine son verilen
ESHS’nin oluşturduğu nitelikli
elektronik sertifikaların anlaşma sağlanan
ESHS’ye devredilmesine karar verir. Faaliyetine son verilen
ESHS ile faaliyette bulunan herhangi bir ESHS arasında
onbeş (15) gün içinde nitelikli
elektronik sertifikaların devrine ilişkin anlaşma sağlanamaması
durumunda Kurum, sertifikaların herhangi bir
ESHS’ye devrine re’sen karar
verir. Nitelikli elektronik sertifikaları devralan ESHS sertifika
yenileme işlemlerini başlatır ve devir kararının tebliği tarihinden
itibaren bir (1) ay içinde bu işlemleri tamamlar. Kurum, uygun
görmesi halinde, bir (1) ayı geçmemek
üzere ek süre verebilir.
ESHS, Kurumun
faaliyete son verme kararının tebliğinden itibaren elektronik
sertifika, zaman damgası ve elektronik imzalarla ilgili hizmetleri
sağlayamaz. Ancak, sertifika yenileme işlemleri tamamlanıncaya kadar
iptal durum kaydı hizmetini devam ettirir.
Faaliyetine son
verilen ESHS nitelikli elektronik sertifikaları devralan
ESHS’ye kimlik doğrulamada kullanılan
belgeleri, dizini, arşivi ve sertifika yenileme işlemlerinin
tamamlanmasından sonra iptal durum kaydını devreder ve kendi imza
oluşturma verisi ile yedeklerini imha eder.
Kurum, nitelikli
elektronik sertifikaları re’sen
devredebileceği herhangi bir ESHS’nin
bulunmaması durumunda, faaliyetine son verdiği
ESHS’nin oluşturduğu nitelikli elektronik sertifikaların
iptal edilmesine karar verir. Faaliyetine son verilen ESHS son iptal
durum kaydını oluşturduktan sonra kendi imza oluşturma verisi ile
yedeklerini imha eder, geçerlilik süresi en geç sona eren nitelikli
elektronik sertifikanın geçerlilik süresi sonuna kadar iptal durum
kaydı hizmetini devam ettirir ve arşivi en az yirmi (20) yıl
süreyle saklar.
Kurum, nitelikli
elektronik sertifikaların devrine ilişkin kararları
internet sayfasında yayımlar.
Faaliyetine son verilen ESHS devire ilişkin kararları nitelikli
elektronik sertifika sahiplerine elektronik posta ile duyurur ve
internet sayfasında yayımlar.
ESHS’nin
Faaliyetine Son Vermesi
Madde 30 –
ESHS faaliyetine son
vereceği tarihten en az üç (3) ay önce durumu Kuruma yazılı olarak
bildirir. ESHS, faaliyetine son verme kararının Kuruma
bildirilmesinden itibaren nitelikli elektronik sertifika başvurusu
kabul edemez ve yeni nitelikli elektronik sertifika oluşturamaz.
ESHS faaliyetine
son vereceği tarihten en az üç (3) ay önce faaliyetine son verme
kararını internet sayfasında yayımlar,
sertifika sahiplerine elektronik posta ile bildirir ve ulusal yayın
yapan en yüksek tirajlı üç (3) gazetede ilan vermek suretiyle
kamuoyuna duyurur.
ESHS;
faaliyetine son verme tarihine kadar geçerlilik süresi sona
ermeyecek ve kullanımı faaliyette bulunan herhangi bir ESHS
tarafından sağlanabilecek nitelikli elektronik sertifikaları,
faaliyete son verme tarihinden bir (1) ay öncesine kadar faaliyette
bulunan herhangi bir ESHS’ye
devredebilir. Faaliyetine son veren ESHS devir hususunda sertifika
sahiplerini elektronik posta ile bilgilendirir. Nitelikli elektronik
sertifikaların devredilmesi halinde sertifikaları devralan ESHS
sertifika yenileme işlemlerini başlatır ve bir (1) ay içinde bu
işlemleri tamamlar. Kurum, uygun görmesi halinde, bir (1) ayı
geçmemek üzere ek süre verebilir.
Nitelikli
elektronik sertifikaları devreden ESHS sertifikaları devralan
ESHS’ye kimlik doğrulamada kullanılan
belgeleri, dizini, arşivi ve sertifika yenileme işlemlerinin
tamamlanmasından sonra iptal durum kaydını devreder ve kendi imza
oluşturma verisi ile yedeklerini imha eder.
Faaliyetine son
verme tarihinden bir (1) ay öncesine kadar nitelikli elektronik
sertifikaların devredilememesi veya nitelikli elektronik
sertifikaların kullanımının faaliyette bulunan herhangi bir
ESHS tarafından sağlanamaması durumunda, faaliyetine son vermek
isteyen ESHS nitelikli elektronik sertifikaları faaliyete son verme
tarihinde iptal eder. Faaliyetine son veren ESHS son iptal durum
kaydını oluşturduktan sonra kendi imza oluşturma verisi ile
yedeklerini imha eder, geçerlilik süresi en geç sona eren nitelikli
elektronik sertifikanın geçerlilik süresi sonuna kadar iptal durum
kaydı hizmetini devam ettirir ve arşivi en az yirmi (20) yıl
süreyle saklar.
DOKUZUNCU
BÖLÜM
Diğer Hükümler
Zaman Damgası
ve Hizmetleri
Madde 31 –
ESHS, zaman damgası ve
hizmetlerini sağlamakla yükümlüdür. Nitelikli elektronik sertifika
sahibi, bu hizmeti talep etmesi halinde alır.
Yabancı
Elektronik Sertifikaların Kabul Edilmesi
Madde 32 –
Yabancı elektronik
sertifikaların hukuki sonuçlarına ve kabul edilmesine ilişkin
şartlar milletlerarası anlaşmalarla belirlenir.
Milletlerarası
anlaşma bulunmaması halinde, yabancı bir ülkede kurulu bir ESHS
tarafından verilen elektronik sertifikaların Türkiye’de kurulu bir
ESHS tarafından kabul edilmesi için asgari olarak;
a)
Yabancı elektronik
sertifikanın, Kanunda ve bu Yönetmelikte yer alan nitelikli
elektronik sertifikanın teknik şartlarını taşıması,
b)
Yabancı
ESHS’nin kurulu bulunduğu ülkede ESHS
olarak faaliyet göstermesi,
gerekir.
Türkiye’de
kurulu bir ESHS, kabul edeceği yabancı elektronik sertifika ile
ilgili aşağıdaki belgeleri, sertifikaların kullanımına başlanmadan
bir (1) ay önce Kuruma verir;
a)
Elektronik
sertifikalarını kabul edeceği yabancı ESHS’nin
kendi sertifikasının örneği,
b)
Yabancı
ESHS’nin kurulu bulunduğu ülkede ESHS
olduğuna dair yetkili merciden alınmış belge,
c)
Yabancı elektronik
sertifikanın, Kanun ve bu Yönetmelikte yer alan nitelikli elektronik
sertifikanın teknik şartlarını taşıdığına dair bilgi ve belgeler.
Kurum, yabancı
ESHS’ye ait bilgileri
internet sayfasında yayımlar.
Kabul edilen
yabancı elektronik sertifikaların kullanılması sonucunda doğacak her
türlü zarardan sertifikaları kabul eden Türkiye’deki ESHS de
sorumludur.
Faaliyet
Raporu
Madde 33 –
ESHS, Kuruma her yıl Mart
ayı sonuna kadar bir önceki yıla ilişkin rapor verir. Rapor asgari
aşağıdaki unsurları içerir;
a)
Oluşturulan sertifika
türleri ve sayıları,
b)
Her bir sertifika türüne
göre iptal edilen sertifika sayısı,
c)
ESHS’nin geçmiş yıla ait
mali durumunu gösterir bilgi ve belgeler,
d)
Varsa kendisine
devredilen sertifikaların durumuna ilişkin bilgiler,
e)
ESHS’nin bir sonraki
yıla ait pazar öngörüleri,
f)
Kurum tarafından
istenecek diğer bilgi ve belgeler.
Teknik Hususlara İlişkin Tebliğ
Madde 34 – Nitelikli elektronik sertifika başvurusu,
sertifikanın oluşturulması, yayımlanması, yenilenmesi, iptali ve
arşivleme süreçleri dahil olmak üzere ESHS’nin
işleyişine, imza oluşturma ve doğrulama verilerine,
sertifika ilkelerine ve sertifika
uygulama esaslarına, imza
oluşturma ve doğrulama araçlarına, ESHS’nin
faaliyetleri için kullandığı sistem, cihaz ile fiziki güvenliğine,
personeline, zaman damgasına ve
hizmetlerine ilişkin uyulması
gereken teknik kriterler tebliğ ile belirlenir. Kurum gerekli
görülen hallerde tebliği günceller.
Hüküm Bulunmayan Haller
Madde 35 –
Elektronik imzayla ilgili
bu Yönetmelikte hüküm bulunmayan haller için Kurul Kararı ile
düzenleme yapılır.
Geçici
Hükümler
Geçici Madde – ESHS, Kurum tarafından nitelikli elektronik
sertifika, zaman damgası ve ilgili hizmetlere ait ücretlerin alt ve
üst sınırları belirleninceye kadar, 5 inci maddede yer alan genel
ilkeler çerçevesinde nitelikli elektronik sertifika, zaman damgası
ve ilgili hizmetlere ilişkin ücretleri belirleyebilir.
Yürürlük
Madde 36 –
Bu Yönetmelik yayımı
tarihinde yürürlüğe girer.
Yürütme
Madde 37 –
Bu Yönetmelik hükümlerini
Telekomünikasyon Kurulu Başkanı yürütür.
EK-1
Bildirimde
Sunulacak Bilgi ve Belgeler
ESHS olmak
isteyen kamu kurum ve
kuruluşları ile gerçek veya özel hukuk tüzel kişileri, yapacakları
bildirimde aşağıdaki bilgi ve belgeleri Kuruma sunar:
1)
İletişim Bilgileri:
Adı/unvanı ve tüm
birimlerine ait iletişim bilgileri (adres, telefon, faks, e-posta
adresi, internet adresi),
2)
Şirket ile İlgili
Belgeler: Ticari şirket
ise; şirketin kuruluş Ticaret Sicil Gazetesi, vergi levhası,
şirketin imza sirküleri, ticaret sicil belgesi ve şirketi temsile
yetkili kişi/kişilerin adli sicil kayıtları ve iletişim bilgileri,
3)
Personel:
Organizasyon şeması, istihdam ettiği
kişilerin ESHS personeli olduğunu gösterir sosyal güvenlik
kuruluşundan alınmış belge, istihdam ettiği ve ettirdiği tüm
personelin adli sicil kayıtları ile teknik personelin özgeçmişi ve
uzmanlığını ispatlayan belgeleri,
4)
Sertifika İlkeleri ve
Sertifika Uygulama Esasları,
5)
Zaman Damgası İlkeleri
ve Zaman Damgası Uygulama Esasları,
6)
Kendi Sertifikasının
Örneği,
7)
Sertifika Mali
Sorumluluk Sigortası:
Sertifika mali sorumluluk sigortası için sigorta şirketi ile yaptığı
sözleşmenin bir örneği,
8) Sözleşme ve/veya Taahhütnameler Örneği:
Taahhütnamelerin ve/veya nitelikli
elektronik sertifika sahipleri ile yapacağı sözleşmenin birer örneği
(04.02.2006) R.G
9)
Hizmet Sözleşmesi:
Hizmet alması durumunda,
hizmet aldığı taraf ile imzaladığı sözleşmenin bir örneği,
10)
Tebliğ ile İstenilen
Bilgi ve Belgeler.