310 likes | 580 Views
TELEKOMÜNİKASYON KURUMU. e-imza Düzenlemeleri. Doç. Dr. Mustafa ALKAN Kurum Başkan Yrd. 2004-ANKARA. Sunum Planı. E -imza uygulama süreçleri. Uluslararası Düzenlemeler. Dünya Uygulamaları. Türkiye Süreci. E -imza yasası. TK Düzenlemeleri. Sonuç ve Öneriler.
E N D
TELEKOMÜNİKASYON KURUMU e-imza Düzenlemeleri Doç. Dr. Mustafa ALKAN Kurum Başkan Yrd. 2004-ANKARA
Sunum Planı E-imza uygulama süreçleri Uluslararası Düzenlemeler Dünya Uygulamaları Türkiye Süreci E-imza yasası TK Düzenlemeleri Sonuç ve Öneriler
EDI (Electronic Data Interchange-Electronic Veri Değişimi) VAN (Value Added Networks-Katma Değerli Şebekeler) EFT (Electronic Fund Transfer-Elektronik Fon Transferi) POS (Point of Selling-Satış Noktası) ATM (Asynchronous Transfer Mode-Asenkron Transfer Modu) e-imza uygulama süreci
E-İmza Yasasına Temel Teşkil Eden Düzenlemeler • BM UNCITRAL • Elektronik Ticaret Model Yasası (1996) • Elektronik İmza Model Yasası (2001) • E-imza Direktifi (99/93/EC) • E-ticaret Direktifi (2000/31/EC) • AB üyesi ülkelerin yasaları (Örnek: Alman Elektronik İmza Yasası, 2001)
UNCITRALtarafından ülkelere yasa hazırlamalarında örnek olmak üzere 2 model yasa hazırlanmıştır; 1996 tarihli Model Elektronik Ticaret Yasası, elektronik verilerin ve sözleşmelerin hukuken tanınmasına ilişkin hükümler içermektedir. 2001 tarihli Elektronik İmzalara ilişkin standart hükümler, Elektronik İmzalarla ilgili genel esasları belirlemektedir. UNCITRAL(United Nations Commission on International Trade Law-Birleşmiş Milletler Uluslararası Ticaret Hukuku Komisyonu)
99/93/EC Elektronik İmzalar İçin Topluluk Çerçevesi Avrupa Birliği Direktifi Uygulama alanı (kapsam) Bu direktifin amacı elektronik imzaların kullanımını kolaylaştırmak ve hukuken tanınmalarına katkıda bulunmaktır. Direktif, elektronik imzalar ve bazı sertifikasyon hizmetleri için, iç pazarın iyi işlemesinin temini amacıyla, hukuki bir çerçeve çizmektedir. Direktif, sözleşmelerin yapılmasına ve geçerliliğine veya ulusal ya da Topluluk mevzuatı tarafından öngörülen şekle ilişkin diğer şartları içermediği gibi, belgelerin kullanımıyla ilgili, ulusal ya da Topluluk hukukunda belirtilen, kural ve kısıtlamaları da etkilemez. E-imza Direktifi
ABD'de elektronik imzaların hukuki statüsü esas olarak üç kanunla belirlenmiştir; Standart Elektronik İşlemler Yasası, model yasa, 30 kadar eyalet tarafından kabul edildi, eyalet yasalarına göre elektronik imza kullanımı için temel çerçeveyi çiziyor. Ulusal ve Uluslararası Ticarette Elektronik İmza Yasası (E-İmza ), ulusal çerçevede esasları belirtiyor. Devlette Kırtasiyenin Azaltılması Hk.Yasa, kamu kurumlarına elektronik kayıtları ve imzaları kullanmada belirli yükümlülükler getiren federal bir yasa. ABD Modeli Dünyada e-imza Uygulamaları
AB'de elektronik ticaret ve elektronik imza ile ilgili 2 esas Direktif bulunmaktadır; 8 Haziran 2000 tarihli, 2000/31/EC AB sayılı, Elektronik Ticaret Direktifi, Bilgi toplumu hizmetlerinin üye ülkeler arasında serbest dolaşımını sağlamak amacıyla hazırlanan bu direktifte elektronik sözleşmeler ve bunların hukuki neticelerine ilişkin önemli hususlar bulunmaktadır. 13 Aralık 1999 tarihli, 99/93/EC AB sayılı, Elektronik İmza Direktifi. AB üyesi ülkelerin 19 Temmuz 2001 tarihine kadar bu Direktife uyum sağlamak üzere gerekli yasa, düzenleme ve idari hükümleri yürürlüğe koymalarını öngürüyordu. Direktifin amacı elektronik imzanın kullanılmasını kolaylaştırmak ve hukuken tanınmalarına katkıda bulunmak şeklinde belirlenmiştir. Elektronik imza sertifikaları, sertifika hizmet sağlayıcıları, bunların gözetimi ile ilgili esasları belirlemektedir. Dünyada e-imza Uygulamaları AB Modeli
AB Üyesi Ülkeler Fransa, Belçika, Danimarka, Yunanistan, İtalya, Hollanda, Lüksemburg, İsveç, Portekiz, İspanya, İngiltere, İrlanda, Avusturya, Finlandiya (e-imza, e-ticaret vb. konulardaki yasal düzenlemelerini tamamladılar ve yürürlüğe koydular.) AB’ye Aday Ülkeler Çek Cumhuriyeti, Macaristan, Polonya, Estonya, Malta, Slovak Cumhuriyeti, Slovenya ve Bulgaristan (Yasalarını yürürlüğe koyan ülkelerdir) Diğer Avrupa ülkeleri İzlanda, Norveç ve Ukrayna (Yasal çalışmalarını tamamlamış ülkelerdir) Dünyada e-imza Uygulamaları
ABD ABD ülkelerinde yasalar çeşitli şekillerde uygulanmaktadır. Eyaletlere İlişkin Yasalar ve Federal Yasalar olmak üzere uygulamalar devam etmektedir. Kanada, Arjantin, Bermuda, Brezilya, Kolombiya, Ekvator, Meksika da e-imza yasası uygulanan ülkelerdir. Asya Japonya, Singapur, Hindistan, Hong Kong, Çin Halk Cumhuriyeti, Rusya, Malezya, Güney Kore, Tayvan, Tayland gibi ülkeler yasal düzenlemelerini tamamlamış ve uygulamalar çeşitli boyutlarıyla devam etmektedir. Ayrıca bazı Asya ülkelerinde e-imza ve e-ticaret konusunda yasal çalışmalar devam etmektedir. Dünyada e-imza Uygulamaları
AB üyesi ülkeler arasında; Almanya, Avusturya, Danimarka, Finlandiya Yunanistan, Hollanda, Macaristan Norveç ve İsveç’de Telekomünikasyon Regülasyon Kurumları Estonya, Çek Cumhuriyeti, İspanya ve İtalya’da Bilgi Teknolojisi ve Haberleşme Bakanlıkları Belçika ve Lüksemburg’ta Ekonomi Bakanlığı Fransa ve Slovakya’da Ulusal Güvenlik Bakanlığına bağlı kuruluşlar İngiltere’de Ticaret ve Endüstri Bakanlığı Sorumlu Kuruluşlar
Ülke Adı Sorumlu Kurululuş 99/93/EC Nolu Direktifi Yürürlüğe Koyan Yasa ve Yönetmelikler Almanya Almanya Telekomünikasyon ve Posta Regülasyon Kurumu- Reg Tp (Regulatory Authority for Telecommunications and Posts-RegTp) Kök sertifikasyon kurumu olarak görevlerini yürütmektedir. Web sitesi: http://www.regtp.de/elsig İlk sayısal imza kanunu: 22 Temmuz 1997 İlk sayısal imza yönetmeliği: 22 Ekim 1997 yılında yayınlamıştır. İkinci sayısal imza kanunu: 22 Mayıs 2001 İkinci sayısal yönetmeliği: 22 Kasım 2001 tarihinde yayınlanmıştır. Avusturya Avusturya Telekomünikasyon Regülasyon kurumu RTR’ın, bünyesinde oluşturmuş olduğu Telekomünikasyon Kontrol Komitesi Kök sertifikasyon kurumu olarak görevlerini yürütmektedir. Web Adresi: http://www.rtr.at Avusturya’nın sayısal imza kanunu 1999 yılında yayınlanmış olup bu kanunla ilgili yönetmelik 2 Şubat 2000 tarihinde yayınlanmıştır. Danimarka Danimarka Ulusal Telekomünikasyon Ajansı, NTA, Ulusal Kök sertifikasyon kurumu olarak görevlerini yürütmektedir Web sitesi: http://www.itst.dk Elektronik imza kanunu: 29 Mayıs 2000 tarihinde Elektronik imza kanunu yönetmelikleri: 5 Ekim 2000 tarihinde yayınlanmıştır. Finlandiya Finlandiya Haberleşme Regülasyon Kurumu, Ficora, Ulusal Kök sertifikasyon kurumu olarak görevlerini yürütmektedir. Web sitesi: http://www.ficora.fi Finlandiya’nın elektronik imza yasası 24 Ocak 2003 tarihinde yayınlanmış yasa ile ilgili yönetmeliklerse 29 Ocak 2003 tarihinde yayınlanmışlardır. E-İmza Dünya Örnekleri ve Uygulamaları
Yunanistan Yunanistan Regülasyon Kurumu -Ulusal Telekomünikasyon ve Posta Komisyonu- National Telecommunications and Post Commission (EETT) Ulusal Kök sertifikasyon kurumu olarak görevlerini yürütmektedir. Web sitesi: http://www.eett.gr Elektronik imza kanunu: 2001 yılında yayınlanmıştır. Hollanda Sayısal İmza Yasasının 2003 yılında yayınlanmıştır. 99/93/EC No’lu direktife göre; İhtiyari Akreditasyon Kurumu (Bildirimde bulunulan Kurum) olarak Hollanda Elektronik Ticaret Platformu, ECP.NL tarafından gerçekleştirilmektedir. Macaristan Macaristan Haberleşme Kurumu (Communications Authority of Hungary) Web sitesi: http://www.hif.hu/ Elektronik İmza Yasası: 29 Mayıs 2001 tarihinde yayınlanmıştır. Denetlemeden Sorumlu Kuruluş: Bağımsız Posta ve Telekomünikasyon İdaresi, (Independent Post and Telecommunications Authority (OPTA))Ulusal Kök sertifikasyon kurumu olarak görevlerini yürütmektedir. Web Sitesi: http://www.opta.nl/ Norveç Norveç Posta ve Telekomünikasyon Kurumu (Norwegian Post and Telecommunications Authority) Ulusal Kök sertifikasyon kurumu olarak görevlerini yürütmektedir. Web sitesi: http://www.npt.no Elektronik İmza Yasası: 15 Haziran 2001 tarihinde yayınlanmıştır. 20 Aralık 2002’de revize edilerek 1 Ocak 2003 ‘te yürürlüğe konulmuştur. Elektronik İmza Yönetmeliği: 15 Haziran 2001 tarihinde yayınlanmıştır. Estonya Ulusal Haberleşme Kurulu (Estonian National Communications Board) Web sitesi: http://www.sa.ee/ Member of FESA: no Elektronik İmza Yasası: 8 Mart 2000’de kabul edilmiş ve yasadaki en son değişiklikler 01.08.2002 tarihinde yürürlüğe girmiştir. E-İmza Dünya Örnekleri ve Uygulamaları
Çek Cumhuriyeti Enformasyon (Bilişim) Bakanlığı (Ministry of Informatics) Web sitesi: http://www.micr.cz/ Elektronik İmza Yasası: 1 Ekim 2000’de yürürlüğe girmiştir İspanya Telekomünikasyon ve Bilgi Güvenliği Bakanlığı (Ministry of State Secretariat for Telecommunications and for the Information Society (SETSI)). Web sitesi: http://www.setsi.mcyt.es Elektronik İmza Yasası: İlk yasa 17 Eylül 1999’da yürürlüğe girmiştir. İkinci yasa 26 Temmuz 2002’de yayınlanmıştır. Elektronik İmza Yönetmeliği: 21 Şubat 2001’de yürürlüğe girmiştir. İtalya Bilgi Teknolojisi ve Haberleşme Bakanlığına bağlı Ulusal IT ve Kamu İdaresi Merkezi (National Center for IT in the Public Administration (on behalf of Department for Innovation and Technologies) Web sitesi: http://www.cnipa.gov.it/ Elektronik İmza Yasası: 31 Ekim 1999’da Belçika Ekonomi Bakanlığı (FPS Economy, SMEs, Self-employed and Energy - Electronic Signature Service) Web sitesi: http://mineco.fgov.be/information_society/index_en.htm Elektronik İmza Yasası: 22 Aralık 2000 Elektronik İmza Yönetmeliği: 14 Haziran 2001 Lüksemburg Ekonomi Bakanlığı’na bağlı Lüksemburg Akreditasyon ve İzleme Ofisi (Office Luxembourgeois d'accréditation et de Surveillance (OLAS)) Website: http://www.etat.lu/olas İlk Elektronik İmza Yasası :1998 99/93/EC No’lu Direktifin kabulünden sonra yeni bir yasa taslağı hazırlanan 2. Elektronik İmza Yasası 14 Ağustos 2000’de kabul edilmiştir. Fransa Elektronik İmza Yasası : 29 Şubat 2000’de kabul edilmiş ve 1 Nisan 2001’de yürürlüğe girmiştir. Elektronik İmza Yönetmeliği: 31 Mart 2001 99/93/EC No’lu direktife göre; İhtiyari Akreditasyon Kurumu (Bildirimde bulunulan Kurum) olarak Ekonomi, Finans ve Endüstri Bakanlığı (Ministry of Economics, Finance and Industry) Website: http://www.minefi.gouv.fr/ Denetlemeden Sorumlu Kuruluş: Ulusal Güvenlik Bakanlığı Website: http://www.ssi.gouv.fr/ E-İmza Dünya Örnekleri ve Uygulamaları
Slovakya Ulusal Güvenlik Kurumu (National Security Authority) Elektronik İmza Yasası : 15 Mart 2002’de parlementoda onaylanmıştır. İngiltere Elektronik İmza Yasası : 1998 yılından beri süregelen bazı düzenlemeler mevcut olmakla birlikte en son yasa 25 Mayıs 2000’de ingiliz parlementosunda kabul edilmiştir. Elektronik İmza Yönetmeliği: 2002 yılında kabul edilmiştir. 99/93/EC No’lu direktife göre; İhtiyari Akreditasyon (Bildirimde bulunulan Kurum); Ticaret ve Endüstri Bakanlığı’nın yetkilendirdiği Bağımsız tScheme kuruluşu Web sitesi: http://www.tscheme.org/ İsveç Elektronik İmza Yasası : 1997’den bu yana süregelen bazı düzenlemeler mevcut olmakla beraber en son yasa 1 Ocak 2001 tarihinden itibaren yürürlüğe girmiştir. Denetlemeden Sorumlu Kuruluş: Ticaret ve Endüstri Bakanlığı (Department of Trade and Industry) 99/93/EC No’lu direktife göre; İhtiyari Akreditasyon Kurumu (Bildirimde bulunulan Kurum) olarak İsveç Akreditasyon ve Uygunluk Belgelendirme Kurulu (SWEDAC, Swedish Board for Accreditation and Conformity Assessment) Web sitesi: http://www.swedac.se/ Denetlemeden Sorumlu Kuruluş: Ulusal Posta ve Telekomünikasyon Kurumu (Post- och telestyrelsen-National Post and Telecom Agency) Website: http://www.pts.se E-İmza Dünya Örnekleri ve Uygulamaları
5070 Elektronik İmza Kanunu(Süreç) • DTM’nin koordinatörlüğündeki çalışmalar • Adalet Bakanlığı’nın koordinatörlüğündeki çalışmalar • Yasanın 23 Ocak 2004 tarih ve 25355 sayılı Resmi Gazete’de yayımlanması • Yürürlük tarihi: 23 Temmuz 2004 • Uygulamaya yönelik ikincil mevzuatın yayımlanması için nihai tarih: 23 Ocak 2005
5070 Elektronik İmza Kanunu • Kanunların resmi şekle veya özel bir merasime tabi tuttuğu hukuki işlemler ile teminat sözleşmeleri haricinde elle atılan imza ile aynı hukuki sonucu doğuracak elektronik imzanın hukuki ve teknik yönleri ile kullanımına ilişkin esasların düzenlenmesi • Elektronik sertifika hizmet sağlayıcılarının faaliyetlerinin düzenlenmesi
AMAÇ Elektronik İmzanın hukuki ve teknik yönleri ile kullanımına ilişkin esasları düzenlemektir. KAPSAM Elektronik imzanın hukukî yapısını Elektronik sertifika hizmet sağlayıcılarının faaliyetlerini Her alanda elektronik imzanın kullanımına ilişkin hükümleri kapsar. TANIM Başka bir elektronik veriyeeklenen veya elektronik veriyle mantıksal bağlantısı bulunan ve kimlik doğrulama amacıyla kullanılan elektronik veri 5070 Sayılı Elektronik İmza Kanunu
Yönetmelikle Düzenlenmesi Gereken Hususlar • Güvenli e-imza oluşturma araçları • Güvenli e-imza doğrulama araçları • Elektronik sertifika hizmet sağlayıcısı • Elektronik sertifika hizmet sağlayıcısının yükümlülükleri • Nitelikli elektronik sertifikaların iptal edilmesi • Yabancı elektronik sertifikalar
Güvenli elektronik imza oluşturma araçları • Ürettiği e-imza oluşturma verilerinin bir eşinin daha olmamasını • E-imza oluşturma verilerinin araç dışına çıkmamasını • Üzerinde kayıtlı verilerin 3. kişilerce elde edilememesini, kullanılamamasını ve değiştirilemesini sağlamalıdır.
Güvenli elektronik imza doğrulama araçları • İmza sahibinin kimliğini ve imzanın doğrulanması için kullanılan verileri değiştirmeden doğrulama yapan kişiye gösteren • imza doğrulama işlemini güvenilir bir şekilde yapan • İmzanın doğrulanmasında kullanılan elektronik sertifikanın doğruluğunu ve geçerliliğini tesbit edenimza doğrulama araçlarıdır.
Elektronik Sertifika Hizmet Sağlayıcısı • Gerçek veya tüzel kişi olabilir • Kuruma yapacağı bildirimi takiben 2 ay sonra faaliyete geçer • Kurumun belirleyeceği alt ve üst ücret sınırlarına uyar • Güvenli ürün ve sistemleri kullanarak her türlü güvenliği sağlar
ESHS’nın Yükümlülükleri • Hizmetin gerektirdiği nitelikte personel istihdamı • Sertifika verdiği kişilerin kimliklerini resmi belgelere göre güvenilir bir şekilde yapmak • Sertifika sahibinin mesleki ve diğer kişisel bilgilerinin güvenilir bir şekilde belirlemek • Faaliyetine son vereceğini tarihten en az 3 ay önce Kuruma bildirmek • Sertifika sahibini bilgilendirmek • Yaptığı hizmete ilişkin tüm kayıtları saklamak • Ürettiği imza oluşturma verisinin bir kopyasını alamaz veya saklayamaz
Nitelikli Elektronik Sertifikaların İptal Edilmesi 1) Nitelikli elektronik sertifikaların iptalini gerektiren durumlar 2) Sertifika hizmet sağlayıcılarının bu husustaki sorumlulukları
Yabancı elektronik sertifikalar 1) Uluslararası anlaşma • 2) Yabancı elektronik sertifikaların kullanımına ilişkin usul ve esaslar • 3) Yabancı elektronik imza ve ürünlerinin eşdeğer güvenliğinin • belirlenmesi prosedürü • 4) Yabancı elektronik sertifikaların Türkiye’dekikullanımındandoğan zararlardan Türkiye’dekinitelikli elektronik sertifikahizmet sağlayıcısı dasorumludur.
E-İmzada Aktörler ve Araçlar • Yetkili kurum • Sertifika hizmet sağlayıcıları • Kullanıcılar • Denetleme mekanizması • Uluslararası anlaşmalar
E-İmzada Uygulamaya İlişkin Hususlar • İkincil mevzuatın oluşturulması • E-imza altyapısının kurulması • Standardizasyon • Uluslararası ilişkiler ve anlaşmalar • Ülke içinde koordinasyon ve işbirliği
Kamu Kurum ve Kuruluşları Üniversiteler Sivil Toplum Kuruluşları Sektör Temsilcileri E-imza Ulusal Koordinasyon Kurulu
Altyapı Çalışma Grubu Bilgi Güvenliği Çalışma Grubu Standardizasyon Çalışma Grubu Hukuk Çalışma Grubu Düzenlemeler Çalışma Grubu Çalışma Grupları
Sonuç ve Değerlendirmeler • Toplumsal ve kurumsal bilgilenme ve bilinçlenme • Toplumun olası riskler hakkında bilgilendirilmesi • Hukuksal ve kurumsal yapılanma • Devlet-Üniversite-Sektör işbirliği • Yasal mevzuatların Güncellenmesi • Uluslararası uyumluluk ve işbirliği • Standardizasyon (CEN, ETSI, ISO vb.) • Teknik altyapının geliştirilmesi • Yerli katkı ve ARGE faaliyetlerinin desteklenmesi