Elektronik Sertifika Hizmet Sağlayıcısının Yükümlülükleri

Elektronik Sertifika Hizmet Sağlayıcısının Yükümlülükleri

Elektronik Sertifika Hizmet Sağlayıcı, 5070 sayılı Elektronik İmza Kanunu’nun 8. Maddesinde tanımlanmaktadır. Bu tanıma göre “Elektronik sertifika hizmet sağlayıcısı, elektronik sertifika, zaman damgası ve elektronik imzalarla ilgili hizmetleri sağlayan kamu kurum ve kuruluşları ile gerçek veya özel hukuk tüzel kişilerdir.” denilmektedir. Elektronik sertifika hizmet sağlayıcısı (ESHS), elektronik sertifikayla ilgili hizmetleri güvenilir bir biçimde yürütmek ve sertifikaların taklit ve tahrif edilmesini önlemekle ilgili her türlü tedbiri almakla yükümlü bir kurumdur.

Yine 5070 s. Kanunun 10. Maddesinde ESHS’nin yükümlülükleri açıkça belirtilmiştir:

a- Hizmetin gerektirdiği nitelikte personel istihdam etmek: ESHS’nın istihdam edeceği personelin belli nitelikleri taşıması sağlanarak yapılacak işin kalitesinin arttırılması amaçlanmıştır

b-Nitelikli sertifika verdiği kişilerin kimliğini resmî belgelere göre güvenilir bir biçimde tespit etmek: Elektronik sertifika hizmet sağlayıcı, nitelikli sertifika talebinde bulunan kişiye sertifika sağlamadan, bu kişinin beyan ettiği kimlik bilgilerinin gerçeğe olan uygunluğunu resmi belgelere göre güvenilir bir biçimde tespit etmekle yükümlüdür.

c - Sertifika sahibinin diğer bir kişi adına hareket edebilme yetkisi, meslekî veya diğer kişisel bilgilerinin sertifikada bulunması durumunda, bu bilgileri de resmî belgelere dayandırarak güvenilir bir biçimde belirlemek: Elektronik sertifika hizmet sağlayıcılarının elektronik sertifika verdiği kişilerin kimliklerini ve elektronik sertifika sahibinin üçüncü kişiler adına hareket edebilme yetkisi, meslekî veya diğer kişisel bilgilerin elektronik sertifikada bulunması durumunda bunların resmî belgelere dayandırılması, böylelikle elektronik sertifikada yer alan her türlü bilginin resmî belgeye dayandırılması, dolayısıyla sertifikaların güvenilirliği teminat altına alınmıştır.

d - İmza oluşturma verisinin sertifika hizmet sağlayıcısı tarafından veya sertifika talep eden kişi tarafından sertifika hizmet sağlayıcısına ait yerlerde üretilmesi durumunda bu işlemin gizliliğini sağlamak veya sertifika hizmet sağlayıcısının sağladığı araçlarla üretilmesi durumunda, bu işleyişin güvenliğini sağlamak,

e - Sertifikanın kullanımına ilişkin özelliklerin ve uyuşmazlıkların çözüm yolları ile ilgili şartların ve kanunlarda öngörülen sınırlamalar saklı kalmak üzere güvenli elektronik imzanın elle atılan imza ile eşdeğer olduğu hakkında sertifika talep eden kişiyi sertifikanın tesliminden önce yazılı olarak bilgilendirmek: Yapılacak olan bilgilendirmenin yazılı olarak yerine getirilmesi gerekir. Söz konusu işlem ESHS’nın imza sahibini aydınlatma yükümlüğünün bir gereğidir. ESHS, aydınlatma yükümlülüğü kapsamında yapacağı bilgilendirmeyi sertifikanın sertifikayı talep eden kişiye tesliminden önce yapacaktır

f - Sertifikada bulunan imza doğrulama verisine karşılık gelen imza oluşturma verisini başkasına kullandırmaması konusunda, sertifika sahibini yazılı olarak uyarmak ve bilgilendirmek,

g -Yaptığı hizmetlere ilişkin tüm kayıtları yönetmelikle belirlenen süreyle saklamak: Elektronik sertifika hizmet sağlayıcılarının verdiği hizmetler gereği tutacağı kayıtları saklaması hukukî ihtilafların çözümünde önem arz etmektedir. Bu sebeple elektronik sertifika hizmet sağlayıcılarının verdikleri hizmetlere ilişkin kayıtları saklaması düzenlenmiş, Yönetmelikte bu sürenin 20 yıl olacağı hükme bağlanmıştır.

h- Faaliyetine son vereceği tarihten en az üç ay önce durumu Kuruma ve elektronik sertifika sahibine bildirmek: Söz konusu bildirimin amacı, nitelikli elektronik sertifika sahiplerinin zarara uğramasını engellemek içindir. Elektronik sertifika hizmet sağlayıcılarına duyulacak güvenin temini açısından nitelikli elektronik sertifikanın süresi dolana kadar kullanımının sağlanması gerekir.

Bunlara ilaveten elektronik sertifika hizmet sağlayıcısının asıl hizmetinin yanında bir takım yükümlülükleri de mevcuttur:

- Sertifika hizmet sağlayıcısının gerek sertifika hizmet sağlayıcısı tarafından ve gerekse başvuru sahibinin kendisi tarafından üretilmiş olsun, anahtarın belirtilen uygun teknik bileşenler kullanılarak ve güvenli şekilde üretildiği konusunda tam bir kanaate sahip olması;
- Sertifika hizmet sağlayıcısının, başvuru sahibini güvenlik tedbirleri ve üretilen dijital imza hakkında bilgilendirmesi;
- Sertifika hizmet sağlayıcısının onun tarafından üretilmiş anahtar ve kişisel bilgilerin yetkili katılımcılara kişisel olarak iletilmesi;
- Talep üzerine dijital veriye zaman damgası eklenmesi.

Yukarıda belirtilen yükümlülüklerin herhangi birinin ihlali halinde sertifika hizmet sağlayıcısının sorumluluğu söz konusu olacaktır.

06/01/2005 tarihli Elektronik İmza Kanununun Uygulanmasına İlişkin Usul ve Esaslar Hakkında Yönetmelik m.14’de yine ESHS’nin yükümlülükleri belirtilmiştir:

Madde 14 – ESHS; nitelikli elektronik sertifika verilecek kişiyi nitelikli elektronik sertifika vermeden

önce asgari olarak;

a) Kanunda öngörülen sınırlamalar saklı kalmak üzere, güvenli elektronik imzanın elle atılan imza ile
eşdeğer olduğuna,
b) İmza oluşturma verisini ve aracını başkasına kullandırmamasına,
c) Nitelikli elektronik sertifikanın kullanımı ile ilgili usul ve sınırlamaların kapsamına,
d) Nitelikli elektronik sertifikanın iptal durumuna,
e) Nitelikli elektronik sertifika sahibi ile arasında çıkacak uyuşmazlıklarda başvurulabilecek alternatif
uyuşmazlık çözüm yollarına,
f) Sözleşmenin hüküm ve şartlarında meydana gelecek değişikliklere,
ilişkin yazılı olarak bilgilendirir.

ESHS;

a) Geçerlilik süresi sona eren nitelikli elektronik sertifikaları,
b) Nitelikli elektronik sertifika başvurusunda talep edilen bilgi, belge ve elektronik verileri,
c) Sertifika ilkelerini ve sertifika uygulama esaslarını,
d) Zaman damgası ilkelerini ve zaman damgası uygulama esaslarını,
e) Geçerlilik süresinin sona ermesinden itibaren kendi sertifikasını,
f) Nitelikli elektronik sertifika yönetimine ilişkin tüm işlemlere, bu işlemlerin yapıldığı zamana ve
işlemleri yapan kişiye veya kişilere ait bilgileri içeren kaydı, en az yirmi (20) yıl süreyle saklar.

ESHS;

a) Sertifika uygulama esaslarının sertifika sahibini veya üçüncü kişileri ilgilendiren bölümlerini ve
sertifika ilkelerini internet sayfasında yayımlamakla,
b) Nitelikli elektronik sertifika, zaman damgası ve elektronik imza ile ilgili hizmetlere ait ücretleri,
bunları uygulamaya koyduktan sonra en geç onbeş (15) gün içinde Kuruma bildirmekle,
c) Sertifika mali sorumluluk sigortası yaptırmakla,
d) Nitelikli elektronik sertifika sahibine imza oluşturma aracı vermesi durumunda, bu aracın güvenli
imza oluşturma aracı olmasını sağlamakla, yükümlüdür.

ESHS, faaliyete geçmesini müteakip yedi (7) gün içinde; sertifikasının sertifika özet değerini ve özetleme algoritmasını kendi internet sayfasında yayımlar, ulusal yayın yapan en yüksek tirajlı üç (3) gazetede ilan vermek suretiyle kamuoyuna duyurur ve gazete ilanlarının bir örneğini Kuruma iletir.

Kaynaklar: Ekici, Şerafettin – Türk Telekomünikasyon Hukuku, İstanbul 2006

http://www.kamusm.gov.tr/tr/Bilgideposu/Mevzuat/
http://www.pki.iam.metu.edu.tr/sunumlar/AdB_MOrta_ESHS.ppt
http://www.tk.gov.tr/tuketici/sorulanlar/sorulanlar.htm#Elektronik imzanın hukuki sonuçları nedir
http://www.turkhukuksitesi.com/makale_1202.htm