Kimler İptal Başvurusunda Bulunabilir - Tanımlama ve Kimlik Doğrulama 14

5. Tanımlama ve Kimlik Doğrulama 14

10.1.2 Kimler İptal Başvurusunda Bulunabilir

FKNESİ kapsamında aşağıdaki katılımcılar ilgili sözleşmelerde yetki verilmesi koşuluyla NES’in iptalini talep edebilir:

• NES sahibi

• NES sahibi tarafından yetkilendirilmişlerse kurumsal başvuru sahibi finans kurumu

• Son kullanıcı sözleşmesiyle açıkça yetkilendirilen üçüncü kişiler

• e-Güven

• Mevzuattan doğan yetkileri sebebiyle ilgili kamu kurumları ve yargı makamları 10.1.3 İptal Başvurusuna İlişkin Talepler

NES’ler için iptal talebi aşağıda belirtilen şekillerde yapılabilir;

• e-Güven çağrı merkezini arayarak

• Kurumsal başvuru sahibi finans kurumuna iptal yetkisi verilmişse, finans kurumuna başvurarak

10.1.4 İptal Başvurusuna İlişkin Değerlendirme Süreci

NES iptal talepleri, e-Güven tarafından NES sahibine onaylattırılacaktır. Onaylama soruşturması tamamlanıncaya kadar NES’ler askıya alınacaklardır. İptal edilen NES’ler yeniden geçerlilik kazanamaz. İptal ve askıya alma talepleri ile ilgili prosedürler, e-Güven tarafından kendisine talebin ulaştığı anda başlatılacaktır.

10.1.5 İptal Durumuna İlişkin Üçüncü Kişilerin Kontrol Yükümlülüğü

Üçüncü kişiler bir NES’e güvenerek işlem yapmak için NES’in iptal durumunu kontrol etmelidirler. Üçüncü kişiler iptal durumunun kontrolü için; SİL- Askı Listesi, Çevrimiçi İptal Kontrolü (eğer destekleniyorsa) veya diğer iptal durum kontrolü yöntemlerinden birini seçmek zorundadırlar. e-Güven kullanım kolaylığı ve kullanıcı hatalarını engellemesi sebebiyle üçüncü kişilerin ve NES sahiplerinin güvenli elektronik imza doğrulama aracı kullanmalarını kesinlikle tavsiye eder. Üçüncü kişilerin iptal durum kayıtlarını kontrol ederken yapacakları bireysel hatalardan e-Güven kesinlikle sorumlu olmayacaktır.

10.1.6 İptal Durum Kaydı (İDK) Yayınlama Sıklığı

e-Güven, iptal edilen e-Güven NES’lerini gösteren SİL’ler ve askıya alınan NES’ler için askı listeleri yayınlar ve durum kontrol servisleri sunar. SİL’ler ve Askı listeleri her 24 saatte bir yenilenir. Geçerlilik süresi dolan NES’ler geçerlilik süresinin sona ermesinden itibaren otuz (30) gün sonra SİL’den çıkarılır. SİL’ler oluşturmalarının ardından yayınlandıkları dizine (http://crl.e-guven.com/) en kısa sürede yollanmaktadır; bu süreç otomatik olarak birkaç dakika içerisinde gerçekleşmektedir.

10.1.7 Çevrimiçi İptal Kontrolü Erişilebilirliği

e-Güven, SİL’leri yayınlamasının yanı sıra e-Güven veri bankasında sorgulama işlevleriyle NES durum bilgisi sunma hizmeti de verir.

NES durum bilgisi (dizin) https://www.e-guven.com/e-imza/bilgideposu adresinde bulunan e-Güven veri bankasıyla erişilebilen web esaslı sorgulama işlevleriyle elde edilebilir:

e-Güven, Çevrimiçi NES durum bilgisi de verir. Çevrimiçi NES durum bilgisi servislerinin verilebilmesi için e-Güven ile kurumsal başvuru sahibi finans kurumunun bu hizmetin verilmesi yönünde anlaşması gerekmektedir.

10.2 Askı Koşulları

NES’in belirli bir süre kullanım dışı bırakılmak istenmesi, imza oluşturma ve doğrulama verilerinin güvenliği ile ilgili şüpheye düşülmesi gibi sebeplerle NES’in askıya alınması talebinde bulunulabilir. Askıya alma, iptalden farklı olarak geriye dönülebilir bir işlemdir.

İptal edilen NES’ler yeniden geçerlilik kazanamazken, askıya alınmış NES’ler askı durumundan çıkartılarak yeniden geçerlilik kazanabilir. İptal talebi almış olan NES’ler, iptal talebi NES sahibi tarafından onaylanıncaya kadar e-Güven tarafından askıya alınırlar.

10.2.1 Kimler Askı Talebinde Bulunabilir

Aşağıdaki katılımcılar bir NES’in askıya alınmasını talep edebilir:

• NES sahibi

• NES sahibi tarafından yetkilendirilmişlerse kurumsal başvuru sahibi finans kurumu

• Son kullanıcı sözleşmesiyle açıkça yetkilendirilen üçüncü kişiler

• e-Güven

• Mevzuattan doğan yetkileri sebebiyle ilgili kamu kurumları ve yargı makamları 10.2.2 Askı Talebi Süreci

NES’ler için askıya alma talebi aşağıda belirtilen şekillerde yapılabilir;

• e-Güven telefon destek hattını arayarak

• Kurumsal başvuru sahibi finans kurumuna askıya alma yetkisi verilmişse, finans kurumuna başvurarak

10.2.3 Askı Süresindeki Limitler

İptal talebinde: NES iptal talebinden sonra, 10 gün içerisinde e-Güven tarafından NES iptali ile ilgili onaylama soruşturması yapılmalıdır. Soruşturma süresinin sonunda elde edilen sonuca göre NES askı durumu kaldırılır veya sertifika iptal edilir.

Askıya alma talebinde: NES askıya alma talebinden sonra NES geçerlilik süresinin sonuna kadar askıda kalabilir.

11. NES’in Yenilenmesi

NES yenileme, NES’in imza oluşturma ve doğrulama verileri değiştirilmeden yenilenmesidir.

e-Güven NES’leri imza oluşturma ve doğrulama verileri değiştirilmeden yenilenmezler.

NES’lerin yeniden anahtarlanması, NES’in imza oluşturma ve doğrulama verilerinin değiştirilerek yenilenmesidir. e-Güven NES’leri sadece yeniden anahtarlama metodu ile yenilenirler.

11.1.1 NES’lerin Yeniden Anahtarlanmasını Gerektiren Durumlar

NES’lerin geçerlilik süresinin sona ermesinden önce NES’in geçerliliğini sürdürebilmek için sertifikanın yeniden anahtarlama yoluyla yenilenmesi gerekir. NES’in iptal edilmesinden sonrada yeniden anahtarlama ile yenileme yapılabilir.

11.1.2 Kimler Yeni İmza Doğrulama Verisinin Sertifikalanması İçin Talepte Bulunabilirler

FKNESİ kapsamında;

• NES sahipleri

• Adına NES başvurusunda bulunduğu kimsenin rızası doğrultusunda kurumsal başvuru sahibi finans kurumları

11.1.3 NES’lerin Yeniden Anahtarlanmasına Yönelik Taleplerin İşleyişi

FKNESİ’ye göre NES, geçerlilik süresinin sona ermesinden önce NES sahibinin veya NES sahibinin onayını almak koşuluyla kurumsal başvuru sahibi finans kurumunun talebi doğrultusunda e-Güven tarafından yenilenebilir (Bkz NESUE 3.3). Yenileme işlemi NES sahibi tarafından https://www.e-guven.com/e-imza/yenileme adresinde bulunan “Sertifika Yenileme Formu” doldurularak veya NES sahibinin yazılı rızası alınarak kurumsal başvuru sahibi finans kurumu tarafından yapılabilir. Yenileme talebinde, kurumsal başvuru sahibi finans kurumu yetkilisi tarafından NES sahibinin kimlik tespiti NESUE 3.2.3.2’ye göre tekrar yapılır. e-Güven’in uygulamasında veya EGA katılımcılarının hak ve yükümlülüklerinde veya elektronik sertifika ve elektronik imzayla ilgili mevzuatta değişiklik olduğu takdirde bu değişiklikler NES sahibine yenilemeden önce kurumsal başvuru sahibi finans kurumu yetkilisi tarafından açıklanır.

Kurumsal başvuru sahibi aşağıdaki durumlardan birinin gerçekleşmesi halinde NES sahibi adına e-Güven’e NES’lerin yenilenmesine ilişkin talepte bulunamayacaktır;

• Kurumsal başvuru sahibi ile NES sahibi arasında NES’lerin geçerlilik süresi sonunda müşteri, çalışan, üye veya ortak gibi Yönetmeliğin 2. maddesinde “Kurumsal Başvuru”

başlığı altında tanımlanan biçimdeki hukuki ilişkinin herhangi bir nedenle sona ermesi ve bu durumun tevsiki .

• Herhalde NES sahibinin yazılı olarak onay vermemesi .

• NES sahibinin e-Güven NES Son Kullanıcı Sözleşmesi”ni tek taraflı olarak fesh ettiğini kurumsal başvuru sahibine yazılı olarak bildirmesi .

Yeniden anahtarlama ile yenilenen NES’ler e-Güven tarafından kamuya açık bir dizinde yayınlanır. Yeniden anahtarlama ile yenilenen NES’lerinde dizinde yayınlanması NES

yenilenen NES sahibine ve kurumsal başvuru sahibine bildirim yapılır.NESUE 4.4.1’e göre yapılan işlemler yeniden anahtarlama ile yenilenmiş NES’in kabulü sayılır.

e-Güven’in kendi imza oluşturma verisinin çalınması, kaybolması, gizliliğinin veya güvenilirliğinin ortadan kalkması ya da sertifika ilkelerinin değişmesi gibi sertifika sahibinin kusurunun bulunmadığı durumların sonucunda NES’lerin e-Güven tarafından yenilenmesi halinde, yenileme işlemleri için hiçbir ücret talep edilemez.

12. Kişisel Verilerin Korunması

Elektronik İmza Kanunu’nun 12. maddesine göre ESHS;

• NES talep eden kişiden, elektronik sertifika vermek için gerekli bilgiler hariç bilgi talep edemez ve bu bilgileri kişinin rızası dışında elde edemez,

• NES sahibinin izni olmaksızın sertifikayı üçüncü kişilerin ulaşabileceği ortamlarda bulunduramaz,

• NES talep eden kişinin yazılı rızası olmaksızın üçüncü kişilerin kişisel verileri elde etmesini engeller. Bu bilgileri NES sahibinin onayı olmaksızın üçüncü kişilere iletemez ve başka amaçlarla kullanamaz.

13. Şikayet ve Uyuşmazlıkların Çözümü

İşbu FKNESİ ile ilgili e-Güven, sertifika sahibi, kurumsal başvuru sahibi ve üçüncü kişiler arasında doğacak uyuşmazlıklarda, tarafların vekilleri Avukatlık Kanunu 35/A Maddesi uyarınca bir araya gelip karşılıklı olarak uzlaşmaya çalışacaktır. Uyuşmazlık konusu olan olay hakkında işbu madde içersinde öngörülen usulle taraflar arasında 1 (Bir) Ay içersinde herhangi bir sonuç alınamaması durumunda Taraflar yargı yoluna gitmekte serbest olacaklardır. İşbu FKNESİ ile ilgili doğacak uyuşmazlıklarda İstanbul Mahkemeleri ve İcra Daireleri yetkilidir.

EK A – NES Başvurusunda İstenen Belgeler

SERTİFİKA İÇİNDE YER ALACAK BİLGİ

DOĞRULAYACAK RESMİ BELGE SERTİFİKA TİPİ Adı – Soyadı Nüfus Cüzdanı, Pasaport, Sürücü Belgesi Aslı

veya Noter Onaylı Suretleri

A – B – C T.C. Kimlik Numarası Nüfus Cüzdanı Aslı veya Noter Onaylı Sureti,

T.C. İçişleri Bakanlığı Nüfus ve Vatandaşlık İşleri Genel Müdürlüğünün web sitesinden (http://tckimlik.nvi.gov.tr/Web/default.aspx) alınmış web sayfası çıktısının “Sertifika Sahibi” imzalı nüshası⁵, İlçe nüfus müdürlüklerinden alınan belge aslı

A – B – C

Doğum Yeri Nüfus Cüzdanı, Pasaport, Sürücü Belgesi Aslı veya Noter Onaylı Suretleri

A – B – C Doğum Tarihi Nüfus Cüzdanı, Pasaport, Sürücü Belgesi Aslı

veya Noter Onaylı Suretleri

A – B – C Uyruğu Nüfus Cüzdanı, Pasaport, Sürücü Belgesi Aslı

veya Noter Onaylı Suretleri

A – B – C Ülke Kodu --- A – B – C Mesleği İlgili Meslek Odası, Kuruluşu veya Birlikten

Alınacak Belge Aslı

B – C İkametgah/Kişisel

Bilgiler

Muhtardan alınacak ikametgah senedi aslı veya noter onaylı sureti

B – C

Pasaport Aslı veya Noter Onaylı Sureti B – C Telefon

Numarası/Kişisel Bilgiler

“Sertifika Sahibi”nin Sertifika Başvurusunda bulunduğu tarihten bir önceki ay içersinde telefon numarasının adına kayıtlı olduğunu gösterir ödenmiş kaşeli telefon faturası aslı

B – C

Kullanıma İlişkin Sınırlamalar

“Kurumsal Başvuru Sahibi”nin yetkili organı veya yetkili temsilcisi tarafından “e-Güven”e yapılan yazılı bildirim ve/veya noter onaylı imza sirküleri

Maddi Kapsama İlişkin Sınırlamalar

“Kurumsal Başvuru Sahibi”nin yetkili organı veya yetkili temsilcisi tarafından “e-Güven”e yapılan yazılı bildirim ve/veya noter onaylı imza sirküleri

5 “Sertifika Sahibi” web sayfası çıktısı üzerine şu beyanı el yazısı ile yazarak imza edecektir. “İlettiğim bu web sayfası çıktısının T.C. İçişleri Bakanlığı Nüfus ve Vatandaşlık İşleri Genel Müdürlüğünün web sitesinden alınmış olduğunu ve buradaki bilgilerin şahsıma ait ve doğru olduğunu gayri

Bağlı Olduğu Şirketin Ticaret Unvanı

“Kurumsal Başvuru Sahibi”nin yetkili organı veya yetkili temsilcisi tarafından “e-Güven”e yapılan yazılı bildirim ve “Kurumsal

Başvuru”da bulunmadan bir önceki ay içersinde ilgili Ticaret Sicilinden alınmış Ticaret Sicili Faaliyet Belgesi Aslı

Bağlı Olduğu Şirketin Ticaret Sicili

Kurumsal Başvuru”da bulunmadan bir önceki ay içersinde ilgili Ticaret Sicilinden alınmış Ticaret Sicili Faaliyet Belgesi Aslı

Bağlı Olduğu Şirketin Tescilli Adresi

Kurumsal Başvuru”da bulunmadan bir önceki ay içersinde ilgili Ticaret Sicilinden alınmış Ticaret Sicili Faaliyet Belgesi Aslı

Bağlı Olduğu Şirketin Ticaret Sicil Numarası

Kurumsal Başvuru”da bulunmadan bir önceki ay içersinde ilgili Ticaret Sicilinden alınmış Ticaret Sicili Faaliyet Belgesi Aslı

Bağlı Olduğu Şirketin Faaliyet Konusu

Kurumsal Başvuru”da bulunmadan bir önceki ay içersinde ilgili Ticaret Sicilinden alınmış Ticaret Sicili Faaliyet Belgesi Aslı

Görevi “Kurumsal Başvuru Sahibi”nin yetkili organı veya yetkili temsilcisi tarafından “e-Güven”e yapılan yazılı bildirim ve/veya “Sertifika Sahibi”ne ait ilgili soysal güvenlik

kuruluşundan alınan “Kurumsal Başvuru Sahibi” personeli olduğunu gösterir belge aslı

İmza Politikası “Kurumsal Başvuru Sahibi”nin yetkili organı veya yetkili temsilcisi tarafından “e-Güven”e yapılan yazılı bildirim ve “Kurumsal Başvuru Sahibi”nin yetkili temsilcileri tarafından güvenli elektronik imzayla imzalanmış imza politikası metni aslı

EK B – FKNESİ / RFC 3647 Karşılaştırma Tablosu

NESİ RFC 3647

NESİ – 1. FKNESİ’ye Genel Bakış RFC 3647 – 1.1

NESİ – 2. FKNESİ’nin Tanımlanması RFC 3647 – 1.2

NESİ – 3. Kullanılabilirlik RFC 3647 – 1.4

NESİ – 4. Haklar, Sorumluluklar ve yükümlülükler RFC 3647 – 2 , 9 NESİ – 5. Tanımlama ve Kimlik Doğrulama RFC 3647 – 3.5 NESİ – 6. İmza Oluşturma ve Doğrulama Verilerini Yaratma Prosedürü RFC 3647 – 6.1

NESİ – 7. NES Başvurusu RFC 3647 – 4.1 , 4.2

NESİ – 8. NES’in Yayınlanması ve Dağıtılması RFC 3647 – 4.3

NESİ – 9. NES’in Kabulü RFC 3647 – 4.4

NESİ – 10. NES İptal ve Askıya Alma Prosedürleri RFC 3647 – 4.9

NESİ – 11. NES’in Yenilenmesi RFC 3647 – 4.6 , 4.7

NESİ – 12 Kişisel Verilerin Korunması RFC 3647 – 9.4

NESİ – 13 Şikayet ve Uyuşmazlıkların Çözümü RFC 3647 – 9.13

EK C – e-Güven Zaman Damgası İlkeleri 1. Genel Hükümler

1.1 Giriş

Zaman Damgası, 5070 sayılı Elektronik İmza Kanunu’nda tanımlandığı üzere “elektronik verinin, üretildiği, değiştirildiği, gönderildiği, alındığı ve / veya kaydedildiği zamanın tespit edilmesi amacıyla, elektronik sertifika hizmet sağlayıcısı tarafından elektronik imzayla doğrulanan kayıt”tır.

e-Güven zaman damgası hizmetleri ile ilgili olarak ESHS Zaman Damgası Sağlayıcısı olarak hizmet verir. Zaman damgası hizmetleri şu iki temel bileşenden oluşmaktadır:

• Zaman damgası çıkaran teknik bileşen

• Zaman damgası çıkarılmasını yöneten, izleyen ve kontrol eden sistem lojistiği

Sistem lojistiği güvenilir UTC zaman kaynağına direkt erişim sağlar ve sistem program bileşenlerinin doğru bir şekilde yönetilmesini garantiler.

e-Güven Zaman Damgası İlkeleri (ZDİ), “Elektronik İmza ile İlgili Süreçlere ve Teknik Kriterlere İlişkin Tebliğ”de belirtilen ETSI TS 102 023 standardına uygun olarak hazırlanmıştır. e-Güven zaman damgası hizmetlerinde CWA 14167-1 ve ETSI TS 101 861 standartlarına uyar.

1.2 ESHS Zaman Damgası Sağlayıcısı

e-Güven 5070 sayılı Elektronik İmza Kanunu kapsamında zaman damgası yayınlayan ve zaman damgası yönetimi ve operasyonları ile ilgili hizmet veren bir ESHS’dir.

1.3 Kullanıcılar

e-Güven NES sahipleri ve zaman damgası hizmetine ihtiyaç duyan herkes kullanıcı olabilir 1.4 Zaman Damgası Uygulama Esasları (ZDUE) ve Zaman Damgası İlkeleri

(ZDİ)

1.4.1 Amaç

ZDUE ve ZDİ tüm kullanıcılara ve üçüncü kişilerin erişimine açıktır. ZDUE ve ZDİ’nin dağıtımı NESUE 9.5 hükümlerine tabidir. ZDUE ve ZDİ’de zaman damgası hizmetleri, hizmetlerin yönetimi ve tarafların yükümlülükleri belirlenmiştir. Personel yönetimi, personel seçimi ve fiziksel güvenlik konularında NESUE’nin ilgili hükümlerine atıflar yapılmıştır.

1.4.2 Özellik Seviyesi

ZDİ zaman damgası çıkarılması ve yöneltilmesinde geçerli olacak kuralların sadece genel olanlarını tanımlamaktadır. Sistemin detaylı tanımı, ZDUE ve genelde kamuya açık olmayan ek dokümanlarda verilir. Kamuya açık olmayan dokümanlarla birlikte raporlar, ekipman

değerlendirme ve dahili kontrol sonuçları, dokümantasyon dizisini meydana getirir ve sadece yetkili personel ile Telekomünikasyon Kurumu’nun kontrolüne açıktır.

1.4.3 Yaklaşım

ZDİ; e-Güven ESHS Zaman Damgası Sağlayıcısının işleyiş ve yönetim anlamında çerçevesini belirler, ilgili tarafların yükümlülüklerini ve sorumluluklarını ortaya koyar.

2. ZDİ

2.1 Genel

e-Güven Zaman Damgası İlkeleri; NESUE 6.8 de yer alan ZDUE belgesiyle detaylı olarak açıklanan, e-Güven tarafından yaratılan zaman damgası belirteçlerinin üretilmesi işleminin çerçevesini belirler.

2.2 Tanımlama

e-Güven ETSI 102 023 standardına uygun olarak Zaman Damgası İlkeleri için aşağıdaki belirteçleri kullanır.

itu-t(0) identified-organization(4) etsi(0) time-stamp-policy(02023) policy-identifiers(1) baseline-ts-policy (1)

ZDİ OID - 2.16.792.3.0.1.1.3

2.3 Kullanılabilirlik

ZDİ, e-Güven Zaman Damgası Sağlayıcısı tarafından çıkarılan zaman damgalarını kapsar;

bahsedilen zaman damgalarının kamuya açık veya sınırlı/kapalı bir ortamda sağlanmış olması mevcut ZDİ’nin kullanılabilirliği açısından fark yaratmaz. e-Güven ileride vereceği zaman damgası hizmetlerinin kullanım alanı ve sınırlamalar bakımından farklılaşması halinde farklı alanları düzenleyen başka zaman damgası ilkeleri yayınlayabilir.

2.4 Uyumluluk

ZDİ “Elektronik İmza ile İlgili Süreçlere ve Teknik Kriterlere İlişkin Tebliğ”de belirtilen ETSI TS 102 023 standardına uygun olarak hazırlanmıştır. e-Güven zaman damgası hizmetlerinde CWA 14167-1 ve ETSI TS 101 861 standartlarına uyar.

3. Sorumluluklar ve Yükümlülükler

3.1 ESHS’nin Yükümlülükleri

Güven’in zaman damgası kullanıcılarıyla yaptığı anlaşmalar ve üçüncü kişi bildirimleri; e-Güven ve diğer katılımcıların karşılıklı sorumluluk ve yükümlülüklerini belirler.

e-Güven önceden takvime bağlanmış ve ayrı dokümanlarda belirtilmiş ekipman ve sistem bakımıyla ilgili teknik çalışmama zamanları dışında zaman damgası hizmetlerine sürekli erişimi garanti eder. Zaman damgası içine yerleştirilen UTC zamanı ±100 ms doğruluk oranı sunar. Servis birçok eş zamanlı bağlantı arasında doğruluk ve kesinlik sunar ve doğruluk oranı

±30 s olacak şekilde değiştirilebilir. Servisin ağır yüklenmesi durumunda, bu doğruluk oranı değişebilir.

e-Güven ESHS Zaman Damgası Sağlayıcı olarak işleyişinde kullandığı imzalama ve anahtar saklama araçları CWA 14171-2 standardına uymaktadır.

3.2 Kullanıcının Yükümlülükleri

Zaman damgalı bir ileti yaratan kullanıcı, ESHS Zaman Damgası Sağlayıcının elektronik imzasını doğrulamalı ve ESHS Zaman Damgası Sağlayıcının sertifikasının iptal durumunu ESHS Zaman Damgası Sağlayıcı Sertifikası İDK’sından kontrol etmelidir. ESHS Zaman Damgası Sağlayıcı Sertifikası İDK’sına http://crl.e-guven.com/ adresinden ulaşılabilir.

3.3 Üçüncü Kişilerin Yükümlülükleri

Üçüncü kişilerin genel yükümlülüğü zaman damgası imzasının doğrulanmasıdır. Üçüncü kişiler e-Güven ESHS Zaman Damgası Sağlayıcısının sertifikasının geçerliliğini ve geçerlilik süresini kontrol etmelidir. Zaman damgalarının doğrulanması konusunda, e-Güven ESHS Zaman Damgası Sağlayıcısının sertifikasının geçerliliğinin sona ermesinden sonra üçüncü kişiler :

• e-Güven ESHS Zaman Damgası Sağlayıcısının belirleyicisinin İDK’ye yerleştirilmediğini,

• Zaman damgasında kullanılan kriptografik hash fonksiyonun hala güvenli olduğunu,

• e-Güven ESHS Zaman Damgası Sağlayıcısının imza oluşturma verisinin boyutunun ve ilgili algoritmanın hala güvenli olduğunu doğrulamalıdır.

Üçüncü kişiler yukarıda sayılan yükümlülüklerini “güvenli elektronik imza doğrulama aracı”

kullanarak yerine getirebilirler. e-Güven üçüncü kişilerin e-Güven zaman damgalarına güvenerek işlem yapabilmek için bu zaman damgasını “güvenli elektronik imza doğrulama aracı” ile doğrulamalarını kesinlikle tavsiye eder.

4. Zaman Damgası Hizmetleri Operasyonel Gereklilikler

4.1 Anahtar Yönetimi Yaşam Döngüsü

4.1.1 ESHS Zaman Damgası Hizmet, Anahtarı Yaratma

e-Güven ESHS Zaman Damgası Hizmeti anahtarları, tanımlanmış güvenilir rollere sahip güvenilir personel tarafından FIPS 140-1 seviye 3’e uygun olan donanım güvenlik modülü içinde üretilir. Personel seçimi gerekliliklerinin tanımlaması ise NESUE 5.3’de yapılmıştır. e-Güven ESHS Zaman Damgası Hizmeti anahtar üretimi ortamı güvenilir operasyonlar sistemi tavsiyeleri ile uyumludur.

4.1.2 Zaman Damgası Ünitesi Kapalı Anahtar Koruması

Felaket, sistem arızası ya da sistem korunması dolayısıyla uygulanması gereken e-Güven ESHS Zaman Damgası Hizmeti anahtarının kurtarılması prosedürleri, e-Güven dokümantasyonunun bir parçası olan ayrı dokümanlarda tanımlanmıştır ve denetleyici tarafından periyodik olarak kontrol edilir. e-Güven ESHS Zaman Damgası Hizmet, anahtar üretimi ile ilgili koşullar ve uygun prosedürler NESUE 6.2 Özel Anahtarların Korunması’nda açıklanmıştır. Çevrenin güvenlik seviyesi ve donanım güvenlik modülü NESUE 6.8.4.1.1’de açıklanmıştır.

4.1.3 Zaman Damgası Ünitesi Açık Anahtar Dağıtımı Bkz. NESUE 6.1.4

4.1.4 Zaman Damgası Ünitesi Anahtarının Yeniden Anahtarlanması

e-Güven ESHS Zaman Damgası Hizmetinin sertifikasının yaşam süresi seçilen algoritma ve anahtar uzunluğunun kabul edilmiş olan geçerlilik süresinden uzun olamaz.

4.1.5 Zaman Damgası Ünitesi Anahtar Yaşam Döngüsünün Sonlandırılması e-Güven ESHS Zaman Damgası Hizmetinin imza oluşturma verisi geçerlilik süresinin ardından kesinlikle kullanılmamaktadır. e-Güven ESHS Zaman Damgası Hizmetine ait zaman damgası ünitesinin imza oluşturma verisi geçerlilik süresinin bitmesinin ardından gerekli operasyonel ve teknik süreçleri işleme koyar.

4.1.6 Zaman Damgası Hizmetinde Kullanılan Şifreleme Modüllerinin Yaşam Döngüsü Yönetimi

e-Güven ESHS Zaman Damgası Hizmeti, zaman damgası hizmetleri kapsamında şifreleme donanımlarının yaşam döngüsü sürecinde güvenliğini sağlamaktadır.

e-Güven ESHS Zaman Damgası Hizmeti zaman damgası hizmetleri ayrıca;

a) Zaman damgasının imza oluşturma verisine ait şifreleme donanımının taşınma sırasında güvende olmasını,

b) Zaman damgasının imza oluşturma verisine ait şifreleme donanımının saklanması sırasında güvende olmasını,

c) Zaman damgasının imza oluşturma verisinin şifreleme cihazlarında kurulum, aktivasyon ve çoğaltma işlemlerinin güvenli personel tarafından, güvenli fiziksel ortamda birden fazla kişinin varlığı gerektiren süreçler içerisinde gerçekleştirilmesini, d) Zaman damgasının imza oluşturma verisine ait şifreleme donanımının doğru

çalışmasını

sağlar.

4.2 Zaman Damgası Hizmeti

4.2.1 Zaman Damgası

e-Güven ESHS Zaman Damgası Hizmeti kaspamında çıkarılan her zaman damgası bilgisi özel bir tanımlayıcı içerir. e-Güven ESHS Zaman Damgası Hizmeti tarafından çıkarılan her zaman damgası gerçek UTC zaman değerine kadar geriye doğru izlenebilecek tarih ve zaman değeri içermektedir. Temel saat GPS uydu alıcısı ve atomik saati ile sunulmaktadır. e-Güven

Belgede e-güven Finans Kurumları Nitelikli Elektronik Sertifika İlkeleri (sayfa 21-0)