Farklı dijital imza türleri arasındaki farklar
2019’da başlayan covid 19 salgını, her sektörde iş süreçlerinin dijitalleşmesini ve uzaktan yürütülmesini zorunlu kıldı. Salgının etkisi büyük ölçüde azalsa da süreçte değişen alışkanlıkların bir kısmı kalıcı oldu. İş süreçlerinin uzaktan yürütülmesi de bu kalıcı değişimlerden biri. İşleri uzaktan yürütmek diyince ilk akla gelenlerden biri de imza süreçlerinin uzaktan nasıl yönetileceği. Güncel durumda bir çok farklı dijital imza türü var ve kullancılar haklı olarak hangisini nerede kullanacaklarına dair kafa karışıklığı yaşıyorlar. Bu yazımızda farklı dijital imza türleri arasındaki farkları ve bunların hukuksal anlamlarını sizler için derledik.
Elektronik İmza ve Dijital İmza Arasındaki Fark Nedir?
Elektronik imza, dijital imza ve biyometrik imza kavramaları sıklıkla birbirilerinin yerine kullanılmaktadır. Ancak bu üç kavram birbirleri ile ilişkili olmakla beraber aralarında ince farklar bulunmaktadır. Elektronik imza, (e-imza) elle atılan (ıslak) imza yerine, elektronik ortamda üretilen tüm teknoloji kullanımlarını kapsar.
Birleşik Devletler tarafından 2000 yılında çıkarılan Küresel ve Ulusal Ticaret için Elektronik İmzalar (ESIGN) Yasası elektronik imzayı "elektronik yollarla oluşturulan, gönderilen, iletilen, alınan veya saklanan bir sözleşmeye/bir kayda eklenen simge ve/veya işlem” olarak tanımlamıştır. Çok daha geniş bir alana işaret eden elektronik imza, el yazısıyla attığınız imzanın Word belgesine yapıştırılmış görüntüsü, mouse kullanarak yaptığınız bir çizim, e-posta imzanız bile olabileceği gibi; kişinin kendi dijital sertifikasını kullanarak attığı dijital imza ya da tablet kullanılarak attğı biyometrik imza da olabilir.
Elektronik imza çeşitlerinin hukuksal karşılığı ülkeden ülkeye değişiklik gösterebilmektedir. Türkiye’deki hukuk sistemi ise elektronik imzayı ikiye ayırmaktadır. (1) Basit e-imza, (2) güvenli e-imza. El imzasının görüntüsü, e-posta imzası gibi imzaların yanı sıra hukuki bir düzenleme ile alt yapısı oluşturulmamış dijital ve biyometrik imzalar da basit e-imza olarak değerlendirilir. Bir diğer deyişle bir tablete ya da telefona kalem/parmak kullanarak attığınız her imza güvenli e-imza değildir!
Güvenli Dijital İmzanın Bir Adım Ötesi: Gelişmiş Dijital İmza
Avrupa Birliği’ne üye ülkeler için elektronik imza standartları oluşturan eIDAS (electronic identfication and trust services) ise güvenli dijital imzanın bir adım ötesine geçerek gelişmiş dijital imzayı ve gerekli standartları tanımlamıştır. Bu standartlara göre gelişmiş dijital imza şu özelliklere sahip olmalıdır.
1. İmza, yalnızca ve özellikle imza sahibi ile ilişkilendirilir olmalıdır.
2. İmza sahibi bu imzayı oluşturmak için kullanılan imza oluşturma verilerinin tek sahibi olmalıdır.
3. Gelişmiş dijital imza, belge imzalandıktan sonra belgedeki verilerin değiştirilip değiştirilmediğini belirleyebilmelidir.
4. İmzalanan belgedeki verilerin değiştirilmiş olması durumunda imza geçersiz kılınmalıdır.
Türkiye’deki 5070 sayılı Elektronik İmza Kanunu’nda ise güvenli elektronik imzanın sahip olması gereken özellikler şu şekilde sıralanmıştır.
a. Münhasıran (yalnızca ve özellikle) imza sahibine bağlı olmak
b. Sadece imza sahibinin tasarrufunda bulunan güvenli elektronik imza oluşturma aracı ile oluşturulmak
c. Nitelikli elektronik sertifikaya dayanarak imza sahibinin kimliğinin tespitini sağlamak
d. İmzalanmış elektronik veride sonradan herhangi bir değişiklik yapılıp yapılmadığının tespitini sağlamak.
Hem eIDAS hem de Elektronik İmza Kanunu elektronik imzanın güvenli / gelişmiş olarak nitelendirilebilmesi için imza sahibi ile ilişkisinin kanıtlanabilirliğinin altnı çizmektedir.
Güvenli elektronik imza ıslak imza yerine kullanılabilir mi?
Elektronik imzanın ıslak imza yerine kullanıp kullanılamayacağı veya hangi durumlarda kullanılabileceği de sıklıkla sorulan sorular arasındadır. Öncelikle şunu belirtmek gerekmektedir ki Türk hukuk sisteminde ıslak imzanın yerine ancak güvenli elektronik imza geçebilmektedir. Güvenli elektronik imza ise gerekli Nitelikli Elektronik Sertifika’nın yüklendiği bir token ile atılabilir. Ancak token ile imza atmanın sürekli bir cihaz taşımayı gerektirmesi ve tüm son kullancılarda böyle bir cihaz bulunmaması sebebiyle bu imza çeşidi çok sayıda imza alan kuruluşlar için çok da pratik olmamaktadır.
Biyometrik imza ise dokunmatik ekrana sahip bir tablete veya akıllı telefona el veya dijital bir kalem yardımı ile atılan doğrulanabilir bir elektronik imza çeşididir. Gerekli sertifikalara sahip biyometrik imza çözümlerinde imzalama işlemi sırasında alınan basınç, hızlanma, el konumu, cihaz türü gibi birçok biyometrik veri imzalanan belgeye gömülü olarak değiştirilemez şekilde saklanır. Bu veriler kriminal bir durum olduğunda belgeden alınıp mahkemeye kanıt olarak sunulabilir. Biyometrik imza hukuki olarak henüz ıslak imza ile eşdeğer sayılmamasına rağmen kanıtlanabilir olması sebebiyle başta finans sektörü olmak üzere bir çok sektörde aktif olarak kullanılmaktadır. Burada bir parantez açıp Avrupa Birliği’nin gerekli standartlara sahip biyometrik imza çözümlerini güvenli/gelişmiş olarak saydıklarını ve ıslak imza yerine kullanılmasının önünü hukuki olarak açtıklarını belirtmekte fayda var. Türkiye’de de yakın gelecekte gerekli düzenlemelerin yapılması ve Avrupa Birliği standartlarını sağlamış olan biyometrik imza çözümlerinin ıslak imza ile eşdeğer olarak sayılması beklenmektedir.
Biyometrik imza her cihazdan atılabilmesi, uzaktan belge imzalamaya izin vermesi ve doğrulanabilir olması gibi bir çok pratik gerekçeyle son dönemlerde gittikçe daha çok kullanılan bir yöntem olmaktadır. Banka şubelerinde, hastanelerde, iş akdi sözleşmelerinde, şirket içi yazışmalarda biyometrik imza kullanan firmaların sayısı her geçen gün artmaktadır.
Techsign’ın Biyometrik İmza çözümü hangi güvenlik seviyesindedir?
Techsign’ın sunduğu biyometrik imza çözümü ISO/IEC 19794 ve PAdES (PDF Advanced Electronic Signature ETSI TS 102 778 and EN 319 142-1&2) standartlarına uygundur. Bu özellikleriyle Avrupa Birliği tarafından tanımlanan gelişmiş elektronik imza kategorisine aittir. Basit bir APK ile müşterilerin biyometrik imzayı kendi sistemlerine adapte etmelerini sağlar ve Techsign logosu görünmeden kullanıma sunar. Müşterilerine gerektiği zaman adli doğrulama kanıtı sunmaktadır.
Techsign’ın sunduğu biyometrik imza çözümü Türkiye’nin önde gelen kurumları tarafından kullanılmaktadır. Türkiye İş Bankası banka şubelerinde biyometrik imza çözümünü, Türkiye Jandarma Genel Komutanlığı ise adli doğrulama hizmetini kullanan önemli müşterilerdendir.
Daha fazla bilgi almak ve Techsign’ın sunduğu biyometrik imza hizmetinden faydalanmak için bize ulaşın!
www.techsign.com.tr