Elektronik imza, dijital ortamda oluşturulan dokümanların imzalanmasında kullanılan ve elektronik işlemlerde gönderilen bilginin gönderim sırasında değişmediğini, gönderen kişiye ait olduğunu belirten sayısal verilerdir.
5070 Sayılı Elektronik İmza Kanunu’na göre elektronik imza; başka bir elektronik veriye eklenen veya elektronik veriyle mantıksal bağlantısı bulunan ve kimlik doğrulama amacıyla kullanılan elektronik veriyi ifade ettiği de söylenebilir. E-imza veya diğer adıyla elektronik imza, elektronik belgeler veya formlar için izin veya onay almak amacıyla kullanılan yasal bir yöntemdir. Neredeyse her işlemde ıslak imzanın yerini alabilir.
Elektronik imza, el ile atılan ıslak imza ile aynı hukuki geçerliliğe sahiptir. E-imza, elektronik işlemlerde gönderilen bilginin gönderim sırasında değişmediğini, gönderen kişiye ait olduğunu ve inkar edilemeyeceğini garantiler. E-imza elektronik ortamda gerçekleşen işlemlerde kişilerin kimlik bilgilerinin doğruluğunu garantiler. E-imza gerçek kişiler adına oluşturulur. Kurumlar adına elektronik imza oluşturulamaz. Kurumda çalışan gerçek kişiler adına elektronik imza oluşturulabilir.
Amerika Birleşik Devletleri'nde, elektronik imzanın yasal tanımı, 2000 tarihli Federal ESIGN Yasasından türetilmiştir. ABD genelinde birçok eyalet, elektronik imzayı aşağıdaki şekilde tanımlayan Tekdüzen Elektronik İşlemler Yasasını (UETA) da benimsemiştir: "Elektronik imza bir kayda iliştirilmiş veya mantıksal olarak ilişkilendirilmiş ve kaydı imzalama niyetiyle bir kişi tarafından uygulanan elektronik bir ses, sembol veya işlemdir.”
Avrupa Birliği'nde ise, elektronik imza tanımı, aşağıdakileri belirten eIDAS Yönetmeliğinden türetilmiştir: “Elektronik imza (E-imza), elektronik biçimdeki diğer verilere eklenen veya bunlarla mantıksal olarak ilişkilendirilen ve imza sahibi tarafından imzalamak için kullanılan elektronik biçimdeki veriler anlamına gelir.”
Sertifika tabanlı dijital imzalar, e-imzanın en gelişmiş, uyumlu ve güvenilir biçimidir. Her imzalayanın kimliği ve belge orijinalliği konusunda en yüksek düzeyde güvenceye ihtiyaç duyduğunuzda bulut imzalarımız gibi dijital kimlik sertifikasyonuyla desteklenen güvenilir bir dijital imza seçin. E-İmza kağıt ve kargo masrafı gibi giderlerden tasarruf sağlamaya olanak sağlar.
İnternet bağlantısı ve bilgisayar aracılığı ile e-imza kullanılarak imzalama işlemleri zaman ve mekandan bağımsız olarak gerçekleştirilebilir. Özel Sektör ve kamu uygulamalarında e-imza ile gerçekleştirilebilen işlemler bireylerin zamandan tasarruf etmesine olanak sağlar.
Aslında, elektronik bir imzanın, belgeyi imzalayan kişinin el yazısı imzası gibi görünmesine bile gerek yoktur. Bu, birçok e-imza yazılım sağlayıcısının tekliflerine dahil ettiği bir özellik olsa da, belgeleri elektronik olarak imzalarken geçerlilik açısından yasal sınırlamalar barındırır.
Elektronik imzalar ve dijital sertifikalar için imzalayanın kimliğine eklenen kişiselleştirilmiş oturum açma ve erişim kodları gibi elektronik tanımlama yöntemleri ile inkar edilmeme durumu oluşturmak için asimetrik şifreleme (kriptoloji) teknolojisi kullanır. Bu gelişmiş güvenlik önlemleri, doğru uygulandığında elektronik imzaların taklit edilmesinin çok zor olduğu anlamına gelir. Bu güvenlik önlemleri, dijital belgeleri imzalamak ve elektronik imzaları iş kullanımı için güvenli hale getirmek için kullanıldığında elektronik imzaların yasal geçerliliğine katkıda bulunur.
AB'de, elektronik imzaların geçerliliği ve yasallığı eIDAS ve GDPR düzenlemeleri tarafından yönetilmektedir. AB çapında bireyler ve işletmelerle iş yapmak isteyen şirketler, herhangi bir elektronik imza gerekliliği yoluyla yasal itibar kazanmak için bu yasalara uymak durumundadır.
Temmuz 2014'te yerleşik bir AB yönetmeliği haline gelen eIDAS (elektronik kimlik belirleme, kimlik doğrulama ve güven hizmetleri), elektronik kimlik, dijital sertifikalar, elektronik mühürler, zaman damgaları ve elektronik imzaların yasallığı ile ilgili yasaları kapsamlı bir şekilde ele alır.
EIDAS'ın arkasındaki fikir, elektronik kimlik bilgilerinin her AB üye ülkesinden kabul edilebilmesi için AB içindeki her üye devlet için geçerli olan tek tip bir yasa oluşturmaktır.
Elektronik imzalarla ilgili olarak, eIDAS, dijital imzaları her biri bir öncekinden daha güvenli olan üç ayrı kategoriye ayırır.
Kılavuzun en üstünde belirtildiği gibi, eIDAS bir elektronik imzayı şu şekilde tanımlar:
"Elektronik imza" elektronik biçimdeki diğer verilere eklenen veya bunlarla mantıksal olarak ilişkilendirilen ve imza sahibi tarafından imzalamak için kullanılan elektronik biçimdeki veriler anlamına gelir.”
Bu, eIDAS tarafından yapılan en temel elektronik imza tanımıdır. Elektronik İmza ve Güven Hizmetleri İngiltere'nin Kılavuzu imzanın bu tip örnekler olarak “taranmış imza” veya “tickbox”a değinir.
Standart bir elektronik imza mahkemede geçerli olabilse de (gönderenin, imzalayanın sözleşmeyi gerçekten imzalayan kişi olduğunu kanıtlayabileceğini varsayarsak), buradaki yasal çerçeve değişkenlik göstermektedir. EiDAS’a göre en basit sınıfta tanımlanan bu tür bir elektronik imza, Türkiye’de elle atılan bir imzayla eşdeğer yasal etkiye sahip değildir.
Standart elektronik imzaların bir adım ötesi olan gelişmiş elektronik imza türler (advanced electronic signatures), daha yüksek bir yasal gereklilik standardına (Madde 26'da tarif edildiği üzere) sahip bir elektronik imza sınıfıdır. Gelişmiş bir elektronik imza şu gereksinimleri karşılamalıdır:
AES ile ihtiyaçların artması, uygulanabilirliği ve inkar etmemeyi sağlar. Dolandırıcılık şüphesinin ortadan kaldırılması sağlanır. Sadece amaçlanan imzalayanın yasal bir sözleşmeye erişebilir ve / veya imzalayabileceği bir sistem oluşturarak sözleşmenin hukuki durumu artar.
Elektronik imzalar için en katı protokollerin yer aldığı nitelikli elektronik imzalar (qualified electronic signatures) hem imza hem de sağlandığı cihaz için ek gereksinimleri içerir.
Bu elektronik imzalama metodunda cihazların imzalama işlemini devlet tarafından yetkilendirilmiş bir sertifika ile gerçekleştirme zorunluluğu vardır. EIDAS'ın 29. Maddesinden 34. Maddesine kadar kapsamlı bir şekilde kapsanan, Birleşik Krallık'ın Elektronik İmza ve Güven Hizmetleri Rehberi basitleştirilmiş bir tanım sağlar: “Nitelikli bir elektronik imza, devletin onay verdiği bir sertifika sağlayıcı tarafından kimlik doğrulaması yapılmış birey veya kurumun adına özel çıkarılan bir elektronik imza sertifikası yardımı ile gerçekleştirilir.”
QES, dijital güvenlik protokolleri ile bir imza özgünlük, elektronik imzanın bütünlüğü ve imzalı belgenin orijinalliği kontrollerini sağlayabilmektedir.
Dijital sertifikanın eklenmesi, dolandırıcılık veya tahrifat potansiyelini daha da düşürür ve dijital sözleşme daha güçlü bir inkar edilemezlik durumu yaratır.
AB'nin Genel Veri Koruma Yönetmeliği (GDPR), Avrupa genelinde veri gizliliği yasalarını uyumlu hale getirmeyi amaçlamaktadır. Yönetmelik özel olarak elektronik imzaları hedef almamakla birlikte, elektronik imza çözümleri uygulayan şirketlerin dikkate alması gereken ek kurallar ve gereksinimler içerir.
Bu gereksinimler arasında:
Elektronik imza çözümünü kullanmak isteyen kuruluşlar, sözleşmeler ve dijital anlaşmalar biçiminde özel bilgilerin uzun bir süre boyunca yakalanmasından ve muhafaza edilmesinden sorumlu olacaklarından, AB'nin bu konulardaki duruşunu anlamalıdır.
EIDAS (yukarıda) tarafından tanımlanan basit elektronik imzaların yanı sıra, çoğu elektronik imza bir düzeyde güvenlik ve şifreleme ile korunmaktadır.
Bu sözleşmeyi düzenleyen kuruluşun, bu sözleşmenin gerçekliğini inkar etmenin imkansız olmasını sağlama ihtiyacı nedeniyle birçok ülke ve kurum tarafından uygulanıyor. Bir sözleşmenin ve ona ekli elektronik imzanın bütünlüğünden artık şüphe kalmadığında, sözleşmenin bir işlemin kaydı olarak uygulanabilirliğini inkar etmek çok daha zordur.
Bu şifreli imzalar çeşitli isimlerle anılır. EIDAS ve AB'de, bunlar gelişmiş elektronik imzalar olarak bilinirler . ABD'de, genellikle dijital imzalar olarak adlandırılırlar ve onları basit elektronik imzalardan ayıran özel bir dizi standartla birlikte gelirler . Bu isimler özel bir önem taşıyor çünkü imzalama sürecine bir miktar dijital güvenlik uygulandığını ima ediyorlar.
Elektronik imza çözümlerine en sık uygulanan iki veri güvenliği türü aşağıda verilmiştir.
Elektronik belgeleri imzalarken ve gönderirken, ilgili her iki tarafın da imzalama işlemi tamamlandıktan sonra sözleşmenin içeriğinin değiştirilmeyeceğine dair bir miktar güvence alması gerekir. Modern yazılım, bu görevi gerçekleştirmek için açık anahtarlı şifreleme kullanır.
Asimetrik anahtar kriptografisi, tarafların, belgenin birden çok sürümünde (veya özetlerinde) dijital olarak imzalanmış bir sözleşmeyi doğrulamak için şifrelenmiş anahtarları kullanarak bir sözleşmenin gerçekliğini bağımsız olarak doğrulamasına olanak tanır.
Çoğu yazılım çözümünde, sözleşmenin tüm sürümleri eşleşirse, belge yalnızca doğru bir şekilde açılır (ve hiçbir uyarı veya uyarı olmadan). İmzalama sürecinde hatalar varsa veya belgenin imzalandığı andan itibaren bir şey değiştiyse, süreç başarısız olur ve ilgili tüm tarafların belgeyi yeniden imzalaması gerekir.
Bu ekstra kontroller ve güvenlik önlemleri, belgeleri daha özgün hale getiren elektronik kimlik ve denetim izleri oluşturur. Ve bu yaygın olarak kabul gören bir uygulama olduğu için, birçok modern iş çözümü (Microsoft Word gibi) önceden oluşturulmuş dijital imzalama çözümleriyle donatılmıştır.
Bu tür bir kimlik doğrulama, bir sözleşmedeki elektronik imzanın gerçek olmasını sağlamaya odaklanır. Bu genellikle belgeyi, amaçlanan imza sahibinin kontrol ettiği bilinen bir cihaza veya hesaba göndererek yapılırken, belgenin kendisine erişmek için ikincil bir şifre gerektirir.
İşte kanıta dayalı kimlik doğrulamanın iki yaygın örneği:
Gelişmiş elektronik imza, verinin bütünlüğünün korunduğunu göstermesinin yanında imzalayanın kimliğinin tespitini de sağlar. AB Direktifi md.2’ de tanımı yapılırken Türk hukukunda böyle bir tanıma yer verilmemiştir.
5070 sayılı Elektronik İmza Kanunu ile birlikte yayınlanan Resmi Yazışmalarda Kullanılacak Usul ve Esaslar Hakkında Yönetmelik (RYKUEHY)’e göre elektronik ortamlarda yapılacak resmi yazışmalarda, imza yetkisine sahip kişi, belgeyi güvenli elektronik imza ile imzalar.
Elektronik imzanın, güvenli elektronik imza olduğu belirtilmiştir. Bu maddenin içerdiği özellikler ise şu şekildedir:
Güvenli Elektronik İmza’nın elle atılan imza ile aynı hukuki sonucu doğuracağı kanunda belirtilmiş aynı zaman ortaya çıkan bazı belirsizlik hallerinde de Danıştay’ın verdiği kararlarda bir kez daha gözlemlenmiştir.
JETLEXA’nın elektronik imza entegrasyon ayrıcalığıyla da sözleşme süreçlerinizde ek fayda sunacak uygulama, sözleşmelerinizi açma ve kapamada zaman maliyetini uçtan uca azaltacak! Daha fazlasını keşfetmek için onedocs ziyaret edin.
İlginizi Çekebilir: Elektronik Belgelerin Özellikleri Nelerdir? 5 Önemli Avantajı