AB elektronik imza düzeyleri (eIDAS): Sıradan, gelişmiş ve nitelikli imza arasındaki fark nedir?
AB'nin eIDAS yönetmeliği, üç tür elektronik imza seviyesi belirler: basit (SES), gelişmiş (AES) ve nitelikli (QES). Bu makalede, her seviyenin ne anlama geldiğini, ne zaman yeterli olduğunu ve küçük işletmelerin bunları günlük işlerinde nasıl kullanabileceğini basit bir dille açıklayacağız
eIDAS Yönetmeliğinin Temel Fikri
eIDAS (elektronik Kimlik Belirleme, Kimlik Doğrulama ve güven Hizmetleri), 2016 yılında yürürlüğe giren bir AB düzenlemesidir. Tüm AB ülkelerinde elektronik kimlik belirleme ve elektronik imzalar için ortak kurallar oluşturur. Pratikte eIDAS şunları ifade eder: elektronik imza, yalnızca elektronik biçimde olduğu için yasal olarak reddedilemez. Bu, AB genelinde geçerlidir. Kanun 2024'te (eIDAS 2.0) güncellenmiş ve AB'nin dijital kimlik cüzdanı (EUDI Wallet) ve güven hizmetleri için daha katı gereksinimler gibi eklemeler yapılmıştır.
SES – basit elektronik imza
SES en basit imza seviyesidir. Örneğin, şunlar olabilir:
- E-postada yazılı bir isim
- Çevrimiçi formun "Şartları kabul ediyorum" kutucuğu
- Dokunmatik ekrana çizilen imza
SES ayrı bir kimlik doğrulama gerektirmez. Risk düşük olduğunda ve taraflar arasında zaten bir güven ilişkisi olduğunda yeterlidir. Pratikte bu ne anlama geliyor: Değerli bir hizmeti küçük, düzenli bir müşteriye 500 avroya satıyorsanız ve o kişi siparişi e-posta ile onaylarsa, bu bir SES seviyesi imzadır. Bu geçerlidir, ancak bir anlaşmazlık durumunda kanıt değeri en zayıf olanıdır.
AES – gelişmiş elektronik imza
AES , imzalayanın güvenilir bir şekilde kimliğinin doğrulanmasını ve imzanın, daha sonra değiştirilemeyecek şekilde kendisine bağlanmasını gerektirir. Pratikte AES, imzalamadan önce imzalayanın banka kimlik bilgileri, mobil kimlik doğrulama veya benzer bir yöntemle kimlik doğrulaması yapması anlamına gelir. AES dört gereksinimi karşılar:
- İmza, imzalayanla kişisel olarak ilişkilidir
- İmzalayanın kimliği tespit edilebilir
- İmzalayanın, imzanın oluşturulmasında kullanılan veriler üzerinde münhasır kontrolü vardır
- İmzadan sonra belgede yapılan değişiklikler tespit edilebilir durumdadır
Pratikte bu ne anlama geliyor: EpicSign aracılığıyla bir müşteri sözleşmesi gönderdiğinizde ve müşteri banka kimlik bilgileriyle kimlik doğrulaması yaptığında, bu bir AES seviyesi imzadır. Çoğu ticari sözleşme için bu yeterlidir.
QES – Nitelikli (Onaylanmış) Elektronik İmza
QES en güçlü seviyedir. AB mevzuatında, el yazısı imza ile doğrudan eşdeğerdir. QES iki şeyi gerektirir:
- Onaylanmış bir güven hizmeti sağlayıcısı tarafından verilen bir sertifika (Qualified Certificate)
- Nitelikli imza oluşturma cihazı (Qualified Signature Creation Device, QSCD)
QES imza sahipleri, onaylanmış güven hizmeti sağlayıcılarının listelendiği resmi bir liste olan AB'nin Güvenilir Listesi'nde (Trusted List) bulunabilir. Her AB ülkesinin kendi listesi vardır. Pratikte ne anlama geliyor: QES, yalnızca kanunun açıkça yazılı bir biçim gerektirmesi (örneğin, belirli gayrimenkul işlemleri, resmi işlemler) veya sözleşmenin değeri ve riski özellikle yüksek olduğunda gereklidir.
Hangi seviye ne zaman yeterlidir?
Küçük bir işletme için doğru seviyenin seçimi, belgenin riskine ve değerine bağlıdır:
| Belge Türü | Önerilen Seviye | Gerekçe |
|---|---|---|
| İçsel onay, sipariş onayı | SES | Riski düşük, hızlı ve uygun maliyetli |
| Müşteri sözleşmesi, teklif | AES | İmzalayanı güvenilir bir şekilde tanımlama |
| İş sözleşmesi, gizlilik sözleşmesi | AES | Her iki tarafın kimliği doğrulamak önemlidir |
| Alt yüklenici sözleşmesi | AES | İmzacıyla güçlü bağlantı |
| Tutanak (yönetim, genel kurul) | AES | Tanımlanmış kişi, değişiklik koruması |
| Gayrimenkul satışı, resmi belge | QES | Hukuk en güçlü seviyeyi talep edebilir |
Denetim izi ve kanıtlar
Her elektronik imza dijital bir iz bırakır, yani bir denetim izi. Bu, kimin, ne zaman ve nereden imzaladığına dair elektronik bir kanıttır. İyi uygulanmış bir denetim izi şunları içerir:
- İmzalayanın kimlik bilgileri (adı, e-postası, kimlik doğrulama yöntemi)
- Zaman damgası (imzanın ne zaman atıldığı)
- IP adresi ve cihaz bilgileri
- Belgenin imza sonrası değiştirilmediğini kanıtlayan belge özeti (hash)
Pratik örnek: Danışmanlık firması ve sözleşme yönetimi
Tampere'deki üç kişilik bir danışmanlık firması ayda 10-15 müşteri sözleşmesi yapıyor. Daha önce, sözleşmeler yazdırılıyor, imzalanıyor ve taranıyordu. Bu süreç sözleşme başına 30-45 dakika sürüyordu. EpicSign ile AES düzeyinde elektronik imzaya geçiş süreci değiştirdi:
- Sözleşme EpicSign'a yüklenir (1 dk)
- İmzalananlar eklenir ve imza talebi gönderilir (1 dk)
- Müşteri banka kimlik bilgileriyle kimlik doğrulaması yapar ve imzalar (2 dk)
- İmzalanan sözleşme otomatik olarak arşivlenir (0 dk)
Zaman tasarrufu: Haftada yaklaşık 2 saat. Ayrıca, denetim izi sayesinde her sözleşme izlenebilir.
Sıkça sorulan sorular
SES, AES ve QES imzaları arasındaki pratik fark nedir?
SES en basitidir (örn. e-postadaki ad). AES, banka hesap bilgileri gibi güçlü kimlik doğrulaması gerektirir. QES en güçlüsüdür ve el yazısı imzaya eşdeğerdir – onaylanmış bir sertifika gerektirir.
AES seviyesi bir iş sözleşmesi için yeterli mi?
Evet, çoğu durumda AES Finlandiya'daki iş sözleşmeleri için yeterlidir. Yasalar genellikle iş sözleşmelerinde QES seviyesi gerektirmez.
AB Güven Listesi nedir?
Güven Listesi, AB ülkeleri tarafından sürdürülen, yetkili güven hizmeti sağlayıcılarının resmi bir listesidir. Liste, AB Komisyonu'nun web sitesinde bulunabilir.
SES imza yasal olarak itiraz edilebilir mi?
Bir SES imza, yalnızca elektronik biçimde olduğu için reddedilemez (eIDAS Madde 25). Ancak, kanıt değeri AES veya QES'ye göre daha düşüktür.
EpicSign AES düzeyinde imza destekliyor mu?
Evet. EpicSign, AES gereksinimlerini karşılayan güçlü kimlik doğrulama (banka kimlikleri) destekler.
Küçük bir işletmenin QES imzasına ihtiyacı var mı?
Nadiren. QES, esas olarak yasaların açıkça yazılı bir biçim gerektirdiği veya yetkililerle uğraşırken gereklidir. Geleneksel sözleşmeler için AES yeterlidir.
Kaynaklar
- eIDAS Yönetmeliği (AB) No 910/2014 – elektronik kimlik doğrulama ve güven hizmetleri hakkında
- Dijital ve Nüfus Bilgi Ajansı (DVV) – Elektronik kimlik doğrulama ve güven hizmetleri
- Traficom – Güven hizmetleri ve elektronik imzalar
- AB Güvenilir Listeleri – onaylanmış güven hizmeti sağlayıcılarının listesi
Bu makale genel niteliktedir ve hukuki tavsiye niteliği taşımaz.
EpicSign'ı deneyin
Ücretsiz denemenizi başlatın ve 20 saniyeden kısa sürede ilk imza talebinizi gönderin.
Fiyatları gör