Genel Bilgiler

Elektronik İmza Uyum Değerlendirme Hizmeti
Elektronik İmza Uyum Değerlendirme Hizmeti; elektronik imza atan ve/veya doğrulayan uygulamaların elektronik imza mevzuatında geçen uluslararası teknik standartlara uygunluğunun değerlendirilmesi işlemidir. TÜBİTAK BİLGEM Test ve Değerlendirme Başkan Yardımcılığı Yazılım Test ve Kalite Değerlendirme Laboratuvarı tarafından verilen Elektronik İmza Uyum Değerlendirme Hizmeti, elektronik imza kabiliyetine sahip e-Reçete yazılımları, e-Fatura yazılımları ve Merkezi Veritabanı Hizmet Sağlayıcı (MTHS) yazılımlarını kapsamaktadır.

Amaç ve Kapsam
5070 Sayılı Elektronik İmza Kanunu ve Elektronik İmza Kanununun Uygulanmasına İlişkin Usul ve Esaslar Hakkında Yönetmelikle teknik çerçevesi çizilen elektronik imza uygulamalarının uyumlu bir yapıda buluşarak birlikte çalışabilirliğinin sağlanması amacıyla; elektronik imza uygulamalarının değerlendirilmesi görevi Kamu Sertifikasyon Merkezi’ne verilmiştir.

 

2006/13 sayılı Başbakanlık Genelgesi kapsamındaki kamu kurum ve kuruluşlarına ait e-imza uygulamalarının ve Kayıtlı E-Posta Hizmet Sağlayıcılarının kullanmakta olduğu e-imza uygulamalarının uyum değerlendirme hizmeti halen Kamu Sertifikasyon Merkezi tarafından gerçekleştirilmekte olup, e-Reçete, e-Fatura ve MTHS yazılımlarının uyum değerlendirme hizmeti 2 Mayıs 2017 tarihinde Yazılım Test ve Kalite Değerlendirme Laboratuvarı’na devredilmiştir.

 

Yazılım Test ve Kalite Değerlendirme Laboratuvarı, elektronik imza oluşturma/doğrulama kabiliyetine sahip e-Reçete, e-Fatura ve MTHS yazılımlarını; Gelir İdaresi Başkanlığı’nın e-Fatura mevzuatı, Sosyal Güvenlik Kurumu’nun e-reçete mevzuatı, Gümrük ve Ticaret Bakanlığı’nın Türk Ticaret Kanunu ve uluslararası standartlar kapsamında değerlendirir.

Değerlendirme Süreci
Elektronik imza uygulamalarının değerlendirilmesi; "Kamu Sertifikasyon Merkezi Elektronik İmza Uygulamaları Test Prosedürleri”ne uygun olarak yapılmaktadır. Test prosedürleri, e-imza mevzuatında geçen ve aşağıda belirtilen uluslararası standartlara dayanılarak hazırlanmıştır.

• CWA 14170: Security Requirements for Signature Creation Applications (İmza Oluşturma Uygulamaları için Güvenlik Gereksinimleri)

• CWA 14171: Procedures for Electronic Signature Verification (Elektronik İmza Doğrulama için Prosedürler)

• ETSI TS 101 733: CMS Advanced Electronic Signatures (CAdES)

• ETSI TS 101 903: XML Advanced Electronic Signatures (XAdES)

• ETSI TS 102 778: PDF Advanced Electronic Signatures (PAdES)

• ETSI TS 103 172: Eletronic Signatures and Insfrastructures (ESI); PAdES Baseline Profile

E-imza uygulamalarının değerlendirmesinde uygulamanın imza oluşturma ve imza doğrulama bölümlerinde aşağıdaki maddeler incelenmektedir:


  • 1- 1. Uygulamada oluşturulan elektronik imza formatlarının ETSI dokümanlarında belirtilen formatlara uygunluğu

  • 2- 2. E-imza oluşturma uygulamasında aşağıdaki testler yapılmaktadır:
    • - İmzalanan Kullanıcı Belgesi ile İlgili Testler
    • - İmzaya Dahil İmza Özellikleri ile İlgili Testler
    • - Doğrulanabilir İmzanın Oluşturulması ile İlgili Testler
    • - Güvenli Elektronik İmza Oluşturma Aracı İletişimi ile İlgili Testler
    • - Kullanıcı Arayüzü  ile İlgili Testler 
    • - Güvenli Elektronik İmza Oluşturma Yazılımı Dış Bağlantıları ile İlgili Testler
    • - Kullanılan Algoritmaların Geçerliliği ile İlgili Testler
    • - Zaman Damgası Alınması ile İlgili Testler
  • 3- E-imza doğrulama uygulamasında aşağıdaki testler yapılmaktadır:
    • - İmzalanan Belge ile İlgili Testler
    • - Kullanıcı Bilgilendirmeleri ile İlgili Testler
    • - İmza Doğrulama ile İlgili Testler
    • - Sertifika Doğrulama ile İlgili Testler
    • - Doğrulama Verilerinin Saklanması ile İlgili Testler
    • - Zaman Damgası Testleri
    • - İleri E-imza Formatları ile İlgili Testler
    • - E-imzanın Arşivlenmesi ile İlgili Testler

E-imza uygulamalarının Kamu SM test prosedürlerinde belirtilen şartları sağladığı tespit edildikten sonra Uyum Değerlendirme Raporu hazırlanır ve başvuru sahibi kuruma/firmaya sunulur.

 

Uyum değerlendirme raporunun geçerlilik süresi; raporda belirtilen e-imza standartlarının güncelliğini koruması koşuluyla, yazılımın değiştirilmeden kullanıldığı süre kadardır.


İncelenen e-imza ile ilgili yazılımların (Applet, ActiveX, jar, dll, vs.) ve konfigürasyon dosyalarının kurum tarafından YTKDL'ye beyan edilen SHA-256 özet algoritması çıktısı alınır ve rapora yazılır. Kurum, YTKDL'ye ilettiği özet değerlerinin rapor kapsamında incelenen yazılımlara ait olduğunu garanti eder. Yazılımda sonradan yapılan değişiklikler rapor kapsamında değerlendirilmez. Uyum değerlendirme sonrasında e-imza yazılım bileşenlerinin özet değerlerinin değişmesine sebep olacak güncellemelerin yapılması durumunda uygulamanın YTKDL tarafından yeniden değerlendirilmesi gerekir. E-imza yazılımlarının değişmesi halinde kurum/firma YTKDL'yi bilgilendirerek değerlendirmenin yeniden yapılmasını istemekle sorumludur.

E-imza entegrasyonu uygun bulunan uygulama, e-imza yazılım bileşenleri ve SHA-256 özet değerleri ile birlikte, raporun yazıldığı tarih, uygulamanın sahibi olan kurum ve varsa e-imza entegrasyonunu yapan firma bilgileri YTKDL'nin internet sitesinden yayınlanır.

Daha fazla bilgi almak için YTKDL e-imza uyum değerlendirme ekibi ile ya da ytkdl.ud@tubitak.gov.tr adresine e-posta göndererek iletişime geçebilirsiniz.

Tel: +90 262 675 27 55
ytkdl.ud@tubitak.gov.tr