Güven Hizmeti Uygulama Beyanı (Trust Service Practice Statement — TSPS)
Bu doküman nedir? İmzala.org platformunun nasıl çalıştığını, hangi standartlara paralel işletildiğini, kullanıcı ve üçüncü taraf sorumluluklarını şeffaf şekilde açıklayan resmi beyandır. ETSI EN 319 401 §6.1-6.2 baseline'ından esinlenmiştir. İmzala.org, 5070 sayılı Kanun kapsamında BTK tarafından yetkilendirilmiş bir Elektronik Sertifika Hizmet Sağlayıcı (ESHS) DEĞİLDİR; bu beyan da bir ESHS Sertifika Uygulama Esasları (SUE/CPS) yerine geçmez. İmzala.org, kullanıcıların mevcut elektronik sertifikalarını kullanarak imza atmasına aracılık eden bir kullanıcı uygulamasıdır.
1. Hizmet Kapsamı
İmzala.org, bir SaaS sözleşme imzalama platformudur. İki ana imza akışı sunar:
1.1. Basit Elektronik İmza (SES) Akışı
- Kullanıcı, platformda görsel imza (canvas çizimi) atar
- E-posta ve/veya SMS üzerinden OTP doğrulaması yapılır
- İmza zamanı, IP, cihaz bilgisi olay kaydı (audit log) olarak saklanır
- TÜBİTAK KAMUnet Zamane servisi üzerinden RFC 3161 zaman damgası eklenir
- Sunucu tarafında RSA-2048 KMS imzası ile bütünlük güvencesi sağlanır
Hukuki nitelik: Bu akış 5070 sayılı Kanun Madde 4 kapsamında güvenli elektronik imza niteliği taşımaz. 6100 sayılı HMK Madde 199 anlamında belge ve Madde 202 anlamında yazılı delil başlangıcı olarak değerlendirilebilir.
1.2. Nitelikli Elektronik İmza (QES) Akışı — Faz 1'de geliştiriliyor
- Kullanıcı, kendisinin sahip olduğu USB token üzerindeki Nitelikli Elektronik Sertifika (NES) ile imza atar
- Özel anahtar token cihazından asla dışarı çıkmaz; İmzala.org özel anahtara erişmez
- İmza ETSI TS 102 778-4 PAdES-LTV formatında PDF'e gömülür
- Zamane TSA ile RFC 3161 zaman damgası eklenir
- Sertifika doğrulama verileri (OCSP/CRL) PDF içine yerleştirilir
Hukuki nitelik: Bu akış 5070 sayılı Kanun Madde 4-5 ile güvenli elektronik imza niteliği taşır; HMK Madde 205/2 uyarınca adi senet hükmündedir.
2. Güvenilen Sertifika Kökleri (Trust Anchors)
İmzala.org QES akışında aşağıdaki BTK yetkili ESHS'lerin kök sertifikalarını güvenir:
- TürkTrust Bilgi, İletişim ve Bilişim Güvenliği Hizmetleri A.Ş.
- TÜBİTAK-UEKAE Kamu Sertifikasyon Merkezi (Kamu SM) — kamu çalışanları için
- Elektronik Bilgi Güvenliği A.Ş. (E-Güven)
- E-Tuğra EBG Bilişim Teknolojileri ve Hizmetleri A.Ş.
- EİMZATR Bilgi Güvenliği Hizmetleri A.Ş.
- Ayyıldız İmza Bilgi Güvenliği ve Teknolojileri A.Ş.
- Arksigner Yazılım ve Donanım Sanayi Ticaret A.Ş. (ARKİmza)
Sertifika doğrulama, ilgili ESHS'in 5070 m.4 + Tebliğ kapsamında belirlediği policyIdentifier
OID'lerine bakılarak yapılır (özellikle evrensel 2.16.792.1.61.0.1.5070.1.1 5070 sayılı Kanun
marker'ı esastır).
3. Standartlara Paralellik
Önemli: Aşağıdaki standartlara uygunluk hedeflenir; resmi denetim/akreditasyondan henüz geçmemiş, bağlayıcı bir sertifika beyan edilmez. Bu bir öz-beyandır (self-attestation).
3.1. ETSI Standartları
- ETSI EN 319 102-1 v1.4.1 — AdES imza oluşturma ve doğrulama prosedürleri
- ETSI EN 319 122-1 v1.2.1 — CAdES baseline
- ETSI EN 319 132-1 v1.2.1 — XAdES baseline
- ETSI EN 319 142-1 v1.2.1 — PAdES baseline (B-B, B-T, B-LT, B-LTA)
- ETSI EN 319 401 v3.2.1 — TSP genel güvenlik politika baseline'ı
- ETSI EN 319 412-5 v2.5.1 — QC Statements parsing
- ETSI EN 319 421/422 — Zaman damgası servis politika ve protokol
3.2. RFC Standartları
- RFC 5280 — X.509 PKI sertifika profili
- RFC 6960 — OCSP gerçek zamanlı sertifika durum sorgusu
- RFC 3161 — TSA zaman damgası protokolü
- RFC 3647 — CP/CPS belgeleme yapısı
3.3. Türk Hukuki Mevzuat
- 5070 sayılı Elektronik İmza Kanunu (23 Ocak 2004)
- 5070 sayılı Kanununun Uygulanmasına İlişkin Usul ve Esaslar Hakkında Yönetmelik (6 Ocak 2005)
- BTK 2012/DK-15/299 sayılı Kurul Kararı — Güvenli Elektronik İmza Kullanım Profilleri Rehberi (P1-P4)
- 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK)
- 6100 sayılı Hukuk Muhakemeleri Kanunu (HMK) m.199, 200, 202, 205
- 6098 sayılı Türk Borçlar Kanunu (TBK) m.14, 15
3.4. Bilgi Güvenliği
İmzala.org altyapısı şu standartlara paralel işletilir:
- ISO/IEC 27001 — Bilgi Güvenliği Yönetim Sistemi (sertifikasyon yol haritasında)
- ETSI EN 319 401 v3.2.1 — TSP genel güvenlik baseline (NIS2 Direktifi uyumlu)
- OWASP Top 10 — Uygulama güvenliği
4. Aboneye (Kullanıcıya) Yükümlülükler
İmzala.org kullanıcısı şu yükümlülükleri kabul eder:
- Sertifika tedariki: QES akışında kullanılacak NES'i BTK yetkili bir ESHS'ten kendisi temin eder. Sertifika geçerliliği, yenilenmesi ve iptali ESHS ile abone arasındaki ilişkidir.
- Anahtar gizliliği: USB token PIN'i, mobil imza şifresi, OTP kodları kullanıcının tasarrufundadır; üçüncü kişilere açıklanamaz.
- Kullanım amacı: Platform yalnızca yasal sözleşme imzalama amacıyla kullanılabilir. 5070 sayılı Kanun Madde 5/2 uyarınca gayrimenkul satış vaadi, kefalet, evlenme, soybağı, vasiyetname, bağışlama vaadi gibi resmî şekle tabi işlemler bu platformda imzalanamaz.
- Doğru bilgi: Hesap açılışında verilen kimlik bilgileri (ad, soyad, TCKN, e-posta, telefon) güncel ve doğrudur. Yanlış bilgi sonucu doğacak zararlar kullanıcıya aittir.
- İptal bildirimi: Anahtarın kompromise olduğu durumlarda derhal hem ESHS'e hem [email protected] adresine bildirilmelidir.
5. Güvenen Tarafa (Relying Party) Bilgi
İmzala.org platformunda imzalanmış bir belge, ister içeride ister dışarıda doğrulansın, aşağıdaki kontroller yapılmalıdır:
- İmza zincirinin (CMS / XML-DSig / PDF Signature Dictionary) kriptografik bütünlüğü
- İmzalayıcı sertifikasının imza atılan tarihte geçerli olduğu (OCSP/CRL kontrolü)
- Sertifika güven zincirinin BTK yetkili bir ESHS köküne ulaştığı
- RFC 3161 zaman damgasının geçerli olduğu (TSA sertifikası valid + messageImprint match)
- İmzalı veride sonradan değişiklik olmadığı (hash matching)
Bu kontrolleri tüm platformlardan bağımsız yapmak için Adobe Reader, Acrobat Pro, EU DSS Demo ( ec.europa.eu/digital-building-blocks/DSS) veya benzer doğrulama araçları kullanılabilir.
6. Olay Kaydı (Audit Log) Saklama Süresi
Her imza işlemi ve hesap aktivitesi için olay kaydı tutulur. Saklama süreleri:
| Kayıt Tipi | Süre | Hukuki Dayanak |
|---|---|---|
| İmza olay kayıtları | 10 yıl | TBK Genel zamanaşımı + KVKK retention |
| OTP kayıtları | 2 yıl | KVKK m.7 + içsel retention politikası |
| Hesap aktivite logları | 2 yıl | KVKK m.7 |
| İmzalı PDF belgeler | Hesap aktif olduğu sürece + 1 yıl | Sözleşmesel |
| K8s audit log | 1 yıl | ETSI EN 319 401 §7.10 |
7. Sorumluluk Sınırı
İmzala.org, kendi yazılımındaki kasıt veya ağır ihmal nedeniyle doğan zararlardan sorumludur. Aşağıdaki durumlardan sorumlu değildir:
- ESHS tarafından üretilen sertifikanın geçersiz, iptal edilmiş veya yanlış bilgi içermesi
- Kullanıcının PIN/şifre/OTP'sini üçüncü kişilerle paylaşması
- Kullanıcının cihazında bulunan zararlı yazılım kaynaklı veri sızıntısı
- BTK, KVKK Kurulu, mahkemeler tarafından verilen yasal kararlar gereği erişim kısıtlamaları
- Hizmet kesintisi ile ilgili dolaylı zararlar
Sorumluluk üst sınırı, kullanıcının son 12 ayda ödediği toplam abonelik bedeli ile sınırlıdır.
8. Uyuşmazlık Çözümü
Bu beyandan veya İmzala.org kullanımından doğan uyuşmazlıklarda Türk hukuku uygulanır; yetkili mahkeme İstanbul Mahkemeleri ve İcra Daireleridir. Tüketici işlemleri için tüketici hukuku hükümleri saklıdır.
9. Hizmet Erişilebilirlik Hedefi
İmzala.org abonelik düzeyine göre aşağıdaki uptime hedeflerini sunar:
| Plan | Uptime Hedef |
|---|---|
| Free / Bireysel | %99.0 |
| Pro / KOBİ | %99.5 |
| Enterprise (SLA sözleşmeli) | %99.9 |
Planlı bakım pencereleri 48 saat önceden duyurulur ve uptime hesabından düşülür. Detaylar: SLA sayfası.
10. Bu Beyana Yapılan Değişiklikler
Bu beyan İmzala.org tarafından gerektiğinde güncellenir. Önemli değişiklikler kullanıcılara e-posta ile duyurulur. Versiyon geçmişi sayfanın altında listelenir.
11. İletişim
İşleten: Codeck Yazılım A.Ş.
Genel destek: [email protected]
KVKK Veri Sahibi Başvuru: [email protected]
Güvenlik bildirim (responsible disclosure): [email protected]
İlgili Trust Center sayfaları: Güven Merkezi ·
Güvenlik ·
Uyumluluk
Versiyon Geçmişi
- v1.0 (11 Mayıs 2026) — İlk yayın taslağı. ETSI EN 319 401 §6.1-6.2 baseline'ından yola çıkıldı.