Uyumluluk ve Sertifikalar

Türk hukukunda elektronik imzanın yasal çerçevesi. TÜBİTAK KAMU SM nitelikli zaman damgası altyapısı ile desteklenir.

• ✓ TÜBİTAK KAMU SM RFC 3161 zaman damgası entegrasyonu
• ✓ HMK m.200 takdiri delil niteliği
• ✓ Imzaya bağlı veri bütünlüğü kontrolü

Veri Sorumluları Sicil Bilgi Sistemi'ne (VERBİS) kayıtlı veri sorumlusu. KVKK Aydınlatma Tebliği uyumlu aydınlatma metni, açık rıza akışları, veri sahibi haklarını destekleyen API'ler.

• ✓ KVKK m.10 aydınlatma yükümlülüğü
• ✓ KVKK m.7 silme / unutulma hakkı (24h onay + 30 gün grace)
• ✓ KVKK m.11 veri sahibi hakları (8 hak)
• ✓ KVKK m.12 ihlal bildirim prosedürü (72 saat)
• ✓ Pseudonimizasyon ve anonimleştirme prosedürleri
• ✓ KVKK m.6 özel nitelikli veri — biyometrik veri toplanmamaktadır

→ Aydınlatma Metni

Üretim verileri AB içinde (Hetzner Falkenstein, Almanya). 3rd party'lerle Standart Sözleşme Maddeleri (SCC Modül 2) imzalı. Veri taşınabilirlik (Art.20) ve unutulma hakkı (Art.17) implement edilmiştir.

• ✓ Art.13-14 bilgilendirme yükümlülüğü
• ✓ Art.15 erişim hakkı
• ✓ Art.17 silme / right to be forgotten
• ✓ Art.20 veri taşınabilirlik (JSON + ZIP)
• ✓ Art.28 veri işleyen sözleşmesi (DPA template)
• ✓ Art.32 işleme güvenliği (TLS, AES-256, MFA)
• ✓ Art.33-34 ihlal bildirim (72 saat)
• ✓ Art.45-46 yurt dışı aktarım (SCC)

→ Gizlilik Politikası

Varsayılan imza akışı AB Tüzüğü 910/2014 Art.25 / 5070 m.4 kapsamında Basit Elektronik İmza (SES) niteliğindedir. Kimlik doğrulama (telefon OTP + TC Kimlik/NVI) açıkken Art.26 kapsamındaki Gelişmiş Elektronik İmza (AES) gereksinimleri karşılanır.

• ✓ Imzalayan niyetinin doğrulanması (e-posta + SMS OTP)
• ✓ Bağlam delili (IP, cihaz, konum, zaman damgası)
• ✓ Benzersiz bağlantı (sistem ticari sertifika imzası + RFC 3161 zaman damgası)
• ✓ Post-imza değişiklik tespiti (SHA-256 hash, PAdES B-LTA)
• ↗ AES için ek: kimlik doğrulama (telefon OTP + TC Kimlik/NVI) ile imzalayana benzersiz atıf

Kullanıcının kendi USB token sertifikasıyla 5070 sayılı Kanun (Türkiye) + eIDAS 910/2014 (AB) uyumlu PAdES B-LTA imza atmasına aracılık eden Native Helper akışı. Java JRE gerekmez; macOS / Windows / Linux native masaüstü köprüsü. Sertifikayı kullanıcı yetkili bir ESHS'den temin eder; imzala.org imza akışı + saklama + uzun-vade arşiv katmanını sağlar.

• ✓ 5070 m.5/1 — güvenli e-imza ile elle imza eşdeğerliği (kullanıcı sertifikasına bağlı)
• ✓ eIDAS Art.25(2) — QES, AB üye devletlerinde el yazısı imza eşdeğeri
• ✓ ETSI EN 319 142-1 v1.2.1 — PAdES B-B / B-T / B-LT / B-LTA tam destek
• ✓ BTK Profil Rehberi P3 — Türk hukuki kapsamlı imzalarda 5070 marker profili
• ✓ RFC 3161 — TÜBİTAK KAMU SM Zamane (AB Qualified TSA fallback altyapısı hazır)
• ✓ PKCS#11 standardı — BTK lisanslı tüm Türk ESHS donanımları kapsama dahildir; vendor uyumluluk doğrulamaları aşamalı yapılır
• ✓ HMK m.205/2 — güvenli e-imzalı veriler senet hükmündedir

→ QES / NES Native Helper Uyum Beyanı · Güvenlik mimarisi

Sınır ötesi not: Türkiye AB EU Trusted List (LOTL/TSL)'de yer almadığı için Türk ESHS sertifikası ile atılan imza AB üye devletlerinde otomatik olarak QES sayılmaz. Karşılıklı tanıma için eIDAS Art.14 uyarınca uluslararası anlaşma gerekir.

Uniform Electronic Transactions Act (49 eyalet) ve Electronic Signatures in Global and National Commerce Act (federal) gereksinimleri.

• ✓ Intent to sign — onay kutusu + audit log
• ✓ Consent to do business electronically — Consumer Disclosure
• ✓ Association with signed record — KMS imza
• ✓ Record retention — 10 yıl saklama (TTK m.82 ile uyumlu)

California Consumer Privacy Act (2020) ve California Privacy Rights Act (2023) gereksinimleri. Kişisel veri satışı yapmamaktayız.

• ✓ Right to know (§1798.110)
• ✓ Right to delete (§1798.105)
• ✓ Right to opt-out of sale (§1798.120) — N/A: satış yapmıyoruz
• ✓ Right to correct / limit (CPRA)
• ✓ Notice at Collection

Self-Assessment Questionnaire A — kart bilgisi (PAN, CVV, expiry) bizim sunucularımıza hiç gelmez. Tüm ödeme işlemleri PCI-DSS Level 1 sertifikalı PayTR altyapısında yapılır.

• ✓ Kart bilgisi PayTR redirect (e-commerce SAQ A scope)
• ✓ TLS 1.2/1.3 transit encryption
• ✓ Vendor PCI compliance review (PayTR Level 1 AOC)

Platform parmak izi, yüz tanıma vektörü, retina/iris, ses kaydı veya el yazısı dinamikleri (basınç, hız, ivme, açı) gibi biyometrik veri toplamaz, işlemez ve saklamaz. İmza ekranında çizilen el yazısı imza yalnızca PNG bitmap görseli olarak kaydedilir; bu görsel tek başına biyometrik veri niteliğinde değildir.

Her yedek dosyası için SHA-256 bütünlük hash'i hesaplanır ve RFC 3161 trusted timestamp (TÜBİTAK KAMUnet TSA) ile imzalanarak audit log'a kaydedilir. 9 Mayıs 2026'da prod'a alınmıştır.

• ✓ KVKK m.12/1(a) — veri güvenliğinin sağlanması (kriptografik bütünlük)
• ✓ KVKK m.16 — veri sorumlusu kayıt tutma (audit log forever retention)
• ✓ eIDAS Art. 41 — RFC 3161 trusted timestamp yasal delil değeri
• ✓ ISO 27001 A.12.3.1 — yedeklerin korunması ve doğrulanması
• ✓ ISO 27701 6.5.3.4 — KVKK uzantısı, yedek bütünlüğü