26 Haziran 2021 tarihinde Bilgi Teknolojileri ve İletişim Kurumundan çıkan yönetmelik 31/12/2021 tarihinde yürürlüğe girecektir.
Bu Yönetmelik, elektronik haberleşme sektöründe,
• abonelik sözleşmesi,
• numara taşıma başvurusu,
• işletmeci değişikliği başvurusu,
• nitelikli elektronik sertifika başvurusu,
• kayıtlı elektronik posta başvurusu
• SIM değişikliği başvurusu
işlemlerine ilişkin belgelerin elektronik ortamda düzenlenmesi halinde başvuru sahibinin kimliğinin doğrulanması amacıyla uygulanacak sürece ilişkin usul ve esasları kapsar.
Yönetmelik uyarınca kimlik doğrulama işlemleri;
a) e-Devlet Kapısı,
b) ICAO 9303 standardına uygun yakın alan iletişimi özelliği olan belge ile birlikte yapay zekâ veya yetkili marifetiyle görüntülü doğrulama,
c) TCKK ile birlikte PAdES oluşturma,
ç) Yüz yüze kanallarda başvuru sahibinin kimlik belgesi ile birlikte işleme özgülenecek video görüntüsü alma,
yöntemleri vasıtasıyla yapılabilir.
e-Devlet kapısından yapılan kimlik doğrulamalarda ; e-Devlet Kapısı tarafından e-Devlet Kapısına giriş yapan başvuru sahibine; işletmeci tarafından iletilen; KN, adı, soyadı, işlem türü, işlemi özgüleyen hizmet numarası ve işlem belgesinde ilgili mevzuat kapsamında yer alması gereken bilgiler, e-Devlet kapısı üzerinde kayıtlı başvuru sahibinin doğrulanmış irtibat numarası ve elektronik posta adresi gösterilerek, onayı alınır ve bahse konu bilgiler için başvuru sahibinin kimliğini doğruladığı bilgisi ve doğrulanmış irtibat numarası ve elektronik posta adresi işletmeciye/hizmet sağlayıcıya iletilir.
Yapay zekâ veya yetkili ile görüntülü kimlik doğrulama
Görüntülü kimlik doğrulaması gerçek zamanlı ve kesintisiz şekilde yapılır. İşletmeci/hizmet sağlayıcı, kimlik doğrulama sürecine ilişkin görsel-işitsel iletişimin bütünlüğünün ve gizliliğinin sağlanması için gerekli tedbirleri alır. Bu amaçla, yapılan görüntülü doğrulama uçtan uca güvenli iletişim ile gerçekleştirilir.
Başvuru sahibinin, 6698 sayılı Kişisel Verilerin Korunması Kanunu kapsamında açık rızası olmaksızın görüntülü kimlik doğrulaması yapılamaz. Görüntülü kimlik doğrulaması yapılmadan önce aydınlatma yükümlülüğü, 6698 sayılı Kanunun ilgili hükümlerine riayet edilerek ve açık rıza alınması işleminden ayrı bir şekilde yerine getirilir. Başvuru sahibinin açık rızası alınırken e-Devlet Kapısı veya yüz yüze kanallar vasıtasıyla da elektronik ortamda kimlik doğrulama işlemi yapılabileceği açıkça belirtilir.
Görüntülü kimlik doğrulama sırasında başvuru sahibinin canlılığını tespit edici teknikler kullanılır. Kimlik ibraz eden başvuru sahibinin hazırda bulunduğunun teyidi amacıyla, başvuru sahibinin yüzünün, tam ve net olarak görülebileceği aydınlık ortamda, gözlerinin açık olduğu şekilde farklı açılardan kamera görüntüsü alınır. İşletmeci/hizmet sağlayıcı hazırda bulunan başvuru sahibinin alınan canlı görüntüsündeki yüzü ile kimlik belgesinde yer alan fotoğrafın karşılaştırmasını yapay zekâ yöntemi ile yapılır.
Kimlik doğrulama işlemlerinde başvuru sahibinin doğru tespit edilmesi işletmecinin/hizmet sağlayıcının sorumluluğundadır.
Kimlik doğrulamanın görüntülü yapılması durumunda öncelikle başvuru sahibi irtibat numarası veya elektronik posta adresini beyan eder. Bu numara veya elektronik posta adresine tek kullanımlık parola veya link gönderilerek, beyan edilen iletişim bilgisinin kullanıldığı teyit edilir.
Görüntülü kimlik doğrulama sırasında başvuru sahibi tarafından sunulan belgelerin geçerliliği hususunda ya da sahtecilik veya dolandırıcılık teşebbüsünden şüphe edilmesi durumunda, görüntülü kimlik doğrulama süreci sonlandırılır. Bu kapsamda kimlik avına ve benzeri sahtekârlık yöntemlerinin önlenmesine ilişkin gerekli tüm tedbirler işletmeci/hizmet sağlayıcı tarafından alınır.
Zayıf ışık koşulları, düşük görüntü kalitesi ya da iletimi ve benzeri durumlar nedeniyle bu Yönetmelikte belirtildiği şekilde görsel doğrulama yapmanın ve/veya başvuru sahibi ile iletişim kurmanın mümkün olmadığı hallerde kimlik doğrulama süreci iptal edilir.
Yüz yüze yapılan işlemlerde kimlik doğrulama
Bu Yönetmelik kapsamındaki işlemlerin işletmeci/hizmet sağlayıcı veya adına iş yapan temsilcisi ile başvuru sahibi arasında yüz yüze kanallarda elektronik ortamda gerçekleştirilmesi halinde 6 ncı ve 7 nci maddelerdeki yöntemlere alternatif olarak başvuru sahibinin TCKK’si ile Ek-4’te belirtilen usule uygun olarak 9 uncu maddenin birinci fıkrası kapsamındaki PDF ile PAdES-LTV oluşturmak suretiyle kimlik doğrulanabilir.
Alternatif olarak; başvuru sahibinin kimlik belgesi ile birlikte işleme özgülenecek video görüntüsü alınarak kimlik doğrulanabilir.
Başvuru sahibinin kimlik belgesi ile birlikte işleme özgülenecek video görüntüsü alınarak kimlik doğrulanabilir.
Başvuru sahibinin kimlik belgesindeki fotoğraf da dahil olmak üzere kimlik bilgileri, yakın alan iletişimi yöntemiyle alınır.
Yüz yüze yapılan işlemlerde kimlik doğrulamada ise PDF ile PAdES-LTV (elektronik imza formatı) oluşturmak suretiyle kimlik doğrulanabilecek. Alternatif olarak, başvuru sahibinin kimlik belgesi ile birlikte işleme özgülenecek video görüntüsü alınarak kimlik doğrulaması yapılabilecek.
Yetkili Marifetiyle Doğrulama
İşletmeci/ hizmet sağlayıcı doğrulama yapacak yetkili ve çalışma ortamını çeşitli kriterlerle sağlar:
• Doğrulama, bu konuda eğitim almış yetkili tarafından gerçekleştirilir.
• Yetkilinin, doğrulama sürecine ilişkin yılda en az bir defa ve her bir güncelleme sonrasında kişisel verilerin korunması mevzuatı da dahil olmak üzere eğitim alması sağlanır.
• Yetkilinin, başvuru sahibinin bu Yönetmelikte belirlenen işlemleri kendi iradesiyle talep ettiğine dair karar verebilmesi konusunda eğitim alması sağlanır.
• Doğrulama sürecinde yetkilinin, yaşanabilecek güvenlik zafiyetlerinin ya da suistimallerin engellenmesine yönelik gerekli tedbirlerin alındığı, erişimi sınırlandırılmış ayrı alanlarda çalışması sağlanır.
• Engelli kişilere hizmet verebilmek amacıyla en az bir yetkiliye gerekli eğitimlerin verilmesi sağlanır.
Yönetmelik kapsamında, yapılan tüm işlemler kayıt altına alınır ve elde edilen veriler yalnızca idari ve adli makamların süreçleri ile başvuru işlemi yapan başvuru sahibinin kimlik doğrulaması amacı için kullanılır.
Yönetmelik kapsamında kayıt altına alınan ve elde edilen veriler ilgili mevzuatta yer alan saklama süreleri boyunca saklanır.
İşletmeci/hizmet sağlayıcı; sahtekârlık, kimlik tespiti yöntemine ilişkin zayıflıklar gibi durumlar için teknolojik gelişmeleri yakından takip ederek sürekli gerekli güncellemeler yapmalıdır.
Bu Yönetmelik kapsamında işletmeci/hizmet sağlayıcı tarafından yapılan tüm işlemlerde ispat yükü işletmeci/hizmet sağlayıcıya aittir. Başvuru sahiplerine ya da üçüncü bir tarafa yükümlülük doğuran ve/veya cezaî sorumluluğa yol açan işlemlere ilişkin idari ve adli süreçlerde itiraz halinde ispat yükü işletmecide/hizmet sağlayıcıdadır.
Bu Yönetmelik’in yürürlüğe girdiği tarihten önce yapılan abonelik sözleşmeleri, numara taşıma başvuruları, işletmeci/hizmet sağlayıcı değişikliği başvuruları, nitelikli elektronik sertifika başvuruları, kayıtlı elektronik e-posta başvurusu ve SIM değişikliği başvuruları kapsamında oluşturulan ve kişisel veri içeren elektronik belgelere ilişkin olarak zaman damgası belge tanzim tarihi gibi konularda ispat yükü yine işletmeci/hizmet sağlayıcıya aittir.
Sayılan belgeler için işletmeci/hizmet sağlayıcı, Yönetmelik’in yürürlüğe girdiği tarih olan 31 Aralık 2021 tarihinden itibaren 3 ay içerisinde işlem belgesi tarafına ait kimlik numarası bilgisi ve son yedi karakterinin üçü maskelenmiş olan telefon, hizmet veya nitelikli elektronik sertifika numarası ya da kayıtlı elektronik posta adresi bilgisini Yönetmelik’te belirlenen usulde mobil elektronik haberleşme işletmecilerine ve e-Devlet Kapısının sunmuş olduğu bilgilendirme sistemine iletir. Bu iletim kısa mesaj, e-posta veya e-Devlet kapısı üzerinden işlem belgesi tarafına bildirilecektir.
Sonuç
Yönetmeliğin 5.maddesinin 3.fıkrasında da belirtildiği üzere:
• Hizmet sağlayıcı/işletmecilerin;
• Kimlik bilgilerinin muhafaza edilmesine,
• Kimlik doğrulama amacıyla aktarılırken şifrelenmesine,
• İşlemin amacına,
• Yetkisiz erişimlere veya görevler ayrılığı prensibine aykırı olarak kontrolsüz bir şekilde gerçekleştirilecek değişikliklere karşı korunmasına,
• Bilgi sistemlerinde gerçekleştirilen tüm süreçlere ilişkin işlem kayıtlarının gizliliği, güvenliği ile bütünlüğünün sağlanarak tutulmasına,
ilişkin önlemleri almaları ve bu noktada hizmet sağlayıcı/işletmecilerin süreci iyi yönetmeleri olabilecek teknolojik, operasyonel ve benzeri riskler göz önünde bulundurularak gerekli güvenlik tedbirleri almaları gerekir.
KVKK, ISO 27001, Bilgi ve İletişim Güvenliği Rehberi, ISO 27701, Bilgi Güvenliği, Siber Güvenlik ve Bilgi Teknolojileri konularında destek ve teklif almak için lütfen