|
TÜRKİYE CUMHURİYETİ KİMLİK
KARTI ELEKTRONİK
KİMLİK DOĞRULAMA SİSTEMİ
YÖNETMELİĞİ
BİRİNCİ BÖLÜM
Amaç, Kapsam, Dayanak,
Tanımlar ve Kısaltmalar
Amaç
MADDE 1 –
(1) Bu Yönetmeliğin amacı, Türkiye Cumhuriyeti kimlik kartı ile
gerçekleştirilen elektronik kimlik doğrulama sistemi ile ilgili usul ve
esasları belirlemektir.
Kapsam
MADDE 2 –
(1) Bu Yönetmelik, Türkiye Cumhuriyeti kimlik kartı ile gerçekleştirilen
elektronik kimlik doğrulama sistemi uygulamasında yapılacak iş ve işlemlere
ilişkin usul ve esasları kapsar.
Dayanak
MADDE 3 –
(1) Bu Yönetmelik, 25/4/2006 tarihli ve 5490 sayılı Nüfus Hizmetleri
Kanununun 41 inci maddesi ile 10/7/2018 tarihli ve 30474 sayılı Resmî
Gazete’de yayımlanan 1 sayılı Cumhurbaşkanlığı Teşkilatı Hakkında
Cumhurbaşkanlığı Kararnamesinin 258 inci maddesi hükümlerine dayanılarak
hazırlanmıştır.
Tanımlar ve
kısaltmalar
MADDE 4 –
(1) Bu Yönetmeliğin uygulanmasında;
a) Akıllı kart
okuyucu: Kimlik doğrulama sürecinde kimlik kartının elektronik olarak
kullanılmasını sağlayan terminali,
b) Bakan:
İçişleri Bakanını,
c) Bakanlık:
İçişleri Bakanlığını,
ç) Beyaz Liste:
Kimlik doğrulama işlemi yapması onaylanmış Kart Erişim Cihazı listesini,
d) Biyometrik
veri: Elektronik sistemler aracılığı ile kimlik doğrulama işlemlerinin
gerçekleştirilmesini sağlamak amacıyla kullanılan kişiye özgü veriyi,
e) EKDS
Değerlendirme Komisyonu: EKDS’nin kullanılması için gerekli inceleme,
değerlendirme ve izin işlemlerini gerçekleştirmek üzere Bakan onayı ile
oluşturulan komisyonu,
f) Elektronik
Kimlik Doğrulama Sistemi (EKDS): Türkiye Cumhuriyeti kimlik kartının
elektronik kimlik doğrulama işlemlerinde kullanılabilmesini sağlayan
sistemi,
g) EKDS
standardı: Türk Standartları Enstitüsü (TSE) tarafından EKDS ile ilgili
belirlenen standartları,
ğ) ESHS:
Elektronik sertifika hizmet sağlayıcısını,
h) Genel Müdür:
Nüfus ve Vatandaşlık İşleri Genel Müdürünü,
ı) Genel
Müdürlük: Nüfus ve Vatandaşlık İşleri Genel Müdürlüğünü,
i) Güvenli Erişim
Modülü (GEM) Akıllı Kartı: Kart erişim cihazı üzerindeki kriptografik
işlemlerin gerçekleştirilmesi için kullanılan güvenli modülü,
j) Güvenli
iletişim sertifikası: KEC ve rol sunucusu arasında güvenli hat kurmak için
gerekli olan sertifikayı,
k) Hizmet alan:
KDHS’den EKDS hizmeti alan kurum, kuruluş ve kişileri,
l) Hizmet veren:
EKDS kullanarak hizmet sunan kamu veya özel hukuk tüzel kişileri ile EKDS
hizmetinden faydalanarak hizmet veren bir kamu veya özel hukuk tüzel
kişiliğinde elektronik kimlik doğrulama işleminin gerçekleştirilmesinde rol
alan yetkili personeli,
m) HSM:
Donanımsal güvenlik modülünü,
n) Kart Erişim
Cihazı (KEC): Vatandaşın kimliğini doğrulama işlevi için kullanılan
terminali,
o) KEC standardı:
Elektronik kimlik kartları için güvenli kart erişim cihazları ile ilgili
TSE tarafından belirlenen standartları,
ö) KEC üreticisi:
KEC standardına göre KEC üretimi yapan kamu veya özel hukuk tüzel
kişilerini,
p) Kimlik
doğrulama: Kimlik kartını ibraz eden kişinin kimlik doğrulama sertifikası,
PIN, biyometrik veri, dijital fotoğraf veya kartın fiziksel güvenlik
öğeleri kullanılarak doğrulanmasını ve geçerlenmesini,
r) Kimlik
doğrulama başarım onayı: Kimlik doğrulama sunucusu tarafından kimlik
doğrulama bildiriminin doğrulanması sonrasında oluşturulan ve hizmet alanın
sistemlerine gönderilen imzalı veri nesnesini,
s) Kimlik
Doğrulama Bildirimi (KDB): KEC’in GEM Akıllı Kart aracılığı ile elektronik
kimlik doğrulama için kimlik kartı ile etkileşim halinde yapmış olduğu
kriptografik ve biyometrik işlemlerin sonucunu gösteren elektronik
bildirimi,
ş) Kimlik
Doğrulama Hizmet Sağlayıcı (KDHS): EKDS standartlarına uygun olarak
elektronik kimlik doğrulama ve kimlik doğrulamanın arşivlenmesine ilişkin
hizmeti sağlayan kamu veya özel hukuk tüzel kişilerini,
t) Kimlik
Doğrulama Politikası (KDP): KEC tarafından kimlik doğrulama işleminde
kullanılacak yöntem ve parametreleri içeren sayısal veriyi,
u) Kimlik
Doğrulama Politika Sunucusu (KDPS): EKDS’de Kimlik Doğrulama Politikası
üretmek ve yayımlamak için kullanılan sunucuyu,
ü) Kimlik
doğrulama sertifikası: Kimlik doğrulaması amacıyla kullanılan sertifikayı,
v) Kimlik
Doğrulama Sunucusu (KDS): EKDS’de kimlik doğrulama bildirimlerini
doğrulayan ve kimlik doğrulama başarım onayını dönen ve sonucu kaydeden sunucuyu,
y) Kimlik kartı:
Türkiye Cumhuriyeti kimlik kartını,
z) Kimlik
kartındaki veriler: 5490 sayılı Nüfus Hizmetleri Kanununun 41 inci maddesi
hükümlerine göre Bakanlık tarafından belirlenen bilgileri,
aa) MRZ: Makine
tarafından okunabilen bölgeyi,
bb) Ortak
kriterler: Uluslararası Standartlar Organizasyonunun Uluslararası Bilgi
Teknolojileri Güvenlik Değerlendirme Standardı olarak kabul ettiği ISO
15408 güvenlik standardını,
cc) PIN: Kimlik
sahibi ile kartın eşleştirilmesine olanak sağlayan sayısal veriyi,
çç) PUK: PIN
bloke edildiğinde, blokeyi kaldırmak için kullanılan sayısal veriyi,
dd) Rol: Kimlik
kartındaki alanlara erişmek isteyen taraflara tanımlanan erişim yetkisini,
ee) Rol
doğrulama: Kimlik kartındaki rol yetkisi gerektiren alanlara erişmek isteyen
uygulamaların yetkisini kontrol etmekte kullanılan yöntemi,
ff) Rol
sertifikası: Rol doğrulamada kullanılan yetki sertifikasını,
gg) Rol sunucusu:
Rol doğrulamada kullanılan ve kimlik kartındaki alanlara erişen sunucuyu,
ğğ) Taahhütname:
KDHS’nin sorumluluk alanıyla ilgili EKDS kapsamında bulunan verilerin
güvenliğinin ve idamesinin sağlanmasına ilişkin yeterli korumayı taahhüt
ettiği idari ve teknik tedbirleri kapsayan belgeyi,
hh) Uygunluk
belgesi: EKDS veya KEC standardına uygun ürün olduğuna dair TSE tarafından
verilen belgeyi,
ıı) Yazılım
yayıncı sertifikası: KEC yazılım paketlerini imzalamak için kullanılan
sertifikayı,
ifade eder.
İKİNCİ BÖLÜM
Temel Esaslar
Kimlik
kartının kullanım alanları
MADDE 5 – (1)
Kimlik kartında; kişi bilgileri, fotoğraf, imza, yonga, MRZ ve barkod
alanları, biyometrik veri, elektronik sertifikalar ile güvenlik öğeleri
bulunur.
(2) Kimlik kartı,
kimlik doğrulama amacıyla kullanılır.
(3) Kimlik
kartının elektronik imza aracı olarak kullanılmasında 15/1/2004 tarihli ve
5070 sayılı Elektronik İmza Kanunu hükümleri uygulanır.
(4) Kimlik
kartının temassız yongasındaki bilgiler ikili antlaşma yapılan ülkelerde
seyahat belgesi olarak kullanılabilir.
Yetki ve
sorumluluk
MADDE 6 –
(1) EKDS ile ilgili inceleme, değerlendirme ve izin işlemlerini
gerçekleştirmek üzere Bakan onayı ile Genel Müdürün başkanlığında EKDS
Değerlendirme Komisyonu oluşturulur. Genel Müdürlük inceleme, değerlendirme
ve izin işlemleri için EKDS yönetim altyapısını kurar.
(2) Görevli ESHS,
Bakan onayı ile belirlenerek Genel Müdürlüğün resmi internet sitesinden
duyurulur.
(3)
Görevlendirilen ESHS’nin sağlayacağı tüm anahtar ve sertifikaların başvuru,
temin, dağıtım, teslim ve iptal işlemlerine ilişkin yöntemi belirlemeye
Genel Müdürlük yetkilidir.
(4) Genel
Müdürlük, hizmet alan, KDHS ve KEC üreticilerinden EKDS’ye ilişkin her
türlü bilgi ve belgeyi istemeye yetkilidir.
(5)
Görevlendirilen ESHS, görevlendirildiği alanla sınırlı olmak üzere yazılım
yayıncı, KDS, KDPS, güvenli iletişim, rol sertifikalarının ve GEM akıllı
kartının üretiminden, tesliminden ve bunların teslim edilene kadar
güvenliğinin sağlanmasından sorumludur.
(6)
Görevlendirilen ESHS tarafından EKDS ile ilgili sunulan hizmetlerden
alınacak bedellerin üst sınırı Bakan onayı ile belirlenir.
(7) EKDS
üzerinden yapılan kimlik doğrulama iş ve işlemlerine ilişkin hukuki
sonuçlar; KEC üreticisi, KDHS ve hizmet alanın sorumluluğundadır.
(8) Genel
Müdürlük, EKDS hizmetine ilişkin yaptığı çalışmalarla ilgili yıllık durum
raporu hazırlar ve internet sayfasından yayınlar.
ÜÇÜNCÜ BÖLÜM
Başvuru ve Değerlendirme
Süreci
KDHS genel
şartları
MADDE 7 –
(1) KDHS olabilmek için kamu veya özel hukuk tüzel kişilerinin aşağıdaki
asgari şartları taşımaları zorunludur:
a) TS EN ISO/IEC
27001 Bilgi Güvenliği Yönetim Sistemi sertifikası sahibi olmak.
b) TSE tarafından
EKDS ile ilgili yayımlanan standartlara uygunluğunu belgelemek.
c) KDHS’nin
sorumluluk alanıyla ilgili EKDS’nin güvenliği ve idamesine dair alınacak
idari ve teknik tedbirleri kapsayan taahhütnameyi imzalamak.
KDHS başvuru
süreci
MADDE 8 –
(1) Kamu veya özel hukuk tüzel kişileri, KDHS olma talebini içeren
başvurusunu Genel Müdürlüğün resmi internet sitesinde yayımlanan yöntem ile
Genel Müdürlüğe yapar.
(2) Başvurular en
geç 3 (üç) ay içinde EKDS Değerlendirme Komisyonu tarafından
sonuçlandırılarak Bakan onayına sunulur. Kararlar, Genel Müdürlük
tarafından başvuru sahibine bildirilir.
(3) EKDS
Değerlendirme Komisyonu tarafından, başvuru şartlarında eksiklik bulunması
halinde bu eksikliklerin giderilmesi için başvuruda bulunanlara 1 (bir) ayı
geçmemek üzere süre verilir. EKDS Değerlendirme Komisyonu eksikliklerin
giderilmesinden itibaren en geç 2 (iki) ay içinde başvuruyu sonuçlandırır.
(4) Onay verilen
KDHS’ler, Genel Müdürlüğün internet sitesi üzerinden kamuoyuna duyurulur.
(5) EKDS
Değerlendirme Komisyonu tarafından yapılan inceleme sonucunda başvuru
şartlarının yerine getirilmediğinin tespit edilmesi halinde uygun
görülmeyen başvuru gerekçeli olarak başvuru sahibine bildirilir.
(6) Bildirilen
eksikliklerin giderilmesi halinde, başvuru sahibi, bu maddede belirtilen
şekilde yeniden başvurusunu gerçekleştirebilir.
KDHS
sürecindeki değişiklikler
MADDE 9 –
(1) KDHS, faaliyete geçtikten sonra, yapmış olduğu başvuru şartlarında
herhangi bir değişiklik meydana gelmesi halinde, bu değişiklikleri en geç
20 (yirmi) gün içinde Genel Müdürlüğe bildirir ve taahhütname bu
değişikliklere uygun olarak yenilenir. Meydana gelen değişikliğin
bildirilmediğinin tespit edilmesi halinde 26 ncı maddenin birinci
fıkrasının (b) bendine göre işlem yapılır.
(2) Bu
Yönetmelikte, EKDS ile ilgili standartlarda veya taahhütnamede yapılan
değişikliklere KDHS’nin ne kadar sürede uyum sağlayacağını belirlemeye
Genel Müdürlük yetkilidir. KDHS’nin değişikliklere uyum sağlayamaması
durumunda, KDHS faaliyet izni Bakan onayı ile iptal edilir.
KDPS, rol ve
güvenli iletişim sertifikaları başvuru süreci
MADDE 10 –
(1) KDHS, hizmet alan adına, TSE tarafından yayımlanan KDPS ve rol
sunucusuna ilişkin EKDS standardını sağlamak şartıyla, KDPS ile rol ve
güvenli iletişim sertifikaları talep etmek üzere, Genel Müdürlüğün resmi
internet sitesinde yayımlanan yöntem ile Genel Müdürlüğe başvuru yapar.
(2) Kamu kurum ve
kuruluşları, rol ve güvenli iletişim sertifikası başvurularını Genel
Müdürlüğün belirleyeceği yönteme uygun olarak doğrudan yapabilir.
(3) Genel
Müdürlük, EKDS Değerlendirme Komisyonunun kararı ve Bakan onayı
neticesinde, talebi uygun görülenleri yetkilendirmek üzere ESHS’ye ve
başvuru sahibine bildirir.
GEM akıllı
kartı ve yazılım yayıncı sertifikası başvuru süreci
MADDE 11 –
(1) KEC üreticileri, GEM akıllı kartı talepleri için aşağıdaki belgelerle
birlikte Genel Müdürlüğe başvuru yapar:
a) KEC standardı
uygunluk belgesi,
b) Ortak
kriterler uygunluk belgesi,
c) Kullanılacak
KEC yazılımı sürümü,
ç) Talep edilen
GEM akıllı kartı miktarı.
(2) KEC
üreticileri, GEM akıllı kartı talebini içeren başvurularını Genel
Müdürlüğün resmi internet sitesinde yayımlanan yöntem ile Genel Müdürlüğe
yapar.
(3) Başvurular en
geç 3 (üç) ay içinde EKDS Değerlendirme Komisyonu tarafından
sonuçlandırılarak Bakan onayına sunulur. Genel Müdürlük, başvurusu
onaylananların GEM akıllı kartı ve yazılım yayıncı sertifikası taleplerini
ESHS’ye ve başvuru sahibine bildirir.
(4) GEM akıllı
kartı ve yazılım yayıncı sertifikası talepleri uygun görülen KEC
üreticilerine ilişkin detaylar Genel Müdürlüğün resmi internet sitesi
üzerinden kamuoyuna duyurulur.
(5) EKDS
Değerlendirme Komisyonu tarafından yapılan incelemede, başvuru şartlarının
yerine getirilmediğinin tespit edilmesi halinde uygun görülmeyen başvurunun
sonucu gerekçeli olarak başvuru sahibine bildirilir.
(6) Başvuru
sahibi, bildirilen eksiklikleri gidermesi halinde bu maddede belirtilen
şekilde başvurusunu yeniden gerçekleştirebilir.
DÖRDÜNCÜ BÖLÜM
Sertifikasyon Süreci
KDS
sertifikası oluşturulması süreci
MADDE 12 –
(1) EKDS’yi işletmek isteyen KDHS, Genel Müdürlüğün resmi internet
sitesinde yayımlanan yöntem ile KDS sertifikası talebini Genel Müdürlüğe
iletir ve talep EKDS Değerlendirme Komisyonu tarafından sonuçlandırılarak
Bakan onayına sunulur.
(2) Genel
Müdürlük, onaylanan KDS sertifikası taleplerini ESHS’ye en geç 7 (yedi) iş
günü içerisinde bildirir.
(3) Görevli ESHS,
Genel Müdürlük tarafından geçerlilik süresi belirlenen KDS sertifikasını
oluşturur ve en geç 7 (yedi) iş günü içerisinde teslim eder.
(4) ESHS,
üretilen KDS sertifikasını kamuya açık bir dizinde yayımlar ve dizin
hizmetinin kesintisiz olarak verilmesini sağlar.
(5) Görevli ESHS,
KDS sertifikası başvurusundan sonra sertifikayı oluşturur ve KDHS’nin
HSM’sine yükler.
KDPS, rol ve
güvenli iletişim sertifikalarının oluşturulması
MADDE 13 –
(1) Genel Müdürlük, uygun görülen, KDPS, rol ve güvenli iletişim
sertifikası taleplerini ESHS’ye bildirir.
(2) Görevli ESHS,
KDPS ve rol sertifikasını üretir ve başvuru sahibine en geç 30 (otuz) gün
içinde teslim eder.
(3) Rol
sertifikasının özel anahtarı HSM’de saklanır.
(4) Güvenli
iletişim sertifikası, görevli ESHS tarafından rol sertifikası ile birlikte
teslim edilir.
GEM akıllı
kartının oluşturulması
MADDE 14 –
(1) KEC üreticisi, onay verilen miktardaki GEM akıllı kartını, ESHS ile
yapacağı GEM akıllı kart sözleşmesi ile beraber görevli ESHS’den talep
eder.
(2) GEM akıllı
kartları, sözleşmenin imzalanmasından sonra sözleşmede belirtildiği şekilde
kullanıma kapalı ve aktifleştirilmemiş halde, başvuru tarihinden itibaren
en geç 30 (otuz) gün içerisinde yazılım yayıncı sertifikası ile birlikte
KEC üreticisine teslim edilir.
GEM akıllı
kartının kullanıma açılması
MADDE 15 –
(1) KDHS, hizmet alanın KEC ile eşleşmiş GEM akıllı kartlarının kullanıma
açılmasına ilişkin başvuruyu, Genel Müdürlüğün resmi internet sitesinde
yayımlanan yöntem ile Genel Müdürlüğe yapar.
(2) Genel
Müdürlük, GEM akıllı kartlarının kullanıma açılması talebini herhangi bir
idari ve teknik engelin bulunmaması halinde görevli ESHS’ye en geç 7 (yedi)
iş günü içerisinde bildirir.
(3) Görevli ESHS,
kendisine bildirilen GEM akıllı kartlarındaki sertifikaları en geç 7 (yedi)
iş günü içerisinde kullanıma açarak Genel Müdürlüğe ve KDHS’ye bildirir.
Sertifika
iptal süreci
MADDE 16 –
(1) EKDS’de üretilen bütün sertifikaların iptalleri görevlendirilmiş ESHS
tarafından aşağıdaki gerekçelerle yapılabilir:
a) Genel
Müdürlüğün talebi,
b) Sertifika
sahiplerinin talebi,
c) Sertifikanın
ilişkili olduğu özel anahtarın yüklendiği ortamın kaybolması veya
çalınması,
ç) Sertifikanın
ilişkili olduğu özel anahtarın güvensiz veya kullanılmaz hale gelmesi,
d) KEC
üreticisinin GEM akıllı kartlarının içerisindeki sertifikaların iptal edilmesini
talep etmesi.
(2) Rol
sertifikaları ve güvenli iletişim sertifikalarının geçerlilik süresi sona
erdiğinde yenilenmesi durdurulur. İptal talebi yapılan rol sertifikaları ve
güvenli iletişim sertifikalarının talep yapıldığı andan itibaren
kullanılmamasının sağlanması KDHS ve sertifika sahibi kurumun
sorumluluğundadır.
(3) Sertifika
iptal talepleri, görevli ESHS tarafından belirlenen yöntemle doğrudan
ESHS’ye yapılır.
(4) Görevli ESHS
kendisine iletilen sertifika iptal taleplerine derhal müdahale eder, bildirim
ve iptal işleminin sonucunu Genel Müdürlüğe en geç 2 (iki) iş günü
içerisinde raporlar. İptal işleminin gerçekleştirilmemesi durumunda ortaya
çıkabilecek sorumluluk görevli ESHS’ye aittir.
(5) Görevli ESHS,
sertifikalara ilişkin iptal durum kaydını herhangi bir kimlik doğrulamasına
gerek olmaksızın ücretsiz ve kesintisiz olarak kamu erişimine açık tutar.
(6) İptal edilen
sertifikalara ilişkin iptal sebepleri, olası riskler ve alınacak önlemlere
ilişkin kamuoyu duyuruları görevli ESHS tarafından yapılır.
BEŞİNCİ BÖLÜM
Yükümlülükler
ESHS’nin
yükümlülükleri
MADDE 17 –
(1) Yetkili ESHS, EKDS’ye ilişkin iş ve işlemlerini, Genel Müdürlüğün
kuracağı yönetim altyapısı üzerinden Genel Müdürlüğe bildirir.
(2) Yetkili ESHS,
EKDS’ye ilişkin sunduğu hizmetlerin sürekli ve kesintisiz sağlanması için
gerekli önlemleri alır.
(3) Yetkili ESHS,
Bakanlığın izni dışında EKDS’ye ilişkin iş ve işlemlerin hiçbirini
yürütmez.
KDHS’nin
yükümlülükleri
MADDE 18 –
(1) KDHS, kurduğu altyapı sistemindeki beyaz listeyi Genel Müdürlük ile
paylaşır.
(2) KDHS verdiği
hizmeti, Genel Müdürlük ile paylaştığı beyaz liste ile sınırlamakla
yükümlüdür.
(3) KDHS, beyaz
liste dışında tesis edilmeye çalışılan işlemleri engellemeye ve yaptığı
tespiti Genel Müdürlüğe bildirmekle yükümlüdür.
(4) KDHS, EKDS
ile ilgili verdiği hizmette kullandığı donanım ve yazılımların EKDS
standartlarına uygunluğuna ve bunların güvenliğine ilişkin gerekli
tedbirleri almakla yükümlüdür.
(5) KDHS,
imzalanan ve güncellenen taahhütname hükümlerine uymakla yükümlüdür.
Hizmet alanın
yükümlülükleri
MADDE 19 –
(1) Hizmet alan, yeni temin ettiği veya operasyonel sebeplerden dolayı;
a) Çalıştığı KEC
üreticilerinden,
b) Temin ettiği
KEC’lerin seri numaralarından,
c) KEC’ler ile
ilişkilendirilmiş GEM akıllı kart seri numaralarından,
ç) Çalıştığı
KDHS’lerden,
herhangi birinde
veya tamamında değişiklik olması durumunda; söz konusu hususları, anlaşma
sağladığı veya değişikliğin olduğu tarihten itibaren en geç 20 (yirmi) gün
içerisinde Genel Müdürlüğe iletilmek üzere KDHS’ye bildirmekle yükümlüdür.
ALTINCI BÖLÜM
Teknik Hususlar, Güvenlik
ve Denetim
KDHS verileri
MADDE 20 –
(1) KDHS, EKDS’ye ilişkin imza oluşturma ve doğrulama verileri ile
sertifikasını Türkiye Cumhuriyeti sınırları dışına çıkaramaz.
(2) KDHS’ye ait
imza oluşturma ve doğrulama verilerinin geçerlilik süresi 10 (on) yılı
aşamaz.
Elektronik
kimlik doğrulama sisteminde verilerin güvenliği
MADDE 21 –
(1) Kimlik kartındaki veriler kimlik doğrulama amacı dışında kullanılamaz.
(2) Hizmet alan
ve KDHS, kimlik kartındaki verilerin hukuka aykırı olarak işlenmesi ile söz
konusu verilere hukuka aykırı olarak erişilmesini önlemek ve muhafazasını
sağlamak amacıyla, uygun güvenlik düzeyini temin etmeye yönelik gerekli her
türlü teknik ve idari tedbirleri alır. Özel nitelikli kişisel veriler için
ayrıca, 24/3/2016 tarihli ve 6698 sayılı Kişisel Verilerin Korunması
Kanununun 6 ncı maddesinin dördüncü fıkrası uyarınca Kişisel Verileri
Koruma Kurulu tarafından belirlenen yeterli önlemler alınır.
(3) Biyometrik
veriler ile kimlik kartlarına ait PIN veya PUK bilgileri toplanamaz,
saklanamaz ve paylaşılamaz.
(4) EKDS
Değerlendirme Komisyonunun belirlediği yetkiler dâhilinde hizmet alanlar,
5490 ve 6698 sayılı Kanunlarda belirtilen usul ve esaslara uymakla ve
hizmet verdiği ilgili birimlerin de bu esaslar dâhilinde işlem yaptığını
takip etmekle yükümlüdür.
(5) ESHS
tarafından verilen anahtar, sertifika ve yetkiler Bakanlığın izni olmadan
devredilemez.
Elektronik
kimlik doğrulama sistemi sunucularına erişim ve güvenlik
MADDE 22 –
(1) KDHS yetkili personeli ve EKDS’de kullanılacak yazılım, EKDS
standardında belirlenen esaslara göre EKDS sunucularına erişir.
(2) EKDS
sunucularına ve çevre birimlerine karşı yetkisiz erişimlerin engellenmesi
amacıyla KDHS tarafından geri izleme ve güvenlik sistemi kurulur.
(3) EKDS ile
ilgili güvenliğe ilişkin olarak 6698 sayılı Kanun ve ilgili mevzuata uygun
gerekli her türlü teknik ve idari tedbirler alınır.
(4) EKDS ile
ilgili güvenliğe ilişkin diğer usul ve esaslar Genel Müdürlük tarafından
belirlenir.
KDS’den kimlik
doğrulama başarım onayı alınmadan hizmetin verilmesi
MADDE 23 –
(1) Kimlik doğrulama işlemi için KDS’den kimlik doğrulama başarım onayı
alınmadan hizmet verilmesinin sorumluluğu hizmet alana aittir.
Geri izleme
MADDE 24 –
(1) EKDS’ye ilişkin kayıtlar, KDHS tarafından EKDS standartlarına uygun
şekilde geri izleme bilgisi olarak 8 (sekiz) yıl süreyle saklanır.
Denetim
MADDE 25 –
(1) EKDS’nin mevzuata, ilgili standartlara ve taahhütnameye uygun olarak
işletilip işletilmediği Genel Müdürlükçe denetlenir.
(2) Genel
Müdürlük yapacağı denetimlerde kamu kurum ve kuruluşlar ile özel hukuk
tüzel kişilerinden faydalanabilir veya hizmet alabilir.
(3) Denetim
sırasında, denetim yapmaya yetkili görevliler, EKDS ile ilgili her türlü
belge ve kayıtları isteyebilir; EKDS ile ilgili fiziki alanlara girebilir.
(4) Denetim
sonucuna göre mevzuata aykırı faaliyet gösterdiği tespit edilenler
hakkında, 5490 ve 6698 sayılı Kanunlar ile 26/9/2004 tarihli ve 5237 sayılı
Türk Ceza Kanununun ilgili madde hükümlerine göre işlem yapılır.
YEDİNCİ BÖLÜM
Faaliyetin Sona Ermesi
Denetim
sonucunda KDHS’nin faaliyetine son verilmesi
MADDE 26 –
(1) Denetim sonucunda;
a) Genel Müdürlük
tarafından faaliyetinin devamına engel teşkil edecek bir durumun tespit
edilmesi halinde KDHS’nin faaliyetlerine 1 (bir) ayı geçmemek üzere
belirlenecek süre içerisinde son verileceği hizmet alanlarla paylaşılır ve
sürenin sonunda KDHS’nin faaliyetine Bakan onayı ile son verilir.
b) KDHS’nin
gerekli şartları yerine getirmediğinin tespit edilmesi halinde, eksikliğin
giderilmesi için KDHS’ye 3 (üç) aya kadar süre verilebilir. KDHS’nin,
verilmiş olan sürenin sonunda eksikliği giderememesi halinde KDHS’nin
faaliyetlerine 1 (bir) ayı geçmemek üzere belirlenecek süre içerisinde son
verileceği hizmet alanlarla paylaşılır ve sürenin sonunda KDHS’nin
faaliyetine Bakan onayı ile son verilir.
(2) Hizmet alan,
KDHS’nin faaliyeti sonlanmadan önce başka bir KDHS ile kimlik doğrulama
hizmeti almak üzere anlaşır.
(3) Hizmet alan,
faaliyetine son verilen KDHS’de saklanan, KDB verilerinin anlaştığı KDHS’ye
devrinden eski KDHS ile birlikte müteselsilen sorumludur.
(4) Genel
Müdürlük, mücbir sebeplerin ortaya çıkması halinde bu maddede belirtilen
süreleri uzatabilir.
(5) Faaliyetine
son verilen KDHS, hizmet alanların tamamının devir işlemlerini
tamamlamasını müteakip kimlik doğrulama hizmetine son verir.
(6) Faaliyetine
son verilen KDHS, devir işlemlerinden sonra KDB verileri ve EKDS ile ilgili
imza oluşturma verisi ile yedeklerini imha eder ve bu durumu kayıt altına
alarak Genel Müdürlüğe bildirir.
(7) Kimlik
doğrulama hizmetinin devredilebileceği herhangi bir KDHS’nin bulunamaması
durumunda kimlik doğrulama faaliyetine son verilen KDHS’nin oluşturduğu KDB
verilerini teslim alacak merciyi belirlemeye Genel Müdürlük yetkilidir. KDB
verilerini teslim alan merci, KDB verilerini bu Yönetmelikte belirtildiği
süre kadar saklamak ve veriyi sakladığı süre içerisinde adli ve idari
taleplere cevap vermekle yükümlüdür.
KDHS’nin kendi
faaliyetine son vermesi halinde yapılacak işlemler
MADDE 27 –
(1) KDHS, faaliyetine son vereceği tarihten en az 3 (üç) ay önce durumu
Genel Müdürlüğe bildirir.
(2) KDHS ve Genel
Müdürlük, KDHS’nin faaliyetine son vereceğini internet sayfasında yayımlar.
(3) KDHS;
faaliyetine son verme tarihine kadar hizmetlerine devam eder. Genel
Müdürlük alacağı karar doğrultusunda 1 (bir) ayı geçmemek üzere süreyi
uzatabilir.
(4) Hizmet alan,
KDHS’nin faaliyeti sonlanmadan önce başka bir KDHS ile kimlik doğrulama hizmeti
devri konusunda anlaşır.
(5) Genel
Müdürlük, taraflar arasında anlaşma sağlanması halinde, faaliyetine son
verilen KDHS’de bulunan KDB verilerinin devredilmesine karar verir.
(6) Hizmet alan,
faaliyetine son veren KDHS’de saklanan, KDB verilerinin anlaştığı KDHS’ye
devrinden eski KDHS ile birlikte müteselsilen sorumludur.
(7) KDHS, devir
işlemlerinin tamamlanmasını müteakip kimlik doğrulama hizmetine son verir.
(8) Faaliyetine
son veren KDHS, devir işlemlerinden sonra KDB verisini ve EKDS ile ilgili
imza oluşturma verisi ile yedeklerini imha eder ve bu durumu kayıt altına
alarak Genel Müdürlüğe bildirir.
(9) Kimlik
doğrulama hizmetinin devredilebileceği herhangi bir KDHS’nin bulunamaması
durumunda kimlik doğrulama faaliyetine son veren KDHS’nin oluşturduğu KDB
verilerini teslim alacak merciyi belirlemeye Genel Müdürlük yetkilidir. KDB
verilerini teslim alan merci, KDB verilerini bu Yönetmelikte belirtildiği
süre kadar saklamak ve veriyi sakladığı süre içerisinde adli ve idari
taleplere cevap vermekle yükümlüdür.
Hizmet alanın
KDHS değişikliği yapması
MADDE 28 –
(1) Hizmet alan, hizmet almakta olduğu KDHS’yi değiştirebilir.
(2) Hizmet alan,
hizmet alımına son verdiği KDHS’de saklanan KDB verilerinin, anlaştığı
KDHS’ye devrinden eski KDHS ile birlikte müteselsilen sorumludur.
(3) KDB
verilerini devir alan KDHS, KDB verilerini bu Yönetmelikte belirtildiği
süre kadar saklamak ve veriyi sakladığı süre içerisinde adli ve idari
taleplere cevap vermekle yükümlüdür.
Hizmet alanın
faaliyetine son vermesi
MADDE 29 –
(1) Hizmet alanın, faaliyetine son vermesi halinde; hizmet aldığı KDHS, KDB
verilerini bu Yönetmelikte belirtildiği süre kadar saklamak ve veriyi
sakladığı süre içerisinde adli ve idari taleplere cevap vermekle
yükümlüdür.
SEKİZİNCİ BÖLÜM
Kimlik Doğrulama
Yöntemleri
Kimlik
doğrulama yöntemleri
MADDE 30 –
(1) Kimlik doğrulama işlemleri aşağıdaki yöntemlerden biri kullanılarak
gerçekleştirilir:
a) Fiziksel
kimlik doğrulama: Kart gövdesi üzerinde bulunan görsel güvenlik özellikleri
ve kimlik bilgileri kullanılarak yapılan doğrulama yöntemidir.
b) Kimlik
doğrulama sertifikası ile kimlik doğrulama: Kimlik doğrulama sertifikasının
Genel Müdürlük tarafından verildiğinin ve geçerliliğinin akıllı kart
okuyucu kullanılarak kontrol edilmesi yöntemidir.
c) KEC kullanılarak
kimlik doğrulama sertifikası ile kimlik doğrulama: Kimlik doğrulama
sertifikasının ve temaslı yonganın Genel Müdürlük tarafından verildiğinin
ve geçerliliğinin KEC kullanılarak kontrol edilmesi yöntemidir.
ç) KEC
kullanılarak kimlik doğrulama sertifikası ve fotoğraf ile kimlik doğrulama:
Kimlik doğrulama sertifikasının ve temaslı yonganın Genel Müdürlük
tarafından verildiğinin ve geçerliliğinin KEC kullanılarak kontrol edilmesi
ve vatandaşın kimlik kartından okunan fotoğrafının hizmet veren tarafından
doğrulanması yöntemidir.
d) KEC
kullanılarak kimlik doğrulama sertifikası ve biyometrik veri ile kimlik
doğrulama: Kimlik doğrulama sertifikasının ve temaslı yonganın Genel
Müdürlük tarafından verildiğinin ve geçerliliğinin, KEC kullanılarak
kontrol edilmesi ve vatandaşın biyometrik verisinin KEC kullanılarak
doğrulanması yöntemidir.
e) KEC
kullanılarak kimlik doğrulama sertifikası, fotoğraf ve biyometrik veri ile
kimlik doğrulama: Kimlik doğrulama sertifikasının ve temaslı yonganın Genel
Müdürlük tarafından verildiğinin ve geçerliliğinin KEC kullanılarak kontrol
edilmesi, vatandaşın biyometrik verisinin KEC kullanılarak doğrulanması ve
vatandaşın kimlik kartından okunan fotoğrafının hizmet veren tarafından
doğrulanması yöntemidir.
f) Kimlik
doğrulama sertifikası ve PIN ile kimlik doğrulama: Kimlik doğrulama
sertifikasının Genel Müdürlük tarafından verildiğinin ve geçerliliğinin
Akıllı Kart Okuyucu kullanılarak kontrol edilmesi ve kimlik doğrulama
PIN’inin akıllı kart okuyucu kullanılarak doğrulanması yöntemidir.
g) KEC
kullanılarak kimlik doğrulama sertifikası ve PIN ile kimlik doğrulama:
Kimlik doğrulama sertifikasının ve temaslı yonganın Genel Müdürlük
tarafından verildiğinin ve geçerliliğinin KEC kullanılarak kontrol edilmesi
ve kimlik doğrulama PIN’inin KEC kullanılarak doğrulanması yöntemidir.
ğ) KEC
kullanılarak kimlik doğrulama sertifikası, PIN ve fotoğraf ile kimlik
doğrulama: Kimlik doğrulama sertifikasının ve temaslı yonganın Genel
Müdürlük tarafından verildiğinin ve geçerliliğinin KEC kullanılarak kontrol
edilmesi, kimlik doğrulama PIN’inin KEC kullanılarak doğrulanması ve
vatandaşın kimlik kartından okunan fotoğrafının hizmet veren tarafından
doğrulanması yöntemidir.
h) KEC
kullanılarak kimlik doğrulama sertifikası, PIN ve biyometrik veri ile
kimlik doğrulama: Kimlik doğrulama sertifikasının ve temaslı yonganın Genel
Müdürlük tarafından verildiğinin ve geçerliliğinin KEC kullanılarak kontrol
edilmesi, kimlik doğrulama PIN’inin ve vatandaşın biyometrik verisinin KEC
kullanılarak doğrulanması yöntemidir.
ı) KEC
kullanılarak kimlik doğrulama sertifikası, PIN, fotoğraf ve biyometrik veri
ile kimlik doğrulama: Kimlik doğrulama sertifikasının ve temaslı yonganın
Genel Müdürlük tarafından verildiğinin ve geçerliliğinin KEC kullanılarak
kontrol edilmesi, kimlik doğrulama PIN’inin ve vatandaşın biyometrik
verisinin KEC kullanılarak doğrulanması ve vatandaşın kimlik kartından
okunan fotoğrafının hizmet veren tarafından doğrulanması yöntemidir.
(2) Kimlik
doğrulama yöntemlerinden hangisinin veya hangilerinin kullanılacağı, hizmet
alan kurumun tabi olduğu mevzuat hükümlerine ve hizmetin niteliğine uygun
olarak hizmet alan tarafından belirlenir.
(3) Genel
Müdürlük tarafından belirlenecek diğer yöntemler standart olarak
tanımlandıktan sonra, kimlik tespit ve doğrulama yöntemi olarak
kullanılabilir.
DOKUZUNCU BÖLÜM
Çeşitli ve Son Hükümler
Faaliyet
raporu
MADDE 31 –
(1) KDHS, her yıl Mart ayı sonuna kadar Genel Müdürlüğe bir önceki yıla
ilişkin rapor verir. Rapor aşağıdaki asgari unsurları içerir:
a) Yıl içinde
sunulan hizmetin detaylarını,
b) Varsa
kendisine devredilen KDB verilerini,
c) Genel Müdürlük
tarafından istenecek diğer bilgi ve belgeleri.
(2) Genel
Müdürlük tarafından talep edilmesi durumunda, görevlendirilen ESHS,
EKDS’nin kullanımına yönelik rapor hazırlamakla sorumludur.
Tereddütlerin
giderilmesi
MADDE 32 –
(1) Bu Yönetmeliğin uygulanması sırasında doğabilecek tereddütleri ve
uygulamaya ilişkin aksaklıkları gidermeye Bakanlık yetkilidir.
Yürürlük
MADDE 33 –
(1) Bu Yönetmelik yayımı tarihinde yürürlüğe girer.
Yürütme
MADDE 34 –
(1) Bu Yönetmelik hükümlerini İçişleri Bakanı yürütür.
|