Elektronik haberleşme hizmetlerinde kimlik doğrulamasına ait metotlar belirlendi Bilgi Teknolojileri ve Bağlantı Kurumunun, Elektronik Haberleşme Dalında Müracaat Sahibinin Kimliğinin Doğrulanma Süreci Hakkında Yönetmeliği, Resmi Gazete’de yayımlandı.
Bildirimle, abonelik kontratı, numara taşıma, işletmeci değişikliği, nitelikli elektronik sertifika, kayıtlı elektronik posta ve SIM değişikliği müracaatları süreçlerine ait evrakların elektronik ortamda düzenlenmesi halinde müracaat sahibinin kimliğinin doğrulanması emeliyle uygulanacak sürece ait yöntem ve temeller düzenlendi.
Düzenlemeyle, müracaat sahibinin süreçlerinin inançlı ve faal yollarla yapılması, sahtecilik, dolandırıcılık üzere güvenlik riski içeren kuşkulu süreçlerin önlenmesi, ulusal ve milletlerarası standartların dikkate alınması, azami ölçüde ulusal kaynakların kullanılması, ulusal güvenlik ve kamu nizamı gerekleri ile acil durum muhtaçlıklarının gözetilmesi ile tüketici hak ve menfaatlerinin gözetilmesi amaçlandı.
Buna nazaran, işletmeci ya da hizmet sağlayıcı, kapsamdaki süreçleri yüz yüze kanallardan, kendi internet sitesinden, taşınabilir uygulamalardan yahut gibisi mecralar üzerinden elektronik ortamda inançlı bir biçimde müracaat sahibine sunabilecek. Müracaat sahibinin kimlik doğrulama süreci, e-Devlet Kapısı, Memleketler arası Sivil Havacılık Teşkilatı (ICAO) 9303 standardına uygun “yakın alan iletişimi” özelliği olan evrak ile birlikte yapay zeka yahut yetkili marifetiyle manzaralı doğrulama, Türkiye Cumhuriyeti Kimlik Kartı (TCKK) ile bir arada PAdES (gelişmiş elektronik imza) oluşturma, yüz yüze kanallarda müracaat sahibinin kimlik evrakı ile birlikte sürece özgülenecek görüntü imajı alma formları vasıtasıyla yapılabilecek.
İşletmeci, müracaat sahiplerinin kimlik doğrulama ayrıntılarının bilgi sistemlerinde, şifreli yahut matematiksel olarak geriye dönüştürülmesi mümkün olmayan tekniklerle koruma edilmesine, kimlik doğrulama emeliyle aktarılırken şifrelenmesine, sürecin maksadına, yetkisiz erişimlere yahut bakılırsavler ayrılığı prensibine alışılmamış olarak denetimsiz bir biçimde gerçekleştirilecek değişikliklere karşı korunmasına ve bilgi sistemlerinde gerçekleştirilen tüm süreçlere ait süreç kayıtlarının saklılığı, güvenliği ile bütünlüğünün sağlanarak tutulmasına ait tedbirleri alacak.
YAPAY ZEKA KULLANILACAK
Müracaat sahibinin kimlik doğrulaması, e-Devlet Kapısı vasıtasıyla yapılabileceği üzere yapay zeka yahut yetkili ile imajlı kimlik doğrulama yoluyla da gerçekleştirilebilecek. İmajlı kimlik doğrulaması gerçek vakitli ve kesintisiz biçimde yapılacak. Müracaat sahibinin kimlik evrakının üstündeki fotoğraf da dahil olmak üzere kimlik ayrıntıları, “yakın alan iletişimi” formülüyle alınacak. İmajlı kimlik doğrulama sırasında müracaat sahibinin canlılığını tespit edici teknikler kullanılacak. Kimlik ibraz eden müracaat sahibinin hazırda bulunduğunun teyidi emeliyle, müracaat sahibinin yüzünün, tam ve net olarak görülebileceği aydınlık ortamda, gözlerinin açık olduğu biçimde farklı açılardan kamera imajı alınacak. İşletmeci/hizmet sağlayıcı hazırda bulunan müracaat sahibinin alınan canlı manzarasındaki yüzü ile kimlik dokümanında yer alan fotoğrafın karşılaştırmasını yapay zeka usulüyle yahut işletmeci/hizmet sağlayıcı yetkilisi marifetiyle yapacak.
Yüz yüze yapılan süreçlerde kimlik doğrulamada ise PDF ile PAdES-LTV (elektronik imza formatı) oluşturmak suretiyle kimlik doğrulanabilecek. Alternatif olarak, müracaat sahibinin kimlik evrakı ile bir arada sürece özgülenecek görüntü imajı alınarak kimlik doğrulaması yapılabilecek.
Kimlik doğrulamanın yüz yüze yapılması durumunda evvela müracaat sahibi, irtibat numarası yahut elektronik posta adresini beyan edecek. Bu numara yahut elektronik posta adresine tek kullanımlık parola yahut link gönderilerek, beyan edilen irtibat bilgisinin kullanıldığı teyit edilecek.
Yönetmelik kapsamındaki tüm yordamlar için işletmeci kimlik doğrulaması yapılan süreç dokümanının tanzimine dair ilgili mevzuatta yer alan yükümlülükleri yerine getirecek.
Yapılan tüm süreçler kayıt altına alınacak ve elde edilen bilgiler sadece idari ve isimli makamların süreçleri ile müracaat süreci yapan müracaat sahibinin kimlik doğrulaması hedefi için kullanılacak.
Yönetmelik kapsamında kayıt altına alınan ve elde edilen datalar ilgili mevzuatta yer alan saklama müddetleri boyunca saklanacak.
İşletmeci/hizmet sağlayıcı, elektronik kalem yahut gibisi usulle şahısların biyometrik datalarını elektronik ortamda alamayacak.
İşletmeci/hizmet sağlayıcı, sahtekarlık, kimlik tespiti tekniğine ait zayıflıklar üzere durumlar için teknolojik gelişmeleri yakından takip ederek gerekli güncellemeleri yapacak.
Islak imza yahut inançlı elektronik imza ile imzalanan evraklar hariç olmak üzere, yönetmeliğin yürürlüğe girdiği tarihtilk evvel yapılmış abonelik kontratları, numara taşıma başvurusu, işletmeci/hizmet sağlayıcı değişikliği başvurusu, nitelikli elektronik sertifika başvurusu, kayıtlı elektronik posta başvurusu, SIM değişikliği başvurusu evrakları için işletmeci yönetmeliğin yürürlüğünü takip eden üç ay ortasında; süreç evrakı tarafına ilişkin kimlik numarası bilgisi ve son yedi karakterinin üçü maskelenmiş olan telefon, hizmet yahut nitelikli elektronik sertifika numarası ya da kayıtlı elektronik posta adresi bilgisini taşınabilir elektronik haberleşme işletmecilerine ve e-Devlet Kapısının sunmuş olduğu bilgilendirme sistemine iletecek.
Yönetmelik, 31 Aralık 2021 tarihinde yürürlüğe girecek.
Bildirimle, abonelik kontratı, numara taşıma, işletmeci değişikliği, nitelikli elektronik sertifika, kayıtlı elektronik posta ve SIM değişikliği müracaatları süreçlerine ait evrakların elektronik ortamda düzenlenmesi halinde müracaat sahibinin kimliğinin doğrulanması emeliyle uygulanacak sürece ait yöntem ve temeller düzenlendi.
Düzenlemeyle, müracaat sahibinin süreçlerinin inançlı ve faal yollarla yapılması, sahtecilik, dolandırıcılık üzere güvenlik riski içeren kuşkulu süreçlerin önlenmesi, ulusal ve milletlerarası standartların dikkate alınması, azami ölçüde ulusal kaynakların kullanılması, ulusal güvenlik ve kamu nizamı gerekleri ile acil durum muhtaçlıklarının gözetilmesi ile tüketici hak ve menfaatlerinin gözetilmesi amaçlandı.
Buna nazaran, işletmeci ya da hizmet sağlayıcı, kapsamdaki süreçleri yüz yüze kanallardan, kendi internet sitesinden, taşınabilir uygulamalardan yahut gibisi mecralar üzerinden elektronik ortamda inançlı bir biçimde müracaat sahibine sunabilecek. Müracaat sahibinin kimlik doğrulama süreci, e-Devlet Kapısı, Memleketler arası Sivil Havacılık Teşkilatı (ICAO) 9303 standardına uygun “yakın alan iletişimi” özelliği olan evrak ile birlikte yapay zeka yahut yetkili marifetiyle manzaralı doğrulama, Türkiye Cumhuriyeti Kimlik Kartı (TCKK) ile bir arada PAdES (gelişmiş elektronik imza) oluşturma, yüz yüze kanallarda müracaat sahibinin kimlik evrakı ile birlikte sürece özgülenecek görüntü imajı alma formları vasıtasıyla yapılabilecek.
İşletmeci, müracaat sahiplerinin kimlik doğrulama ayrıntılarının bilgi sistemlerinde, şifreli yahut matematiksel olarak geriye dönüştürülmesi mümkün olmayan tekniklerle koruma edilmesine, kimlik doğrulama emeliyle aktarılırken şifrelenmesine, sürecin maksadına, yetkisiz erişimlere yahut bakılırsavler ayrılığı prensibine alışılmamış olarak denetimsiz bir biçimde gerçekleştirilecek değişikliklere karşı korunmasına ve bilgi sistemlerinde gerçekleştirilen tüm süreçlere ait süreç kayıtlarının saklılığı, güvenliği ile bütünlüğünün sağlanarak tutulmasına ait tedbirleri alacak.
YAPAY ZEKA KULLANILACAK
Müracaat sahibinin kimlik doğrulaması, e-Devlet Kapısı vasıtasıyla yapılabileceği üzere yapay zeka yahut yetkili ile imajlı kimlik doğrulama yoluyla da gerçekleştirilebilecek. İmajlı kimlik doğrulaması gerçek vakitli ve kesintisiz biçimde yapılacak. Müracaat sahibinin kimlik evrakının üstündeki fotoğraf da dahil olmak üzere kimlik ayrıntıları, “yakın alan iletişimi” formülüyle alınacak. İmajlı kimlik doğrulama sırasında müracaat sahibinin canlılığını tespit edici teknikler kullanılacak. Kimlik ibraz eden müracaat sahibinin hazırda bulunduğunun teyidi emeliyle, müracaat sahibinin yüzünün, tam ve net olarak görülebileceği aydınlık ortamda, gözlerinin açık olduğu biçimde farklı açılardan kamera imajı alınacak. İşletmeci/hizmet sağlayıcı hazırda bulunan müracaat sahibinin alınan canlı manzarasındaki yüzü ile kimlik dokümanında yer alan fotoğrafın karşılaştırmasını yapay zeka usulüyle yahut işletmeci/hizmet sağlayıcı yetkilisi marifetiyle yapacak.
Yüz yüze yapılan süreçlerde kimlik doğrulamada ise PDF ile PAdES-LTV (elektronik imza formatı) oluşturmak suretiyle kimlik doğrulanabilecek. Alternatif olarak, müracaat sahibinin kimlik evrakı ile bir arada sürece özgülenecek görüntü imajı alınarak kimlik doğrulaması yapılabilecek.
Kimlik doğrulamanın yüz yüze yapılması durumunda evvela müracaat sahibi, irtibat numarası yahut elektronik posta adresini beyan edecek. Bu numara yahut elektronik posta adresine tek kullanımlık parola yahut link gönderilerek, beyan edilen irtibat bilgisinin kullanıldığı teyit edilecek.
Yönetmelik kapsamındaki tüm yordamlar için işletmeci kimlik doğrulaması yapılan süreç dokümanının tanzimine dair ilgili mevzuatta yer alan yükümlülükleri yerine getirecek.
Yapılan tüm süreçler kayıt altına alınacak ve elde edilen bilgiler sadece idari ve isimli makamların süreçleri ile müracaat süreci yapan müracaat sahibinin kimlik doğrulaması hedefi için kullanılacak.
Yönetmelik kapsamında kayıt altına alınan ve elde edilen datalar ilgili mevzuatta yer alan saklama müddetleri boyunca saklanacak.
İşletmeci/hizmet sağlayıcı, elektronik kalem yahut gibisi usulle şahısların biyometrik datalarını elektronik ortamda alamayacak.
İşletmeci/hizmet sağlayıcı, sahtekarlık, kimlik tespiti tekniğine ait zayıflıklar üzere durumlar için teknolojik gelişmeleri yakından takip ederek gerekli güncellemeleri yapacak.
Islak imza yahut inançlı elektronik imza ile imzalanan evraklar hariç olmak üzere, yönetmeliğin yürürlüğe girdiği tarihtilk evvel yapılmış abonelik kontratları, numara taşıma başvurusu, işletmeci/hizmet sağlayıcı değişikliği başvurusu, nitelikli elektronik sertifika başvurusu, kayıtlı elektronik posta başvurusu, SIM değişikliği başvurusu evrakları için işletmeci yönetmeliğin yürürlüğünü takip eden üç ay ortasında; süreç evrakı tarafına ilişkin kimlik numarası bilgisi ve son yedi karakterinin üçü maskelenmiş olan telefon, hizmet yahut nitelikli elektronik sertifika numarası ya da kayıtlı elektronik posta adresi bilgisini taşınabilir elektronik haberleşme işletmecilerine ve e-Devlet Kapısının sunmuş olduğu bilgilendirme sistemine iletecek.
Yönetmelik, 31 Aralık 2021 tarihinde yürürlüğe girecek.