KEP (Kayıtlı Elektronik Posta) Nedir ?
Standart elektronik posta (SEP), internetin yaygınlaşması, her türlü bilgi ve belgenin kolaylıkla iletilebilmesi ve düşük maliyetli olması nedeniyle dünyada en yoğun kullanılan iletişim araçlarından ve kanallarından biri haline gelmiştir. SEP ile iletişim, güvenli kabul edilmeyen, iletimin kesin olarak sağlanamadığı ve inkâr edilebilen bir iletişim şekli olması nedeniyle yasal olarak geçerliliği bulunmamaktadır. Maliyeti düşüren, etkin ve hızlı olmayı sağlayan elektronik ortam üzerinde; yasal geçerliliği olan, güvenilir, inkâr edilemez bir iletişim ihtiyacı oluşmuştur. Bu doğrultuda "Kayıtlı Elektronik Posta", yasal olarak geçerli, güvenilir, inkâr edilemez ve ispatlanabilir bir iletişim yolu olarak kabul edilmektedir.KEP, bir elektronik postanın gönderen ve alan tarafların kim olduklarının bilinmesini, gönderim ve karşı tarafa iletim zamanını, içeriğinin değiştirilmediğinin kesin olarak tespit edilmesini e-imza ve zaman damgası ile gönderimdeki tüm adımları kayıt altına alarak yasal olarak geçerli hale getirmektedir. Kayıt altına alınan gönderim adımları, KEP delili olarak kabul edilmekte ve senet hükmündedir. Ayrıca, aksi ispat edilinceye kadar yasal olarak kesin delil sayılmaktadır.
KEP Sistemi Nedir ?
Kayıtlı elektronik posta (KEP), Yönetmelikte “elektronik iletilerin, gönderimi ve teslimatı da dâhil olmak üzere kullanımına ilişkin olarak hukukî delil sağlayan, elektronik postanın nitelikli şekli” olarak tanımlanmaktadır. KEP iletisi de “KEP sistemi içerisinde KEPHS tarafından üretilen KEP delilini içeren ve KEPHS’ nin işlem sertifikası ve zaman damgası ile imzalanmış ileti” olarak ifade edilmektedir. KEP sistemi, elektronik iletişim platformları aracılığıyla gerçekleşen, gönderildi ve alındı onayları da dâhil olmak üzere KEP iletilerinin tüm süreçlerine ilişkin olarak KEP delili oluşturulması, güvenli bir şekilde kimlik tespiti yapılması, KEP hesabı, KEP rehberi ve arşiv hizmetleri verilmesi gibi işlevlere sahip olan sistemdir. KEP sisteminde, standart e-posta adresleri kullanılmamakta, yetkili KEPHS tarafından, hesap sahibinin resmi belgelere dayanılarak kimlik bilgileri alınarak tahsis edilen/sağlanan kayıtlı e-posta adresleri kullanılmaktadır.KEP adresi sahibi gerçek veya tüzel kullanıcıların (gönderici veya alıcı), gerçekten o kişi olduklarının adres tahsisi/sağlanması aşamasında tespit edilmesi, hesap sahibinin KEP adresiyle ilgili yükümlülüklerinin ve sorumluluklarının farkında olması ve bunları bir sözleşme ve taahhütnameyi bizzat imzalayarak beyan etmesi büyük önem arz etmektedir. Mevzuatımıza göre, KEP sisteminde “gönderici” gerçek veya tüzel kişilerin, 5070 Sayılı Elektronik İmza Kanunu ve ilgili mevzuat çerçevesinde nitelikli elektronik sertifika (NES) sahibi olması ve KEP adreslerinin kullanıma açılmasını güvenli e-imzaları ile onaylaması ve KEP gönderilerinde güvenli e-imza kullanması zorunludur. Alıcıların güvenli e-imza sahibi olma zorunluluğu yoktur, elle atılan ıslak imzalarıyla veya güvenli e-imza ile KEP hesaplarının kullanıma açılmasını onaylayabilirler.
KEPHS Nedir ?
Kayıtlı elektronik posta sisteminde gönderilen ve alınan e-postalar, "güvenilir üçüncü taraf" rolünde olan, ilgili otoriteden (ülkemizde BTK’dan) yetki almış ve denetlemelere tabi bir güven kurumu niteliğindeki “kayıtlı e-posta hizmet sağlayıcı (KEPHS) üzerinden geçmektedir. Başka bir deyişle, KEP sistemi yetkili KEPHS’ler tarafından işletilmektedir. Yönetmeliğe göre, KEPHS’nin KEP sistemi üzerinden sunduğu hizmetlere ilişkin olarak oluşturduğu kayıtlar ile KEP delilleri senet hükmündedir ve aksi ispat edilinceye kadar kesin delil sayılmaktadır. KEPHS’ler, KEP sisteminin tüm süreçlerine ve işleyişine ilişkin bilgi, belge ve elektronik veriler ile işlemlerin yapıldığı zamana ve işlemleri yapan kişiye veya kişilere ait bilgileri içeren kayıtları, gizliliğini, bütünlüğünü ve erişilebilirliğini koruyarak en az yirmi yıl süreyle saklamakla yükümlüdürler.KEPHS’ ler; güvenli ürün ve sistemleri kullanmak, hizmeti güvenilir bir biçimde yürütmek, hizmetlerin belirlenen kalitede sunulabilmesini teminen gerekli idarî ve teknik imkân ve kabiliyetlere sahip olmak ve bu sistemlerde kişisel verilerin korunmasına ve bilgi güvenliğinin, iş sürekliliğinin ve olay yönetiminin sağlanmasına ilişkin BTK tarafından çıkarılan ikincil düzenlemelerde belirlenen kurallara ve koşullara uymak ile yükümlüdür. KEPHS, KEP sistemine ilişkin ana ve yedek sistemlerini Türkiye Cumhuriyeti sınırları içerisinde bulundurmak zorundadır. KEPHS’nin gönderilerin iletimi işlemlerinin yanında, ikinci en önemli temel işlevi KEP delillerini üretmesi ve hesap sahibinin veya işlem yetkilisinin talep etmesi hâlinde gerçek zamanlı olarak doğrulanmasını sağlamaktır.
KEPHS; bilgi güvenliği, veri tabanı yönetimi, bilgisayar ağları ve veri koruması gibi alanlarda konusunda yeterli meslekî deneyime sahip ya da ilgili alanlarda eğitim almış yeteri kadar teknik personel bulundurmak ve altyapısının/sistemlerinin bulunduğu bina veya alanın korunmasını sağlamakla yükümlüdür.
KEPHS, kayıtlı e-posta sisteminde çok önemli işlevi olan e-imza ve zaman damgası işlemleri için bağımsız/harici bir ESHS’den hizmet alması gerekmektedir. KEPHS’nin güvenli e-imza sertifikasını (nitelikli elektronik sertifika) ve zaman damgasını kendi içinde üretmesi güvenilirlik açısından uygun görülmemektedir. Aynı nedenle, ESHS’lerinin kayıtlı elektronik posta hizmeti vermesi de uygun görülmemektedir. Bu açıdan bakıldığında, ESHS’lerinin KEPHS, KEPHS’lerinin da ESHS olmasının güvenilir üçüncü taraf kavramına aykırı olması sebebiyle uygun olmadığı değerlendirilmektedir. Kayıtlı elektronik posta hizmet sağlayıcısının hizmetlerine ilişkin işlem verilerini imzalamak için kullandığı nitelikli elektronik sertifika Yönetmelikte “işlem sertifikası” olarak tanımlanmıştır. KEPHS’ler, kurumsal güvenli e-imzalama işlemlerini yürütmelerini sağlayacak, bu işlem sertifikalarını, ülkemizdeki yetkili ESHS’lerin birinden temin etmek zorundadırlar. Aynı şekilde KEPHS’leri KEP gönderim işlemlerini yürütürken, işlem zamanının kesin olarak belirlenebilmesini sağlamak için, zaman damgası hizmetlerini de yine yetkili ESHS’lerinden temin etmek zorundadırlar.
KEPHS, ETSI TS 102 640 standardında tarif edilen "sakla-ilet" veya "sakla-bildir" modellerinden en azından birinde hizmet vermek zorundadır. KEP iletilerinin, alıcının veya göndericinin KEP hesaplarına doğrudan ulaştırıldığı KEP çalışma modeli sakla-ilet olarak tanımlanmaktadır. Sakla-bildir ise, KEP iletilerinin KEPHS’nin sistemlerinde tutulduğu ve alıcının ya da göndericinin söz konusu iletilere erişebilmesini teminen KEP hesaplarına bir bağlantı (link) adresinin ulaştırıldığı modeli ifade etmek için kullanılmaktadır.
KEPHS, gönderilerin içeriğinin kopyasını tutmamakta veya saklamamaktadır, sadece iletim işlemlerini gerçekleştirmekte ve bu işlemlerle ilgili delilleri üretip sağlamaktadır. KEPHS, KEP sistemi içerisinde bir elektronik iletinin gönderilmesi ve alınması dışında elektronik belgelerin saklanması, güvenli iletişim ve elektronik ortamda güvenilir üçüncü taraf hizmetleri gibi katma değerli hizmetler sunabilir. Gönderilerin KEPHS tarafından da saklanması ancak göndericinin izniyle mümkün olabilir ve katma değerli bir hizmet olduğundan ayrı bir anlaşma gerektirir. Her tüzel veya gerçek kişi kullanıcı mutlaka aynı KEPHS’den da hizmet almak zorunda değildir, farklı hizmet sağlayıcılardan kayıtlı e-posta adresi ve hizmeti alarak güvenli ve yasal geçerli şekilde birbirleriyle iletişim kurabilirler. Ülkemizde bir KEPHS, her KEP hesabı için en az 100 MB depolama alanı sunmak ve 10 MB’a kadar büyüklükteki orijinal iletilerin gönderim/iletimini yapmak zorundadır. Bu büyüklükleri aşan durumlarda, kullanıcı ile ilave bir anlaşma yapılmamışsa, depolama alanı dolduğunda KEPHS ilgili KEP hesabından orijinal ileti gönderilmesini engelleyebilir ancak ileti alınmasını engelleyemez.
KEPHS, ETSI TS 102 640 standardında tarif edilen "sakla-ilet" veya "sakla-bildir" modellerinden en azından birinde hizmet vermek zorundadır. KEP iletilerinin, alıcının veya göndericinin KEP hesaplarına doğrudan ulaştırıldığı KEP çalışma modeli sakla-ilet olarak tanımlanmaktadır. Sakla-bildir ise, KEP iletilerinin KEPHS’nin sistemlerinde tutulduğu ve alıcının ya da göndericinin söz konusu iletilere erişebilmesini teminen KEP hesaplarına bir bağlantı (link) adresinin ulaştırıldığı modeli ifade etmek için kullanılmaktadır.
KEPHS, gönderilerin içeriğinin kopyasını tutmamakta veya saklamamaktadır, sadece iletim işlemlerini gerçekleştirmekte ve bu işlemlerle ilgili delilleri üretip sağlamaktadır. KEPHS, KEP sistemi içerisinde bir elektronik iletinin gönderilmesi ve alınması dışında elektronik belgelerin saklanması, güvenli iletişim ve elektronik ortamda güvenilir üçüncü taraf hizmetleri gibi katma değerli hizmetler sunabilir. Gönderilerin KEPHS tarafından da saklanması ancak göndericinin izniyle mümkün olabilir ve katma değerli bir hizmet olduğundan ayrı bir anlaşma gerektirir. Her tüzel veya gerçek kişi kullanıcı mutlaka aynı KEPHS’den da hizmet almak zorunda değildir, farklı hizmet sağlayıcılardan kayıtlı e-posta adresi ve hizmeti alarak güvenli ve yasal geçerli şekilde birbirleriyle iletişim kurabilirler. Ülkemizde bir KEPHS, her KEP hesabı için en az 100 MB depolama alanı sunmak ve 10 MB’a kadar büyüklükteki orijinal iletilerin gönderim/iletimini yapmak zorundadır. Bu büyüklükleri aşan durumlarda, kullanıcı ile ilave bir anlaşma yapılmamışsa, depolama alanı dolduğunda KEPHS ilgili KEP hesabından orijinal ileti gönderilmesini engelleyebilir ancak ileti alınmasını engelleyemez.
