Elektronik imza nedir? Başlangıç rehberi

Elektronik ortamda bir kira sözleşmesi imzalamış, bir iş teklifini kabul etmiş ya da dijital bir anlaşmanın şartlarını kabul etmişseniz elektronik bir imza kullanmışsınız demektir. Bu imzalar, yasal olarak bağlayıcı anlaşmaları kâğıt kullanmadan ya da fiziki bir belge taramadan doldurmanızı sağladığı için şirket, mahkeme ve devlet kurumlarının iş akışlarında sıklıkla kullanılır.

Bu rehberde elektronik imzanın ne olduğu, nasıl çalıştığı ve yasal bağlamdaki konumu hakkında bilgi alacaksınız. Rehberimizde ayrıca e-imzaların nerede kullanıldığından, e-imza aracınızı nasıl seçeceğinizden ve e-imza kullanımının kişisel ve profesyonel hayatınıza nasıl katkıda bulunacağından da bahsedeceğiz.

E-imza nedir?

Birinin bir belgenin içeriğini kabul ettiğini gösteren her türlü elektronik işleme e-imza denir. Bu, isim tuşlama, imza çizme, bir butona tıklama ya da bir kutucuğu işaretleme şeklinde olabilir. U.S. Electronic Signatures in Global and National Commerce Act (E-İmza Yasası) gereğince bir sözleşme veya kayda bağlı olup imzalamada kullanılan her türlü elektronik ses, sembol ve süreç, e-imza olarak kabul edilir.

Çoğu modern e-imza platformu; zaman damgası, e-posta adresleri ve IP verilerinden oluşan ayrıntılı bir denetim geçmişi oluşturarak imzalayan kişinin kimliği ve eylemlerini ispatlamaya yardımcı olur.

Elektronik imza ile dijital imza arasındaki fark

E-imza ile dijital imza aynı görülebilse de aslında öyle değildir. E-imza, mutabakatı işaret eden her türlü elektronik işlemi kapsayan genel bir terimdir. Dijital imza ise imzalayan kişinin kimliğini doğrulamak ve belgeyi kurcalamaya karşı korumak için özel şifrelemeler ve sertifikalar kullanan spesifik bir elektronik imzadır.

Bir dijital imza attığınızda yazlım, dosyada özel bir parmak izi oluşturur. Biri tek bir kelimeyi değiştirse bile bu parmak izi bozulur. Dijital imzalar ayrıca çıkarılmış bir sertifikayı kullanıcıya bağladığı için dijital pasaport işlevi de görür.

Finans, sağlık ve hukuk gibi devlet kontrolündeki sektörlerde dijital imzalar, isim tuşlama ya da kutucuk işaretleme gibi temel seviyedeki elektronik imzalardan daha güçlü bir ispat sunar. Bunun sebebi, imzalayan kişinin kimliğinin kriptografik bir sertifikaya bağlanıp belgenin mühürlenmesidir. Bu sayede, imza sonrası yapılan her türlü değişiklik anında tespit edilebilir.

DocuSign ve Adobe Sign gibi platformlar, imzalayan kişinin dijital sertifikasını son belgeye gömer. Bu da imzalayan kişinin kimliğini doğrular ve her türlü kurcalamanın fark edilmesini sağlar.

E-imzanın elle attığım imzaya benzemesi zorunlu mudur?

Hayır. İsterseniz benzeyebilir ama bu bir zorunluluk değildir. İster isminizi tuşlayın, ister bir kutucuğu işaretleyin, isterseniz de imzanıza pek de benzemeyen bir şey çizin; her biri e-imza olarak kabul edilir.

E-imzalar nasıl çalışır?

E-imzalar farklı güvence seviyelerinde uygulanabilir. Standart e-imzalar, gerektirdiği minimum uğraşla imzalama kolaylığına öncelik verdiği için hacmi yüksek, riski düşük belgeler için idealdir. Dijital imzalar ise kişinin kimliğini ve belgenin bütünlüğünü doğrulamak için ek kriptografik önlemlere sahiptir.

Standart e-imza teknolojisi

Standart imzalarda platformun asıl amacı, imzalayan kişinin niyetini hızlı bir şekilde öğrenmektir. Genelde PDF veya HTML biçiminde olan belge, web arayüz ya da uygulama üzerinde gösterilir. İmzalayan kişinin; ismini tuşlaması, fare ya da touchpad ile izlemesi ya da "Kabul ediyorum” yazan bir kutucuğu işaretlemesi gerekebilir.

Belge imzalandığı zaman sistem, arka planda, imzalayan kişinin e-posta adresi, IP adresi ve bazen de kullanılan cihaz gibi bilgilerden oluşan bir denetim geçmişi oluşturur. Bazı platformlar, e-posta doğrulama veya SMS kodu gibi ek adımlar içerebilir. Bunların amacı, belgeyi imzalayanın doğru kişi olduğunu doğrulamaktır ama imza ile belge arasında kriptografik bir bağlantı oluşturulmaz. Bu bağlantı olmazsa da imza sonrasında belgede yapılan değişiklikler otomatik olarak tespit edilemez.

Dijital imza teknolojisi

Dijital bir imza, imzalayan kişinin kimliğini belgeye bağlamada kullanılan bir tür e-imzadır. Bu imza, imzalayan kişinin kontrol ettiği özel bir anahtar ile başkalarının, atılan imzayı doğrulamada kullandığı açık bir anahtardan oluşan açık anahtar altyapısından (PKI) faydalanır. Anahtarlar, saygın bir sertifika yetkilisi (CA) tarafından çıkarılmış, imzalayan kişinin kimliğini onaylayan dijital bir sertifikaya bağlanır. Bu konsept, açık anahtar şifrelemesinden faydalanarak e-posta mesajlarını koruyan Pretty Good Privacy (PGP) ile benzerdir.

İmzalayan kişi, eylemi tamamladığında platform ilk olarak belgeyi Secure Hash Algorithm 256-bit (SHA-256) gibi bir hashing algoritmasından geçirir. Daha sonra, hash adı verilen bu kod, imzalayanın özel anahtarıyla şifrelenir. İşte bu, dijital imzadır. Belgede daha sonra tek bir harf bile değişirse hash, aslından farklı olacaktır.

Alıcının sistemi, belgenin orijinalliğini kontrol etmek için imzalayanın sertifikasındaki açık anahtarı kullanarak imzanın şifresini çözer ve asıl hash’i ortaya çıkarır. Ardından, alınan belgeden yeni bir hash oluşturur ve ikisini karşılaştırır. Değerler aynı çıkarsa belgenin değişmediği ve imzanın gerçek olduğu ortaya çıkar.

Bu işlem, bir programın çıkışı öncesinde modifiye edilmediğinden emin olmak için YubiKey kullanarak kodların doğrulanması gibi diğer güvenlik işlemlerinde de kullanılır. Sürecin tamamı, CA’nın oluşturduğu sertifikanın geçerli ve güvenilir olmasına dayanır.

Belgeler elektronik ortamda nasıl imzalanır

Elektronik imzalar genel hatlarıyla şu şekilde çalışır:

1. Dosyayı yükleyin: Gönderen kişi belgeyi (PDF, Word ya da desteklenen başka bir biçim) imza platformuna yükler.
2. Alıcıları belirleyip dosyayı gönderin: Gönderen kişi alıcıları ekler, imzalanacak alanları belirler ve gerekirse imza emri oluşturduktan sonra belgeyi imzalanması için gönderir.
3. İmzayı ekleyin: Belgeyi imzalayacak her kişi ismini yazarak, imzayı çizerek ya da bir imza görseli yükleyerek imzasını girer. Platform ise işlemler, zaman damgaları, bazı durumlarda imzalayanın e-posta adresi ve IP adresinden oluşan bir denetim geçmişi oluşturur.
4. Dosyayı koruyun: Sertifika tabanlı bir imza kullanılmışsa platform, alıcıların kimliğini ve belge bütünlüğünü doğrulayabilmesi için imzalayanın dijital sertifikasını ve kriptografik ispatını belgeye gömer.
5. Kilitleyin ve sonlandırın: Bir dijital imza atıldığında, imza sonrası yapılan herhangi bir değişiklik, doğrulanmada hata görülmesine sebep olur.
6. Kopyaları gönderin: Belgeyle ilgili olan herkes belgenin son hâlini, genelde bir doldurma sertifikasıyla birlikte alır.

E-imzalar güvenli midir?

Bu, platformun uyguladığı imza ve güvence seviyesine göre değişen bir durumdur. Temel seviyedeki e-imzalar yalnızca bir belgenin imzalandığını onaylarken ileri seviye dijital imzalar; şifreleme, hashing ve PKI gibi teknolojiler kullanarak kurcalamayı önler ve kimliği doğrular.

İstenilen güvenlik seviyesine göre kimlik kontrolleri, e-posta kodlarından biyometrik taramalara ya da dijital sertifikalara kadar uzanabilir.

Güvenli platformlar hassas belgeleri şifreler ve bilgi güvenliğini yönetmede kullanılan uluslararası bir ölçüt olan International Organization for Standardization (ISO) 27001 gibi standartları kullanır. Bu yaklaşım, verilerin çalınmasını önleyen geniş siber güvenlik prensipleri ile de uyumludur.

E-imza türleri

E-imzalar, imzayı imzalayan kişiye bağlarken ne kadar güvenliği olduğuna ve belgeyi kurcalamaya karşı ne kadar koruyabildiğine göre üç seviyeyle sınıflandırılır.

Düşük güvence

Basit Elektronik İmzalar (SES), resmî olmayan düşük riskli belgeler içindir. Bunlar genelde ismin tuşlanması, imza görselinin yüklenmesi ya da touchscreen üzerinde çizilmesiyle oluşturulur. İmzalayanın kimliğini doğrulamaz ya da güvenlik özelliği içermez. Niyet ve rıza açık bir şekilde ortadaysa SES’ler yasal ortamda geçerli sayılabilir ama çekişmelerde zayıf ispat olarak kabul edilir ve yüksek güvenceli yöntemlere kıyasla çok daha kolay bir şekilde yalanlanabilir.

Yüksek güvence

Gelişmiş Elektronik İmzalar (AES) kimlik doğrulama ve kurcalama önleme teknolojisine sahiptir. İmzalayan kişi dijital bir sertifika, giriş bilgisi ya da tek kullanımlık bir kod ile doğrulanır ve imzanın kendisi de kriptografik hashing ile mühürlenir. İmza sonrasında belgede değişiklik yapılırsa doğrulama başarısız olur. AES, hesap sorulabilirliğin gerektiği ticaret, finans ve hukuki anlaşmalarda standart olarak kabul edilir.

Denetlenen yüksek güvence

Nitelikli Elektronik İmzalar (QES) AB’nin Electronic Identification and Trust Services (eIDAS) yönergesi gibi yasal zorunlulukları yerine getiren imzalardır. İmzalayanın kimliği resmî bir kontrol sonrasında doğrulanır. Bunun için yüz yüze veya uzaktan video aracılığıyla kimlik doğrulanması gerekir ve genelde pasaport ya da kimlik kartı gibi bir belgenin sunulması istenir.

Ardından, onaylı bir sağlayıcı tarafından bir sertifika çıkarılır ve bu sertifika, akıllı kart ya da donanım token’ı gibi güvenli bir cihazda saklanır. QES mümkün olan en güçlü yasal desteği sağlar ve kullanımı finansal ya da hukuki bazı sözleşmelerde zorunludur.

E-imzalar yasal olarak bağlayıcı mıdır?

Çoğu yargı alanında öyledir. Elektronik imzalar belli başlı bazı şartların karşılandığı durumlarda ABD, AB ve diğer pek çok bölgede yasal olarak bağlayıcıdır. ABD’nin e-imza yasası, Uniform Electronic Transactions Act (UETA) ve AB’nin eIDAS yönergesi, sırf elektronik diye bir imzanın yasal geçerliliğinin reddedilemeyeceğini açıkça belirtir.

E-imzayı yasal olarak geçerli kılan nedir

Gerekenlerin tam listesi, yargı alanına göre değişse de çoğu e-imza kanunu (ABD E-Sign Act, UETA ve ABD eIDAS Regulation gibi) aşağıdaki temel unsurları tanır:

• İmzalama niyeti: Kişinin yapılan eylemin mutabakat ile sonuçlanacağını bilmesi gerekir.
• Elektronik imza rızası: Her iki tarafın da elektronik imza kullanımını kabul etmesi gerekir. Çoğu yerde bu rızanın açıkça ifade edilmesi zorunludur.
• İmzayı belgeye bağlama: İmzanın dosyaya gömülmesi ya da imza ile belgenin birbirine ait olduğunu gösterecek şekilde kilitlenmesi gerekir. İmza farklı bir sistemde (e-posta veya harici bir kayıt gibi) duruyorsa belgenin belirli bir sürüm için imzalandığını ispatlamak zorlaşır.
• Muhafaza ve erişim: İmzalayan herkesin, belgenin son sürümüne sonlandığı şekilde ulaşabilmesi gerekir. Platform bunu sağlayamazsa ya da biri daha sonra imzaladığı dosyayı görmediğini iddia ederse imzanın yasal geçerliliği zayıflar.
• Bütünlük ispatı: İmzalandığı zamandan itibaren belgede hiçbir değişiklik yapılmadığının ispat edilmesi gerekir. Bu genelde kurcalama uyarısı, dijital mühür veya dosya hash’leri aracılığıyla yapılır.

E-imzalar mahkemede kullanılabilir mi?

Evet ve sıklıkla kullanılır da. Mahkemeler imzalayanın iddia ettiği kişi olduğuna, imza atmaya niyet ettiğine ve belgenin kurcalanmadığına dair açık kanıtlar görmek ister. Yüksek güvenceli e-imzalar ıslak imzalara göre daha güçlü bir kanıt sunar çünkü e-imzalarda taklit veya itiraz etmesi zor olan dijital denetim geçmişleri, kimlik doğrulamalar ve kurcalama karşıtı mühürler bulunur.

Kanıt için aşağıdakiler gerekir:

• Doğrulama bilgileri: E-postayla giriş, IP adresi, iki adımlı doğrulama (2FA) kodu ya da imzalayan kişiye bağlanan dijital bir sertifika, doğrulama bilgisi olarak kabul edilir. Yöntem ne kadar ayrıntılı ve güvenliyse o kadar iyidir.
• Niyet ispatı: "Kabul ediyorum” ya da "Sözleşmeyi İmzala” gibi zaman damgalı bir işlem, rıza olduğunu gösterir. Bazı platformlar, imzalamadan önce kişinin belgeyi en son ne zaman kontrol ettiğini de gösterebilir.
• Denetim kayıtları: Belgenin ne zaman açıldığı, kimin eriştiği, hangi cihazın kullanıldığı ve imzaların ne zaman atıldığı gibi her türlü adım burada ayrıntılı bir şekilde bulunur.
• Dosya bütünlük göstergesi: Bu, belgenin imzalandıktan sonra değiştirilmediğini gösteren bir PDF imza paneli ya da belgenin içeriklerini doğrulayan bir hash değeri şeklinde olabilir.

E-imza nerede kullanılır?

E-imza artık pek çok sektörün günlük işlerinin bir parçasıdır. E-imzaların sıklıkla kullanıldığı yerlerin bazılarını aşağıdan görebilirsiniz.

Finans ve bankacılık

Bankalar ve sigortacılar hesap açma, kredi anlaşması, mortgage sözleşmesi, kredi kartı başvuruları ve kural değişimleri için e-imza kullanırlar. Müşteriler herhangi bir ofise gitmeye gerek olmadan belgelerini internet üzerinden kontrol edip güvenle imzalayabilirler.

Elektronik imza platformları; finans kurumlarının mevzuat düzenlemelerine uyumluluk göstermelerini, hassas bilgileri şifre ve erişim kontrolleriyle korumayı ve onay iş akışlarını otomatikleştirmeyi sağlayarak kurallara uyma işini hızlandırırken güvenliği de artırır.

İnsan kaynakları ve işe alma

İK işe alım sürecinde, personelin ilk çalışma gününden önce mektup, vergi formu ve gizlilik sözleşmesi gibi belgeler gönderir. E-imza sayesinde kâğıtla uğraşmadan tüm belgeler imzalanabilir. Ayrıca kimin neyi imzaladığını, hangi belgelerin eksik olduğunu takip etmek de kolaylaşır.

Kural değişiklikleri ve terfilerde ise onay ve tanıma işlemleri için yine e-imzalar kullanılır. İK verilerinin çoğu hassas bilgi sayıldığı için erişimin kontrol edildiği ya da indirmelerin kısıtlandığı e-imza araçları sıklıkla kullanılır.

Devlet hizmetleri ve hukuki hizmetler

Devletler vergi beyannamesi, izinler ve yardım başvuruları gibi vatandaşlık hizmetleri için e-imza kullanabilirler. İlgili elektronik imza yönergeleri ve mahkeme kurallarına uygun olduğu sürece pek çok mahkeme de yeminli ifade ve dilekçelerde e-imzaları kabul etmektedir.

Şirketler yasal uygulamalarda sözleşmeler, müşteri anlaşmaları ve hesaplaşmalarda e-imza kullanırlar. Bazı belgeler için mürekkep ve tasdik gerekse de günümüzde çoğu şirket belgesi, elektronik ortamda işlenir. Özellikle de denetim takibi, çekişme durumunda oldukça kullanışlıdır.

Satış ve sözleşme yönetimi

Satış dünyasında zamanlama her şeydir. Bir sözleşmeyi aynı gün gönderip yüz yüze görüşmeden imzalatabilmek büyük fark yaratır. Satış ekipleri, Müşteri İlişkileri Yönetimlerine (CRM) e-imza araçları bağlar, böylece sistem bir anlaşma yapıldığında belgeyi hemen gönderebilir ve imzalandığında kaydedebilir.

Sözleşme tarafında ise şirketler aynı araçları kullanarak satıcı anlaşmaları ya da kural güncellemelerini ortaklarına gönderirler. İmza peşinde koşmak yerine imza geldiğinde bildirim alırlar. Sistem belgenin son hâli dâhil her şeyi kaydeder.

Hangi e-imza aracını kullanmalı

İnternette pek çok e-imza aracı bulunur. İhtiyaçlarınıza en uygun olanı seçmek için aşağıdakilere dikkat etmeniz gerekir.

Güvenlik ve uygunluk

Kullandığınız hizmetin verilerinizi şifrelediğinden, belgelerin kurcalanmasını önlediğinden ve yaşadığınız ya da çalıştığınız yerdeki yasal standartlara uyduğundan emin olun. Denetim altındaki bir sektörde çalışıyorsanız AB’nin eIDAS yönetmeliği ya da ISO 27001 bilgi güvenliği gibi ilgili yasa ve standartlara dikkat edin.

Doğrulama seçenekleri

Basit e-imza araçlarında kimliğiniz e-posta ile doğrulanır. Daha ileri düzey olanları ise SMS kodu, PIN veya yüz yüze ya da güvenli video aracılığıyla kimlik kartı kontrolü gibi ekstra adımlara sahiptir. Gönderdiğiniz belgenin risk seviyesine göre istediğinizi kullanabilirsiniz. Elbette yemek siparişi için pasaport kontrolü yapmanıza gerek olmayacaktır ama yasal sözleşmeler için daha güçlü önlemler almak isteyebilirsiniz.

Belge iş akışı ve özellikleri

Aynı formu tekrar tekrar gönderiyorsanız şablonlarla zamandan tasarruf edebilirsiniz. Bunun için doldurulabilir alanlar ekleyebilmeli, imza emri verebilmeli (alıcıların imza atmaları istendiği durum), hatırlatıcı gönderebilmeli ve kimin imzaladığını takip edebilmeniz gerekir. Yapacaklarınıza uygun olan ve bunu yaparken gereksiz işlemler eklemeyen bir aracı tercih edin.

Bütünlük ve uyumluluk

Aracın kullandığınız dosya türleriyle uyumlu olması ve mümkünse e-posta, CRM ya da bulut depolama gibi diğer programlara bağlanabilmesi gerekir. Mevcut iş akışınızla bütünleşmiyorsa fazladan uğraşmanız gerekeceğinden işinizi yavaşlatacaktır.

Kullanım kolaylığı

En iyi e-imza platformları, imza işlerini hem belgeyi gönderen hem de belgeyi imzalayan için kolaylaştırır. İmzalayan kişinin belgeyi açabilmesi, gerekli alanları doldurabilmesi ve çok uğraşmadan imzalayabilmesi gerekir. Çok kişinin bulunduğu işlerde bile kolay anlaşılır ekran talimatları ve mobil dostu erişimle gecikmelerin önüne geçilebilmelidir.

Fiyat ve ölçeklenebilirlik

Bazı platformların ücretsiz sürümleri vardır ama bunlar genelde gönderilebilir belge sayısı ve içeriği bakımından fazlasıyla kısıtlıdır. Düzenli kullanım için işletmelere özel planlar önerilir. Bu planlar kullanıcı başına aylık $15–$40 USD civarındadır. Belge hacmi sınırlarına ve SMS ile gönderme ya da alıcı kimliğini doğrulama gibi hizmetlerin ek ücretlerine dikkat edin.

Sunulan hizmeti kendi uygulamanıza entegre etmek istiyorsanız API çağrı sınırını kontrol edin. Sisteminizin imza için belge gönderme ya da durum bilgisi alma gibi e-imza platformuna yaptığı her türlü işleme API çağrısı adı verilir. Bazı sağlayıcılar aylık çağrı kotanızı aşarsanız ekstra ücret alır. Ölçeği büyütüyorsanız fiyatın ve sınırların iş akışınıza ne kadar uyduğunu görmek için ücretsiz deneme sürümünden yararlanın.

E-imza kullanmanın başlıca avantajları

Elektronik imzalara geçerek aşağıdakilerden faydalanabilirsiniz:

Daha hızlı dönüş süresi

Siz belgeyi gönderirsiniz, belgeyi gönderdiğiniz kişi de telefon ya da bilgisayarında imzalar. Hepsi bu kadar. Amacınız ister satış kapama, ister yeni birini işe kabul etme, isterseniz de onay alma olsun, e-imza sayesinde her şey daha pürüzsüz gerçekleşir. E-imza her an, her yerden atılabildiği için işiniz hızlanır.

Maliyetten kısma

Kâğıt üzerinde imzalamanın yazıcı, mürekkep, posta ve kurye maliyetinin yanı sıra takip için efor ve zaman harcanmasının gerekmesi gibi dezavantajları vardır. E-imzalar bunların çoğunu ortadan kaldırır. Tasarruf ettiğiniz zamanla diğer işlerinizi halledebilirsiniz. E-imza programları ücretsiz olmasa da zamanı ve kaynakları göz önüne alan çoğu şirket, bunun ne kadar kârlı bir anlaşma olduğunda hemfikirdir.

Kolaylaşan uyumluluk ve denetim takibi

İşlemler otomatik olarak kaydedildiği için elektronik imzalarla takip çok kolaydır. Bu özellikle de sağlık ve finans gibi devlet denetimi altındaki sektörlerde büyük bir avantajdır. Bazı platformlar uyumluluğu teşvik etmek için doldurulması gereken alanlar, emniyet belirteçli mühürler ve otomatik hatırlatıcılar kullanır. Kimin neyi imzaladığına dair ispat gerekiyorsa sistemin denetim kayıtları kontrole hazır şekilde bekler.

Çevre dostu işlemler

Daha az kâğıt baskısı, daha az atık demektir. E-imza ile kâğıt, paket ve nakliyat sırasında oluşan emisyonu azaltmış olursunuz. Bu açıdan baktığımızda, e-imzanın sürdürülebilirlik hedefi olan şirketler için fazlasıyla kolay bir seçim olmasına şaşmamak gerekir. Bazı platformlardan edinebileceğiniz kâğıttan ve emisyondan ne kadar tasarruf ettiğiniz bilgisini müşterilerinizle paylaşabilirsiniz. Bunlar doğaya yardımcı olan küçük değişimlerdir.