Öncelikle Haziran 2012’de yürürlüğe girecek olan bu yasayla birlikte yaşamımıza girecek olan KEP’in amaçlarından, çalışma mantığından, prosedürlerden bahsetmeden önce özellikle kurumsal firmalar için önem teşkil edecek olan bu konu hakkında genel bir tanım yapmak isterim. Nedir bu Kep, ne işe yarar sorularına cevap almak istersek şöyle açıklayabiliriz.
Elektronik ortamdaki iş ve işlemlerin farklı taraflar arasında teknik olarak güvenli ve hukuken geçerli bir şekilde yapılabilmesine olanak sağlayacak çözümler üzerinde tüm dünyada farklı çalışmalar yapılmaktadır. Bu çalışmaların önde gelenlerinden biri de Avrupa Birliği bünyesinde yer alan Avrupa Telekomünikasyon Standartları Enstitüsü’nün (ETSI) ETSI TS 102 640 numaralı standardına dayanan Kayıtlı Elektronik Posta (KEP) Sistemi çalışmasıdır. KEP sistemi, elektronik imza ve zaman damgası teknolojilerinin ve standartlarının kullanıldığı bir sistemdir diyebiliriz.
KEP neler Sağlar?
KEP, e-imza ve zaman damgası kullanılarak, bir elektronik postanın iletildiğini garanti altına almayı, gönderen ve alan tarafların kim olduklarının bilinmesini, gönderilen iletinin ne olduğunun, içeriğinin başkalarınca değiştirilmediğinin ve gönderim zamanının kesin olarak tespit edilmesini sağlamaktadır.
Buna ek olarak bilgi ve iletişim teknolojilerindeki gelişmelere paralel olarak klasik usullerle yapılan iş ve işlemler elektronik ortama aktarılmaya ve e-uygulamalar geliştirilmeye başlanmıştır. E-uygulamalar ilk başlarda kamu kurumlarının, özel sektörün ve vatandaşlarımızın karşılıklı güven duygusuna bağlı olarak kullanılmıştır. 5070 sayılı Elektronik İmza Kanunu ise elektronik ortamdaki bilgi ve belgelerin hukuki geçerlilik kazanmasını sağlamıştır. Ancak, farklı kişi ve kurumlar arasında elektronik ortamda hukuken geçerli ve güvenli bir şekilde bilgi ve belge gönderimi, teslimi ve saklanması hususları düzenlenmemiş olup, bu hususlarda açıklık bulunmaktadır.
E-posta yoluyla iletilen özellikle resmi ve ticari belgelerin ve yazıların gönderici ve alıcı açısından teknik güvenilirliği ve yasal geçerliliği büyük önem taşımaktadır. Başka bir şekilde açıklamak gerekirse siz x firmasısınız ve y firmasına mail göndereceksiniz ve bu ileti de sizin için önem teşkil ediyor. Gönderdiniz maili ve sonrasında ise y firması diyor ki bana bu mail gelmedi, göndermedin. Sizde eğer KEP hizmeti alıyorsanız, gönderdiğiniz hash bilgisini delil olarak gösterip kanıtlama şansınız var. Yani şöyle hangi tarafta, x ya da y firmasında, hash bilgisi eşleşirse o suçu kabul etmiş olacak. Bu konuyla ilgili detaylı bilgi ve mevzuatı btk. org.tr den edinebilirsiniz.
KEP ten kimler faydalanabilir?
Tabi biz bu KEP olayını sadece kurumsal firmalar için değil, bireysel tarafta da kullanma şansımız olacak. Yani başvurup diyeceksiniz ki ben niyazi@x.kep.tr adresini alabileceğiz. Adresi aldıktan sonra ise kayıt olma ya da olmama durumu size kalmış fakat kurumsal firmalarda bu zorunlu olacak. Peki kayıt olunca ne olacak? Kayıt olduğunuz zaman firmalar sizi bilecek, rehberde sizi bulabilecekler. Şu anda yanılmıyorsam İtalya’da bu hizmeti veren 24 firma var, Almanya’da ise 4. Türkiye’de ise altyapı çalışması hızlı bir şekilde ilerlemekte. Galip gelecek firmalar ise Telekom ve GSM operatörleri olacağı kesin gibi gözüküyor, bununla ilgili bir çalışma da mevcut.
Diğer bir konu ise bu hizmet sağlayıcılar için ise yaptırımların büyük olacağı kesin. Örnek vermek gerekirse, X firması KEP e üye ve belli bir sonra bu üyeliğinin iptali için KEPHS telefon açıp iptal ettiriyor, bu arada başka bir firma üyeliğini iptal ettirmek isteyen bu firmaya ileti gönderiyor tabi göndermeden önce check etmesi gerekiyor yani bu kişinin KEP e üyeliği olsa dahi bana ya da bu adrese ileti gönderilmesini istemiyorsa ileti gönderme hakkına sahip olamıyor. (Tıpkı GSM operatörlerinden gelen reklam mesajlarını iptal ettirmek istediğinizde GSM operatörünü arayıp bana bu kişileri, sms’leri engelle dediğiniz takdirde GSM operatörleri bu sms leri filtreliyor ve blockluyor). Firmaya ait bir fatura olsun ve adam üyeliğini iptal ettirdiği halde bu ileti adama geliyor ve KEPHS arıyor bana bu firmadan nasıl ileti geliyor dediğinde ise, durumu BTK’ya bildiriyor ve sonuçta hizmet sağlayıcı firma hatırı sayılır bir para cezası çarptırılıp, firmaya uyarı veriliyor. Bu olaylar da KEPHS de çalışan kişinin bunu tam 1,5 saat sonra yapmasından kaynaklandığını da belirtmekte fayda var. Özetlersek, üyelik işlemleri 7/24 ve derhal yapılması zorunlu işlemlerdir. Yani taviz yok. İsterseniz bu işte yeni olan bir firma olsun, ister eski bir firma. 3 defa hata yaptığında iş bitiyor ve o firmanın yönetimi başka kişilere veriliyor BTK’nin belirlediği tabi ki bu arada. Eğer ki hizmeti alan taraf zarara uğrar ise hizmeti veren firma zararını da üstlenmek durumunda kalıyor deyip örneklendirebiliriz.
KEP ve SEP
KEP yasal olarak geçerli ve teknik olarak güvenli elektronik posta olarak kabul edilmektedir. (SEP) ile iletişim/belge paylaşımı yasal geçerli olarak ve teknik olarak güvenli kabul edilmeyen, iletimin kesin olarak sağlanamadığı ve inkâr edilebilen bir iletişim şeklidir.. KEP, elektronik posta yoluyla yasal geçerli ve teknik olarak güvenli bir şekilde e-belge paylaşımını sağlayabilen ve bu işlemlerle ilgili kesin delil sağlayabilen tek araçtır. Ek olarak, bu Yönetmeliğin amacı; kayıtlı elektronik posta sisteminin hukukî ve teknik yönleri ile işleyişine ilişkin usul ve esasları düzenlemektir de diyebiliriz. Tabi burada karıştırılmaması gereken nokta ise dijital imzayla arasındaki farktır.
Dijital imza da kullanılan anahtarların kullanım amacı bilgi şifrelemektir. Bilgi şifrelemek yani iletiyi gönderirken göndermiş olduğunuz iletinin şifrelenmiş olarak karşı tarafa gitmesi ve karşı taraftaki kişinin ise sadece o anahtara sahip olan kişinin bu iletiyi okuyabilmesidir. İletinin alıcıya kadar olan işleyiş süreci ise farklı olduğunu da belirtmekte fayda var. Ek olarak söylemekte fayda gördüğüm bir konu ise Hash bilgisi, nedir bu hash? Bir belgeyi imzalama sırasında, A kişisinin kullandığı yazılım, veriyi sadece birkaç satırlık bir hale sıkıştırır. Bu işleme özetleme(hashing), bu birkaç satıra da mesajın özü yani (digest)denir. Hash bilgisi unique dir ve göndermiş olduğunuz dosyanın büyüklüğü ne olursa olsun hash ler aynıdır. Şu an KEPHS olarak hizmet vermek isteyen firmalar arasında Bankalar, Finans Sektörü ve Telekom bu yarışta yerlerini almak istiyorlar fakat akla şöyle bir soru geliyor neden GSM operatörleri bu işe girişmiyorlar? Bu soruların cevabını da ilerleyen zamanda görebileceğiz.
Ek bilgi olarak Kep hizmeti almak istediğinizde niyazi@kurumadı.kep.com.tr adıyla alabilme hakkına sahip olabileceksiniz. Bu bize ne sağlayacak derseniz alıcı kep.com.tr uzantısı görmesi bu gelen iletinin güvenli olduğunu bilecek diyebiliriz. İkinci bir not ise, almış olduğunuz adresi değiştirmek istiyorsunuz diyelim bu durumda ne olacak? KEPHS tarafından koruma süresi olacak bunu da kullanıcı belirleyecek minimum 3 aydır. Yani eski adresinize gelen iletiler direk olarak yeni adresinize yönlendirilecektir. Tabi şöyle bir durum da söz konusu. Eğer ki KEPHS alan başka firmadaki kişiye benim yeni adresim bu derseniz ve bu kişi de eski adresinize ileti gönderirse, herhangi bir mail ileti sorunu yaşadığında yani ileti gönderdim, yok bana gelmedi derse karşı taraf suçlu konumuna düşecektir. Çünkü siz bunu o kişiye mail yoluyla bildirmiştiniz. Bu durumda kişilerin maili okumama gibi durumları söz konusu olmayacak, yani KEPHS hizmet alanların mailleri, adresleri kayıt altına alınacak ve bu hizmeti veren firmalar bunu minimum 10 yıl boyunca saklamak zorunda kalacaklarını da hatırlatmak isterim.
KEP Sistemi ile neler yapabiliriz?
KEP sistemiyle resmi, özel ve ticari her türlü belge veya yazı kurum, kuruluş ve şahıslar arasında elektronik olarak gönderilip alınabilecek, başka bir deyişle yasal geçerli olarak elektronik yazışma ve bildirim (beyanname, bildirge, başvuru, tebligat, ihtar, ihbar, vb.) yapılabilecektir.
Şirketler ile gerçek kişiler arasında ve kurum içi her türlü yazışma, belge paylaşımı, sözleşme, tebligat, ihtar/ihbar, e-fatura, telefon görüşme dökümleri, banka talimatları, hesap ekstreleri, kredi kartı hesap özeti gönderimleri, siparişler, ihale teklifleri, e-ticaret işlemleri gibi sayısız alanda kullanılmaya başlanacaktır.
Kullanıcılar tarafından istendiği takdirde, iletişimin gizliliği sağlanarak güvenli haberleşme ve elektronik belgelerin güvenli bir ortamda saklanması da KEPHS tarafından verilecek katma değerli hizmetleri ile mümkün olabilecektir.
Hukuken geçerli ve teknik olarak güvenli bir şekilde elektronik posta yoluyla haberleşmenin yolu olan kayıtlı elektronik posta (KEP), günümüzün en temel ihtiyaçlarından biri haline gelmiştir. KEP sisteminin, ülkemizde e-ticaret ve e-devlet uygulamalarının yaygınlaşmasını önemli oranda hızlandıracağı, ciddi miktarlarda tasarruf sağlayacağı ve e-dönüşümden beklenen faydaları ve verimi elde etmede önemli bir araç olacağı değerlendirilmektedir.
KEP, e-devlet, e-iş ve e-ticaret gibi tüm e-dönüşüm uygulamalarının bütün boyutlarıyla hayata geçirilebilmesi açısından stratejik önemi haiz bir araçtır. Kâğıt, arşiv, postalama ve işlem maliyetlerinin düşürülmesi ve zaman kayıplarının azaltılmasıyla bürokrasinin daha etkin işlemesine, resmi ve ticari işlemlerin hızlı yapılmasına, ticari faaliyetlerin verimli yürütülmesine ve çevrenin korunmasına yüksek oranda katkı sağlayacaktır.
KEP sistemiyle resmi, özel ve ticari her türlü belge veya yazı kurum, kuruluş ve şahıslar arasında yasal geçerli ve güvenli bir şekilde elektronik olarak paylaşılabilecek, gönderilip alınabilecektir. KEP sistemi, elektronik belge paylaşımı ve iletimi dışında çok çeşitli güvenli arşivleme gibi katma değerli servislerin de sunulabileceği, e-imza ve zaman damgasının yaygın ve yoğun olarak kullanılacağı yasal geçerli ve güvenli yeni bir iletişim alanı olacaktır.
Son olarak şunu da belirtmek isterim, nasıl internet bankacılığını kullanırken bizlere sms yoluyla şifremiz geliyorsa, belki de ilerleyen dönemlerde KEP sahibi olanlara faks, mail vb. iletiler cep telefonlarımıza geldiğinde gerekli kimlik doğrulamaları doğruladıktan sonra gelen iletileri istediğimiz şekilde yönlendirme hakkına sahip olabileceğiz. Siz ne dersiniz?
Standart elektronik posta: (SEP)
Kayıtlı Elektronik Posta (KEP)
Registered E-Mail: REM (KEP)
KEPHS KEP Hizmet Sağlayıcılar
BTK (Bilgi Teknolojileri Kurumu)