bilgiz.org

Kamu sm elektronik mali MÜHÜr sertiFİka ilkeleri ve uygulama esaslari

  • DEĞİŞİKLİK KAYITLARI Yayın No
  • İÇİNDEKİLER 1. Giriş 10
  • 2. Yayımlama ve Bilgi Deposu 15
  • 5. Yönetim, İşlemsel ve Fiziksel Kontroller 27
  • 6. Teknik Güvenlik Kontrolleri 36
  • 7. Sertifika ve Sertifika İptal Listesi Biçimleri 43
  • 8. Uygunluk Denetimleri 46
  • 9. Diğer İşler ve Hukuksal Meseleler 48
  • EK-A Sertifika Biçimleri 54



  • Sayfa1/15
    Tarih10.07.2017
    Büyüklüğü390.91 Kb.

    Indir 390.91 Kb.
      1   2   3   4   5   6   7   8   9   ...   15






    TÜBİTAK UEKAE

    ULUSAL ELEKTRONİK VE KRİPTOLOJİ ARAŞTIRMA ENSTİTÜSÜ




    KAMU SM ELEKTRONİK MALİ MÜHÜR SERTİFİKA İLKELERİ VE UYGULAMA ESASLARI


    Doküman Kodu

    Yayın Numarası

    Yayın Tarihi

    YONG-001-011

    01

    01.02.2010

    DEĞİŞİKLİK KAYITLARI

    Yayın No

    Yayın Nedeni

    Yayın Tarihi

    01

    İlk yayın

    01.02.2010














































    İÇİNDEKİLER

    1. Giriş 10

    1.1. Genel Bakış 10

    1.2. Doküman Adı ve Tanımı 10

    1.3. Sistem Bileşenleri 10

    1.3.1. Elektronik Sertifika Hizmet Sağlayıcısı 10

    1.3.2. Kayıt Birimleri 11

    1.3.3. Sertifika Sahipleri 11

    1.3.4. Üçüncü Kişiler 11

    1.3.5. Diğer Bileşenler 11

    1.4. Sertifika Kullanımı 11

    1.4.1. Uygun Olan Sertifika Kullanımı 11

    1.4.2. Sertifika Kullanımının Sınırları 11

    1.5. İlke ve Uygulama Esaslarının Yönetimi 11

    1.5.1. Doküman Yönetimi 11

    1.5.2. İletişim Bilgileri 11

    1.5.3. Sertifika Uygulama Esaslarının İlkelere Uygunluğunu Belirleyen Kişi 12

    1.5.4. Sertifika Uygulama Esasları Onay Prosedürleri 12

    1.6. Tanımlar ve Kısaltmalar 12

    1.6.1. Tanımlar 12

    1.6.2. Kısaltmalar 13



    2. Yayımlama ve Bilgi Deposu 15

    2.1. Bilgi Depoları 15

    2.2. Sertifika Hizmeti ile İlgili Bilgilerin Yayımlanması 15

    2.3. Yayın Sıklığı ve Zamanı 15

    2.4. Erişim Kontrolleri 15

    3. Kimlik Belirleme ve Doğrulama 17

    3.1. İsimlendirme 17

    3.1.1. İsim Alanı Tipleri 17

    3.1.2. Kimlik Bilgilerinin Teşhise Elverişli Olması 17

    3.1.3. Sertifika Sahibinin Takma İsim veya Lakap Kullanması 17

    3.1.4. Farklı İsim Alanı Tiplerinin Yorumlanması 17

    3.1.5. Kimlik Bilgilerinin Tekilliği 17

    3.1.6. Markanın Tanınması, Doğrulanması ve Rolü 17

    3.2. İlk Kimlik Belirleme 17

    3.2.1. İmza Oluşturma Verisine Sahip Olmanın Kanıtlanması 17

    3.2.2. Kurumsal Kimliğin Belirlenmesi 17

    3.2.3. Kişisel Kimliğin Belirlenmesi 17

    3.2.4. GIB tarafından bildirilen sertifika sorumlusu kurum adına yetkili kabul edilir. Herhangi bir ek doğrulama yapılmaz.Doğrulanmayan Sertifika Sahibi Bilgileri 18

    3.2.5. Yetkinin Doğrulanması 18

    3.2.6. Uyum Kriterleri 18

    3.3. Sertifika Yenileme İsteğinde Kimlik Doğrulama 18

    3.3.1. Olağan Sertifika Yenileme İsteğinde Kimlik Doğrulama 18

    3.3.2. İptal Sonrası Yeni Sertifika Talebinde Kimlik Doğrulama 18

    3.4. Sertifika İptal İsteğinde Kimlik Doğrulama 18

    4. İşlemsel Gerekler 19

    4.1. Sertifika Başvurusu 19

    4.1.1. Sertifika Başvurusunu Kimlerin Yapabildiği 19

    4.1.2. Kayıt İşlemleri ve Sorumluluklar 19

    GİB uygun gördüğü kurumlar ile ilgili elektronik belgeleri, elektronik imzalı olarak çevrim içi yöntemleri kullanarak Kamu SM ye iletir. Gerekli basılı/taranmış evraklar da uygun yöntemlerle (Kurye/Posta kullanılarak), kapalı zarf içerisinde Kamu SM’ye iletilir. 19

    4.2. Sertifika Başvurusunun İşlenmesi 19

    4.2.1. Kimlik Tanımlama ve Doğrulama İşlevlerinin Yerine Getirilmesi 19

    4.2.2. Kimlik Tanımlama ve Doğrulama İşlevlerinin Yerine Getirilmesi 19

    4.2.3. Sertifika Başvurusunun Kabul veya Reddi 19

    4.2.4. Sertifika Başvurusunun İşlenme Zamanı 19

    4.3. Sertifikanın Oluşturulması 20

    4.3.1. Sertifika Oluşturulmasında ESHS’nin İşlevleri 20

    4.3.2. Sertifika Oluşturulması ile İlgili Sertifika Sorumlusunun Bilgilendirilmesi 20

    4.4. Sertifikanın Kabül Edilmesi 20

    4.4.1. Sertifikanın Kullanıma Açılma Biçimi 20

    4.4.2. Sertifikanın ESHS Tarafından Yayımlanması 20

    4.4.3. Sertifikanın Oluşturulmasının Diğer Bileşenlere Duyurulması 20

    4.5. Sertifikanın ve İmza Oluşturma Verisinin Kullanımı 20

    4.5.1. Sertifika Sorumlusunun Sertifika ve İmza Oluşturma Verisini Kullanımı 20

    4.5.2. Üçüncü Kişilerin Sertifika ve İmza Doğrulama Verisini Kullanımı 20

    4.6. Sertifika Süresinin Uzatılması 20

    4.7. Sertifikanın Yenilenmesi 21

    4.7.1. Sertifikanın Yenileme Koşulları 21

    4.7.2. Sertifika Yenileme Başvurusunu Kimlerin Yapabildiği 21

    4.7.3. Sertifika Yenileme Başvurusunun İşlenmesi 21

    4.7.4. Sertifika Yenileme ile İlgili Sertifika Sorumlusunun Bilgilendirilmesi 21

    4.7.5. Sertifika Yenileme Sonrası Kabul Koşulu 21

    4.7.6. Sertifika Yenileme Sonrası Sertifikanın Yayımlanması 21

    4.7.7. Sertifika Yenilemenin Diğer Taraflara Duyurulması 21

    4.8. Sertifikada Bilgi Değişikliği 21

    4.9. Sertifikanın İptali ve Askıya Alınması 22

    4.9.1. Sertifikanın İptal Edildiği Durumlar 22

    4.9.2. Sertifika İptal Başvurusunu Kimlerin Yapabildiği 22

    4.9.3. Sertifika İptal Başvurusunun İşlenmesi 22

    4.9.4. İptal İsteği Ertelenme Süresi 23

    4.9.5. İptal İsteğinin İşlenme Süresi 23

    4.9.6. Üçüncü Kişilerin Sertifika İptal Durumunu Kontrol Gerekliliği 23

    4.9.7. Sertifika İptal Listesi Yayımlama Sıklığı 23

    4.9.8. Sertifika İptal Listesi Yayımlama Gecikme Süresi 23

    4.9.9. Çevrim İçi Sertifika İptal Durum Kaydı Desteği 24

    4.9.10. Çevrim İçi Sertifika İptal Durum Kaydı Gereksinimi 24

    4.9.11. Diğer Sertifika Durum Bildirim Yöntemleri 24

    4.9.12. İmza oluşturma Verisinin Güvenliğini Yitirmesi Durumu 24

    4.9.13. Sertifikanın Askıya Alındığı Durumlar 24

    4.9.14. Sertifika Askıya Alma Başvurusunu Kimlerin Yapabildiği 24

    4.9.15. Sertifika Askıya Alma Başvurusunun İşlenmesi 24

    4.9.16. Askıda Kalma Süresi 24

    4.10. Sertifika Durum Servisleri 24

    4.10.1. İşletimsel Özellikleri 25

    4.10.2. Servisin Erişilebilirliği 25

    4.10.3. İsteğe Bağlı Özellikler 25

    4.11. Sertifika Sahipliğinin Sona Ermesi 25

    4.12. İmza Oluşturma Verisinin Saklanması ve Geri Kazanımı 25

    4.12.1. GÜS İmza Oluşturma Verisinin Saklanması ve Geri Kazanımı İlke ve Esasları 25

    4.12.2. Oturum Anahtarı Zarflama ve Geri Kazanım İlke ve Esasları 26

    5. Yönetim, İşlemsel ve Fiziksel Kontroller 27

    5.1. Fiziksel Güvenlik Denetimleri 27

    5.1.1. Tesis Yeri ve İnşaatı 27

    5.1.2. Fiziksel Erişim 27

    5.1.3. Güç Kaynağı ve Havalandırma 27

    5.1.4. Su Baskınları 28

    5.1.5. Yangın Önleme ve Korunma 28

    5.1.6. Saklama ve Yedekleme Ortamlarının Korunması 28

    5.1.7. Atıkların Yok Edilmesi 28

    5.1.8. Farklı Mekanlarda Yedekleme 28

    5.2. Prosedürsel Kontroller 28

    5.2.1. Güvenilir Roller 28

    5.2.2. Her İşlem İçin Gereken Kişi Sayısı 29

    5.2.3. Kimlik Doğrulama ve Yetkilendirme 29

    5.2.4. Görevlerin Ayrılmasını Gerektiren Roller 29

    5.3. Personel Güvenlik Kontrolleri 30

    5.3.1. Kişisel Geçmiş, Deneyim ve Nitelik Gerekleri 30

    5.3.2. Geçmiş Araştırması 30

    5.3.3. Eğitim Gerekleri 30

    5.3.4. Sürekli Eğitim Gerekleri ve Sıklığı 30

    5.3.5. Görev Değişim Sıklığı ve Sırası 30

    5.3.6. Yetkisiz Eylemlerin Cezalandırılması 30

    5.3.7. Anlaşmalı Personel Gereksinimleri 30

    5.3.8. Sağlanan Dokümantasyon 30

    5.4. Denetim Kayıtları 30

    5.4.1. Kaydedilen İşlemler 31

    5.4.2. Kayıtların İncelenme Sıklığı 31

    5.4.3. Kayıtların Saklanma Süresi 32

    5.4.4. Kayıtların Korunması 32

    5.4.5. Kayıtların Yedeklenmesi 32

    5.4.6. Kayıtların Toplanması 32

    5.4.7. Kayda Sebebiyet Veren Tarafın Bilgilendirilmesi 32

    5.4.8. Saldırıya Açıklığın Değerlendirilmesi 32

    5.5. Kayıt Arşivleme 33

    5.5.1. Arşivlenen Kayıt Bilgileri 33

    5.5.2. Arşivlerin Tutulma Süresi 33

    5.5.3. Arşivlerin Korunması 33

    5.5.4. Arşivlerin Yedeklenmesi 33

    5.5.5. Kayıtların Zaman Damgası Gereksinimleri 33

    5.5.6. Arşivlerin Toplanması 33

    5.5.7. Arşiv Bilgilerinin Elde Edilme ve Doğrulanma Metodu 33

    5.6. Anahtar Değişimi 33

    5.7. Güvenliğin Yitirilmesi ve Arıza Durumlarında Yapılacaklar 34

    5.7.1. Güvenilirliğin Yitirilmesi Durumunun Düzeltilmesi 34

    5.7.2. Donanım, Yazılım veya Veri Bozulması 34

    5.7.3. İmza Oluşturma Verisinin Gizliliğinin Kaybedilmesi 34

    5.7.4. Arıza Sonrası Yeniden Çalışırlık 35

    5.8. Sertifika Hizmetlerinin Sonlandırılması 35



    6. Teknik Güvenlik Kontrolleri 36

    6.1. Anahtar Çifti Üretimi ve Kurulumu 36

    6.1.1. Anahtar Çifti Üretimi 36

    6.1.2. Sertifika Sorumlusuna İmza Oluşturma Verisinin Ulaştırılması 36

    6.1.3. Elektronik Sertifika Hizmet Sağlayıcısı’na İmza Doğrulama Verisinin Ulaştırılması 37

    6.1.4. Elektronik Sertifika Hizmet Sağlayıcısı Sertifikalarına Erişim Sağlanması 37

    6.1.5. Anahtar Uzunlukları 37

    6.1.6. Anahtar Üretim Parametreleri ve Kalitesinin Kontrolü 37

    6.1.7. Anahtar Kullanım Amaçları 37

    6.2. İmza Oluşturma Verisinin Korunması 37

    6.2.1. Kriptografik Modül Standartları 37

    6.2.2. İmza Oluşturma Verisine Birden Fazla Kişi Kontrolünde Erişim 38

    6.2.3. İmza Oluşturma Verisinin Yeniden Elde Edilmesi 38

    6.2.4. İmza Oluşturma Verisinin Yedeklenmesi 38

    6.2.5. İmza Oluşturma Verisinin Arşivlenmesi 38

    6.2.6. İmza Oluşturma Verisinin Kriptografik Modüle Yüklenmesi 38

    6.2.7. İmza Oluşturma Verisinin Kriptografik Modülde Saklanması 39

    6.2.8. İmza Oluşturma Verisine Erişim 39

    6.2.9. İmza Oluşturma Verisine Erişimin Kesilmesi 39

    6.2.10. İmza Oluşturma Verisinin Yok Edilmesi 39

    6.2.11. Kriptografik Modülün Değerlendirilmesi 40

    6.3. Anahtar Çifti Yönetimiyle İlgili Diğer Konular 40

    6.3.1. İmza Doğrulama Verisinin Arşivlenmesi 40

    6.3.2. İmza Oluşturma ve Doğrulama Verilerinin Kullanım Süreleri 40

    6.4. Erişim Denetim Verileri 40

    6.4.1. Erişim Denetim Verilerinin Oluşturulması 40

    6.4.2. Erişim Denetim Verilerinin Korunması 40

    6.4.3. Erişim Denetim Verileri İle İlgili Diğer Konular 41

    6.5. Bilgisayar Güvenliği Denetimleri 41

    6.5.1. Bilgisayar Güvenliği İle İlgili Teknik Gerekler 41

    6.5.2. Bilgisayar Sisteminin Sağladığı Güvenlik Seviyesi 41

    6.6. Yaşam Döngüsü Teknik Denetimleri 41

    6.6.1. Sistem Geliştirme Denetimleri 41

    6.6.2. Güvenlik Yönetimi Denetimleri 41

    6.6.3. Yaşam Döngüsü Güvenlik Denetimleri 42

    6.7. Ağ Güvenliği Denetimleri 42

    6.8. Zaman Damgası 42

    7. Sertifika ve Sertifika İptal Listesi Biçimleri 43

    7.1. Sertifika Biçimi 43

    7.1.1. Sürüm Numarası 43

    7.1.2. Sertifika Uzantıları 43

    7.1.3. Algoritma ve Nesne Tanımlayıcılar 43

    7.1.4. İsim Alanı Biçimleri 43

    7.1.5. İsim Kısıtları 43

    7.1.6. Sertifika İlkeleri Nesne Tanımlama Numarası 43

    7.1.7. İlke Kısıtları Uzantısının Kullanımı 43

    7.1.8. İlke Niteleyiciler 43

    7.1.9. Kritik Belirtilmiş Olan İlke Belirleyici Uzantılarının İşlenmesi 44

    7.2. Sertifika İptal Listesi Biçimi 44

    7.2.1. Sürüm Numarası 44

    7.2.2. Sertifika İptal Listesi Uzantıları 44

    7.3. Çevrim İçi Sertifika Durum Protokolü Biçimi 44

    7.3.1. Sürüm Numarası 44

    7.3.2. ÇİSDUP Uzantıları 44

    8. Uygunluk Denetimleri 46

    8.1. Uygunluk Denetiminin Sıklığı 46

    8.2. Denetçinin Nitelikleri 46

    8.3. Denetçinin Denetlenen Tarafla Olan İlişkisi 46

    8.4. Denetimin Kapsamı 46

    8.5. Yetersizliğin Tespiti Durumunda Yapılacaklar 46

    8.6. Sonucun Bildirilmesi 47

    9. Diğer İşler ve Hukuksal Meseleler 48

    9.1. Ücretlendirme 48

    9.1.1. Sertifika Oluşturma ve Yenileme Ücreti 48

    9.1.2. Sertifika Erişim Ücreti 48

    9.1.3. İptal Durum Kaydına Erişim Ücreti 48

    9.1.4. Diğer Servis Ücretleri 48

    9.1.5. İade Ücreti 48

    9.2. Finansal Sorumluluk 48

    9.2.1. Sigorta Kapsamı 48

    9.2.2. Düzenlenmesine gerek duyulmamıştır.Diğer Varlıklar 48

    9.2.3. Sertifika Mali Sorumluluk Sigortası 48

    9.3. Ticari Bilginin Korunması 49

    9.3.1. Gizli Bilginin Kapsamı 49

    9.3.2. Gizlilik Kapsamında Olmayan Bilgiler 49

    9.3.3. Gizli Bilginin Korunma Sorumluluğu 49

    9.4. Kişisel Bilginin Gizliliği 49

    9.4.1. Gizlilik Planı 49

    9.4.2. Gizli Olarak Tanımlanan Bilgiler 49

    9.4.3. Gizli Olarak Tanımlanmayan Bilgiler 49

    9.4.4. Gizli Bilginin Korunma Sorumluluğu 49

    9.4.5. Gizli Bilginin Kullanımına İzin Verilmesi 49

    9.4.6. Yetkili Merciilerin Kararına Uygun Olarak Bilginin Açıklanması 49

    9.4.7. Diğer Başlıklar 50

    9.5. Telif Hakları 50

    9.6. Temsil Hakkı ve Yükümlülükler 50

    9.6.1. Elektronik Sertifika Hizmet Sağlayıcısı Yükümlülükleri 50

    9.6.2. Kayıt Birimi Yükümlülükleri 51

    9.6.3. Sertifika Sahibinin Yükümlülükleri 51

    9.6.4. Üçüncü Kişilerin Yükümlülükleri 51

    9.6.5. Diğer Bileşenlerin Yükümlülükleri 52

    9.7. Yükümlülüklerden Feragat 52

    9.8. Sorumlulukla İlgili Sınırlamalar 52

    9.9. Tazminat Halleri 52

    9.10. Anlaşma Süresi ve Anlaşmanın Sona Ermesi 52

    9.10.1. Anlaşma Süresi 52

    9.10.2. Anlaşmanın Sona Ermesi 52

    9.10.3. Anlaşmanın Sona Ermesinin Etkileri 52

    9.11. Sistem Bileşenleri İle Haberleşme ve Kişisel Bilgilendirme 53

    9.12. Değişiklik Halleri 53

    9.12.1. Değişiklik Metodları 53

    9.12.2. Bilgilendirme Mekanizması ve Sıklığı 53

    9.12.3. Nesne Tanımlama Numarasının Değişmesini Gerektiren Durumlar 53

    9.13. Anlaşmazlık Halleri 53

    9.14. Uygulanacak Hukuk 53

    9.15. Uygulanabilir Yasalarla Uyum 53

    9.16. Diğer Hükümler 53

    EK-A Sertifika Biçimleri 54

    a) KamuSM Kurumsal Kök Sertifika Hizmet Sağlayıcısı - Sürüm 1 54

    b) Mali Mühür Elektronik Sertifika Hizmet Sağlayıcısı - Sürüm 1 55

    c) Güvenlik Hizmetleri Sertifikası (GÜS) 56

    d) Mali Mühür Sertifikası (MÜS) 56



      1   2   3   4   5   6   7   8   9   ...   15






        Ana sayfa


    Kamu sm elektronik mali MÜHÜr sertiFİka ilkeleri ve uygulama esaslari

    Indir 390.91 Kb.