e‑imza sahteciliğine karşı şirket sahiplerinin alması gereken önlemler
e‑imza sahteciliğine karşı şirket sahiplerinin alması gereken önlemler

e‑imza sahteciliğine karşı şirket sahiplerinin alması gereken önlemler
Elektronik imza (e‑imza) giderek daha fazla iş sürecine entegre olurken, sahtecilik riski de artıyor. Şirket sahipleri, hem yasal hem de teknik açıdan güçlü bir koruma çerçevesi oluşturarak bu riski minimuma indirebilir. Aşağıda, Türkiye‑odaklı bir yaklaşım ve adım‑adım bir kontrol listesi bulacaksınız.
1. Yasal Çerçeve ve Uygunluk
| Madde | Açıklama | Ne yapılmalı? |
| Elektronik İmza Kanunu (5651 sayılı) | Nitelikli elektronik imzalar (QES) ve gelişmiş elektronik imzalar (AES) arasında farklar ve geçerlilik kuralları bulunur. | Şirket içi imza politikalarını, QES kullanımını zorunlu kılacak şekilde düzenleyin. |
| Kişisel Verilerin Korunması Kanunu (KVKK) | İmza verileri “kişisel veri” kapsamında değerlendirilebilir. | İmza verilerinin işlenmesi, depolanması ve aktarımında KVKK şartlarını yerine getirin. |
| Türk Standartları Enstitüsü (TSE) – PKI Standartları | PKI (Public Key Infrastructure) yönetim standartları. | PKI altyapısının TSE/ISO 27001 gibi standartlarla uyumlu olmasını sağlayın. |
| Finansal ve Sektör‑Özel Düzenlemeler | Bankacılık, telekom, sağlık gibi sektörlerde ek denetimler bulunur. | Sektöre özgü ek gereklilikleri kontrol edin (örn. BDDK, TİM, SGK). |
Pratik Adım: Şirketinizin hukuki danışmanı ile birlikte “e‑imza politika belgesi” hazırlayın; bu belge içinde hangi tip e‑imzanın, hangi süreçte ve kimler tarafından kullanılacağı net bir şekilde tanımlansın.
2. Teknik Altyapı ve Güvenlik Kontrolleri
| Kontrol | Açıklama | Uygulama Notları |
| Nitelikli Elektronik İmza (QES) Kullanımı | QES, 256‑bit ECC / RSA anahtarları ve kimlik doğrulama prosedürleri içerir; hukuki olarak en yüksek değere sahiptir. | Tüm kritik sözleşme, onay ve ödeme süreçlerinde QES zorunlu kılın. |
| Çok Faktörlü Kimlik Doğrulama (MFA) | Sadece şifre/PIN değil, bir ikinci faktör (OTP, biyometri, akıllı kart) kullanılmalı. | PKI veya e‑imza çözümlerine MFA entegrasyonu sağlayın. |
| Anahtar Yönetimi (Key Management) | Özel anahtarların güvenli bir HSM (Hardware Security Module) ya da akıllı kart/USB token içinde saklanması. | - Özel anahtarların çıkartılamaz olması. |
Periyodik anahtar rotasyonu (örneğin 2‑3 yılda bir). |
| Sertifika Yaşam Döngüsü Yönetimi (SCM) | Sertifika alınması, yenilenmesi, iptali ve geri çekilmesi süreçlerinin otomatize edilmesi. | Sertifika süresi dolmadan otomatik hatırlatma, iptal sürecinde on‑aylı prosedür. |
| Dijital İmza Çözümünün Güvenli Entegrasyonu | API üzerinden sistemlere entegrasyon (ERP, CRM, belge yönetim sistemi). | API çağrılarının TLS 1.2/1.3 üzerinden yapıldığını doğrulayın; yetkilendirme token’larını zaman sınırlı tutun. |
| Denetim Kayıtları (Audit Logs) | Kim, ne zaman, hangi belgeyi imzaladı, hangi cihazdan gibi bilgilerin eksiksiz kaydedilmesi. | Logların yalnızca okuma izinli ayrı bir sunucuda saklanması ve imzalı (hash‑chain) olması. |
| İmza İptal ve Revizyon Süreçleri | Şüpheli bir imza tespit edildiğinde hızlıca iptal edilmesi. | Otomatik “revocation list” (CRL) veya OCSP kontrolü entegrasyonu. |
| Uç – Nokta Güvenliği | Kullanıcı cihazının (PC, mobil) güvenliğinin sağlanması. | - Güncel anti‑virus / EDRDisk şifreleme (BitLocker, FileVault)
İşletim sistemi ve uygulama yamalarının anlık uygulanması. |
| Şifreleme ve Veri Koruma | İmza verisi, anahtar ve ilgili dokümanların uç‑uç şifrelenmesi. | AES‑256 GCM gibi modern algoritmalar tercih edin. |
3. İş Süreçleri & Politika Yönetimi
İmza Yetkileri ve Sınırlamaları
RACI matrisi oluşturun: Kim (Role) – Ne (İşlem) – Nasıl (İmza tipi) – Ne zaman (Süre).
Örneğin, yalnızca CEO ve CFO’nun çevrim içi ödeme onayları için QES yetkisi olmalı; departman yöneticileri ise sadece iç rapor imzalarına izin alabilir.
Süreç Bazlı Onay Akışları (Workflow)
e‑imza çözümleri içinde çok aşamalı onay (örneğin, sözleşme → hukuk → maliye → imza) zorunlu kılın.
Onay akışı dışında bir imza girişimi tespit edildiğinde otomatik uyarı (SMS, e‑mail) gönderilsin.
Eğitim ve Farkındalık
Yıllık e‑imza güvenliği eğitimi (phishing, cihaz kaybı, sosyal mühendislik) zorunlu.
Çalışanlara sertifika numarası, örnek imza ve geçerli imza kontrolü nasıl yapılır, gösterin.
Acil Durum ve Olay Yanıt Planı (IRP)
- Şüpheli / sahte e‑imza tespit edildiğinde izlenecek adımlar:
a. İmzanın iptali & CRL güncellemesi
b. Etkilenen belgeyi kilitleme
c. İç denetim raporu hazırlama
d. BNB/BTK/Polise bildirim (Kanun’un 7. maddesi)
e. Forensik analiz (log, cihaz)
- Şüpheli / sahte e‑imza tespit edildiğinde izlenecek adımlar:
Periyodik Denetim ve Pen‑Test
- Yılda en az bir kez bağımsız siber güvenlik denetimi (ISO 27001, PCI‑DSS vb.)
- Özellikle API ve entegrasyon noktaları için penetrasyon testi yapılmalı.
4. Kontrol Listesi – “E‑İmza Sahteciliğine Karşı Kalkan”
| # | Kontrol | Status (✓/✗) | Notlar |
| 1 | Şirket içinde QES kullanımı zorunlu mu? | ||
| 2 | Tüm e‑imza işlemleri MFA ile korunuyor mu? | ||
| 3 | Özel anahtarlar HSM/akıllı kart içinde saklanıyor mu? | ||
| 4 | Sertifika yaşam döngüsü otomatik yönetiliyor mu? | ||
| 5 | İmza logları tutarlı, zaman damgalı ve değiştirilmez mi? | ||
| 6 | Logların yedekleme ve arşivleme politikası var mı? | ||
| 7 | Kullanıcı cihazları EDR/antivirus ve şifreleme ile korunuyor mu? | ||
| 8 | İmza yetkilendirme matrisi (RACI) mevcut mu? | ||
| 9 | Çok aşamalı onay workflow tanımlı mı? | ||
| 10 | Yıllık e‑imza güvenliği eğitim programı var mı? | ||
| 11 | Şüpheli imza tespiti için gerçek zamanlı uyarı mekanizması var mı? | ||
| 12 | Olay yanıt planı (IRP) güncel ve denetlenmiş mi? | ||
| 13 | Yıllık bağımsız siber güvenlik denetimi yapılıyor mu? |
Bu listeyi yılda iki kez gözden geçirerek “güvenlik açığını kapatma” kültürünü şirket içinde yerleştirin.
5. Örnek Senaryo: Şüpheli Bir e‑İmza Tespit Edildiğinde
| Adım | Açıklama | Sorumlu |
| 1. İmza Doğrulama | Şüpheli belge üzerindeki imzanın OCSP/CRL kontrolü yapılarak geçerliliği incelenir. | IT Güvenlik |
| 2. İptal Talebi | Sertifika sahibi (veya ilgili yetkili) derhal İptal Talebi gönderir. | İK / Yönetim |
| 3. Belge Kilitleme | İlgili belge (veya ilgili işlem) sistemde Read‑Only/kapatılır. | Belge Yönetim Sistemi Yöneticisi |
| 4. Log Analizi | İmzayı yapan cihaz, IP, zaman damgası incelenir; anormallikler raporlanır. | SOC Analisti |
| 5. Bildirim | Gerekli durum BTK/Polis ve/veya Bilanço ve Denetim Kurulu’na raporlanır. | Hukuk Müşaviri |
| 6. Forensik | Cihazda (PC, token) dijital delil toplama; adli bilişim uzmanı ile çalışma. | Forensik Ekip |
| 7. İyileştirme | Olay sonrası süreç revizyonu, ek kontroller, ve eğitim planı güncellenir. | Süreç Sahibi |
6. Tavsiye Edilen Çözüm ve Servis Sağlayıcıları (Türkiye odaklı)
| Çözüm | Özellik | Neden Önerilir |
| TürkTrust / TÜBİTAK BİLGEM | Nitelikli elektronik imza sertifikası; yasal geçerlilik ve yerli HSM altyapısı. | Türkiye’de en çok tanınan QES sağlayıcıları. |
| E‑İmza Platformları (e‑Mekan, imzAİz, KODAKAS) | API‑tabanlı entegrasyon, MFA, bulut tabanlı HSM, revocation management. | Kolay entegrasyon ve kapsamlı denetim logları. |
| Microsoft Azure AD + Azure Key Vault | Bulut‑tabanlı HSM ve kimlik yönetimi, MFA, Conditional Access. | Bulut altyapısına sahip şirketler için ölçeklenebilir çözümler. |
| İstanbul Bilgi Üniversitesi – PKI Lab | Danışmanlık, PKI tasarımı, sertifika otoritesi kurulumu. | Özel PKI ihtiyacı olan büyük kuruluşlar için. |
| Kaspersky / SentinelOne | Endpoint Detection & Response (EDR) – cihazlarda e‑imza token çalınması riskini önler. | Uç‑nokta koruması, anormallik tespiti. |
Not: Seçilecek çözüm, şirketin büyüklüğü, iş süreçlerinin dijital olgunluk seviyesi ve bütçesine göre değerlendirilmelidir.
Özet
Yasal uyumluluk: QES zorunluluğu, KVKK ve PKI standartları çerçevesinde politika oluşturun.
Teknik koruma: MFA, HSM/akıllı kart, sertifika yaşam döngüsü, denetim logları ve uç‑nokta güvenliği.
İş süreci ve eğitim: Yetki matriceleri, çok aşamalı workflow, sürekli farkındalık eğitimi.
Olay yönetimi: Anlık iptal, log analizi, yasal bildirim ve forensik süreçleri tanımlayın.
Sürekli denetim: Yıllık siber güvenlik denetimi, penetrasyon testleri, kontrol listesiyle periyodik bakımlar.
Bu adımları sistemli bir şekilde hayata geçirirseniz, e‑imza sahteciliğine karşı güçlü bir savunma hattı oluşturmuş ve hem yasal hem de operasyonel risklerinizi büyük ölçüde azaltmış olursunuz.
Unutmayın: “Güvenlik bir ürün değil, bir süreçtir.” Bu yüzden politika ve teknolojiyi periyodik olarak gözden geçirmek, şirketinizi gelecekteki e‑imza tehditlerine karşı hazır tutmanın en etkili yoludur.
Detaylı bilgi için info@ozmconsultancy.com






