Skip to main content

Command Palette

Search for a command to run...

e‑imza sahteciliğine karşı şirket sahiplerinin alması gereken önlemler

e‑imza sahteciliğine karşı şirket sahiplerinin alması gereken önlemler

Published
6 min readView as Markdown
e‑imza sahteciliğine karşı şirket sahiplerinin alması gereken önlemler
M
I’m Evren ozmen, a CPA based in Istanbul, advising remote workers, freelancers, and international founders on Turkish tax and cross-border structuring. I focus on practical tax strategies around: 100% service export income deduction Tax residency in Turkey Company formation for foreigners Remote work and international income I break down complex tax rules into clear, actionable guidance — without losing the legal and compliance reality behind them. info@ozmconsultancy.com 🇹🇷 Türkiye genelinde; yazılım ve dijital ürün geliştiren şirketler, yurt dışına uzaktan hizmet sunan profesyoneller, Teknopark firmaları, oyun stüdyoları ve mobil uygulama şirketlerine Türkçe ve İngilizce mali ve vergisel danışmanlık hizmetleri sunuyoruz. 📘 Insights & Publications: https://medium.com/@evrenozmen 📩 For Online Tax Advisory & Accounting Services/Danışmanlık-Mali Müşavirlik Hizmetleri: info@ozmconsultancy.com

e‑imza sahteciliğine karşı şirket sahiplerinin alması gereken önlemler

Elektronik imza (e‑imza) giderek daha fazla iş sürecine entegre olurken, sahtecilik riski de artıyor. Şirket sahipleri, hem yasal hem de teknik açıdan güçlü bir koruma çerçevesi oluşturarak bu riski minimuma indirebilir. Aşağıda, Türkiye‑odaklı bir yaklaşım ve adım‑adım bir kontrol listesi bulacaksınız.


1. Yasal Çerçeve ve Uygunluk

MaddeAçıklamaNe yapılmalı?
Elektronik İmza Kanunu (5651 sayılı)Nitelikli elektronik imzalar (QES) ve gelişmiş elektronik imzalar (AES) arasında farklar ve geçerlilik kuralları bulunur.Şirket içi imza politikalarını, QES kullanımını zorunlu kılacak şekilde düzenleyin.
Kişisel Verilerin Korunması Kanunu (KVKK)İmza verileri “kişisel veri” kapsamında değerlendirilebilir.İmza verilerinin işlenmesi, depolanması ve aktarımında KVKK şartlarını yerine getirin.
Türk Standartları Enstitüsü (TSE) – PKI StandartlarıPKI (Public Key Infrastructure) yönetim standartları.PKI altyapısının TSE/ISO 27001 gibi standartlarla uyumlu olmasını sağlayın.
Finansal ve Sektör‑Özel DüzenlemelerBankacılık, telekom, sağlık gibi sektörlerde ek denetimler bulunur.Sektöre özgü ek gereklilikleri kontrol edin (örn. BDDK, TİM, SGK).

Pratik Adım: Şirketinizin hukuki danışmanı ile birlikte “e‑imza politika belgesi” hazırlayın; bu belge içinde hangi tip e‑imzanın, hangi süreçte ve kimler tarafından kullanılacağı net bir şekilde tanımlansın.


2. Teknik Altyapı ve Güvenlik Kontrolleri

KontrolAçıklamaUygulama Notları
Nitelikli Elektronik İmza (QES) KullanımıQES, 256‑bit ECC / RSA anahtarları ve kimlik doğrulama prosedürleri içerir; hukuki olarak en yüksek değere sahiptir.Tüm kritik sözleşme, onay ve ödeme süreçlerinde QES zorunlu kılın.
Çok Faktörlü Kimlik Doğrulama (MFA)Sadece şifre/PIN değil, bir ikinci faktör (OTP, biyometri, akıllı kart) kullanılmalı.PKI veya e‑imza çözümlerine MFA entegrasyonu sağlayın.
Anahtar Yönetimi (Key Management)Özel anahtarların güvenli bir HSM (Hardware Security Module) ya da akıllı kart/USB token içinde saklanması.- Özel anahtarların çıkartılamaz olması.
  • Periyodik anahtar rotasyonu (örneğin 2‑3 yılda bir). |
    | Sertifika Yaşam Döngüsü Yönetimi (SCM) | Sertifika alınması, yenilenmesi, iptali ve geri çekilmesi süreçlerinin otomatize edilmesi. | Sertifika süresi dolmadan otomatik hatırlatma, iptal sürecinde on‑aylı prosedür. |
    | Dijital İmza Çözümünün Güvenli Entegrasyonu | API üzerinden sistemlere entegrasyon (ERP, CRM, belge yönetim sistemi). | API çağrılarının TLS 1.2/1.3 üzerinden yapıldığını doğrulayın; yetkilendirme token’larını zaman sınırlı tutun. |
    | Denetim Kayıtları (Audit Logs) | Kim, ne zaman, hangi belgeyi imzaladı, hangi cihazdan gibi bilgilerin eksiksiz kaydedilmesi. | Logların yalnızca okuma izinli ayrı bir sunucuda saklanması ve imzalı (hash‑chain) olması. |
    | İmza İptal ve Revizyon Süreçleri | Şüpheli bir imza tespit edildiğinde hızlıca iptal edilmesi. | Otomatik “revocation list” (CRL) veya OCSP kontrolü entegrasyonu. |
    | Uç – Nokta Güvenliği | Kullanıcı cihazının (PC, mobil) güvenliğinin sağlanması. | - Güncel anti‑virus / EDR

  • Disk şifreleme (BitLocker, FileVault)

  • İşletim sistemi ve uygulama yamalarının anlık uygulanması. |
    | Şifreleme ve Veri Koruma | İmza verisi, anahtar ve ilgili dokümanların uç‑uç şifrelenmesi. | AES‑256 GCM gibi modern algoritmalar tercih edin. |


3. İş Süreçleri & Politika Yönetimi

  1. İmza Yetkileri ve Sınırlamaları

    • RACI matrisi oluşturun: Kim (Role) – Ne (İşlem) – Nasıl (İmza tipi) – Ne zaman (Süre).

    • Örneğin, yalnızca CEO ve CFO’nun çevrim içi ödeme onayları için QES yetkisi olmalı; departman yöneticileri ise sadece iç rapor imzalarına izin alabilir.

  2. Süreç Bazlı Onay Akışları (Workflow)

    • e‑imza çözümleri içinde çok aşamalı onay (örneğin, sözleşme → hukuk → maliye → imza) zorunlu kılın.

    • Onay akışı dışında bir imza girişimi tespit edildiğinde otomatik uyarı (SMS, e‑mail) gönderilsin.

  3. Eğitim ve Farkındalık

    • Yıllık e‑imza güvenliği eğitimi (phishing, cihaz kaybı, sosyal mühendislik) zorunlu.

    • Çalışanlara sertifika numarası, örnek imza ve geçerli imza kontrolü nasıl yapılır, gösterin.

  4. Acil Durum ve Olay Yanıt Planı (IRP)

    • Şüpheli / sahte e‑imza tespit edildiğinde izlenecek adımlar:
      a. İmzanın iptali & CRL güncellemesi
      b. Etkilenen belgeyi kilitleme
      c. İç denetim raporu hazırlama
      d. BNB/BTK/Polise bildirim (Kanun’un 7. maddesi)
      e. Forensik analiz (log, cihaz)
  5. Periyodik Denetim ve Pen‑Test

    • Yılda en az bir kez bağımsız siber güvenlik denetimi (ISO 27001, PCI‑DSS vb.)
  • Özellikle API ve entegrasyon noktaları için penetrasyon testi yapılmalı.

4. Kontrol Listesi – “E‑İmza Sahteciliğine Karşı Kalkan”

#KontrolStatus (✓/✗)Notlar
1Şirket içinde QES kullanımı zorunlu mu?
2Tüm e‑imza işlemleri MFA ile korunuyor mu?
3Özel anahtarlar HSM/akıllı kart içinde saklanıyor mu?
4Sertifika yaşam döngüsü otomatik yönetiliyor mu?
5İmza logları tutarlı, zaman damgalı ve değiştirilmez mi?
6Logların yedekleme ve arşivleme politikası var mı?
7Kullanıcı cihazları EDR/antivirus ve şifreleme ile korunuyor mu?
8İmza yetkilendirme matrisi (RACI) mevcut mu?
9Çok aşamalı onay workflow tanımlı mı?
10Yıllık e‑imza güvenliği eğitim programı var mı?
11Şüpheli imza tespiti için gerçek zamanlı uyarı mekanizması var mı?
12Olay yanıt planı (IRP) güncel ve denetlenmiş mi?
13Yıllık bağımsız siber güvenlik denetimi yapılıyor mu?

Bu listeyi yılda iki kez gözden geçirerek “güvenlik açığını kapatma” kültürünü şirket içinde yerleştirin.


5. Örnek Senaryo: Şüpheli Bir e‑İmza Tespit Edildiğinde

AdımAçıklamaSorumlu
1. İmza DoğrulamaŞüpheli belge üzerindeki imzanın OCSP/CRL kontrolü yapılarak geçerliliği incelenir.IT Güvenlik
2. İptal TalebiSertifika sahibi (veya ilgili yetkili) derhal İptal Talebi gönderir.İK / Yönetim
3. Belge Kilitlemeİlgili belge (veya ilgili işlem) sistemde Read‑Only/kapatılır.Belge Yönetim Sistemi Yöneticisi
4. Log Analiziİmzayı yapan cihaz, IP, zaman damgası incelenir; anormallikler raporlanır.SOC Analisti
5. BildirimGerekli durum BTK/Polis ve/veya Bilanço ve Denetim Kurulu’na raporlanır.Hukuk Müşaviri
6. ForensikCihazda (PC, token) dijital delil toplama; adli bilişim uzmanı ile çalışma.Forensik Ekip
7. İyileştirmeOlay sonrası süreç revizyonu, ek kontroller, ve eğitim planı güncellenir.Süreç Sahibi

6. Tavsiye Edilen Çözüm ve Servis Sağlayıcıları (Türkiye odaklı)

ÇözümÖzellikNeden Önerilir
TürkTrust / TÜBİTAK BİLGEMNitelikli elektronik imza sertifikası; yasal geçerlilik ve yerli HSM altyapısı.Türkiye’de en çok tanınan QES sağlayıcıları.
E‑İmza Platformları (e‑Mekan, imzAİz, KODAKAS)API‑tabanlı entegrasyon, MFA, bulut tabanlı HSM, revocation management.Kolay entegrasyon ve kapsamlı denetim logları.
Microsoft Azure AD + Azure Key VaultBulut‑tabanlı HSM ve kimlik yönetimi, MFA, Conditional Access.Bulut altyapısına sahip şirketler için ölçeklenebilir çözümler.
İstanbul Bilgi Üniversitesi – PKI LabDanışmanlık, PKI tasarımı, sertifika otoritesi kurulumu.Özel PKI ihtiyacı olan büyük kuruluşlar için.
Kaspersky / SentinelOneEndpoint Detection & Response (EDR) – cihazlarda e‑imza token çalınması riskini önler.Uç‑nokta koruması, anormallik tespiti.

Not: Seçilecek çözüm, şirketin büyüklüğü, iş süreçlerinin dijital olgunluk seviyesi ve bütçesine göre değerlendirilmelidir.


Özet

  1. Yasal uyumluluk: QES zorunluluğu, KVKK ve PKI standartları çerçevesinde politika oluşturun.

  2. Teknik koruma: MFA, HSM/akıllı kart, sertifika yaşam döngüsü, denetim logları ve uç‑nokta güvenliği.

  3. İş süreci ve eğitim: Yetki matriceleri, çok aşamalı workflow, sürekli farkındalık eğitimi.

  4. Olay yönetimi: Anlık iptal, log analizi, yasal bildirim ve forensik süreçleri tanımlayın.

  5. Sürekli denetim: Yıllık siber güvenlik denetimi, penetrasyon testleri, kontrol listesiyle periyodik bakımlar.

Bu adımları sistemli bir şekilde hayata geçirirseniz, e‑imza sahteciliğine karşı güçlü bir savunma hattı oluşturmuş ve hem yasal hem de operasyonel risklerinizi büyük ölçüde azaltmış olursunuz.

Unutmayın: “Güvenlik bir ürün değil, bir süreçtir.” Bu yüzden politika ve teknolojiyi periyodik olarak gözden geçirmek, şirketinizi gelecekteki e‑imza tehditlerine karşı hazır tutmanın en etkili yoludur.

Detaylı bilgi için info@ozmconsultancy.com