Makale Siber Güvenlik

Elektronik Ticaret, Siber Güvenlik ve E-güven Damgası

E-TİCARET YASAL ÇERÇEVESİ

Üzerindeki genel kabul gören baskın görüşe göre e-ticaret; “Hertürlü mal ve servisin bilgisayar teknolojisi, elektronik iletişim kanalları ve ilgili teknolojiler vasıtasıyla satılması ve satın alınması” şeklinde tanımlanabilir. “Elektronik Ticaretin Düzenlenmesi Hakkında Kanun”da ise E-ticaret; “Fiziki ortamda karşı karşıya gelinmeksizin, elektronik ortamda gerçekleştirilen çevirim içi iktisadi ve ticari her türlü faaliyet” şeklinde tanımlanmıştır. Elektronik ortmda kurulan bu sözleşmelere ilişkin temel düzenlemeler, 6098 sayılı Türk Borçlar Kanunu, 6563 sayılı Elektronik Ticaretin Düzenlenmesi Hakkında Kanun da yer almaktadır. Adi yazılı şekil şartına tabi bir sözleşmenin söz konusu olduğu durumlarda ise Elektronik Ticaret olgusunun yasal zemine oturabilmesi amacıyla “Güvenli Elektronik İmza” marifetiyle sözleşmenin kurulmasına ihtiyaç duyulmaktadır. Güvenli Elektronik İmza’ya ilişkin düzenlemeler ise 5070 Sayılı Elektronik İmza Kanunu ile düzenlenmiştir.

Sözleşmenin taraflarından birinin tüketici olması durumunda ise, sözleşmenin kurulması ve sözleşmeden caymaya ilişkin özel düzenlemeler 6502 Sayılı Tüketicinin Korunması Hakkında Kanun ve ilgili yönetmeliklerde yer almaktadır.

E-ticaret önemli iki gelişim sürecine paralel ilerleme kaydetmiştir. Birincisi “Bilgi ve iletişim sektörlerindeki gelişmeler”, ikincisi ise “Piyasalardaki küreselleşme süreci ve liberalizasyonun hızlanması”dır. Birinci faktör, etkileşimli çoklu ortam hizmetleri ve bilgisayar ile haberleşme ve medya sektörünü ayrılmaz bir bütün haline getirerek eticaretin kapsamını genişletmiştir. İkinci faktör ise, e-ticaret ile karşılıklı etkileşime girmiş, piyasaların küreselleşmesi e-ticaretin gelişimini hızlandırmış, e-ticaretin ülke sınırlarını ortadan kaldıran, gümrükleri bertaraf eden özelliği ise küreselleşmeyi arttırmıştır.

E-TİCARET ve SİBER TEHDİTLER

E-ticaret site ve platformlarına zarar verebilecek tüm olaylar, kişiler ve eylemler potansiyel güvenlik tehdidi olarak görülebilir.Partikte E-ticaret sitelerinin karşılaştıkları başlıca saldırılar şu şekilde gözlemlenmiştir;

– Müşteri ve kredi kartı bilgilerinin çalınması

– Müşterilerin gizli bilgilerinin tutulduğu veri tabanının çalınması

– Online satış sitesinin veri tabanının silinmesi

– E-ticaret sitesine virüs bulaştırılması

– E-ticaret işletmesinin finansal bilgilerinin ve gizli dosyalarının çalınması

– E-ticaret satış sitesine zarar vererek görüntüsünün değiştirilmesi ve başka bir adrese yönlendirilmesi

Elektronik ticaret platformlarının siber güvenliklerini yeterli derecede planlamış olmaları gerekmektedir. Pratikte ise 3 temel yöntemin kullanılması suretiyle teknik güvenliğin sağlanmaya çalışıldığı görülmektedir. Bunlar;

– Sayısal Sertifikalar

– SSL Güvenlik Katmanı

– Güvenlik Duvarları

Ayrıca elektronik ortamda alışveriş yapan müşterilerin kişisel verileri bu şirketler tarafından saklanmaktadır ve bu verilere yetkisiz kişilerce sağlanacak erişim sonrasında ilgili kurum KVKK kurulu tarafından yüksek miktarda para cezası ile cezalandırılabilir. Elektronik Ticaretin Düzenlenmesi Hakkında Kanun’un 10’nuncu maddesinde; hizmet sağlayıcılar ve aracı hizmet sağlayıcıların bu kanun çerçevesinde yapmış oldukları işlemler nedeni ile elde ettikleri kişisel verileri güvenle saklamak zorunda oldukları düzenlenmiştir. Kişisel verileri ilgili kişinin onayı olmadan üçüncü kişilere iletmeleri ve başka amaçla kullanmaları ise yasaklanmıştır. Siber güvenlik süreçlerinin tam anlamıyla işletilmediği kurumlarda kritik, yüksek seviyede siber güvenlik riskleri söz konusudur.

E-GÜVEN DAMGASI

Türkiye’de 2017 yılında Elektronik Ticarette tüketicilere yönelik bir çeşit siber güvenlik sertifikası görevi gören “Güven Damgası” uygulaması başlatılmıştır. Bu uygulamanın yasal tanımı ise, Elektronik ticarette asgari güvenlik ve hizmet kalitesi standartlarına uyan hizmet sağlayıcı ve aracı hizmet sağlayıcılara verilen elektronik işaret” şeklindedir. (Güven Damgası Hakkında Tebliğ m. 4/f).

Bu damga tamamen dijital bir uygulama olup, hizmet sağlayıcı ve aracı hizmet sağlayıcıların asgari düzeyde belirli güvenlik tedbirlerini aldıklarını ve alıcılar nezdinde güvenilir olduklarını göstermek amacıyla kullanılmaktadır. Güven damgası alınması bu tebliğ hükümlerine göre zorunlu olmayıp, hizmet sağlayıcı ve aracı hizmet sağlayıcının isteğine bırakılmıştır. Ancak elektronik ticarette en büyük sorunlardan birinin alıcıların yaşadığı güven sorunu olduğu düşünüldüğünde, bu alanda faaliyet gösteren sağlayıcıların güven damgasını alma yolunu tercih edecekleri kanısı hakimdir. Ancak sağlayıcıların bu yolu tercih etmelerinde güven damgasına erişimin yarattığı ekonomik yükümlülüğün makul bir düzeyde olması da belirleyici bir kriter olarak karşımıza çıkabilecektir. Güven damgası almak isteyen hizmet sağlayıcı ve aracı hizmet sağlayıcının asgari düzeyde Güven Damgası Hakkında Tebliğ’de belirtilen standartları karşılaması gerekmektedir. Bu standartlardan bir tanesi de, başvuruda bulunmadan en fazla üç ay önce ve her takvim yılı içinde en az bir defa, TSE tarafından onaylı A veya B sınıfı sızma testi firmalarına sızma testi yaptırarak gerekli önlemleri almak ve bu önlemleri aldığına ilişkin doğrulama testi yaptırmaktır. Sisteme dâhil olmak isteyen sağlayıcılar, tebliğde yer verilen güvenlik ve hizmet kalitesi standartlarını sağladıktan sonra, Bakanlık tarafından yetkilendirilen güven damgası sağlayıcısına başvurabilecektir. Ticaret Bakanlığı, Türkiye’deki tek güven damgası sağlayıcı olarak Türkiye Odalar ve Borsalar Birliği’ni (TOBB) yetkilendirmiştir.

Güven Damgası, TOBB’un ilgili e-ticaret sitesine kefil ya da garantör olduğu anlamına da gelmemektedir. Bu kapsamda elektronik damganın amacı “Siber Güvenlik” şartlarının sağlandığı, gerçekleşecek muhtemel ticari işlemin bu kapsamda güvenli olduğunu belgelemektir.

Türkiye Odalar ve Borsalar Birliği (Güven Damgası Sağlayıcı), güven damgası tahsis ettiği sağlayıcıları denetleme yetkisine de sahiptir. Şikâyet üzerine her zaman ve her takvim yılı içinde en az bir defa denetlemek ve hizmet sağlayıcı ve aracı hizmet sağlayıcının sahip olduğu EV, SSL ve SSL’in geçerlilik sürelerini takip etmekle yükümlüdür. (Güven Damgası Hakkında Yönetmelik m. 9). Ayrıca Gümrük ve Ticaret Bakanlığı; bu tebliğ kapsamında elektronik ticaret işlem ve faaliyetlerinin güven ve istikrar içinde sürdürülebilmesini sağlamak amacıyla gerekli her türlü bilgi ve belgeyi talep etmeye, denetim yapmaya, idari tedbir almaya ve tasarrufta bulunmaya, Güven Damgası Sağlayıcısı tarafından verilen güven damgası hizmetine ilişkin itirazları kabul etmeye, yükümlülüklerini yerine getirmeyen Güven Damgası sağlayıcısının yetkisini iptal etmeye, güven damgası hizmeti kapsamında alınacak ücretlerin üst sınırını ve güven damgasının biçimi ile ölçütlerini belirlemeye yetkili kılınmıştır.

İlginizi çekebilir:  İndirim Günlerinde Güvenli Alışveriş Önemli İpuçları

Yazar Hakkında

Avatar

Enes Yıldırım

Ankara Barosu
Hacettepe Üniversitesi Kamu Hukuku ABD.
Bilişim Hukuku