Bu Help Net Security röportajında, fidenty CEO’su Thorsten Hau, nitelikli dijital imzaların yasal geçerliliğini tartışıyor ve güçlü kimlik doğrulamayla desteklendiğinde el yazısı imzalara eşdeğer olduklarını gösteriyor.
eIDAS veya ZertES gibi standartlara uyan sertifikalı sağlayıcıları tercih etmek sahteciliğe karşı güvenlik sağlar. Sertifikasyon ile kullanıcı deneyimi arasındaki denge, sorunsuz bir katılım sağlamak için çok önemlidir.
Sizce dijital imzalarla ilgili hangi yanlış anlamalar daha geniş çapta benimsenmeyi engelliyor ve bunlar etkili bir şekilde nasıl çözülebilir?
Birçok sağlayıcı, kullanıcıların yalnızca birkaç tıklamayla belgeleri imzalamasına olanak tanıyan kullanışlı dijital imza çözümleri sunuyor. Ancak bu imzalar ne güvenli ne de yasal olarak geçerli. İnsanlar hukuk konseylerinden ilgili imzalar için kağıt kullanmaları gerektiğini öğrendi. Sağlam kimlik doğrulama ve sıkı güvenlik standartlarına dayanan nitelikli elektronik imzalar, yasal olarak elle atılan imzalara eşdeğerdir ve her türlü sözleşme için kullanılabilir. Benimseme sürecini hızlandırmak için, katılım ve kimlik belirleme sürecinden geçtikten sonra elektronik imzalamanın kağıt üzerinde yapılan tüm işlemlerden çok daha hızlı olmasını teşvik ediyoruz.
Dijital imza platformlarının sağladığı mevcut güvenlik düzeyini nasıl değerlendiriyorsunuz ve bu platformlar imza sahteciliği ve sahtekarlık sorunlarıyla etkili bir şekilde nasıl başa çıkabilirler?
Sağlayıcıların çeşitliliği çok fazladır ve imzaların kalitesi uzman olmayanlar için tamamen anlaşılmazdır. İmzalayanın kimliği belirtilmeyen bir dijital imza işe yaramaz. İmza sahteciliği ve dolandırıcılığa hiçbir şans vermemek için yalnızca sertifikalı sağlayıcılar kullanılmalıdır. Barındırma için ISO sertifikasyonundan bahsetmiyorum, eIDAS veya ZertES sertifikasını KPMG gibi akredite bir sertifika yetkilisi tarafından kanıtlayabilen ve yerleşik güven hizmet sağlayıcılarıyla çalışan sağlayıcılardan bahsediyorum.
Devlet, sağlık ve bankacılık gibi sektörler sıkı bir şekilde denetlendiğinden bu sektörler dijital imzalarla ilgili yasallık endişelerine nasıl yanıt verdi? Dijital imzaları operasyonlarına entegre etmek için hangi adımları attılar?
Kuruluşlar ve şirketler üç olgunluk düzeyine ayrılabilir:
- Reddetme: Bu kuruluşlar, geliştirmeyi göz ardı etmeyi ve modası geçmiş ve maliyetli kağıt süreçlerine bağlı kalmayı tercih ediyor.
- Kanama: Bu kuruluşlar dijitalleşmenin gerekliliğini kabul ediyor ancak çoğu zaman zorlu bir öğrenme süreciyle mücadele ediyor. Kavramsallaştırması, kurulumu ve bakımı pahalı olan özel çözümlere büyük yatırım yapıyorlar. Maalesef bu çözümler ölçeklenebilir değildir ve farklı süreçlere uygulanamaz.
- Güvenen: Bu kuruluşlar, kendilerine özgü gereksinimlerini anlayan, kağıt tabanlı süreçleri ortadan kaldırmalarına olanak tanıyan kimlik tabanlı imzalama sunmak için teknik uzmanlığa ve düzenleyici gereklilikler bilgisine sahip olan yetkin ve sertifikalı sağlayıcılara güvenmektedir.
Yasallık endişeleri nedeniyle dijital imzaları benimseme konusunda tereddüt eden, sıkı düzenlemelere tabi sektörlerdeki kuruluşlara ne gibi tavsiyelerde bulunursunuz?
Bana göre iki husus çok önemli. Bir yandan kuruluşlar, eIDAS veya ZertES standartlarına göre sertifikalandırılmış bir hizmet sağlayıcıya güvenmelidir. Öte yandan kullanıcı deneyimi, katılım sürecinde çok önemli bir rol oynadığı için asla hafife alınmamalıdır. Sezgisel ve kusursuz bir kullanıcı deneyimi sağlamak yalnızca kabulü artırmakla kalmaz, aynı zamanda dönüşüm oranını da artırarak kuruluşların hedeflerine daha etkili bir şekilde ulaşmalarını sağlar.
Kuruluşların e-imzayı uygularken karşılaştığı başlıca uyumluluk zorlukları nelerdir ve para cezalarından veya yaptırımlardan kaçınmak için bu zorluklara nasıl hazırlanabilirler?
Dijital imzalar söz konusu olduğunda kuruluşlar, kapsamlı PDF işleme yetenekleriyle övünen sağlayıcılar tarafından kolayca yönlendirilmemelidir. PDF yönetimi önemli olsa da dijital imzalamanın asıl özü, imzalayanın doğru tanımlanmasında ve ardından bireysel imzaların güvenli bir şekilde yetkilendirilmesinde yatmaktadır. Kimlik belirleme süreci ile imzalama arasında, ideal olarak uçtan uca (e2e) tek bir sağlayıcı tarafından kolaylaştırılan kusursuz bir entegrasyona sahip olmak çok önemlidir. Kuruluşlar, imzalama yolculuğunun tamamını kapsayan kapsamlı bir çözüm sağlayarak, sağlam ve güvenli bir dijital imza sürecini garanti edebilir.
Dijital imza sistemini uygulamanın ön maliyetlerini göz önünde bulundurarak, kuruluşların bu teknolojiyi benimsedikten sonra deneyimlediği uzun vadeli yatırım getirisini vurgulayan herhangi bir veri veya örneği paylaşabilir misiniz?
Dijital imzaların büyük ön maliyetler gerektirdiğine dair yaygın bir yanılgı vardır. Ancak, doğru sağlayıcıyı seçerek, geleneksel kağıda dayalı işlemlerle karşılaştırıldığında giderlerinizde 10 kata kadar kayda değer bir azalma elde edebilirsiniz. Bu, artış döneminde bile elde edilebilecek önemli bir yatırım getirisine yol açar.
Avrupa’daki e-İmza Direktifinin üye devletlerde elektronik imzaların yasal olarak tanınmasını ve kullanımını nasıl etkilediğine dair fikir verebilir misiniz?
e-İmza Direktifinin önemi abartılamaz. Birçok eyalette yasal netlik sağladı ve hatta kara para aklamayı önleme (AML) düzenlemelerini bile etkiledi. Sonuç olarak artık kimlik güvencesi standardının AML ve dijital imzalar için eşdeğer olduğu bir durumla karşı karşıyayız. Bu, bir taşla iki kuşu öldürebilecekleri için bankalar ve diğer finansal hizmet sağlayıcılar için dijital imzaların uygulanmasını kolaylaştırdı: Yeni müşteriyi bir kez tanımlıyorlar ve sözleşmeye nitelikli bir imza atıyorlar. Bu şekilde AML düzenlemesine uyuyorlar ve sağlanabilecek hizmetlere herhangi bir sınırlama getirmeyen bir sözleşmeye sahip oluyorlar.