Ana içeriğe git
Certyneo

Elektronik İmza için ISO Sertifikasyonu: 2026 Rehberi

ISO 27001, eIDAS, ETSI… elektronik imza sağlayıcılarının sertifikasyonları seçim kriterinin vazgeçilmez bir parçası haline gelmiştir. Onları etkili bir şekilde nasıl karşılaştıracağınızı keşfedin.

Équipe éditoriale Certyneo11 dk okuma

Équipe éditoriale Certyneo

Editör — Certyneo · Certyneo Hakkında

Elektronik imza, Fransız ve Avrupa şirketlerinin belge yönetiminde bir standart haline gelmiştir. Ancak doğrulama tıklamasının görünür basitliğinin arkasında, büyük karmaşıklıkta teknik ve düzenleyici bir ekosistem yatmaktadır. 2026'da soru artık "elektronik imzayı benimsemeliyim mi?" değil, "hangi sağlayıcı benim iş bağlamım için yeterli güvenlik ve uyumluluk garantileri sunuyor?" şeklindedir. ISO sertifikasyonları — özellikle ISO 27001 — bu soruya verilecek en güvenilir yanıtlardan biridir. Bu makale, elektronik imza sağlayıcılarına uygulanabilir başlıca sertifikasyonlar, bunların gerçek kapsamı ve titiz bir karşılaştırma için kullanılacak kriterler hakkında sizi rehberlik edecektir.

Elektronik İmza İçin ISO Sertifikasyonları Neden Belirleyicidir?

Elektronik imza, yalnızca bir uygulama işlevselliğine indirgenmez. İmzalayan şirketin yasal sorumluluğunu, işlenen verilerin gizliliğini ve arşivlenmiş belgelerin uzun vadeli bütünlüğünü içerir. Bu nedenle, bir sağlayıcı tarafından elde edilen sertifikasyonlar basit pazarlama etiketleri değildir: bağımsız bir üçüncü taraf tarafından denetlenen bir güvenlik olgunluk seviyesini kanıtlarlar.

ISO 27001: Bilgi Güvenliğinin Vazgeçilmez Temeli

ISO/IEC 27001, bilgi güvenliği yönetim sistemleri (BGYS) için uluslararası referans normudur. Verilerin gizliliğini, bütünlüğünü ve mevcudiyetini kapsar. Bir elektronik imza sağlayıcısı için, bu sertifikasyon, signatarın hesabı oluşturulmasından imzalı belgenin arşivlenmesine kadar tüm süreçlerinin belgelenmiş kontroller ve akredite bir kuruluş tarafından düzenli olarak denetlenen bir sistem (LSTI, Bureau Veritas, BSI vb. türü) tarafından tabi tutulduğu anlamına gelir.

Pratik olarak, ISO 27001 sağlayıcıya şunları zorunlu kılar:

  • Bilgisel varlıkların ve bunlarla ilişkili risklerin kapsamlı envanteri
  • Katı erişim denetim politikaları (güçlü kimlik doğrulama, ayrıcalık yönetimi)
  • Olay yönetimi ve iş sürekliliği prosedürleri
  • Düzenli iç denetimler ve yıllık yönetim incelemesi
  • Güvenlik açıklarının sürekli izlenmesi

2022'den beri yürürlükte olan sürüm (ISO/IEC 27001:2022), dört tema altında gruplandırılan 93 güvenlik önlemi içerir: örgütsel, insan, fiziksel ve teknolojik. Bu sürüme göre sertifikalı bir sağlayıcı, özellikle ransomware saldırıları ve tedarik zinciri ihlalleri gibi çağdaş tehditlere karşı güncel bir güvenlik duruşunu gösterir.

ISO 27017 ve ISO 27018: Vazgeçilmez Bulut Uzantıları

Neredeyse tüm elektronik imza SaaS çözümleri bulut altyapısına dayanır. Bu bağlamda, ISO 27000 ailesinin iki uzantısı özel dikkate değer:

ISO/IEC 27017, bulut hizmetlerine özgü yönergeler sağlar ve özellikle sağlayıcı ile alt yüklenicileri (barındırma sağlayıcıları, güven üçüncü tarafları) arasındaki sorumluluğu paylaştırır. B2B alıcısı için, sağlayıcının bu sertifikasyona sahip olup olmadığını veya uyum sağladığını doğrulamak, bulutta depolanan verilerin şirket içi ortamlardaki aynı güvenlik gerekliliklerine tabi olduğunu doğrulamanıza izin verir.

ISO/IEC 27018, bulutta kişisel verilerin korunmasına özel olarak odaklanır. GDPR'yi tamamlar ve şunları tanımlar: açık rıza olmaksızın reklamcılık amaçlı veri kullanımının yasağı, alt yükleniciler hakkında şeffaflık, taşınabilirlik hakkı. DPO ve uyumluluk sorumlular için, bu sertifikasyon imza sahiplerinin verilerinin işlenmesinde titizliğin ek bir garantisidir.

Avrupa hukuku ile ilgili bu standartların sağladığı yasal değer hakkında daha fazla bilgi için, elektronik imzanın yasal değeri hakkında rehberimizi inceleyiniz.

eIDAS Sertifikasyonu ve ETSI Normları: "Nitelikli" Olmak Ne Anlama Gelir?

ISO normlarının ötesinde, Avrupa düzenleyici çerçevesi, güven hizmetleri sağlayıcılarına (PSCo) kendi uyumluluk gerekliliklerini dayatır. eIDAS n°910/2014 Yönetmeliği, eIDAS 2.0 revizyonu aktarım sürecinde, elektronik imzanın üç seviyesini ayırt eder: basit, gelişmiş ve nitelikli.

Nitelikli Güven Hizmetleri Sağlayıcısı (PSCO) Statüsü

Nitelikli elektronik imzaları sunmak için — tüm AB üye devletlerinde el yazısı imzaya yasal olarak eşdeğer olan tek seviye — bir sağlayıcı, üye devletinin güven listesine (Fransa'da ANSSI tarafından yönetilen liste) kayıtlı olmalıdır. Bu niteleme, akredite bir uygunluk değerlendirme organı (CAB) tarafından yapılan ilk denetim ve ardından düzenli gözetim denetimleri üzerine dayanır.

Altta yatan teknik normlar, esas olarak ETSI (Avrupa Haberleşme Standartları Enstitüsü) tarafından yayımlanır:

  • ETSI EN 319 401: PSCo'lar için genel gereklilikler
  • ETSI EN 319 411: sertifikasyon yetkilileri için politika ve uygulamalar
  • ETSI EN 319 132: gelişmiş XML imzası için XAdES profilleri
  • ETSI EN 319 122: gelişmiş CMS imzası için CAdES profilleri
  • ETSI EN 319 162: kayıtlı elektronik teslim hizmeti

Bu ETSI normlarına göre sertifikalı bir sağlayıcı, imzalarının Avrupa alanında tanınan tüm çözümlerle teknik birlikte çalışabilirliğini sağlar; bu, birkaç ülkede faaliyet gösteren işletmeler için çok önemlidir. eIDAS Yönetmeliği hakkında kapsamlı rehberimiz her niteleme seviyesiyle ilişkili yükümlülükleri ayrıntılandırır.

SOC 2 Type II: Kuzey Amerika Tamamlayıcısı

Avrupa alanında daha az yaygın olmasına rağmen, AICPA standartlarına göre verilen SOC 2 Type II raporu (Hizmet Kuruluşu Kontrolü), özellikle Amerika Birleşik Devletleri'nde şubeleri olan veya Amerikan ortakları olan büyük şirketler tarafından talep edilir. ISO 27001'den (sertifikasyon) farklı olarak, SOC 2 bir denetim raporudur ve güven hizmetleri kriterlerine (güvenlik, mevcudiyet, işleme bütünlüğü, gizlilik, gizlilik) uyumu 6 ile 12 ay arasında bir gözlem dönemi boyunca doğrular. Kapsamlı bir karşılaştırma için, sağlayıcının son SOC 2 Type II raporu (on iki aydan daha eski olmayan) olup olmadığını doğrulamak, operasyonel olgunluk açısından güçlü bir sinyal oluşturur.

Sağlayıcıların Sertifikasyonlarını Karşılaştırma: Yöntem ve Kriterler

Mevcut sertifikasyonların çoğluğu karşısında, B2B alıcılar yapılandırılmış bir analiz ızgarası benimsemelidirler. elektronik imza çözümlerinin karşılaştırması, Fransa'da mevcut olan başlıca platformları sayır; sertifikasyon seviyelerini nasıl değerlendireceğiniz aşağıda açıklanmıştır.

Sistematik Olarak Sorulan Dört Soru

1. Sertifikasyonun tarihı ve tam kapsamı nedir? Üç yıl önce elde edilen ve yenilenmemiş ISO 27001 sertifikasyonu, geçerliliği devam eden sertifika ile aynı garantileri sunmaz. Resmi sertifikayı sistematik olarak talep edin ve denetim kapsamının kapsamını doğrulayın: bazı sağlayıcılar yalnızca merkez ofislerini sertifikalandırır, veri merkezleri veya denizaşırı geliştirme ekiplerini dışarıda bırakır.

2. Sertifikasyon denetimini kim gerçekleştirdi? Sertifikasyon organı, IAF (Uluslararası Akreditasyon Forumu) üyesi tarafından kendisi akredite edilmiş olmalıdır. Fransa'da, COFRAC (Comité Français d'Accréditation — Fransız Akreditasyon Komitesi) yetkilendirilmiş organdır. Akredite olmayan bir kuruluş tarafından verilen sertifika, sözleşmesel veya düzenleyici değeri olmayan bir sertifikadır.

3. Sağlayıcı yıllık sızma testi raporunu yayınlıyor mu? ISO 27001 sertifikasyonu düzenli güvenlik açığı değerlendirmelerini gerektirir, ancak sızma testleri için standart bir format belirtmez. Olgun bir sağlayıcı, yıllık sızma testinin bir üçüncü taraf tarafından hazırlanan özet raporunu yayınlar. ANSSI, bu tür egzersizler için PASSI tarafından nitelenen sağlayıcılardan yararlanılmasını (Bilgi Sistem Güvenliği Denetim Sağlayıcısı) önerir.

4. Alt yüklenim ve ilişkili sertifikasyonlar nelerdir? Bir elektronik imza sağlayıcısı, genellikle bir bulut barındırıcısı (AWS, Azure, OVHcloud vb.) ve bazen üçüncü taraf sertifikasyon yetkilileri üzerine dayanır. Bu alt yüklenicilerin kendilerinin eşdeğer sertifikasyonlara sahip olduğunu doğrulayın (ISO 27001, sağlık verileri için HDS, hassas veriler için SecNumCloud). Güven zinciri, sadece eğer her halka denetleniyorsa değerlidir.

Sağlık Verileri İçin HDS Referans Çerçevesinin Özel Durumu

Sağlık kuruluşları, yaşlı bakım evleri, karşılıklı sigortalar veya tıbbi veri yönetenler için, HDS sertifikasyonu (Sağlık Veri Barındırıcısı) ISO gerekliliklerine eklenir. 26 Ocak 2018 kararnamesi (décret) uyarınca, kişisel sağlık verilerini barındıran herhangi bir kuruluş, akredite bir kuruluş tarafından HDS sertifikasına sahip olmalıdır. Tıbbi bağlamda kullanılan elektronik imza sağlayıcısı için — tedaviye rıza, elektronikleştirilmiş reçete, hastaneleme raporu — bu sertifikasyon zorunlu koşuldur. Sağlık sektöründeki elektronik imza'nın özelliklerini keşfedin ve yükümlülüklerinizi değerlendirin.

Sertifikasyonların Sözleşme Müzakereleri ve Durum Tespiti Üzerindeki Etkisi

Bir sağlayıcı tarafından elde edilen sertifikasyonlar, yalnızca ticari argümanlar değildir: sözleşme ilişkisini ve taraflar arasında sorumluluk dağılımını yapılandırırlar.

Sistematik Olarak Entegre Edilecek Sözleşmesel Maddeler

Bir elektronik imza sağlayıcısı ile bir sözleşme müzakere ederken, sertifikasyonlarla doğrudan ilişkili birkaç madde özel dikkate değerdir:

  • Sertifikasyon Saklama Maddesi: sağlayıcı, sözleşme süresi boyunca sertifikasyonlarını korumayı ve herhangi bir geri çekme veya askıya almayı derhal bildirmekle yükümlüdür.
  • Denetim Maddesi: müşteri, sağlayıcıda güvenlik denetimi yapmak veya yaptırmak hakkını saklar, tanımlanmış koşullar (ön bildirim, kapsam, sonuçların gizliliği) altında.
  • Alt Yüklenim Maddesi: tedarik zincirinde herhangi bir değişiklik, önceden bildirim konusu olmalı ve yeni alt yüklenici tanımlanmış sertifikasyon gerekliliklerini karşılamıyorsa fesih olanağı vardır.
  • Mevcudiyet SLA'sı: ISO 27001 sertifikalı sağlayıcılar için, aylık esasa göre minimum %99,9 mevcudiyet taahhüdü (SLA) makul bir beklentidir ve eşik aşımı durumunda finansal cezalar verilir.

Bu sözleşmesel yönler, işletmedeki elektronik imza yönetişiminin daha geniş bir yaklaşımının parçasıdır; bunu adanmış rehberimizde ayrıntılandırırız.

Sertifikasyonların GDPR veya NIS2 Denetimi Çerçevesindeki Katkısı

NIS2 direktifinin yürürlüğe girmesi andan itibaren (Fransız yasası tarafından 15 Nisan 2025 tarihli kanun), gerekli ve önemli kuruluşlar, kritik sağlayıcılarının — elektronik imza sağlayıcıları da dahil olmak üzere — siber güvenliğin minimum gerekliliklerini karşıladığını göstermelidir. Bir sağlayıcının ISO 27001 sertifikasyonu, NIS2 denetimi veya CNIL müfettişliği sırasında kullanılabilir belgelenmiş bir ispat oluşturur. Özellikle GDPR'nin 32. maddesini uygularken — işleme tabi güvenlik ve kuruluş açısından uygun teknik ve örgütsel önlemleri zorunlu kılmayan madd- gösterir.

Daha az sertifikalı bir çözümden daha yüksek uyumluluk garantilerine sahip bir platforma geçiş yapan işletmeler için, Certyneo'ya geçiş rehberi göz önünde bulundurulacak adımları ve önlemleri ayrıntılandırır.

Elektronik İmza Sağlayıcılarının Sertifikasyonlarına Uygulanabilir Yasal Çerçeve

Elektronik imzanın hukuki geçerliliği, Avrupa ve ulusal metinlerin standartlaştırılmış yığınına dayanır ve sağlayıcının sertifikasyonlarını doğru şekilde değerlendirmek için hakim olmanız gereklidir.

Medeni Kanun, Maddeler 1366 ve 1367: Bu maddeler Fransız elektronik imza hukuku hakkında kuramsallaştırmayı oluşturur. Madde 1366, "elektronik yazı, kimliği uygun şekilde belirlenmiş kişiden kaynaklandığı ve bütünlüğü garantilenmiş koşullar altında oluşturulmuş ve saklanmış koşulda, kağıt ortamdaki yazı ile aynı kanıt gücüne sahiptir" kuralını belirtir. Madde 1367, "hukuki bir işlemi tamamlamak için gerekli imza, yazarını tanımlar" ve elektronik olduğunda, "yazarını bu işlem ile bağlayan güvenilir tanımlama yöntemi kullanımından oluşur" şeklinde açıklama yapır. ISO 27001 sertifikasyonları ve eIDAS nitelikleri, bu güvenilirlik varsayımını doğrudan belirtmeye katkıda bulunur.

eIDAS Yönetmeliği n°910/2014: Bu Avrupa Yönetmeliği tüm üye devletlerde doğrudan uygulanabilir olup, elektronik imzanın üç seviyesini (basit, gelişmiş, nitelikli) tanımlar ve nitelikli güven hizmetleri sağlayıcılarını ETSI normlarına göre denetlenmeye tabi tutar. 24. Madde, nitelikli sağlayıcılara uygulanabilir gereklilikler (nitelikli personel istihdam ve finansal kaynak yeterliliği gibi) belirtir. eIDAS 2.0 revizyonu (Yönetmelik UE 2024/1183, 20 Mayıs 2024'te yürürlüğe giren) bu gereklilikler sertifikasyonlarını arttırır, Avrupa dijital kimlik cüzdanı (EUDIW) sunarak ve tanınan güven hizmetleri kapsamını genişleterek.

GDPR n°2016/679: 28. Maddeler (veri işleyici), 32 (işlemenin güvenliği) ve 35 (etki analizi) elektronik imza sağlayıcısı müşterisinin adına kişisel verileri işlediğinde ilgilidir. Madde 32 özellikle kişisel veri sahteleştirilmesi ve şifrelemesi, sistem gizliliği, bütünlüğü ve esnekliği garantisini gerektirir. Bu yönleri kapsayan ISO 27001 sertifikasyonu, bu gösterim yükümlülüğünü kısmen karşılamaya yardımcı olur.

NIS2 Direktifi (UE 2022/2555, Fransa yasası 15 Nisan 2025 tarihli kanun tarafından aktarıldı): Gerekli ve önemli kuruluşların elektronik imza sağlayıcılarını da dahil olmak üzere dijital tedarik zinciri risklerini yönetmeleri gerektiğini belirtir. NIS2'nin 21. Maddesi, siber güvenliğin minimum önlemlerini listeler ve bunların çoğu ISO 27001 gerekliliklerini doğrudan karşılar.

ETSI Normları: EN 319 401, EN 319 411-1, EN 319 411-2, EN 319 132 (XAdES), EN 319 122 (CAdES) ve EN 319 162 normları, nitelikli güven hizmetleri sağlayıcılarının teknik gerekliliklerini tanımlar. Bunlara uyum, ulusal güven listelerine kaydedilmeden önce akredite bir kuruluş tarafından denetlenir.

Sertifikasyondan Yoksun Durumdaki Sorumluluk: Veri ihlali yaşayan ve elektronik imzaları tehlikeye atan sertifikasız bir sağlayıcı, sözleşmesel ve hukuk dışı sorumluluk üstlenir. Müşteri açısından, sertifikasyonları önceden doğrulamama, siber risklerin yönetiminde bir hata olarak tutulabilir ve siber sigorta kapsamını etkileyebilir.

Kullanım Senaryoları: Pratikte ISO Sertifikasyonları

ISO sertifikasyonları teorik soyutlamalar değildir. Burada, çeşitli iş bağlamında operasyonel etkilerini gösteren üç somut senaryo verilmiştir.

Senaryo 1: Ticari Hukuk Bürosu Sağlayıcı Seçiyor

Yirmi kadar ortağı olan bir ticari hukuk bürosu, yıllık olarak yüzlerce hassas belgeyi işler: pay satışları, ortaklık anlaşmaları, gizlilik sözleşmeleri. Bilgi teknolojileri sorumlusu, seçimi ortaklar ve büyük müşterilere gerekçelendirmek zorundadır ve kontratlar vasıtasıyla dijital araçların ISO 27001 sertifikalı olması talep edilir.

Seçilen sağlayıcının ISO 27001:2022 sertifikasyonuna dayanarak, büro müşteri durum tespitleri sırasında uyumluluk tasdiki sağlayabilir. Yıllık yenileme denetimi, müşteri hizmetleri alımında, güvenlik sistematik olarak değerlendirildiğinde bir argüman oluşturur. Bu tür yapıdaki sonuç: müşteri alımlarında güvenlikle ilgili soruların 60 ile 70 % arasında geçirilen zamanı azaltma ve on sekiz aylık dönemde uyumsuz imzalarla ilişkili iki olayın ortadan kaldırılması.

Senaryo 2: Uluslararası Tedarikçi Sözleşmelerini Yöneten KOBİ

Yaklaşık 150 çalışanı olan ve yıllık yaklaşık 300 tedarikçi sözleşmesini yönetilmesi, bu konuda Almanya ve Hollanda ortakları ile önemli bir çoğunluğu olan KOBİ, elektronik imzalarının bu ülkelerde tanındığından emin olmalıdır. Sağlayıcının eIDAS sertifikasyonu — Fransız güven listesine kayıtlı ve ETSI EN 319 132 uyumlu gelişmiş imzalar sunması — hukuki birlikte çalışabilirliği Avrupa alanında garantiler.

Paralel olarak, sağlayıcının ISO 27001 sertifikasyonu, birkaç büyük müşterisinin satın alma departmanları tarafından yıllık tedarikçi denetimleri sırasında talep edilir. Şirket, 12 aylık dönemde yaklaşık 15.000 ile 20.000 euro arasında, gecikme ve lojistik ücretlerde maliyeti kaydetti.

Senaryo 3: İK Süreçlerine ve Tıbbi Alanına Elektronik İmzayı Entegre Eden Hastane Grubu

Yaklaşık 600 yataklı hastane grubu, hem personel sözleşmelerini (sağlık personeli, tıbbi geçiciler) hem de dijital tedaviye rızayı elektronikleştirmek istemektedir. İki sertifikasyon ailesi gerekli hale gelir: sağlayıcının genel güvenliği için ISO 27001 ve tıbbi veri işleme kısmı için HDS sertifikasyonu (Sağlık Veri Barındırıcısı).

Grup, her iki sertifikasyona sahip bir sağlayıcı seçer; bu, tüm kullanım alanlarını tek sözleşmede kaplamak ve Dijital Sağlık Kurumu (ANS) gerekliliklerini karşılamak için yardımcı olur. Ölçülen İK süreçlerindeki üretkenlik kazancı (tıbbi geçiciler için sözleşmeler kağıt versiyonunun aksine iki saatten az zaman içinde imzalanır) yıllık 80.000 ile 120.000 euro arasında, yıllık 1.200 sözleşme için uygulanabilir yaklaşık %40 yönetim maliyetlerinde tasarrufı temsil eder.

Sonuç

ISO 27001, ISO 27017, ISO 27018 sertifikasyonları ve eIDAS nitelikleri, pazarlama sayfasında gösterilen basit rozet değildir: düzenli olarak kontrol edilen, denetlenen garantilerin temeli oluşturur, sağlayıcının sorumluluğunu arttırır ve müşteri işletmesini hukuki olarak korur. 2026'da, artan siber tehditlerin karmaşıklığı ve Avrupa düzenleyici çerçevesinin sertleşmesi (NIS2, eIDAS 2.0) karşısında, sertifikalı bir elektronik imza sağlayıcısı seçmek artık seçenek değil, bir yönetişim gerekliğidir.

Fransa pazarında mevcut sağlayıcıları objektif olarak karşılaştırmak için, bu makalede belirlenen dört anahtar kriteri temel alınız: sertifikasyonun tam kapsamı, denetim organının akreditasyonu, tedarik zinciri hakkında şeffaflık ve koruma maddelerine uyum. Certyneo, tüm bu gereklilikler karşılamak ve uyumlu şekilde geçişe yardımcı olmakta. Mevcut durumunuzu denetlemek ve tam sertifikalı elektronik imzaya nasıl geçeceğinizi öğrenmek için ekibimizle iletişime geçiniz.

Certyneo'yu ücretsiz deneyin

İlk imza zarfınızı 5 dakikadan kısa sürede gönderin. Kredi kartı olmadan ayda 5 ücretsiz zarf.

Konuyu derinlemesine keşfedin

Elektronik imzayı ustaca kullanmak için kapsamlı rehberlerimiz.

Certyneo Topluluğu

Elektronik imza hakkında bir sorunuz mu var?

Certyneo topluluğuna katılın: sorularınızı sorun, cevaplarınızı paylaşın ve binlerce kullanıcı ve ekibimiz ile iletişim kurun.