Elektronik İmzalı Belgeleri Güvence Altına Almak: 2026 Rehberi

Giriş

Elektronik imza, Avrupa'daki B2B alışverişinin standart haline gelmiştir. Ancak bir belgeyi imzalamak yeterli değildir: yürürlükteki yasal çerçeveye uygun şekilde elektronik imzalı belgelerini güvence altına almak, arşivlemek ve saklamak gerekir. Fransa ve Avrupa'da, eIDAS yönetmeliği, GDPR ve Medeni Kanun'dan kaynaklanan yükümlülükler, bütünlük, izlenebilirlik ve saklama süresi açısından kesin gereklilikler getirmektedir. Bu rehber, elektronik imzalı belgeleriniz için sağlam bir arşivleme stratejisi oluşturmayı adım adım açıklar — ve bu yaklaşımın neden ciddi bir elektronik imza politikasının ayrılmaz bir parçası olduğunu gösterir.

---

Imzalı Belgelerin Güvence Altına Alınması Neden Mutlak Bir Önceliktir

Kötü Saklama ile İlişkili Riskler

Elektronik imzalı bir belge, değiştirilirse, bozulursa veya ispat gerektiği an erişilemez durumdaysa — bir uyuşmazlık, denetim veya vergi denetimi sırasında — tüm kanıtsal değerini kaybeder. Somut riskler şunları içerir:

• Bütünlüğün Kaybolması: imzadan sonra yapılan herhangi bir değişiklik, hatta küçük bir değişiklik bile imzayı ve dolayısıyla belgenin yasal değerini geçersiz kılar.
• Sertifikaların Süresi Dolması: nitelikli bir sertifikanın ömrü sınırlıdır (genellikle 1 ile 3 yıl). Sertifika süresi dolmadan önce belge doğru şekilde zaman damgası yapılmaz veya arşivlenmezse, gelecekteki doğrulanabilirliği tehlikeye girer.
• Teknolojik Eski Kalıntısı: dosya biçimleri gelişir. 2018'de SHA-1 algoritması ile imzalanan bir PDF belgesi, artık güvenliksiz olarak kabul edilen, uzun vadede doğrulama sorunları yaratabilir.
• GDPR İhlalleri: imzalı belgeler sıklıkla kişisel veriler içerir (ad, soyad, IP adresi, e-posta). Bu verilerin kötü yönetimi, işletmeyi CNIL'den 4 milyar dolara kadar para cezası alması riskiyle karşı karşıya bırakır.

2024'te yayınlanan bir KPMG araştırmasına göre, Fransız işletmelerinin %34'ü formallaştırılmış elektronik arşivleme politikasına sahip değildir ve uyuşmazlık durumunda önemli yasal riskler altındadır.

Kanıtsal Değer: Merkezi Bir Konu

Elektronik imzalı bir belgenin kanıtsal değeri üç temel sütun üzerine dayanır:

1. Özet: imzacı aslında iddia ettiği kişidir (kimlik doğrulama, nitelikli sertifika).
2. Bütünlük: imzadan beri içerik değiştirilmemiştir (şifreleme, SHA-256 veya daha yüksek karma).
3. İnkâr Edilemezlik: imzacı imzalamayı reddedemiyor (nitelikli zaman damgası, denetim izi).

Bu üç sütun zaman içinde korunabilir olmalıdır, bu da etkin ve pasif olmayan bir arşivleme stratejisi gerektirir.

---

Elektronik İmzalı Belgelerinizi Güvence Altına Almak için Teknik Standartlar

Uzun Vadeli İmza Biçimleri: PAdES, XAdES, CAdES

İmzalı bir belgenin kalıcılığını garantilemek için ETSI EN 319 132 (XAdES), ETSI EN 319 122 (CAdES) ve ETSI EN 319 142 (PAdES) standartları, uzun vadeli saklama için uygun imza biçimlerini tanımlar. Pratik B2B'de en çok kullanılan PAdES (PDF Advanced Electronic Signatures) biçimi, seviyeleriyle birlikte:

• PAdES-B: temel seviye, kısa süreler için uygun.
• PAdES-T: belgenin belirli bir anda varoldığını kanıtlamak için nitelikli zaman damgası ekler.
• PAdES-LT: sertifika iptal etme verilerini içerir, çevrimiçi hizmetlere erişim olmadan doğrulamayı sağlar.
• PAdES-LTA: en sağlam seviye, periyodik yenilemeler sağlayan arşiv zaman damgası ekler. 3 yılı aşan saklama için önerilir.

Uzun vadeli arşivleme için PAdES-LTA seviyesi, ANSSI ve nitelikli güven hizmeti sağlayıcıları (QTSP) tarafından önerilen referanstır.

Nitelikli Zaman Damgası: Arşivlemenin Temel Taşı

eIDAS yönetmeliğinin 42. maddesinde tanımlandığı üzere nitelikli zaman damgası, bir belgenin belirli bir an varoldığının yasal kanıtını oluşturur. Avrupa güven listesine (EU Trust List) kayıtlı nitelikli Zaman Damgası Otoritesi (TSA - Time Stamping Authority) tarafından yayınlanır.

Pratik olarak, zaman damgası:

• Belgenin özet bilgisini sertifikalı tarih ve saate şifrelemeyle bağlar.
• İmzanın, sertifika o zamandan beri süresi dolmış olsa bile, oluşturulduğu anda geçerli olduğunu kanıtlamaya izin verir.
• Belgenin imzasından yıllar sonra mahkemede kabul görülebilirliğini sağlamak için zorunludur.

Şifreleme ve Erişim Kontrolü

İmzanın kendisiyle ilişkili şifreleme yönleri ötesinde, arşivlenen belgelerin fiziksel ve mantıksal güvenliği eşit derecede kritiktir:

• İstirahatte Şifreleme: belgeler barındırma sunucularında şifrelenmelidir (minimum AES-256).
• Transit Sırasında Şifreleme: tüm transferler için TLS 1.3 protokolleri.
• Rol Tabanlı Erişim Kontrolü (RBAC): yalnızca yetkili kişiler arşivlenen belgelere erişebilir.
• Erişim Günlüğü: erişim, görüntüleme veya indirme izlenmelidir (değişmez günlükler).
• Coğrafi Olarak Yedekli Yedeklemeler: minimum olarak iki kopya coğrafi olarak farklı sitelerde, düzenli geri yükleme testleriyle.

---

Kanıtsal Elektronik Arşivleme Stratejileri: SAE ve Sayısal Kasa

Elektronik Arşivleme Sistemi (SAE)

Elektronik Arşivleme Sistemi (SAE), dijital belgelerin uzun vadeli korunması için adanmış bir altyapıdır ve bütünlüğü ile erişilebilirliği garanti eder. Fransa'da uygulanabilir referans NF Z42-013 normu (ISO 14641 olarak onaylı), kanıtsal bir SAE'nin tasarımı ve işletilmesi için gereklilikleri tanımlar.

Uyumlu bir SAE'nin özellikleri şunları içerir:

• Belge kategorisine göre saklama kuralları ile yapılandırılmış bir sınıflandırma planı.
• Girişte hesaplanan ve periyodik olarak doğrulanan bir bütünlük emprinti.
• Tüm işlemlerin değişmez günlüğü.
• Bütünlük kaybı olmadan biçimleri geliştirmek için teknoloji göçü prosedürleri.
• Güçlü kimlik doğrulama ile güvenli ve denetlenebilir erişim.

Nitelikli bir sağlayıcı tarafından yönetilen SAE'ye (Kanıtsal Değer - AEVP ile Elektronik Arşivleme gibi) başvurmak, işletmelerin bu karmaşıklığı devretmesine ve katı sözleşmesel ve düzenleyici garantilardan yararlanmasına izin verir.

Sayısal Kasa: Tamamlayıcı Bir Çözüm

Sayısal Kasa, SAE'nin basitleştirilmiş bir varyantıdır ve son kullanıcıya yönelik olarak tasarlanmıştır. Her imzacının imzalı belgelerinin bir kopyasını güvenli ve erişilebilir bir şekilde saklamasına izin verir. Bu yaklaşım özellikle şu durumlar için uygundur:

• İş sözleşmeleri ve değişiklikler (çalışan tarafından erişilebilir).
• Elektronik olarak kabul edilen genel şartlar ve koşullar.
• Müşteri katılım belgeleri (KYC, SEPA yetkileri).

Yasal Saklama Süreleri: Yasanın Empoze Ettikleri

Belge saklama süresi yasal doğasına bağlı olarak değişir. Bilmesi gereken başlıca son tarihler:

| Belge Türü | Minimum Yasal Süre | Yasal Dayanak | |---|---|---| | Ticari Sözleşmeler | 5 yıl | Ticaret Kanunu Md. L110-4 | | Vergi Belgeleri | 6 yıl | Vergi Prosedürü Kanunu Md. L102 B | | İş Sözleşmeleri | Fesihten Sonra 5 Yıl | İş Kanunu | | Özel Sekreter Takı Senetler | 5 yıl (kişisel işlem) | Medeni Kanun Md. 2224 | | Muhasebe Belgeleri | 10 yıl | Ticaret Kanunu Md. L123-22 | | Sağlık Verileri | Minimum 20 yıl | Halk Sağlığı Kanunu Md. R1112-7 |

Bu süreler arşivleme politikasında ve belge yönetim araçlarında parametrelendirilmelidir.

---

Elektronik İmza Akışınıza Güvenliği Entegre Etmek

Yerel Arşivleme ile Bir İmza Platformu Seçmek

En iyi strateji, iki ayrı aracı yönetmek yerine, yerel arşivleme güvenliğini entegre eden bir elektronik imza çözümü seçmektir. Temel seçim kriterleri şunlardır:

• eIDAS Yeterlilik: platform bir nitelikli güven hizmeti sağlayıcısı (QTSP) olmalı veya bu hizmetlere dayanmalı ve EU Trust List'e kayıtlı olmalıdır.
• GDPR Uyumluluğu: Avrupa Birliği'nde veri barındırma, DPA (Veri İşleme Sözleşmesi) mevcut, kişilerin haklarını kullanma imkanı.
• Sertifikalı Arşivleme Biçimleri: PAdES-LTA yerel desteği veya eşdeğeri.
• Tam Denetim İzi: imza işleminin her aşaması izlenebilir ve dışa aktarılabilir olmalıdır.
• Entegrasyon API'si: mevcut BYS (Belge Yönetim Sistemi) veya ERP'ye bağlanmak için.

Pazardaki mevcut çözümleri karşılaştırmak için, elektronik imza çözümleri karşılaştırması adresini ziyaret edin.

Denetim İzi: Uyuşmazlık Durumunda En İyi Korunmanız

Denetim İzi (veya audit trail), bir belgeyle ilişkili tüm işlemleri – gönderme, açma, imzalama, reddetme, hatırlatmalar – gösteren kronolojik ve değişmez bir kayıttır. İmzanın kendisine tamamlayıcı bir kanıt oluşturur.

Kanıtsal bir denetim izi şunları içermelidir:

• Her işlemin nitelikli zaman damgaları.
• İmzacıların IP adresleri ve tarayıcı bilgileri.
• Kullanılan kimlik doğrulama tanımlayıcıları.
• Belgenin meta verileri (hash emprinti).

Uyuşmazlık durumunda, genellikle mahkemede farkı yaratan denetim izidir, özellikle de nitelikli olmayan basit veya gelişmiş imza kullanıldığında.

Yenileme ve Arşivleme Hatırlatmalarını Otomatikleştirmek

Etkili bir arşivleme politikası, her şeyden önce otomatikleştirilmiş bir politikadır. En iyi uygulamalar şunları içerir:

• Otomatik Uyarılar sertifika süresi dolmadan veya zaman damgaları sona ermeden önce.
• Zaman Damgası Yenileme Akışı (timestamp renewal) şifreleme algoritmaları eski hale gelmeden önce.
• Periyodik İncelemeler arşivlenen belgelerin listesinin, rastgele bütünlük doğrulaması ile.
• Uyumluluk Panosu saklama süresi hukuki süresine yaklaşan belgeleri tanımlamamızı sağlar.

Bu otomasyonlar, yeni nesil elektronik imza platformlarında yerel olarak mevcuttur; örneğin işletmeler için Certyneo.

İmzalı Belgelerin Güvenliği ve Arşivlemesine Uygulanabilir Yasal Çerçeve

Elektronik imzalı belgelerin güvenli korunması, üçüncü taraflara karşı bu belgeleri karşı koymak veya mahkemede sunmak isteyenler için uygulanması zorunlu olan yoğun bir düzenleyici çerçeveye gömülüdür.

Yönetmelik eIDAS n°910/2014 ve Evrimleri

Avrupa yönetmeliği eIDAS (Elektronik Kimlik, Kimlik Doğrulama ve Güven Hizmetleri), 1 Temmuz 2016'dan beri uygulanmakta ve eIDAS 2.0 aracılığıyla revizyon yapılmakta, Avrupa'daki elektronik imza hizmetleri için güven çerçevesi oluşturur. Üç imza seviyesini (basit, gelişmiş, nitelikli) ayırt eder ve nitelikli güven hizmeti sağlayıcılarına (QTSP) güvenlik, denetim ve hizmet sürekliliği açısından katı gereklilikler getir. Madde 25 nitelikli imza için inkar edilemezlik varsayımını tanır. Madde 42 nitelikli zaman damgası hizmetlerini düzenler.

Fransız Medeni Kanun: Maddeler 1366 ve 1367

Medeni Kanun'un 1366. maddesi: "elektronik yazı, kâğıt üzerindeki yazı ile aynı kanıtsal güce sahiptir, bunun şartı, yazının kaynağı alınan kişinin durum olarak tanımlanabilmesi ve bütünlüğü garantileyen koşullar altında kurulmuş ve saklanmış olmasıdır" denir. Madde 1367 elektronik imza geçerliliği koşullarını açıklığa kavuşturur. Belgeyi saklamanın sorumluluğu, belgeyi elinde tutan kuruluş tarafından taşınır.

GDPR n°2016/679: Arşivlerdeki Kişisel Verilerin Korunması

Elektronik imzalı belgeler sistematik olarak kişisel veriler içerir (imzacının kimliği, e-posta adresi, IP adresi, bazen davranışsal biyometrik veriler). GDPR her işlem için yasal bir dayanak, saklama süresini kesinlikle gerekli olana kısıtlama ve uygun teknik ve organizasyonel önlemlerin uygulanmasını gerektirir (madde 32). Elektronik imzalı belge arşivlerini etkileyen bir veri ihlali durumunda, madde 33 CNIL'e 72 saat içinde bildirimi gerektirir.

NIS2 Yönergesi (2022/2555/AB)

2024'te Fransa tarafından kararname yoluyla yürürlüğe konulan NIS2 Yönergesi, temel ve önemli kuruluşlara siber güvenlik açısından güçlendirilmiş yükümlülükler getirir; bunlar hassas verileri işleyen bilgi işlem sistemlerinin güvenliğini içerir. Söz konusu kuruluşların elektronik imzalı belge arşivleme platformları uygulama alanına girer.

ETSI Standartları ve NF Z42-013

ETSI EN 319 132 (XAdES), ETSI EN 319 122 (CAdES) ve ETSI EN 319 142 (PAdES) standartları, eIDAS ile uyumlu ileri ve nitelikli elektronik imza biçimlerini tanımlar. NF Z42-013 / ISO 14641 normu, kanıtsal değeri olan bir elektronik arşivleme sisteminin tasarımı ve işletilmesi için Fransız referans oluşturur. Buna uyum, ANSSI tarafından kuvvetle tavsiye edilir ve yargısal itiraz durumunda sağlam bir koruma oluşturur.

Uyumsuzluk Durumunda Yaptırımlar ve Riskler

Riskler çok yönlüdür: belgenin mahkemede kabulü reddi, CNIL yaptırımları (önemli GDPR ihlalleri için 20 milyon avro veya CA'nın %4'ü), organizasyonun sözleşmesel veya haksız fiil sorumluluğunun ortaya çıkması ve saklama yükümlülükleri yerine getirilmemişse imza sağlayıcı tarafından sunulan garantilerin kaybı.

Örnekler: Kuruluşlar İmzalı Belgelerini Nasıl Güvence Altına Alıyor?

Senaryo 1 — Binlerce Hukuki İşlem Yöneten Bir Hukuk Müşavirliği

25 ortak ve avukat, yılda ortalama 3.000 elektronik imzalı senet ve sözleşme işlemeli (işlemsel protokoller, yetkiler, devir senetleri) bir işletme hukuk bürosunun müvekkili için 7 yıl önceki bir belgeyi vergi denetimi sırasında sunması gerektiğinde, büroda birçok imzanın artık doğrulanabileceğini fark eder: sertifikaların süresi dolmuş ve arşiv zaman damgası (PAdES-LTA seviyesi) uygulanmamıştı.

Yerel SAE'ye NF Z42-013 ile uyumlu arşivleme sunan bir imza çözümü entegre ettikten sonra, büro 30 yıl boyunca garantili doğrulanabilirlikten yararlanır. Uyuşmazlık sırasında bir belge araması ve sunumunun süresi 4 saatten 15 dakikadan az bir süreye düşer. Ortaklar, belge korunmasıyla ilgili yasal riski %60 azaltmış sayılır. Hukuk büroları için özel ihtiyaçlar hakkında daha fazla bilgi için hukuk büroları için elektronik imza sayfamızı ziyaret edin.

Senaryo 2 — Tedarikçi ve Müşteri Sözleşmeleri Yöneten Bir KOBİ Endüstrisi

180 çalışanı olan bir endüstriyel KOBİ, yılda yaklaşık 400 tedarikçi sözleşmesi ve 250 müşteri sözleşmesi elektronik imzalı olarak oluşturur. Belgeleri şifrelenmemiş paylaşılan klasörlerde saklanıyordu, denetim izi olmadan, parçalı erişim kontrolü olmadan.

Bir siber güvenlik olayı (ransomware) sunucunun bir bölümünü şifreledikten sonra, devam eden birçok sözleşme yeniden imzalanması gerekmiş, tahmini 40.000 € gecikme ve maliyet yarattı. Fransa'da egemen barındırma ve coğrafi olarak yedekli yedeklemelerle entegre sayısal kasa sunan SaaS imza platformuna göç ettikten sonra, KOBİ bu riski ortadan kaldırır. Ayrıca sözleşme son tarihleri hakkında otomatik uyarılardan yararlanır. Böyle bir yaklaşımın yatırım geri dönüş oranını tahmin etmek için imza elektronik ROI hesaplayıcısı kullanın.

Senaryo 3 — Hasta Rızas ve İK Sözleşmelerini Yöneten Hastane Grubu

Yaklaşık 1.200 yataklı bir hastane grubu, elektronik imzalı hasta rızasını minimum 20 yıl boyunca saklamalıdır (Halk Sağlığı Kanunu Md. R1112-7), ayrıca 2.500 ajanının çalışma sözleşmelerini. Belgelerin çokluğu ve farklı saklama süreleri, manuel yönetimi imkânsız ve riskli hale getirmiştir.

Elektronik imza çözümü ile belge kategorisine göre parametrelenebilir arşivleme modülü dağıttıktan sonra, hastane grubunun hukuk servisi saklama kurallarını otomatikleştiriyor: rızalar için 20 yıl, sözleşmeler için fesihten sonra 5 yıl, kamu müzayedeleri için 10 yıl. İç denetim raporları GDPR uyumluluğu, belge uyum yüzdesinin bir yıldan az sürede %67'den %96'ya çıktığını ortaya koymaktadır. Sektör özel durumları için sağlık alanında elektronik imza rehberimiz uygulanabilir düzenleyici kısıtlamaları ayrıntılandırır.

Sonuç

Elektronik imzalı belgelerinizi güvence altına almak ve saklamak, teknik bir yan yana olmaktan ziyade — imza elektronik işlemlerine güvenen her kuruluş için yasal bir zorunluluk ve stratejik bir gereklilik. eIDAS uyumluluğu, GDPR gereklilikleri, ETSI standartları ve Ticaret Kanunu'nun empoze ettiği saklama sürelerine karşı, karmaşıklık gerçektir — fakat doğru araçlarla tamamen yönetilebilir.

Başarılı bir arşivleme stratejisinin anahtarları açık seçik: uzun vadeli imza biçimleri (PAdES-LTA), sistematik nitelikli zaman damgası, güvenli ve egemen barındırma, otomatikleştirilmiş saklama kuralları ve tam bir denetim izi.

Certyneo bu işlevlerin tümünü, B2B ekipleri için tasarlanan bir SaaS platformunda yerel olarak entegre eder. Certyneo'yu bedava test ederek veya fiyatlandırmamızı keşfederek elektronik imzalı belgelerinizi uzun vadede nasıl koruyacağınızı öğrenin.