İmza ve ISO 27001 Normu: 2026 Rehberi

Elektronik imza, B2B sözleşme süreçlerinin omurga haline gelmiştir; ancak yasal ve ticari değeri, sıklıkla hafife alınan bir ön koşula dayanır: onu destekleyen bilgi sistemi altyapısının sağlamlığı. İşte tam da ISO/IEC 27001 normu devreye girer; bu uluslararası bilgi güvenliği yönetimi referansıdır. 2026'da siber saldırılar imza platformlarını hedef almaya devam ederken ve eIDAS 2.0 yönetmeliği güven hizmeti sunucuları için gereklilikleri sertleştirirken, ISO 27001 sertifikasyonu sorusu artık büyük hesaplar için ayrılmış bir lüks değildir: işletmedeki her elektronik imza dağıtımı için standart bir seçim kriteri haline gelmiştir.

Bu makale ISO 27001 ile elektronik imza arasındaki sinerjileri, uyguladığı somut yükümlülükleri, uyumsuzluğun risklarını ve SaaS sağlayıcınızda sertifikasyon almak ya da değerlendirmek için atılacak adımları analiz eder.

ISO 27001 Normu Nedir ve Elektronik İmza için Neden Merkezi Öneme Sahiptir?

Uluslararası Standardizasyon Örgütü (ISO) ve Uluslararası Elektroteknik Komisyonu (IEC) tarafından yayımlanan ISO/IEC 27001:2022 normu (Ekim 2022'de revize edilmiş sürüm) bir Bilgi Güvenliği Yönetim Sistemi (BGYS) oluşturmak, uygulamak, sürdürmek ve sürekli iyileştirmek için gereklilikleri tanımlar. Dört temaya dağıtılmış 93 kontrol içerir: örgütsel kontroller, kişi kontrolleri, fiziksel kontroller ve teknolojik kontroller.

Elektronik imza için bu norm özel bir önem taşır çünkü bilgi güvenliğinin üç direkliğini doğrudan ele alır:

• Gizlilik : imzalanan belgelerin yetkisiz erişime karşı korunması
• Bütünlük : belgelerin imzadan sonra değiştirilmediğinin garantisi
• Kullanılabilirlik : olası bir anlaşmazlık durumunda imza kanıtlarına erişim

ISO 27001 Kontrolleri Elektronik İmzaya Doğrudan Uygulanabilir

Normun Ek A'sındaki 93 kontrolün bazıları imza iş akışlarına doğrudan uygulanır:

Kontrol 5.14 – Bilgi Aktarımı : imzalanacak belgelerin iletimi için, özellikle şifreleme protokolleri (en az TLS 1.3) aracılığıyla, resmi kurallar dayatır.

Kontrol 8.24 – Şifreleme Kullanımı : elektronik imzaların oluşturulması ve doğrulanması için kullanılan algoritmalar da dahil olmak üzere, belgelenmiş bir şifreleme politikası gerekli kılar. Uygulamada, bu ANSSI önerileriyle uyumlu algoritmaların (2026'da en az RSA-3072 veya ECDSA-256) kullanımını içerir.

Kontrol 8.12 – Veri Sızıntısı Önleme (DLP) : imzalanan belgelerde bulunan kişisel verileri RGPD yükümlülükleriyle doğrudan uyumlu şekilde korur.

Kontrol 5.18 – Erişim Hakları : platformda yalnızca yetkili kişilerin belgeyi başlatabileceğini, imzalayabileceğini veya görüntüleyebileceğini garantir.

ISO 27001 Diğer Güvenlik Sertifikaları ile Karşılaştırıldığında: Hangi Tamamlayıcılık?

ISO 27001 tek başına yeterli değildir ancak temeli oluşturur. Aşağıdakilerle tamamlanır:

• SOC 2 Type II (ABD normu, sıklıkla NYSE'de işlem gören şirketler tarafından gerekli kılınır)
• ISO/IEC 27017 ve 27018 : bulut için ve bulutda kişisel veri koruması için spesifik uzantılar
• eIDAS Niteliği : akredite kuruluşlar tarafından verilir (Fransa'da LSTI) : Nitelikli Güven Hizmeti Sunucuları (NITERIALS) için zorunludur

ISO 27001 sertifikalı ve eIDAS nitelikli bir prestatör böylece maksimum garanti düzeyini sunar; bu, eIDAS 2.0 yönetmeliğinin tam rehberinde ayrıntılı şekilde belirtilir.

Elektronik İmza SaaS Sağlayıcıları için Spesifik Gereklilikler

ISO 27001 sertifikalı bir SaaS elektronik imza seçmek, kendi kuruluşunuzun kapsandığı anlamına gelmez — ancak sizin üstlendiğiniz kalan risk düzeyini güçlü şekilde etkiler.

Sertifikasyon Kapsamı: Doğrulanması Gerekenler

Bir sağlayıcıyı değerlendirirken, üç soru belirleyicidir:

1. Sertifikasyon kapsamı imza hizmetini kapsar mı? Bir yayımcı yazılım geliştirme faaliyetleri için ISO 27001 sertifikalı olabilir ancak imza platformu kapsam dışında kalabilir. Resmi sertifikayı talep edin ve Kapsam Beyanı (Statement of Applicability) doğrulayın.

1. Sertifikasyon güncel mi? ISO 27001 yıllık gözetim denetimleri ve üç yılda bir yenileme denetimi gerektirir. Süresi dolmuş sertifika hiçbir garanti sağlamaz.

1. Sertifikasyon kuruluşu hangisidir? Fransa'da, COFRAC tarafından akredite kuruluşlar (Bureau Veritas, SGS, BSI Group, LRQA…) tanınan sertifikalar verir. Kendi kendine uyum beyanı hiçbir yasal değer taşımaz.

Olay Yönetimi ve Hizmet Sürekliliği

ISO 27001, belgelenmiş ve test edilmiş bir İş Sürekliliği Planı (ISP) ve Aktivite Devam Planı (ADP) gerektirir. Elektronik imza platformu için bu pratik olarak şunları içerir:

• Üretim ortamları için RTO (Kurtarma Süresi Hedefi) 4 saatten az
• RPO (Kurtarma Noktası Hedefi) 1 saatten az, imza verilerinin kaybı olmaz
• En az altı ayda bir test edilmiş devam testleri
• RGPD 33. maddesine uyumlu güvenlik olayı bildirimi prosedürü (maksimum 72 saat)

Bu gereklilikler, Fransa'da 21 Mayıs 2024 tarihli n°2024-449 yasası tarafından çevrileştirilen NIS2 yönergesiyle örtüşür; bu yönerge, temel ve önemli kuruluşlara olay bildirimi ve güçlendirilmiş siber güvenlik önlemleri yükümlülüğü dayatır.

ISO 27001 Sertifikasyonu Elektronik İmzanın Kanıt Değerini Nasıl Güçlendirir

Hukuk müşavirler ve alıcılar için sıklıkla bilinmeyen bir nokta: nitelikli elektronik imzanın yasal sağlamlığı kısmen onu destekleyen teknik güven zincirinin sağlamlığına bağlıdır. Güvenliği tehlikeye atılan bir platformda imzalanmış bir belge, bir mahkemede kanıt değeri açısından tartışmaya açık olabilir.

Veri Bütünlüğü Yasal Temel Olarak

Medeni Kanun 1366. maddesi, elektronik imzanın yazılı imza ile "yazarı düzgün biçimde tanımlanabiliyorsa ve bütünlüğü garanti altına alınacak koşullar altında oluşturulmuş ve saklanmışsa" yazılı imza değerine sahip olduğu belirtilir. Bu bütünlük koşulu, ISO 27001'in merkezi odağıdır.

Anlaşmazlık durumunda, ISO 27001 sertifikalı bir sağlayıcı aşağıdakileri sunabilir:

• Erişim geçmişini kanıtlayan değişmez denetim günlükleri
• Yerinde kontrolleri gösteren sertifikasyon denetim raporları
• NIST uyumlu şifreleme anahtar yönetimi politikası

Bu unsurlar, imzanın geçerliliğini savunan tarafın konumunu önemli ölçüde güçlendirir. İmzanın farklı seviyeleri hakkında daha fazla bilgi için, lütfen elektronik imza çözümlerini karşılaştırma rehberini inceleyiniz.

Kanıt Arşivleme ve Saklama Süresi

ISO 27001, NF Z42-020 normu (sayısal kasa) ve ETSI EN 319 162 önerileri (nitelikli elektronik arşivleme hizmeti) ile birleştirildiğinde, bazı ticari sözleşmeler için 30 yıl kadar uzun sürelerde imzaların kanıt değerini garantileyen bir arşivleme politikası tanımlamaya olanak tanır.

ISO 27001'in 8.10 – Bilgi Silme kontrolü ayrıca, yaşam döngüsünün sonunda RGPD'nin hakkı silinme hakkı (17. madde) ile uyumlu şekilde verilerin güvenli şekilde yok edilmesi için belgelenmiş prosedürleri dayatır.

Elektronik İmza Sağlayıcınızdan ISO 27001 Uyumluluğunu Nasıl Değerlendirir ve Talep Edersiniz?

SaaS satın alma veya sözleşme yenileme süreci bağlamında, dört aşamalı bir değerlendirme protokolü sunun.

Aşama 1 : Resmi Sertifikayı Talep Edin ve Doğrulayın

ISO/IEC 27001:2022 sertifikasını (2013 sürümü değil, Ekim 2025'ten beri geçersiz kılınmıştır) en son gözetim denetim raporuyla talep edin. Sertifikasyon kuruluşunun kayıt defterinde geçerlilik tarihini doğrulayın.

Aşama 2 : Uygulanabilirlik Beyanını (SoA) Analiz Edin

Statement of Applicability seçilen ve hariç tutulan kontrolleri, gerekçesiyle listeler. Belgeli gerekçe olmadan hariç tutulan her kontrol, sağlayıcı risk analizinizde değerlendirilecek kalan bir riski temsil eder.

Aşama 3 : Gereklilikleri Sözleşmeye Katın

Sağlayıcı sözleşmeniz şunları içermelidir:

• Sertifikasyon korunması ile ilgili madde, askıya alınması durumunda bildirim yükümlülüğü
• Yıllık denetim raporlarına erişim veya denetim hakkı
• Sağlayıcının ISP/ADP'si ile uyumlu güvenlik SLA'ları
• İmza bütünlüğünü etkileyen güvenlik olayı durumunda sorumluluk maddesi

Aşama 4 : Kendi Risk Analizinizi Gerçekleştirin

Sertifikalı bir sağlayıcı bile iç riskinizi kapsamaz. ISO 27001, kuruluşunuza aşağıdakiler de dahil olmak üzere risk analizi (madde 6.1.2) gerektiriyor:

• Çalışanlarının imza platformuna erişiminin yönetilmesi
• İmza iş akışlarını hedef alan kimlik avı saldırılarına karşı farkındalık
• İmza delegasyon politikası

Bu yaklaşım, İK ve hukuk ekipleri için elektronik imza yönetimi ile işlenmiş belge hacimleri önemli operasyonel risklere maruz kalmak için doğal olarak bir küresel politikaya entegre edilir.

Elektronik İmza ve ISO 27001'e Uygulanabilir Yasal Çerçeve

Elektronik imza sistemi uyumluluğu, her B2B şirketinin hakim olması gereken normatif bir katmanlar birikintisine dayanır.

Medeni Kanun, 1366 ve 1367. Maddeler : 1366. madde, yazarın tanımlanması ve bütünlük garantisi koşulunda elektronik imza ile yazılı imza arasında denkliğini belirtir. 1367. madde, elektronik imzayı "yazarının, ona iliştirildiği sözleşmelerle bağını garantileyen güvenilir bir tanımlama yöntemi kullanması" olarak tanımlar.

eIDAS Yönetmeliği n°910/2014 ve eIDAS 2.0 (Yönetmelik UE 2024/1183) : AB üye devletlerinde geçerlidir, üç imza düzeyi (basit, gelişmiş, nitelikli) ayırır ve Nitelikli Güven Hizmeti Sunucularına (NGHS) akredite kuruluşlar tarafından uyum denetimi gerektirir. Mayıs 2024'ten itibaren kademeli olarak yürürlüğe giren eIDAS 2.0 revizyonu, gözetim gerekliliklerini güçlendirir ve Avrupa sayısal kimlik cüzdanı (EUDIW) tanıtır.

GDPR Yönetmeliği n°2016/679 : İmzalanan belgelerde bulunan kişisel veriler (imza sahibinin kimliği, IP adresi, zaman damgası) kişisel veriler teşkil eder. Sorumlu denetçi bunları koruma (5. madde), ihlafleri 72 saatte bildirme (33. madde) ve tasarım gereği koruma sağlama (25. madde) yükümlülüğüne sahiptir. ISO 27001 uygun hale getirmeye teknik çerçeve sağlar.

NIS2 Yönergesi (Yönerge UE 2022/2555), Fransa'da 21 Mayıs 2024 tarihli n°2024-449 yasası tarafından çevrileştirilmiş : Birçok B2B oyuncusu da dahil olmak üzere temel ve önemli kuruluşlar, sağlayıcı risklerinin yönetimi (21. madde) de dahil olmak üzere yeterli siber güvenlik önlemleri almalıdır. ISO 27001 sertifikalı olmayan bir imza prestatörü, NIS2 anlamında bir üçüncü taraf riski teşkil edebilir.

ETSI Normları : ETSI EN 319 100 serisi nitelikli elektronik imzalar için teknik gereklilikleri tanımlar (XAdES için EN 319 132, CAdES için EN 319 122, PAdES için EN 319 142). Bu teknik normlar ISO 27001 standartlarıyla uyumlu bir güvenlik altyapısını önceden kabullenmiş olur.

ANSSI Referansı : Fransa'da, Ulusal Bilgi Sistemleri Güvenlik Ajansı şifreleme algoritmaları (Genel Güvenlik Referansı - RGS) hakkında öneriler yayımlar; bunların uygulanması ISO 27001 sertifikalı bir BGYS tarafından desteklenir. Prestatörlerin Fransa'daki eIDAS niteliği, ANSSI tarafından ulusal denetim yetkisi olarak incelenir.

ISO 27001 sertifikasyon eksikliği bir elektronik imza sağlayıcısında, kuruluşu imzalanan belgelerin kanıt değerinin tartışılması riskine, GDPR cezalarına (küresel cirulü %4 veya 20 M€ kadar), ve NIS2 uyumluluğunun sorgulanması riskine maruz bırakır.

Kullanım Senaryoları: ISO 27001 ve Pratikte Elektronik İmza

Senaryo 1 — 25 Çalışanlı İşletme Hukuk Bürosu

Birleşme-devralma uzmanlaşmış bir büro yıllık 600'den fazla ileri imza gerekli doküman (NDA, mutabakat protokolü, devralma sözleşmesi) işler. İç denetim, imza platformu erişim izlenebilirliğinde eksikleri ortaya koyduktan sonra, büro yalnızca ISO/IEC 27001:2022 sertifikalı ve sertifikasyon kapsamı imza hizmetini açık şekilde kapsayan sağlayıcı kabul etmeye karar verir.

Sonuç : sertifikalı platforma geçişten sonra, büro müşteri çağrısı sayısını güvenlik doğrulama süresi içinde % 40 azaltıyor ve 48 saatte sertifikasyon denetim raporları sunabiliyor. Ortalama sözleşme doğrulama süresi 3,2 günden 1,4 güne düşüyor.

Senaryo 2 — Yıllık 1.500 Tedarikçi Sözleşmesi Yöneten Sanayi Şirketi

Bir otomotiv üreticisinin Tier-1 yüklenicisi tedarikçisi, birinci derece alıcısına tüm elektronik imza zincirinin (satın alma siparişleri, çerçeve sözleşmeleri, değişiklikleri) grup satın alma standartları tarafından dayatılan ISO 27001 gerekliliklerine uygun olduğunu kanıtlamalıdır. KOBİ, 6.1.2 maddesine göre tedarikçi risk haritası yapıyor ve eski SaaS sağlayıcısının geçerli sertifika tutmadığını belirliyor.

Sertifikalı çözüme geçişten ve dahili BGYS uygulamadan sonra, KOBİ gerekli tedarikçi nitelendirmesini alıyor ve 4 yıllık çerçeve sözleşmesini güvence altına alıyor. Sertifikasyon maliyeti (KOBİ boyutu için uzman danışmanlık şirketlerine göre yaklaşık 15.000 ile 25.000 €), sözleşme hacmi dikkate alındığında altı aydan az bir sürede amortisman döner.

Senaryo 3 — Yaklaşık 1.200 yataklı hastane grubu

Sağlık sektöründe, bakım kuruluşlarına güçlendirilmiş gereklilikler uygulanır: sağlık verisi işleme (GDPR 9. maddesine göre özel kategori), HDS sertifikaları (Sağlık Veri Barındırma) ve artık NIS2 niteliği temel kuruluş olarak. Hastane grubu elektronik imzayı iş sözleşmeleri, klinik araştırma sözleşmeleri ve kamu kamu satınalmalarına (aylık ~900 belge) konuşlandırıyor.

ISO 27001 sertifikasyon, HDS sertifikası ve PSCQ eIDAS niteliklemesi birleştiren bir sağlayıcı seçerek, kuruluş GDPR uyumluluğu riskini % 60 oranında azaltıyor (DPO'ya göre), ve tıbbi yasal belgeler için 30 yıl garantili kanıt arşivleme sağlanıyor. Araştırma sözleşmesi imzalama zamanı 12 günden ortalama 3,5 güne düşüyor ve idari ekipleri için önemli kaynaklar serbest bırakıyor.

Sonuç

2026'da, ISO/IEC 27001:2022 sertifikaları artık elektronik imza sağlayıcıları için basit bir pazarlama argümanı değildir: imzalanan belgelerin bütünlüğünü, GDPR ve NIS2 uyumluluğunu, ve sözleşmeli taahhütlerin kanıt değerini garantileyen temel teknik ve yasal çerçevedir. B2B şirketleri, SaaS sağlayıcıları için bu sertifikasyon talep etme, eIDAS niteliğini doğrulama gibi bir makul dikkat yükümlülüğü haline gelmiştir.

Certyneo, ISO/IEC 27001:2022 sertifikalı ve sertifikasyon kapsamı tüm elektronik imza platformu kapsayan bir şirkettir. Ekiplerimiz mevcut uyumluluğunuzu değerlendirme ve hacmunuz ve sektörünüze uygun güvenli imza iş akışı uygulamasında sizi destek edebilir. Certyneo'da ücretsiz demo isteyin ya da fiyatlandırmamızı keşfedin ve kuruluşunuza uygun formülü bulun.