TMD vs TMK: Hukuki ve Pratik Farklılıklar

Giriş: TMD ve TMK Neden Ayrıştırılmalı?

Avrupa dijital güven ekosisteminde, sırasıyla elektronik veriler ve kriptografik anahtar altyapıları için güven işaretlemesi mekanizmalarını ifade eden Veri Güven İşareti (TMD) ve Anahtarlar Güven İşareti (TMK) kavramları genellikle hukuk müşavirleri ve bilgi işlem sorumluları arasında karışıklık yaratır. Ancak bunların hukuki rejimleri, teknik kapsamları ve pratik etkileri temel olarak farklıdır. Bu makale, bu iki mekanizmayı açıklığa kavuşturur, bunların ilgili düzenleyici çerçevesini sunar ve kuruluşları B2B belge akışlarında en uygun seçimi yapmaları konusunda yönlendirir.

---

TMD (Veri Güven İşareti) Nedir?

TMD veya veriler için uygulanan güven işaretlemesi mekanizması, bir veri seti veya elektronik belgenin bütünlüğü ve özgünlüğünü sertifiye etmeye izin veren prosedürler ve kriptografik özellikler topluluğunu ifade eder. Temel olarak eIDAS yönetmeliğinin anlamında nitelikli elektronik mühür (qualified electronic seal) mekanizmalarına dayanır.

TMD'nin Teknik Temelleri

Teknik açıdan, bir TMD şunlara dayanır:

• Kaynak verilere uygulanan karma işlev (SHA-256, SHA-3), benzersiz dijital parmakizi oluşturur;

• Yayıncı kuruluşun kimliğini garantileyen Nitelikli Güven Hizmetleri Sağlayıcısı (PSCQ) tarafından yayınlanan dijital sertifika;

• ETSI EN 319 421 standardına uygun nitelikli elektronik zaman damgası, karşı konulamaz bir zaman kanıtı sağlar.

Bu üç unsur birleştiğinde TMD'ye yüksek ispat değeri vererek, AB'nin birçok üye devletinde imzalı belgelerle eş sayılabilir. Zaman damgalı belgelerin hukuki değeri hakkında daha fazla bilgi için, lütfen elektronik imza kapsamlı rehberimizi ziyaret edin.

TMD'nin Tercih Edilen Uygulama Alanları

TMD, kuruluşun büyük veri hacimleri bütünlüğünü belirlenmiş bir fiziksel kişinin aktif müdahalesine gerek kalmadan sertifiye etmeye ihtiyaç duyduğu bağlamlara özellikle uygundur. Özellikle şu alanlarda bulunur:

• Mali ve muhasebe akışlarının sertifikasyonu (denetim günlükleri, genel denge);

• Dijital kanıtların yasal olarak saklanması (NF Z 42-013 standardına uygun kanıt arşivlemesi);

• Tedarik zincirlerinde iş ortakları arasında EDI alışverişleri.

---

TMK (Anahtarlar Güven İşareti) Nedir?

TMK veya kriptografik anahtarlar üzerinde odaklanan güven işaretlemesi mekanizması farklı bir mantığa uyar: verilerin kendisini değil, imza kullananlar tarafından kullanılan açık anahtarı altyapısı (PKI) ve imza oluşturma cihazlarını sertifiye eder. eIDAS yönetmeliğinin Ek II'sinde tanımlanan Nitelikli İmza Oluşturma Cihazı (QSCD) kavramlarıyla yakından ilişkilidir.

TMK'nin Kriptografik Mimarisi

Bir TMK şunları içerir:

• CC EAL 4+ veya FIPS 140-2 seviye 3 sertifikalı HSM modülü (Donanım Güvenlik Modülü), özel anahtarların asla güvenli cihazı terk etmemesini garantileyen;

• PSCQ tarafından yayınlanan belgelenmiş sertifika politikası (CPS – Certification Practice Statement);

• OCSP (Online Certificate Status Protocol) veya CRL (Certificate Revocation List) aracılığıyla gerçek zamanlı iptal mekanizmaları.

TMK'nin sağlamlığı, bu nedenle, anahtar üretimi ve depolanması cihazlarının fiziksel ve mantıksal güvenliğine bağlıdır. Bu gerekliliklerin küresel düzenleyici çerçeveyle nasıl uyumlu olduğunu anlamak için, eIDAS 2.0 yönetmeliği rehberimiz önemli bir kaynak niteliğindedir.

TMK'nin Tercih Edilen Uygulama Alanları

TMK, belirlenmiş bir fiziksel kişinin hukuki sorumluluğunun kesin şekilde sorgulanması gereken senaryolarda zorunludur:

• Yüksek hukuki değerli sözleşmelerin imzalanması (ticari mağaza devirler, ticari kiralama, demateryalize edilmiş noter hukuku belgeleri);

• İdari ve işletme portallarında güçlü kimlik doğrulama süreci (gümrük API'leri, Chorus Pro platformları);

• Ödeme emirlerinin doğrulanması DSP2'ye tabi finansal kuruluşlarda.

---

Hukuki Karşılaştırma: TMD vs TMK

TMD ve TMK arasındaki en yapılandırıcı ayrım, eIDAS yönetmeliği (n° 910/2014) ve onun halefi eIDAS 2.0 (yönetmelik UE 2024/1183) içindeki hukuki bağlantılarında yatır.

Sorumluluk Rejimi

| Kriter | TMD | TMK | |---|---|---| | Sorumlu Taraf | Tüzel kişi (kuruluş) | Belirlenmiş fiziksel veya tüzel kişi | | Güven Seviyesi | İleri veya nitelikli (mühür) | Nitelikli (elektronik imza) | | Yasal Varsayım | Verilerin Bütünlüğü | İmzalayanın Rızası ve Kimliği | | Sınır Ötesi Kapsam | AB'de Otomatik Tanınma | AB'de Otomatik Tanınma (eIDAS md. 25) |

TMD, yayıncı kuruluşun sorumluluğunu meydana çıkarır: sertifikalandırılan verilerin bütünlüğü tehlikeye atılırsa, kuruluş bundan sorumludur. TMK ise, anahtar sahibinin bireysel sorumluluğunu meydana çıkarır — bu da ona kişisel iradenin hiçbir belirsizlik olmadan kanıtlanması gereken her işlemin vazgeçilmez aracı yapar.

Fransız Yargı Makamları Önündeki İspat Gücü

Fransız hukuku açısından, Medeni Kanunun 1366. maddesi "elektronik yazı, yazıcının kişisinin düzgün bir şekilde kimliği belirlenebileceği ve bütünlüğünü garantilemek için uygun şekilde kurulup saklandığı sürece, yazılı kağıt belgesiyle aynı ispat gücüne sahip olduğu" hükmünü içerir. Bu açıklama her iki mekanizmayı kapsar, ancak önemli nüanslarla:

• TMD nitelikli tarafından korunan bir belge, bütünlük varsayımından yararlanarak ispat yükünü tersine çevirir;

• TMK nitelikli tarafından imzalanan bir belge, buna ek olarak, atfedilebilirlik varsayımından yararlanır — imzalayan kişinin imzalamadığını kanıtlaması gerekir, bu son derece zordur.

Bu asimetrik ispat gücü, elektronik imza kullanan hukuk müşaviri ve hukuk büroları neden yasal form koşuluna tabi işlemler için TMK'yi tercih ettiklerini açıklar.

Birlikte Çalışabilirlik ve Karşılıklı Tanınma

eIDAS 2.0, Avrupa Dijital Kimlik Cüzdanları (EDIW) yoluyla birlikte çalışabilirliği güçlendirir; bunlar, vatandaşlar ve profesyoneller için yerel olarak TMK mekanizmalarını entegre edecekdir. TMD'ler ise daha çok her üye devlet tarafından yayınlanan ulusal güven listeleri (Trusted Lists) üzerinde dayanır. Fransa, ANSSI aracılığıyla kendisini yayınlar ve her nitelikli PSCQ bunun içine kaydedilir. Pazardaki çözümlerin karşılaştırmalı analizi için, elektronik imza çözümlerinin karşılaştırması size somut karar unsurları verecektir.

---

B2B İşletmeleri için Pratik Çıkarımlar

Belge Türüne Göre TMD ve TMK Seçimi

Altın kural basittir: belgenin hukuki risk seviyesi uygulanacak mekanizmayı belirler.

• Orta risk belgeleri (satın alma siparişleri, teklifler, genel satış koşulları, standart gizlilik anlaşmaları NDA): ileri TMD cachet genellikle yeterlidir. QSCD niteliğinden kaynaklanan ek maliyetler olmadan güçlü bir koruma sağlar.

• Yüksek risk belgeleri (iş sözleşmeleri, temyizler, devirler, 50.000 € üzerinde veya çok yıllı finansal taahhütler): nitelikli TMK önerilir, hatta bazı düzenlenmiş sektörlerce zorunludur (banka, sigorta, sağlık).

Önemli hacimlerde iş sözleşmeleri yöneten insan kaynakları ekipleri için, İK için elektronik imza çözümümüz yerel olarak her belge türüne uyarlanmış güven seviyesini entegre eder.

Dağıtım Maliyetleri ve Zaman Dilimleri

TMD, her imzalayanı doğrulama (KYC/AML) gerekmediğinden genellikle dağıtılması daha ucuz olur. Belge yönetim sistemi (GED) veya ERP üzerinden API entegrasyonu, çevre karmaşıklığına bağlı olarak ortalama 2 ila 6 hafta sürer.

TMK, QSCD gereklilikleri ve kimlik doğrulama süreci nedeniyle, imzalayan başına 3 ila 10 iş günü onboarding süresi içerir. Çok sayıda dış ortak yöneten kuruluşlar için, bu değişim yönetiminde tahmin edilmesi gereken bir uyuşmazlık faktörü temsil edebilir.

Arşivleme ve Koruma

Seçilen mekanizmadan bağımsız olarak, Fransız hukuku'na tabi tüm kuruluşlar yasal saklama sürelerine uymalıdır: ticari sözleşmeler için 10 yıl (Ticaret Kanunu L. 110-4), ilişkili kişisel veriler için 5 yıl (GDPR md. 5). NF Z 42-013 standardına uygun kanıt arşivleme sistemi, teknolojik göç durumunda bile TMD veya TMK'nin hukuki değerinin korunmasını sağlar.

TMD ve TMK'ye Uygulanabilen Yasal Çerçeve

eIDAS Yönetmeliği ve Gelişimi

TMD ve TMK mekanizmalarının düzenleyici temeli, Avrupa Parlamentosu ve Konseyi yönetmeliği (AB) n° 910/2014 (23 Temmuz 2014 tarihli), eIDAS yönetmeliği olarak bilinir. Bu kurucu metin, güven seviyelerinin hiyerarşisini (basit, ileri, nitelikli) belirler ve AB içinde güven hizmetlerinin sınır ötesi tanınması koşullarını tanımlar.

2024'te, yönetmelik (AB) 2024/1183 (eIDAS 2.0) bu çerçeveyi önemli ölçüde gözden geçirmiş ve şu unsurları ortaya çıkarmıştır:

• 2026'dan önce üye devletler için zorunlu Avrupa Dijital Kimlik Cüzdanları (EDIW);

• Nitelikli elektronik öznitelik ateşlemeleri de dahil olmak üzere, yeni güven hizmetleri kategorileri;

• Siber güvenlik (NIS2 uyumlaştırma) açısından PSCQ'ler için güçlendirilmiş gereklilikler.

Fransız Medeni Kanunu: Maddeler 1366 ve 1367

İç hukuk açısından, Medeni Kanunun 1366. ve 1367. maddeleri (10 Şubat 2016 tarihli ordinans n° 2016-131'den kaynaklanan) elektronik yazının ispat değerinin koşullarını belirtir. Madde 1367, nitelikli elektronik imzanın (nitelikli TMK ve QSCD'ye dayanarak) "güvenilirliğin basit bir varsayımını oluşturduğunu" belirtir. Bu varsayım tersine çevrilebilir, ancak imza yararlanıcısı lehine ispat yükünü tersine çevirir.

Uygulanabilir ETSI Standartları

TMD ve TMK'nin teknik özellikleri ETSI (Avrupa Telekomünikasyon Standartları Enstitüsü) tarafından normalize edilir:

• ETSI EN 319 132: İleri elektronik imza XAdES;

• ETSI EN 319 122: CAdES İmzası;

• ETSI EN 319 142: PAdES İmzası (PDF);

• ETSI EN 319 421: Nitelikli elektronik zaman damgası politikası;

• ETSI EN 319 401: PSCQ'ler için genel gereklilikler.

GDPR ve Veri Koruma

TMD ve TMK'nin dağıtılması, kişisel veri işlenmesini içerir (imzalayanın kimliği, imza meta verileri). Yönetmelik (AB) 2016/679 (GDPR) şu unsurları zorunlu kılar:

• İşleme için açık yasal temel (sözleşmenin icra edilmesi, md. 6.1.b, veya yasal yükümlülük, md. 6.1.c);

• PSCQ'lere veri akışlarını belgelendiren işlem kaydı;

• PSCQ AB dışında kuruluysa veya AB dışı alt yükleniciler kullanıyorsa uyarlanmış sözleşme hükümleri.

NIS2 Yönergesi ve PKI Altyapısının Siber Güvenliği

Yönetmelik (AB) 2022/2555 (NIS2), 17 Nisan 2024 tarihli yasa ile Fransız hukuku'na aktarılmış, nitelikli PSCQ'leri siber risk yönetimi, olay bildirimi (ANSSI'ye bildirimin ilk aşaması için 24 saatlik süre) ve periyodik denetim açısından güçlendirilmiş yükümlülüklere tabi tutar. Kullanıcı işletmeler için bu, güven hizmetleri sağlayıcısı seçiminde artan geçmiş araştırması yükümlülüğünü çevirir.

Somut Kullanım Senaryoları

Senaryo 1: Yılda 300 Sözleşme Tedarikçi Yöneten Bir KOBİ Üreticisi

Mekanik bileşen imalatında uzmanlaşmış, yaklaşık yüz çalışanı olan bir KOBİ üretim firması, yılda yaklaşık 300 tedarikçi sözleşmesi (hammadde satın almaları, bakım hizmetleri, lojistik çerçeve sözleşmeleri) yönetir. Şimdiye kadar bu belgeler posta veya güvensiz e-posta aracılığıyla hareket etti; imza için ortalama süre 12 ila 18 iş günüdür.

20.000 € altında sözleşmeler için ileri TMD mekanizması ve daha yüksek veya çok yıllı taahhütler için nitelikli TMK dağıtarak, KOBİ imza sürelerini ortalama 1,8 iş gününe düşürür, bu %85'ten fazla bir azalmadır. Belge bütünlüğü sorgulanmasıyla ilgili uyuşmazlıklar, daha önce yılda 2 ila 3 yasal dosya temsil etmekle birlikte, dağıtımdan sonra 18 ay içinde sıfıra düşer — nitelikli mekanizmalarla ilişkili yasal varsayım, yeniden sorgulanma girişimlerini caydırır.

Senaryo 2: Yaklaşık 600 Yatak Yönetimi Yapan Bir Hastane Grubu

Birden fazla kuruluşu yöneten bir kamu hastaneleri grubu yılda binlerce belge imzalanması: hastane doktorlarının sözleşmeleri, klinik araştırma protokolleri, üniversite ve farmasötik laboratuvarlarla yazışmalar. Sağlık sektörü belirli düzenleyici kısıtlamalar getirir (HDS — Sağlık Verisi Barındırması, PGSSI-S).

Grup, pratisyenlerin imzaları (tıbbi ve hukuki sorumluluklarını içeren) için nitelikli TMK ve kuruluşlar arasındaki hasta veri akışlarının sertifikasyonu için ileri TMD dağıtır. İki mekanizmanın kombinasyonu, yılda 45.000 € basılı, taranmış ve fiziksel arşivleme maliyetlerini düşürürken GDPR ve HDS uyumluluğunu güçlendirir. Uyumluluk denetimi, daha önce 3 hafta belge hazırlanması gerektirirken, otomatik denetim günlükleri sayesinde 4 güne düşer.

Senaryo 3: Orta Büyüklükte Bir M&A Danışmanlık Ofisi

Yılda yaklaşık on işlem yapan M&A'da uzmanlaşmış bir ofis, niyet mektupları (LOI), güçlendirilmiş gizlilik anlaşmaları, protokol anlaşmaları ve devirme senetlerini yönetmelidir. İşlem değerleri 5 M€ ile 80 M€ arasında değişir. Bir belgenin özgünlüğü konusundaki en küçük itiraz, bir işlemi aylar boyunca engelleyebilir.

Sözleşmeler kapsamında durum analizi aşamasından başlayarak tüm işlem belgeleri için nitelikli TMK gereksinimini zorunlu tuterek, ofis resmi sorgulanma risklerini ortadan kaldırır. Yabancı muhataplar (özellikle Brexit sonrası İngiliz ve Amerikalı) eIDAS imzalanan nitelikli imzaların Avrupa uygulanabilir hukuku koşulları kapsamında ispat değerini tanırlar. Ortalama belge kapanış süresi 22 günden 8 güne düşer, bu %63 sonlandırma sürelerinde bir kazanç temsil eder.

Sonuç

TMD ve TMK birbirinin yerine kullanılamaz: birincisi verilerin bütünlüğünü kuruluş ölçeğinde sertifiye eder, ikincisi imzalayanın bireysel sorumluluğunu eIDAS tarafından öngörülen maksimum ispat gücüyle ortaya çıkarır. Bu ayrımı anlamak, artık B2B ortamında ciddi bir belge politikasının zorunlu ön koşuludur. Doğru mekanizmanın seçimi, her belge türünün hukuki risk seviyesine ve uygulanabilir sektörel sınırlamalarına doğrudan bağlıdır.

Certyneo, belge akışlarınıza göre TMD ve TMK'yi birleştiren dijital güven stratejisi uygulamasında sizi destekler. Platformumuz her iki mekanizmayı işler, eIDAS 2.0 gerekliliklerini entegre eder ve mevcut BT ortamınıza uyum sağlar. Certyneo Fiyatlandırma sayfasında bir gösteri talep edin veya tekliflerimizi karşılaştırın — hukuki ve teknik danışmanlarımız durumunuzu ücretsiz değerlendirme için kullanılabilir.