Bilgi Teknolojileri ve İletişim Kurumunun, Elektronik Haberleşme Sektöründe Başvuru Sahibinin Kimliğinin Doğrulanma Süreci Hakkında Yönetmeliği, Resmi Gazete'de yayımlandı.
Tebliğle, abonelik sözleşmesi, numara taşıma, işletmeci değişikliği, nitelikli elektronik sertifika, kayıtlı elektronik posta ve SIM değişikliği başvuruları işlemlerine ilişkin belgelerin elektronik ortamda düzenlenmesi halinde başvuru sahibinin kimliğinin doğrulanması amacıyla uygulanacak sürece ilişkin usul ve esaslar düzenlendi.
Düzenlemeyle, başvuru sahibinin işlemlerinin güvenli ve etkin yöntemlerle yapılması, sahtecilik, dolandırıcılık gibi güvenlik riski içeren şüpheli işlemlerin önlenmesi, ulusal ve uluslararası standartların dikkate alınması, azami ölçüde milli kaynakların kullanılması, milli güvenlik ve kamu düzeni gerekleri ile acil durum ihtiyaçlarının gözetilmesi ile tüketici hak ve menfaatlerinin gözetilmesi amaçlandı.
Buna göre, işletmeci ya da hizmet sağlayıcı, kapsamdaki işlemleri yüz yüze kanallardan, kendi internet sitesinden, mobil uygulamalardan veya benzeri mecralar üzerinden elektronik ortamda güvenli bir şekilde başvuru sahibine sunabilecek. Başvuru sahibinin kimlik doğrulama işlemi, e-Devlet Kapısı, Uluslararası Sivil Havacılık Teşkilatı (ICAO) 9303 standardına uygun "yakın alan iletişimi" özelliği olan belge ile birlikte yapay zeka veya yetkili marifetiyle görüntülü doğrulama, Türkiye Cumhuriyeti Kimlik Kartı (TCKK) ile birlikte PAdES (gelişmiş elektronik imza) oluşturma, yüz yüze kanallarda başvuru sahibinin kimlik belgesi ile birlikte işleme özgülenecek video görüntüsü alma yöntemleri vasıtasıyla yapılabilecek.
İşletmeci, başvuru sahiplerinin kimlik doğrulama bilgilerinin bilgi sistemlerinde, şifreli veya matematiksel olarak geriye dönüştürülmesi mümkün olmayan yöntemlerle muhafaza edilmesine, kimlik doğrulama amacıyla aktarılırken şifrelenmesine, işlemin amacına, yetkisiz erişimlere veya görevler ayrılığı prensibine aykırı olarak kontrolsüz bir şekilde gerçekleştirilecek değişikliklere karşı korunmasına ve bilgi sistemlerinde gerçekleştirilen tüm süreçlere ilişkin işlem kayıtlarının gizliliği, güvenliği ile bütünlüğünün sağlanarak tutulmasına ilişkin önlemleri alacak.
Yapay zeka kullanılacak
Başvuru sahibinin kimlik doğrulaması, e-Devlet Kapısı vasıtasıyla yapılabileceği gibi yapay zeka veya yetkili ile görüntülü kimlik doğrulama yoluyla da gerçekleştirilebilecek. Görüntülü kimlik doğrulaması gerçek zamanlı ve kesintisiz şekilde yapılacak. Başvuru sahibinin kimlik belgesinin üzerindeki fotoğraf da dahil olmak üzere kimlik bilgileri, "yakın alan iletişimi" yöntemiyle alınacak. Görüntülü kimlik doğrulama sırasında başvuru sahibinin canlılığını tespit edici teknikler kullanılacak. Kimlik ibraz eden başvuru sahibinin hazırda bulunduğunun teyidi amacıyla, başvuru sahibinin yüzünün, tam ve net olarak görülebileceği aydınlık ortamda, gözlerinin açık olduğu şekilde farklı açılardan kamera görüntüsü alınacak. İşletmeci/hizmet sağlayıcı hazırda bulunan başvuru sahibinin alınan canlı görüntüsündeki yüzü ile kimlik belgesinde yer alan fotoğrafın karşılaştırmasını yapay zeka yöntemiyle veya işletmeci/hizmet sağlayıcı yetkilisi marifetiyle yapacak.
Yüz yüze yapılan işlemlerde kimlik doğrulamada ise PDF ile PAdES-LTV (elektronik imza formatı) oluşturmak suretiyle kimlik doğrulanabilecek. Alternatif olarak, başvuru sahibinin kimlik belgesi ile birlikte işleme özgülenecek video görüntüsü alınarak kimlik doğrulaması yapılabilecek.
Kimlik doğrulamanın yüz yüze yapılması durumunda öncelikle başvuru sahibi, irtibat numarası veya elektronik posta adresini beyan edecek. Bu numara veya elektronik posta adresine tek kullanımlık parola veya link gönderilerek, beyan edilen iletişim bilgisinin kullanıldığı teyit edilecek.
Yönetmelik kapsamındaki tüm usuller için işletmeci kimlik doğrulaması yapılan işlem belgesinin tanzimine dair ilgili mevzuatta yer alan yükümlülükleri yerine getirecek.
Yapılan tüm işlemler kayıt altına alınacak ve elde edilen veriler yalnızca idari ve adli makamların süreçleri ile başvuru işlemi yapan başvuru sahibinin kimlik doğrulaması amacı için kullanılacak.
Yönetmelik kapsamında kayıt altına alınan ve elde edilen veriler ilgili mevzuatta yer alan saklama süreleri boyunca saklanacak.
Biyometrik veriler elektronik ortamda alınamayacak
İşletmeci/hizmet sağlayıcı, elektronik kalem veya benzeri yöntemle kişilerin biyometrik verilerini elektronik ortamda alamayacak.
İşletmeci/hizmet sağlayıcı, sahtekarlık, kimlik tespiti yöntemine ilişkin zayıflıklar gibi durumlar için teknolojik gelişmeleri yakından takip ederek gerekli güncellemeleri yapacak.
Islak imza veya güvenli elektronik imza ile imzalanan belgeler hariç olmak üzere, yönetmeliğin yürürlüğe girdiği tarihten önce yapılmış abonelik sözleşmeleri, numara taşıma başvurusu, işletmeci/hizmet sağlayıcı değişikliği başvurusu, nitelikli elektronik sertifika başvurusu, kayıtlı elektronik posta başvurusu, SIM değişikliği başvurusu belgeleri için işletmeci yönetmeliğin yürürlüğünü takip eden üç ay içinde; işlem belgesi tarafına ait kimlik numarası bilgisi ve son yedi karakterinin üçü maskelenmiş olan telefon, hizmet veya nitelikli elektronik sertifika numarası ya da kayıtlı elektronik posta adresi bilgisini mobil elektronik haberleşme işletmecilerine ve e-Devlet Kapısının sunmuş olduğu bilgilendirme sistemine iletecek.
Yönetmelik, 31 Aralık 2021 tarihinde yürürlüğe girecek.