eIDAS, GDPR, NIST: Modern Takımların Dijital İmza Uyumluluğu Hakkında Bilmesi Gerekenler

Dijital imza uyumluluğu artık yalnızca büyük işletmelerin sorunu değil — sözleşme imzalayan, müşteri kaydeden veya hassas belgeleri çevrimiçi paylaşan her ekip için geçerli. eIDAS, GDPR, NIST ve ESIGN Act çerçeveleri aynı temel soruyu yanıtlar: bu imzalı belge onaylanabilir, izlenebilir ve yasal olarak savunulabilir mi?

Bu rehber her çerçevenin ne gerektirdiğini, nasıl etkileşime girdiklerini ve imzalama iş akışınızın dördünü de karşılamak için ne yapması gerektiğini açıklar.

eIDAS (AB Tüzüğü 910/2014) üç imza seviyesi tanımlar: SES (basit elektronik imza), AES (gelişmiş elektronik imza) ve QES (nitelikli elektronik imza). Çoğu B2B sözleşmesi için AES minimum gerekli seviyedir. QES, tüm AB üyesi devletlerde ıslak imzayla aynı yasal etkiye sahiptir.

eIDAS uyumluluğu üç doğrulanabilir koşula dayanır: imzalayanın kimliği, belge bütünlüğü (kriptografik hash aracılığıyla) ve zaman damgası.

İnkar edilemezlik: bir imzalayanın belgeyi imzaladığını sonradan inkâr edemeyeceği hukuki ilkedir. Chaindoc bunu PKI (Açık Anahtar Altyapısı), belge hash ve kurcalamaya karşı korumalı denetim izi aracılığıyla sağlar.

GDPR, imzalı belgelerdeki kişisel verilerin nasıl işleneceğini düzenler — kimin erişebileceği, nasıl depolandığı ve ne kadar süre saklandığı dahil.

Dijital imzalar için temel GDPR ilkeleri: veri minimizasyonu, bütünlük ve gizlilik, şeffaflık, hesap verebilirlik ve depolama sınırlaması.

Chaindoc kriptografik hash değerini on-chain (kişisel veri içermeden), kişisel tanımlayıcıları ise şifreli depolamada off-chain olarak saklar. Silme talebi durumunda kişisel veriler off-chain depodan silinir; on-chain hash işlem kanıtı olarak kalır.

NIST (dijital kimlik için SP 800-63, kontrollü bilgi için SP 800-171) diğer tüm uyumluluk çerçevelerini destekleyen güvenlik omurgasını sağlar. Her zaman doğrula ilkesiyle çalışır.

NIST SP 800-63 üç Kimlik Doğrulayıcı Güvence Seviyesi (AAL) tanımlar. B2B iş akışları için AAL2 (çok faktörlü kimlik doğrulama) minimum standarttır — bu da 2FA'yı uyumluluk gereksinimi haline getirir.

Chaindoc şunları uygular: erişim öncesi kimlik doğrulama, RBAC, en az ayrıcalık ilkesi, sürekli olay günlükleme ve blockchain'e bağlı denetim izi.

ESIGN Act (2000), elektronik imzalara ıslak imzayla aynı yasal geçerliliği veren federal ABD yasasıdır. 49 eyalet tarafından kabul edilen UETA eyalet düzeyinde tamamlayıcıdır.

ESIGN Act teknoloji tarafsızdır (tanımlanmış seviye yoktur), eIDAS ise üç spesifik seviye (SES/AES/QES) tanımlar. Bir sözleşme ABD ve AB taraflarını kapsadığında, iş akışının ESIGN Act'ın niyet ve atıf gereksinimlerini ve eIDAS AES bütünlük gereksinimlerini eş zamanlı olarak karşılaması gerekir.

Dijital imza uyumluluğu bir alıcı beklentisi haline geldi. Kurumsal satın alma ekipleri, düzenlenen sektörlerdeki müşteriler ve uluslararası ortaklar, tedarikçilerin imzalama iş akışlarını durum tespiti sürecinde değerlendirir.

Chaindoc, manuel doğrulama taleplerini otomatik denetim izi erişimiyle değiştirerek onayları hızlandırır, her imzalama olayı için doğrulanmış kimlik atıfı sağlar ve anlaşma yaşam döngüsü boyunca tutarlı belgeleme standartlarını korur.

Uyumlu bir iş akışının üç vazgeçilmez bileşeni vardır.

1. Tek Doğru Kaynak: her imzalı belge, yalnızca yetkili taraflarca erişilebilen tek bir kontrollü konumda bulunmalıdır.

2. Minimum İzinler (En Az Ayrıcalık İlkesi): erişim hakları, her kullanıcının rolü için gereken minimum düzeyle sınırlandırılmalıdır.

3. Denetime Hazır Çıktıyla Doğrulanmış İmzalar: her imza doğrulanmış bir kimliğe bağlı, zaman damgalı, belge hash ile ilişkilendirilmiş ve kurcalamaya karşı korumalı denetim izi ile tamamlanma sertifikasına sahip olmalıdır.

eIDAS, GDPR, NIST ve ESIGN Act kapsamında dijital imza uyumluluğu ortak bir ilkeyle yönetilir: her imzalı belge kanıtlanabilir şekilde özgün, değiştirilmemiş ve belirli bir anda belirli bir kişiye atfedilmiş olmalıdır.

Chaindoc bu kontrolleri imzalama iş akışına görünmez biçimde entegre eder. Modern organizasyonlar için uyumlu bir imzalama iş akışı operasyonel bir maliyet değil, rekabet avantajıdır.