Gümrük ve Ticaret Bakanlığından:
ELEKTRONİK TİCARETTE GÜVEN DAMGASI HAKKINDA TEBLİĞ
BİRİNCİ BÖLÜM
Amaç, Kapsam,
Dayanak, Tanımlar ve Kısaltmalar
Amaç
MADDE 1 – (1) Bu Tebliğin amacı, elektronik ticarette güven
damgasına ilişkin usul ve esasları belirlemektir.
Kapsam
MADDE 2 – (1) Bu Tebliğ, güven damgası almak isteyen ve
Elektronik Ticarette Hizmet Sağlayıcı ve Aracı Hizmet Sağlayıcılar Hakkında
Yönetmelik kapsamında bulunan aracı hizmet sağlayıcı ve kendine ait
elektronik ticaret ortamında faaliyet gösteren hizmet sağlayıcının uyması
gereken güvenlik ve hizmet kalitesi standartlarını; güven damgası
sağlayıcının faaliyetleri ve yükümlülükleri ile güven damgasının verilmesi,
askıya alınması ve iptaline ilişkin usul ve esasları kapsar.
(2) 19/10/2005 tarihli ve 5411 sayılı Bankacılık
Kanununa ve 20/6/2013 tarihli ve 6493 sayılı Ödeme ve Menkul Kıymet
Mutabakat Sistemleri, Ödeme Hizmetleri ve Elektronik Para Kuruluşları
Hakkında Kanuna göre faaliyet izni almış kuruluşlar bu Tebliğ kapsamı
dışındadır.
Dayanak
MADDE 3 – (1) Bu Tebliğ, 3/6/2011 tarihli ve 640 sayılı
Gümrük ve Ticaret Bakanlığının Teşkilat ve Görevleri Hakkında Kanun
Hükmünde Kararnamenin 9 uncu maddesi, 23/10/2014 tarihli ve 6563 sayılı
Elektronik Ticaretin Düzenlenmesi Hakkında Kanunun 11 inci maddesi ile
26/8/2015 tarihli ve 29457 sayılı Resmî Gazete’de yayımlanan Elektronik
Ticarette Hizmet Sağlayıcı ve Aracı Hizmet Sağlayıcılar Hakkında
Yönetmeliğin 16 ncı maddesine dayanılarak hazırlanmıştır.
Tanımlar
ve kısaltmalar
MADDE 4 – (1) Bu Tebliğin uygulanmasında;
a) Alıcı: Elektronik ticarete konu mal veya hizmeti
satın alan ya da satın alma amacıyla hareket eden gerçek veya tüzel kişiyi,
b) Aracı hizmet sağlayıcı: Başkalarına ait iktisadi
ve ticari faaliyetlerin yapılmasına elektronik ticaret ortamını sağlayan
gerçek ve tüzel kişileri,
c) Bakanlık: Gümrük ve Ticaret Bakanlığını,
ç) Belge: Yazılı veya basılı metin, senet, çizim,
plan, kroki, fotoğraf, film, görüntü veya ses kaydı gibi veriler ile
elektronik ortamdaki verileri ve bunlara benzer bilgi taşıyıcılarını,
d) Elektronik ticaret ortamı: Elektronik ticaret
faaliyetinde bulunulan internet sitesi, mobil site veya uygulama gibi
platformları,
e) Extended validation SSL (EV SSL): Gerçek veya
tüzel kişilerin yasal belgelere göre kimlik doğrulamasını sağlayan ve
sunucu ile istemci arasında akan verinin güvenliğini ve bütünlüğünü mümkün
kılan sertifikayı,
f) Güven damgası: Bu Tebliğde öngörülen asgari
güvenlik ve hizmet kalitesi standartlarına uyan hizmet sağlayıcı ve aracı
hizmet sağlayıcıya verilen elektronik işareti,
g) Güven damgası sağlayıcı (GDS): Hizmet sağlayıcı
ve aracı hizmet sağlayıcıya bu Tebliğde öngörülen kriterlere uygun olarak
güven damgası veren, güven damgasına ilişkin diğer faaliyetleri yürüten ve
Bakanlık tarafından protokolle yetkilendirilen kuruluşu,
ğ) Hizmet sağlayıcı: Elektronik ticaret
faaliyetinde bulunan gerçek ya da tüzel kişileri,
h) MERSİS numarası: Merkezi Sicil Kayıt Sistemi
(MERSİS) tarafından ticaret siciline kayıtlı tacirlere verilen tekil
numarayı,
ı) Secure socket layer (SSL): Sunucu ile istemci
arasında akan verinin güvenliğini ve bütünlüğünü mümkün kılan sertifikayı,
i) Sızma testi: Güvenlik açıklarını istismar
edilmeden önce tespit etmek ve düzeltmek amacıyla gerçekleştirilen atakları
içeren faaliyetleri,
ifade eder.
İKİNCİ BÖLÜM
Güven
Damgasının Tahsisi, Askıya Alınması ve İptali
Güven
damgası alma şartları
MADDE 5 – (1) Güven damgası almak isteyen hizmet sağlayıcı
ve aracı hizmet sağlayıcı asgari olarak aşağıdaki standartlara uyar:
a) Kişisel veri ve ödeme bilgisi içeren her türlü
işlemin internet sitesi ve mobil sitede EV SSL, uygulamada SSL ile
gerçekleştirilmesini sağlar.
b) Güven damgası başvurusunda bulunmadan en fazla
üç ay önce ve her takvim yılı içinde en az bir defa, Türk Standardları
Enstitüsü tarafından onaylı A veya B sınıfı sızma testi firmalarına sızma
testi yaptırarak gerekli önlemleri alır ve bu önlemleri aldığına ilişkin
doğrulama testi yaptırır.
c) 23/2/2006 tarihli ve 5464 sayılı Banka Kartları
ve Kredi Kartları Kanununa, 4/5/2007 tarihli ve 5651 sayılı İnternet
Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen
Suçlarla Mücadele Edilmesi Hakkında Kanuna, 20/6/2013 tarihli ve 6493
sayılı Ödeme ve Menkul Kıymet Mutabakat Sistemleri, Ödeme Hizmetleri ve
Elektronik Para Kuruluşları Hakkında Kanuna, 7/11/2013 tarihli ve 6502
sayılı Tüketicinin Korunması Hakkında Kanuna, 23/10/2014 tarihli ve 6563
sayılı Elektronik Ticaretin Düzenlenmesi Hakkında Kanuna, 24/3/2016 tarihli
ve 6698 sayılı Kişisel Verilerin Korunması Kanununa ve bu kanunların
ikincil düzenlemeleri ile elektronik ticaret ortamında satışı yasak olan ya
da şarta bağlanan ürünlere ilişkin düzenleme ve idari kararlara uygun
süreçler tasarlar.
ç) Elektronik ticaret ortamında çocukların
fiziksel, zihinsel, ahlaki, psikolojik ve toplumsal gelişim özelliklerini
olumsuz yönde etkileyebilecek içeriğe yönelik tedbirleri alır.
d) Elektronik ticarete konu malın stok bilgisi,
içeriği, malzemesi, ölçüleri gibi özelliklerine, kullanımına ve varsa
garantisine, teknik desteğine ve bunların kim tarafından sağlanacağına
ilişkin detaylar ile gerçek boyutlarının anlaşılmasını mümkün kılan
görselleri, tedarik, kargo ve teslimat süresi gibi hususları, sipariş alıcıya
teslim edilinceye kadar siparişin durumu hakkında gerekli bilgileri ve
kargo takip imkânını sunar ya da sunulmasına olanak sağlar.
e) Elektronik ticarete konu hizmetin kim tarafından
sağlanacağı, kapsamı ve süresi gibi bilgileri sunar ya da sunulmasına olanak
sağlar.
f) Bu fıkranın (d) ve (e) bentlerine ilişkin
taahhütlerine uygun hareket eder.
g) Alıcının siparişi hakkında bilgi alabilmesi,
talep ve şikâyetlerini internet tabanlı iletişim yöntemlerinden en az biri
ve telefon aracılığıyla iletebilmesi için müşteri hizmetleriyle iletişim
imkânı sunar. Talep ve şikâyetlerin etkin bir şekilde yönetilmesini,
sonuçlandırılmasını ve konuya ilişkin alıcının bilgilendirilmesini sağlar.
(2) Güven damgası almak isteyen hizmet sağlayıcı ve
aracı hizmet sağlayıcının gerçek kişi olması halinde kendisinin ve yetkili
temsilcisinin, tüzel kişi olması halinde ise yöneticilerinin ve yetkili
temsilcilerinin 26/9/2004 tarihli ve 5237 sayılı Türk Ceza Kanununun 53
üncü maddesinde belirtilen süreler geçmiş olsa bile; kasten işlenen bir
suçtan dolayı bir yıl veya daha fazla süreyle hapis cezasına ya da affa
uğramış olsa bile devletin güvenliğine karşı suçlar, Anayasal düzene ve bu
düzenin işleyişine karşı suçlar, zimmet, irtikâp, rüşvet, hırsızlık,
dolandırıcılık, sahtecilik, güveni kötüye kullanma, hileli iflas, ihaleye
fesat karıştırma, edimin ifasına fesat karıştırma, suçtan kaynaklanan
malvarlığı değerlerini aklama, kaçakçılık veya bilişim suçlarından mahkûm
olmaması gerekir.
(3) Güven damgası almak isteyen hizmet sağlayıcı ve
aracı hizmet sağlayıcı iflas etmiş ise itibarın iadesinin sağlanmış olması
gerekir.
Güven
damgası başvurusu ve tahsisi
MADDE 6 – (1) Güven damgası başvurusu hizmet sağlayıcı ve
aracı hizmet sağlayıcı tarafından GDS’ye yapılır. Hizmet sağlayıcı veya
aracı hizmet sağlayıcının birden fazla elektronik ticaret ortamının
bulunması halinde, güven damgası tahsis edilmesi istenen her bir elektronik
ticaret ortamı için ayrı ayrı başvuruda bulunulur.
(2) Başvuru sahibi, 5 inci maddenin birinci
fıkrasının (a) ve (b) bentleri ile ikinci ve üçüncü fıkralarındaki şartlara
uyduğunu gösterir belgeleri, birinci fıkranın diğer bentlerindeki şartları
taşıdığına dair yazılı beyanını ve başvuru ücretini ödediğine dair makbuzu
başvurusu sırasında GDS’ye sunar.
(3) Başvuru sahibinin 5 inci maddedeki şartlara
uygunluğu kontrol edilerek bu kontrole ilişkin tespitlerin yer aldığı bir
rapor başvuru tarihinden itibaren otuz gün içinde hazırlanır.
(4) Üçüncü fıkra gereğince yapılan kontrol
neticesinde:
a) Şartlara uyduğu tespit edilen başvuru sahibine
güven damgası tahsis edilir.
b) Şartlara uymadığı tespit edilen başvuru sahibine
bu durumun ortadan kaldırılması için otuz gün süre verilir. Bu süre bir
defaya mahsus olmak üzere on beş gün uzatılabilir. Verilen sürenin sonuna
kadar şartlara uyduğu tespit edilen başvuru sahibine güven damgası tahsis
edilir. Aksi halde başvuru reddedilir.
(5) Güven damgası, hizmet sağlayıcı ve aracı hizmet
sağlayıcının elektronik ticaret ortamının ana sayfasında yer alır. Güven
damgasına ana sayfa dışındaki sayfalarda da yer verilebilir.
(6) Tahsis edilen her bir güven damgası üzerinden
GDS’nin internet sitesine doğrulama bağlantısı sağlanır. Bu bağlantı
aracılığıyla, güven damgasının tahsis edildiği hizmet sağlayıcı veya aracı
hizmet sağlayıcıya ilişkin bilgiler belirtilir.
(7) Güven damgası tahsis edilen hizmet sağlayıcı ve
aracı hizmet sağlayıcının elektronik ticaret ortam bilgileri GDS’nin
internet sitesinde güncel olarak yayımlanır.
Güven
damgası askı işlemleri
MADDE 7 – (1) Güven damgası tahsis edilen hizmet sağlayıcı
ve aracı hizmet sağlayıcının 5 inci maddedeki şartlara uymadığının tespit
edilmesi ve bu durumun süre verilerek ortadan kaldırılmasının mümkün olması
halinde güven damgası sahibine on beş gün süre verilir. Bu sürenin sonuna
kadar şartlara uymayan hizmet sağlayıcı ve aracı hizmet sağlayıcının güven
damgası askıya alınır. Askıya alma tarihinden itibaren otuz gün içinde
şartlara uyulması halinde güven damgası askıdan indirilir.
(2) Güven damgası askıya alınan hizmet sağlayıcı ve
aracı hizmet sağlayıcıların listesi GDS’nin internet sitesinde güncel
olarak yayımlanır.
(3) Güven damgası askıya alınan hizmet sağlayıcı ve
aracı hizmet sağlayıcının elektronik ticaret ortamında yer alan güven
damgasının üzerinde görülebilecek şekilde, güven damgasının askıya
alındığına ilişkin ibareye yer verilir. Askıya alınma nedeninin ayrıntılı
olarak öğrenilebilmesi için GDS’nin internet sitesine bir bağlantı ile
yönlendirme yapılır.
Güven
damgasının iptali
MADDE 8 – (1) Güven damgası, hizmet sağlayıcı ve aracı
hizmet sağlayıcının;
a) Talebi,
b) Elektronik ticaret ya da aracılık faaliyetlerine
son vermesi,
c) Güven damgasının askıya alınma tarihinden
itibaren otuz gün içinde 5 inci maddedeki şartlara uymadığının tespit
edilmesi,
ç) 5 inci maddenin birinci fıkrasının (c) bendinde
belirtilen şartlardan herhangi birine aykırı hareket etmesi, bu aykırılığın
süre verilerek ortadan kaldırılmasının mümkün olmaması ve GDS’nin iki defa
yazılı uyarısına rağmen aynı aykırılığı tekrarlaması,
d) Güven damgasının bir takvim yılı içinde üçüncü
defa askıya alınmasını gerektiren bir aykırılık tespit edilmesi,
e) 5 inci maddedeki şartlara ilişkin eksik bilgi
veya yanıltıcı belge verdiğinin tespit edilmesi,
f) İflası,
halinde iptal edilir.
(2) Güven damgası iptal edilen hizmet sağlayıcı ve
aracı hizmet sağlayıcının elektronik ticaret ortamından güven damgası
kaldırılır.
(3) Birinci fıkranın (c), (ç), (d) veya (e)
bentleri gereğince güven damgası iptal edilen hizmet sağlayıcı ve aracı
hizmet sağlayıcının ad-soyad veya unvanı, elektronik ticaret ortam bilgisi
ve iptal gerekçesi GDS’nin internet sitesinde bir yıl süreyle yayımlanır.
(4) Hizmet sağlayıcı ve aracı hizmet sağlayıcıya
tahsis edilen güven damgasının, birinci fıkranın;
a) (c), (ç) ve (d) bentleri gereğince iptal
edilmesi halinde bir yıl,
b) (e) bendi gereğince iptal edilmesi halinde üç
yıl,
c) (f) bendi gereğince iptal edilmesi halinde
itibarın iadesi sağlanana kadar,
güven damgası başvurusunda bulunulamaz.
ÜÇÜNCÜ BÖLÜM
GDS’nin Denetim
Yetkisi ve Görevleri ile Yükümlülükleri
GDS’nin
denetim yetkisi ve görevleri
MADDE 9 – (1) GDS;
a) Güven damgası başvurusunda bulunan hizmet
sağlayıcı ve aracı hizmet sağlayıcının 5 inci maddede öngörülen şartlara
uygunluğunu kontrol etmekle,
b) Güven damgası tahsis ettiği hizmet sağlayıcı ve
aracı hizmet sağlayıcının 5 inci maddedeki şartlara uygunluğunu şikâyet
üzerine her zaman ve her takvim yılı içinde en az bir defa denetlemekle,
c) Güven damgası tahsis ettiği hizmet sağlayıcı ve
aracı hizmet sağlayıcının sahip olduğu EV SSL ve SSL’in geçerlilik
sürelerini takip etmekle,
ç) Güven damgasının haksız kullanımını önlemeye
yönelik her türlü tedbiri almakla,
d) Denetimleri sırasında tespit ettiği adli veya
idari yaptırım gerektiren hususları yazılı olarak ilgili mercilere ve
Bakanlığa bildirmekle,
görevli ve yetkilidir.
GDS’nin
yükümlülükleri
MADDE 10 – (1) GDS, bu Tebliğin;
a) 6 ncı maddesi gereğince hizmet sağlayıcı ve
aracı hizmet sağlayıcının güven damgası başvurusuna ve güven damgasının
tahsisine,
b) 7 nci maddesi gereğince güven damgasının askı
sürecine,
c) 8 inci maddesi gereğince güven damgasının
iptaline,
ç) 9 uncu maddesi gereğince hizmet sağlayıcı ve
aracı hizmet sağlayıcının denetimine,
d) 11 inci maddesi gereğince Bakanlığa sunulmak
üzere faaliyet raporu hazırlanmasına,
ilişkin iş ve işlemleri yürütür.
(2) Güven damgası alan hizmet sağlayıcı ve aracı
hizmet sağlayıcıya ilişkin şikâyetlerin iletilebilmesi amacıyla çevrim içi
şikâyet sistemi oluşturarak Bakanlığın erişimine açar. Bu sistem üzerinden
yapılan şikâyetleri hizmet sağlayıcı ve aracı hizmet sağlayıcıya aynı gün
içinde iletir ve bu hususta şikâyetçiye bilgi verir.
(3) GDS olarak yetkilendirildiği tarihten itibaren
altı ay içinde ulusal düzeyde güven damgası veren kuruluşların üye
olabildiği uluslararası güven damgası kuruluşlarından en az birine üye
olur.
(4) Elektronik ticaret ortamında satışı yasak olan
ya da şarta bağlanan ürünlere ilişkin düzenleme ve idari kararları takip
eder ve güven damgası alan hizmet sağlayıcı ve aracı hizmet sağlayıcıyı bu
hususlarda bilgilendirir.
(5) Hizmet sağlayıcı ve aracı hizmet sağlayıcı ile
alıcıları güven damgası sistemi hakkında bilgilendirmek amacıyla güven
damgası kılavuzu hazırlayarak internet sitesinde yayımlar.
(6) Bu Tebliğ uyarınca yürütmekle yükümlü olduğu
faaliyetler nedeniyle elde ettiği bilgi ve belgeleri, hizmet sağlayıcı ve
aracı hizmet sağlayıcı ile arasındaki sözleşmenin sona erdiği tarihten
itibaren beş yıl süreyle saklar.
(7) Hizmetin ifası sırasında hizmet sağlayıcı ve
aracı hizmet sağlayıcı ile alıcı hakkında edindiği her türlü bilgi ve
belgenin gizliliğini sağlar. Hizmetin ifasının gerektirdiği haller dışında
bu bilgi ve belgeleri üçüncü taraflarla paylaşamaz.
(8) Hizmet sağlayıcı ve aracı hizmet sağlayıcı
olarak faaliyette bulunamaz.
Faaliyet
raporu
MADDE 11 – (1) GDS tarafından bu Tebliğ kapsamında yürütülen
faaliyetlerle ilgili olarak her yıl mart ayı sonuna kadar Bakanlığa
faaliyet raporu sunulur. Raporda, asgari olarak aşağıdaki hususlara yer
verilir:
a) Güven damgası başvurusunda bulunan hizmet
sağlayıcı ve aracı hizmet sağlayıcı ile güven damgası tahsis edilen hizmet
sağlayıcı ve aracı hizmet sağlayıcının elektronik ticaret ortam bilgileri,
gerçek kişi olmaları halinde ad ve soyadları ile T.C. kimlik numaraları
veya vergi kimlik numaraları; tüzel kişi olmaları halinde ticaret unvanları
ve MERSİS numaraları.
b) Güven damgası tahsis edilen hizmet sağlayıcı ve
aracı hizmet sağlayıcı hakkında çevrim içi şikayet sistemi üzerinden
yapılan şikâyetlerin sayısı, konusu, sonucu ve sonuçlanma süresine ilişkin
bilgiler.
c) Güven damgası yıl içinde askıya alınan veya
iptal edilen hizmet sağlayıcı ve aracı hizmet sağlayıcının elektronik
ticaret ortam bilgileri ile güven damgasının askı ve iptal nedenleri.
ç) GDS’nin bir sonraki yıla ait elektronik ticaret
pazar öngörüleri.
d) Bakanlıkça gerekli görülen diğer bilgiler.
DÖRDÜNCÜ BÖLÜM
Çeşitli ve Son
Hükümler
Güven
damgası hizmeti
MADDE 12 – (1) Yurt dışında yerleşik olan ve yurt dışından
güven damgası hizmeti veren gerçek veya tüzel kişilerce verilen güven
damgasının kullanımı hariç olmak üzere, Bakanlık tarafından
yetkilendirilmeden güven damgası hizmeti verilemez, güven damgası izlenimi
verecek hiçbir işaret tahsis edilemez ve kullanılamaz.
Bakanlık
yetkisi ve denetim
MADDE 13 – (1) Bakanlık; bu Tebliğ kapsamında elektronik
ticaret işlem ve faaliyetlerinin güven ve istikrar içinde
sürdürülebilmesini teminen gerekli her türlü bilgi ve belgeyi talep etmeye,
denetim yapmaya, idari tedbir almaya ve tasarrufta bulunmaya, GDS tarafından
verilen güven damgası hizmetine ilişkin itirazları kabul etmeye, yükümlülüklerini
yerine getirmeyen GDS’nin yetkisini iptal etmeye, güven damgası hizmeti
kapsamında alınacak ücretlerin üst sınırını ve güven damgasının biçimi ile
ölçütlerini belirlemeye yetkilidir.
Yürürlük
MADDE 14
– (1) Bu Tebliğ yayımı tarihinde
yürürlüğe girer.
Yürütme
MADDE 15 – (1) Bu Tebliğ hükümlerini Gümrük ve Ticaret Bakanı
yürütür.
|