06 Haziran 2017 Tarihli Resmî Gazete
Sayı: 30088
Gümrük ve Ticaret Bakanlığından:
BİRİNCİ BÖLÜM
Amaç, Kapsam, Dayanak, Tanımlar ve Kısaltmalar
Amaç
MADDE 1 – (1) Bu Tebliğin amacı, elektronik ticarette güven damgasına ilişkin usul ve esasları belirlemektir.
Kapsam
MADDE 2 – (1) Bu Tebliğ, güven damgası almak isteyen ve Elektronik Ticarette Hizmet Sağlayıcı ve Aracı Hizmet Sağlayıcılar Hakkında Yönetmelik kapsamında bulunan aracı hizmet sağlayıcı ve kendine ait elektronik ticaret ortamında faaliyet gösteren hizmet sağlayıcının uyması gereken güvenlik ve hizmet kalitesi standartlarını; güven damgası sağlayıcının faaliyetleri ve yükümlülükleri ile güven damgasının verilmesi, askıya alınması ve iptaline ilişkin usul ve esasları kapsar.
(2) 19/10/2005 tarihli ve 5411 sayılı Bankacılık Kanununa ve 20/6/2013 tarihli ve 6493 sayılı Ödeme ve Menkul Kıymet Mutabakat Sistemleri, Ödeme Hizmetleri ve Elektronik Para Kuruluşları Hakkında Kanuna göre faaliyet izni almış kuruluşlar bu Tebliğ kapsamı dışındadır.
Dayanak
MADDE 3 – (1) Bu Tebliğ, 3/6/2011 tarihli ve 640 sayılı Gümrük ve Ticaret Bakanlığının Teşkilat ve Görevleri Hakkında Kanun Hükmünde Kararnamenin 9 uncu maddesi, 23/10/2014 tarihli ve 6563 sayılı Elektronik Ticaretin Düzenlenmesi Hakkında Kanunun 11 inci maddesi ile 26/8/2015 tarihli ve 29457 sayılı Resmî Gazete’de yayımlanan Elektronik Ticarette Hizmet Sağlayıcı ve Aracı Hizmet Sağlayıcılar Hakkında Yönetmeliğin 16 ncı maddesine dayanılarak hazırlanmıştır.
Tanımlar ve kısaltmalar
MADDE 4 – (1) Bu Tebliğin uygulanmasında;
a) Alıcı: Elektronik ticarete konu mal veya hizmeti satın alan ya da satın alma amacıyla hareket eden gerçek veya tüzel kişiyi,
b) Aracı hizmet sağlayıcı: Başkalarına ait iktisadi ve ticari faaliyetlerin yapılmasına elektronik ticaret ortamını sağlayan gerçek ve tüzel kişileri,
c) Bakanlık: Gümrük ve Ticaret Bakanlığını,
ç) Belge: Yazılı veya basılı metin, senet, çizim, plan, kroki, fotoğraf, film, görüntü veya ses kaydı gibi veriler ile elektronik ortamdaki verileri ve bunlara benzer bilgi taşıyıcılarını,
d) Elektronik ticaret ortamı: Elektronik ticaret faaliyetinde bulunulan internet sitesi, mobil site veya uygulama gibi platformları,
e) Extended validation SSL (EV SSL): Gerçek veya tüzel kişilerin yasal belgelere göre kimlik doğrulamasını sağlayan ve sunucu ile istemci arasında akan verinin güvenliğini ve bütünlüğünü mümkün kılan sertifikayı,
f) Güven damgası: Bu Tebliğde öngörülen asgari güvenlik ve hizmet kalitesi standartlarına uyan hizmet sağlayıcı ve aracı hizmet sağlayıcıya verilen elektronik işareti,
g) Güven damgası sağlayıcı (GDS): Hizmet sağlayıcı ve aracı hizmet sağlayıcıya bu Tebliğde öngörülen kriterlere uygun olarak güven damgası veren, güven damgasına ilişkin diğer faaliyetleri yürüten ve Bakanlık tarafından protokolle yetkilendirilen kuruluşu,
ğ) Hizmet sağlayıcı: Elektronik ticaret faaliyetinde bulunan gerçek ya da tüzel kişileri,
h) MERSİS numarası: Merkezi Sicil Kayıt Sistemi (MERSİS) tarafından ticaret siciline kayıtlı tacirlere verilen tekil numarayı,
ı) Secure socket layer (SSL): Sunucu ile istemci arasında akan verinin güvenliğini ve bütünlüğünü mümkün kılan sertifikayı,
i) Sızma testi: Güvenlik açıklarını istismar edilmeden önce tespit etmek ve düzeltmek amacıyla gerçekleştirilen atakları içeren faaliyetleri,
ifade eder.
İKİNCİ BÖLÜM
Güven Damgasının Tahsisi, Askıya Alınması ve İptali
Güven damgası alma şartları
MADDE 5 – (1) Güven damgası almak isteyen hizmet sağlayıcı ve aracı hizmet sağlayıcı asgari olarak aşağıdaki standartlara uyar:
a) Kişisel veri ve ödeme bilgisi içeren her türlü işlemin internet sitesi ve mobil sitede EV SSL, uygulamada SSL ile gerçekleştirilmesini sağlar.
b) Güven damgası başvurusunda bulunmadan en fazla üç ay önce ve her takvim yılı içinde en az bir defa, Türk Standardları Enstitüsü tarafından onaylı A veya B sınıfı sızma testi firmalarına sızma testi yaptırarak gerekli önlemleri alır ve bu önlemleri aldığına ilişkin doğrulama testi yaptırır.
c) 23/2/2006 tarihli ve 5464 sayılı Banka Kartları ve Kredi Kartları Kanununa, 4/5/2007 tarihli ve 5651 sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanuna, 20/6/2013 tarihli ve 6493 sayılı Ödeme ve Menkul Kıymet Mutabakat Sistemleri, Ödeme Hizmetleri ve Elektronik Para Kuruluşları Hakkında Kanuna, 7/11/2013 tarihli ve 6502 sayılı Tüketicinin Korunması Hakkında Kanuna, 23/10/2014 tarihli ve 6563 sayılı Elektronik Ticaretin Düzenlenmesi Hakkında Kanuna, 24/3/2016 tarihli ve 6698 sayılı Kişisel Verilerin Korunması Kanununa ve bu kanunların ikincil düzenlemeleri ile elektronik ticaret ortamında satışı yasak olan ya da şarta bağlanan ürünlere ilişkin düzenleme ve idari kararlara uygun süreçler tasarlar.
ç) Elektronik ticaret ortamında çocukların fiziksel, zihinsel, ahlaki, psikolojik ve toplumsal gelişim özelliklerini olumsuz yönde etkileyebilecek içeriğe yönelik tedbirleri alır.
d) Elektronik ticarete konu malın stok bilgisi, içeriği, malzemesi, ölçüleri gibi özelliklerine, kullanımına ve varsa garantisine, teknik desteğine ve bunların kim tarafından sağlanacağına ilişkin detaylar ile gerçek boyutlarının anlaşılmasını mümkün kılan görselleri, tedarik, kargo ve teslimat süresi gibi hususları, sipariş alıcıya teslim edilinceye kadar siparişin durumu hakkında gerekli bilgileri ve kargo takip imkânını sunar ya da sunulmasına olanak sağlar.
e) Elektronik ticarete konu hizmetin kim tarafından sağlanacağı, kapsamı ve süresi gibi bilgileri sunar ya da sunulmasına olanak sağlar.
f) Bu fıkranın (d) ve (e) bentlerine ilişkin taahhütlerine uygun hareket eder.
g) Alıcının siparişi hakkında bilgi alabilmesi, talep ve şikâyetlerini internet tabanlı iletişim yöntemlerinden en az biri ve telefon aracılığıyla iletebilmesi için müşteri hizmetleriyle iletişim imkânı sunar. Talep ve şikâyetlerin etkin bir şekilde yönetilmesini, sonuçlandırılmasını ve konuya ilişkin alıcının bilgilendirilmesini sağlar.
(2) Güven damgası almak isteyen hizmet sağlayıcı ve aracı hizmet sağlayıcının gerçek kişi olması halinde kendisinin ve yetkili temsilcisinin, tüzel kişi olması halinde ise yöneticilerinin ve yetkili temsilcilerinin 26/9/2004 tarihli ve 5237 sayılı Türk Ceza Kanununun 53 üncü maddesinde belirtilen süreler geçmiş olsa bile; kasten işlenen bir suçtan dolayı bir yıl veya daha fazla süreyle hapis cezasına ya da affa uğramış olsa bile devletin güvenliğine karşı suçlar, Anayasal düzene ve bu düzenin işleyişine karşı suçlar, zimmet, irtikâp, rüşvet, hırsızlık, dolandırıcılık, sahtecilik, güveni kötüye kullanma, hileli iflas, ihaleye fesat karıştırma, edimin ifasına fesat karıştırma, suçtan kaynaklanan malvarlığı değerlerini aklama, kaçakçılık veya bilişim suçlarından mahkûm olmaması gerekir.
(3) Güven damgası almak isteyen hizmet sağlayıcı ve aracı hizmet sağlayıcı iflas etmiş ise itibarın iadesinin sağlanmış olması gerekir.
Güven damgası başvurusu ve tahsisi
MADDE 6 – (1) Güven damgası başvurusu hizmet sağlayıcı ve aracı hizmet sağlayıcı tarafından GDS’ye yapılır. Hizmet sağlayıcı veya aracı hizmet sağlayıcının birden fazla elektronik ticaret ortamının bulunması halinde, güven damgası tahsis edilmesi istenen her bir elektronik ticaret ortamı için ayrı ayrı başvuruda bulunulur.
(2) Başvuru sahibi, 5 inci maddenin birinci fıkrasının (a) ve (b) bentleri ile ikinci ve üçüncü fıkralarındaki şartlara uyduğunu gösterir belgeleri, birinci fıkranın diğer bentlerindeki şartları taşıdığına dair yazılı beyanını ve başvuru ücretini ödediğine dair makbuzu başvurusu sırasında GDS’ye sunar.
(3) Başvuru sahibinin 5 inci maddedeki şartlara uygunluğu kontrol edilerek bu kontrole ilişkin tespitlerin yer aldığı bir rapor başvuru tarihinden itibaren otuz gün içinde hazırlanır.
(4) Üçüncü fıkra gereğince yapılan kontrol neticesinde:
a) Şartlara uyduğu tespit edilen başvuru sahibine güven damgası tahsis edilir.
b) Şartlara uymadığı tespit edilen başvuru sahibine bu durumun ortadan kaldırılması için otuz gün süre verilir. Bu süre bir defaya mahsus olmak üzere on beş gün uzatılabilir. Verilen sürenin sonuna kadar şartlara uyduğu tespit edilen başvuru sahibine güven damgası tahsis edilir. Aksi halde başvuru reddedilir.
(5) Güven damgası, hizmet sağlayıcı ve aracı hizmet sağlayıcının elektronik ticaret ortamının ana sayfasında yer alır. Güven damgasına ana sayfa dışındaki sayfalarda da yer verilebilir.
(6) Tahsis edilen her bir güven damgası üzerinden GDS’nin internet sitesine doğrulama bağlantısı sağlanır. Bu bağlantı aracılığıyla, güven damgasının tahsis edildiği hizmet sağlayıcı veya aracı hizmet sağlayıcıya ilişkin bilgiler belirtilir.
(7) Güven damgası tahsis edilen hizmet sağlayıcı ve aracı hizmet sağlayıcının elektronik ticaret ortam bilgileri GDS’nin internet sitesinde güncel olarak yayımlanır.
Güven damgası askı işlemleri
MADDE 7 – (1) Güven damgası tahsis edilen hizmet sağlayıcı ve aracı hizmet sağlayıcının 5 inci maddedeki şartlara uymadığının tespit edilmesi ve bu durumun süre verilerek ortadan kaldırılmasının mümkün olması halinde güven damgası sahibine on beş gün süre verilir. Bu sürenin sonuna kadar şartlara uymayan hizmet sağlayıcı ve aracı hizmet sağlayıcının güven damgası askıya alınır. Askıya alma tarihinden itibaren otuz gün içinde şartlara uyulması halinde güven damgası askıdan indirilir.
(2) Güven damgası askıya alınan hizmet sağlayıcı ve aracı hizmet sağlayıcıların listesi GDS’nin internet sitesinde güncel olarak yayımlanır.
(3) Güven damgası askıya alınan hizmet sağlayıcı ve aracı hizmet sağlayıcının elektronik ticaret ortamında yer alan güven damgasının üzerinde görülebilecek şekilde, güven damgasının askıya alındığına ilişkin ibareye yer verilir. Askıya alınma nedeninin ayrıntılı olarak öğrenilebilmesi için GDS’nin internet sitesine bir bağlantı ile yönlendirme yapılır.
Güven damgasının iptali
MADDE 8 – (1) Güven damgası, hizmet sağlayıcı ve aracı hizmet sağlayıcının;
a) Talebi,
b) Elektronik ticaret ya da aracılık faaliyetlerine son vermesi,
c) Güven damgasının askıya alınma tarihinden itibaren otuz gün içinde 5 inci maddedeki şartlara uymadığının tespit edilmesi,
ç) 5 inci maddenin birinci fıkrasının (c) bendinde belirtilen şartlardan herhangi birine aykırı hareket etmesi, bu aykırılığın süre verilerek ortadan kaldırılmasının mümkün olmaması ve GDS’nin iki defa yazılı uyarısına rağmen aynı aykırılığı tekrarlaması,
d) Güven damgasının bir takvim yılı içinde üçüncü defa askıya alınmasını gerektiren bir aykırılık tespit edilmesi,
e) 5 inci maddedeki şartlara ilişkin eksik bilgi veya yanıltıcı belge verdiğinin tespit edilmesi,
f) İflası,
halinde iptal edilir.
(2) Güven damgası iptal edilen hizmet sağlayıcı ve aracı hizmet sağlayıcının elektronik ticaret ortamından güven damgası kaldırılır.
(3) Birinci fıkranın (c), (ç), (d) veya (e) bentleri gereğince güven damgası iptal edilen hizmet sağlayıcı ve aracı hizmet sağlayıcının ad-soyad veya unvanı, elektronik ticaret ortam bilgisi ve iptal gerekçesi GDS’nin internet sitesinde bir yıl süreyle yayımlanır.
(4) Hizmet sağlayıcı ve aracı hizmet sağlayıcıya tahsis edilen güven damgasının, birinci fıkranın;
a) (c), (ç) ve (d) bentleri gereğince iptal edilmesi halinde bir yıl,
b) (e) bendi gereğince iptal edilmesi halinde üç yıl,
c) (f) bendi gereğince iptal edilmesi halinde itibarın iadesi sağlanana kadar,
güven damgası başvurusunda bulunulamaz.
ÜÇÜNCÜ BÖLÜM
GDS’nin Denetim Yetkisi ve Görevleri ile Yükümlülükleri
GDS’nin denetim yetkisi ve görevleri
MADDE 9 – (1) GDS;
a) Güven damgası başvurusunda bulunan hizmet sağlayıcı ve aracı hizmet sağlayıcının 5 inci maddede öngörülen şartlara uygunluğunu kontrol etmekle,
b) Güven damgası tahsis ettiği hizmet sağlayıcı ve aracı hizmet sağlayıcının 5 inci maddedeki şartlara uygunluğunu şikâyet üzerine her zaman ve her takvim yılı içinde en az bir defa denetlemekle,
c) Güven damgası tahsis ettiği hizmet sağlayıcı ve aracı hizmet sağlayıcının sahip olduğu EV SSL ve SSL’in geçerlilik sürelerini takip etmekle,
ç) Güven damgasının haksız kullanımını önlemeye yönelik her türlü tedbiri almakla,
d) Denetimleri sırasında tespit ettiği adli veya idari yaptırım gerektiren hususları yazılı olarak ilgili mercilere ve Bakanlığa bildirmekle,
görevli ve yetkilidir.
GDS’nin yükümlülükleri
MADDE 10 – (1) GDS, bu Tebliğin;
a) 6 ncı maddesi gereğince hizmet sağlayıcı ve aracı hizmet sağlayıcının güven damgası başvurusuna ve güven damgasının tahsisine,
b) 7 nci maddesi gereğince güven damgasının askı sürecine,
c) 8 inci maddesi gereğince güven damgasının iptaline,
ç) 9 uncu maddesi gereğince hizmet sağlayıcı ve aracı hizmet sağlayıcının denetimine,
d) 11 inci maddesi gereğince Bakanlığa sunulmak üzere faaliyet raporu hazırlanmasına,
ilişkin iş ve işlemleri yürütür.
(2) Güven damgası alan hizmet sağlayıcı ve aracı hizmet sağlayıcıya ilişkin şikâyetlerin iletilebilmesi amacıyla çevrim içi şikâyet sistemi oluşturarak Bakanlığın erişimine açar. Bu sistem üzerinden yapılan şikâyetleri hizmet sağlayıcı ve aracı hizmet sağlayıcıya aynı gün içinde iletir ve bu hususta şikâyetçiye bilgi verir.
(3) GDS olarak yetkilendirildiği tarihten itibaren altı ay içinde ulusal düzeyde güven damgası veren kuruluşların üye olabildiği uluslararası güven damgası kuruluşlarından en az birine üye olur.
(4) Elektronik ticaret ortamında satışı yasak olan ya da şarta bağlanan ürünlere ilişkin düzenleme ve idari kararları takip eder ve güven damgası alan hizmet sağlayıcı ve aracı hizmet sağlayıcıyı bu hususlarda bilgilendirir.
(5) Hizmet sağlayıcı ve aracı hizmet sağlayıcı ile alıcıları güven damgası sistemi hakkında bilgilendirmek amacıyla güven damgası kılavuzu hazırlayarak internet sitesinde yayımlar.
(6) Bu Tebliğ uyarınca yürütmekle yükümlü olduğu faaliyetler nedeniyle elde ettiği bilgi ve belgeleri, hizmet sağlayıcı ve aracı hizmet sağlayıcı ile arasındaki sözleşmenin sona erdiği tarihten itibaren beş yıl süreyle saklar.
(7) Hizmetin ifası sırasında hizmet sağlayıcı ve aracı hizmet sağlayıcı ile alıcı hakkında edindiği her türlü bilgi ve belgenin gizliliğini sağlar. Hizmetin ifasının gerektirdiği haller dışında bu bilgi ve belgeleri üçüncü taraflarla paylaşamaz.
(8) Hizmet sağlayıcı ve aracı hizmet sağlayıcı olarak faaliyette bulunamaz.
Faaliyet raporu
MADDE 11 – (1) GDS tarafından bu Tebliğ kapsamında yürütülen faaliyetlerle ilgili olarak her yıl mart ayı sonuna kadar Bakanlığa faaliyet raporu sunulur. Raporda, asgari olarak aşağıdaki hususlara yer verilir:
a) Güven damgası başvurusunda bulunan hizmet sağlayıcı ve aracı hizmet sağlayıcı ile güven damgası tahsis edilen hizmet sağlayıcı ve aracı hizmet sağlayıcının elektronik ticaret ortam bilgileri, gerçek kişi olmaları halinde ad ve soyadları ile T.C. kimlik numaraları veya vergi kimlik numaraları; tüzel kişi olmaları halinde ticaret unvanları ve MERSİS numaraları.
b) Güven damgası tahsis edilen hizmet sağlayıcı ve aracı hizmet sağlayıcı hakkında çevrim içi şikayet sistemi üzerinden yapılan şikâyetlerin sayısı, konusu, sonucu ve sonuçlanma süresine ilişkin bilgiler.
c) Güven damgası yıl içinde askıya alınan veya iptal edilen hizmet sağlayıcı ve aracı hizmet sağlayıcının elektronik ticaret ortam bilgileri ile güven damgasının askı ve iptal nedenleri.
ç) GDS’nin bir sonraki yıla ait elektronik ticaret pazar öngörüleri.
d) Bakanlıkça gerekli görülen diğer bilgiler.
DÖRDÜNCÜ BÖLÜM
Çeşitli ve Son Hükümler
Güven damgası hizmeti
MADDE 12 – (1) Yurt dışında yerleşik olan ve yurt dışından güven damgası hizmeti veren gerçek veya tüzel kişilerce verilen güven damgasının kullanımı hariç olmak üzere, Bakanlık tarafından yetkilendirilmeden güven damgası hizmeti verilemez, güven damgası izlenimi verecek hiçbir işaret tahsis edilemez ve kullanılamaz.
Bakanlık yetkisi ve denetim
MADDE 13 – (1) Bakanlık; bu Tebliğ kapsamında elektronik ticaret işlem ve faaliyetlerinin güven ve istikrar içinde sürdürülebilmesini teminen gerekli her türlü bilgi ve belgeyi talep etmeye, denetim yapmaya, idari tedbir almaya ve tasarrufta bulunmaya, GDS tarafından verilen güven damgası hizmetine ilişkin itirazları kabul etmeye, yükümlülüklerini yerine getirmeyen GDS’nin yetkisini iptal etmeye, güven damgası hizmeti kapsamında alınacak ücretlerin üst sınırını ve güven damgasının biçimi ile ölçütlerini belirlemeye yetkilidir.
Yürürlük
MADDE 14 – (1) Bu Tebliğ yayımı tarihinde yürürlüğe girer.
Yürütme
MADDE 15 – (1) Bu Tebliğ hükümlerini Gümrük ve Ticaret Bakanı yürütür.