Bir süredir konuşulan Güven Damgası uygulaması 06 Haziran 2017 Tarihli Resmi Gazete’de yayımlanan “Elektronik Ticarette Güven Damgası Hakkında Tebliğ” (“Tebliğ”) ile yürürlüğe girmiş oldu. Öncelikle herkesin aklındaki bir soru işaretini giderelim. Güven Damgası almak zorunlu değil. İsteyen E-Ticaret şirketleri Tebliğ’deki şartları sağlamak koşuluyla güven damgası almak için başvurabilecek.
Güven damgası, Tebliğ’de belirtilen şartları sağlayan e-ticaret şirketlerine verilecek ve şirketin internet sitesinde uygun gördüğü alanlara koyabileceği bir işaret olarak tanımlanıyor. Bu damganın yer aldığı e-ticaret sitelerinin güvenli (!!!!) olduğunu varsayabileceğiz. Yazımın devamında güvenli olup olmadığı konusunda görüşlerime yer vereceğim.
Güven damgası almak isteyenlerin başvurularını inceleyip damgayı vermeye yetkili kurumlar olarak da Güven Damgası Sağlayıcılar (“GDS”) şeklinde bir yapı kurgulanmış durumda. Buna göre GDS’ler bakanlık tarafından akredite edilecek ve bu akreditasyonun ardından belli bir ücret karşılığında güven damgası vermeye başlayacaklar.
Güven damgası almak isteyen e-ticaret şirketlerinin taşıması gereken asgari şartlar şu şekilde;
- Kişisel veri ve ödeme bilgisi içeren her türlü işlemin internet sitesi ve mobil sitede EV SSL, uygulamada SSL ile gerçekleştirilmesi.
- Güven damgası başvurusunda bulunmadan en fazla üç ay önce ve her takvim yılı içinde en az bir defa, TSE tarafından onaylı A veya B sınıfı sızma testi firmalarına sızma testi yaptırılır ve gerekli önlemler alınır ve bu önlemlerin alındığına ilişkin doğrulama testi yaptırılır.
- 5464 sayılı Banka Kartları ve Kredi Kartları Kanununa, 5651 sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanuna, 6493 sayılı Ödeme ve Menkul Kıymet Mutabakat Sistemleri, Ödeme Hizmetleri ve Elektronik Para Kuruluşları Hakkında Kanuna, 6502 sayılı Tüketicinin Korunması Hakkında Kanuna, 6563 sayılı Elektronik Ticaretin Düzenlenmesi Hakkında Kanuna, 6698 sayılı Kişisel Verilerin Korunması Kanununa ve bu kanunların ikincil düzenlemeleri ile elektronik ticaret ortamında satışı yasak olan ya da şarta bağlanan ürünlere ilişkin düzenleme ve idari kararlara uygun süreçler tasarlanması.
- Elektronik ticaret ortamında çocukların fiziksel, zihinsel, ahlaki, psikolojik ve toplumsal gelişim özelliklerini olumsuz yönde etkileyebilecek içeriğe yönelik tedbirlerin alınması
- Elektronik ticarete konu malın stok bilgisi, içeriği, malzemesi, ölçüleri gibi özelliklerine, kullanımına ve varsa garantisine, teknik desteğine ve bunların kim tarafından sağlanacağına ilişkin detaylar ile gerçek boyutlarının anlaşılmasını mümkün kılan görselleri, tedarik, kargo ve teslimat süresi gibi hususları, sipariş alıcıya teslim edilinceye kadar siparişin durumu hakkında gerekli bilgileri ve kargo takip imkânı sunulur ya da sunulmasına olanak sağlanır.
- Elektronik ticarete konu hizmetin kim tarafından sağlanacağı, kapsamı ve süresi gibi bilgiler sunulur ya da sunulmasına olanak sağlanır.
- Alıcının siparişi hakkında bilgi alabilmesi, talep ve şikâyetlerini internet tabanlı iletişim yöntemlerinden en az biri ve telefon aracılığıyla iletebilmesi için müşteri hizmetleriyle iletişim imkânı sunulur. Talep ve şikâyetlerin etkin bir şekilde yönetilmesini, sonuçlandırılmasını ve konuya ilişkin alıcının bilgilendirilmesi sağlanır.
- Güven damgası almak isteyen hizmet sağlayıcı ve aracı hizmet sağlayıcının gerçek kişi olması halinde kendisinin ve yetkili temsilcisinin, tüzel kişi olması halinde ise yöneticilerinin ve yetkili temsilcilerinin 5237 sayılı Türk Ceza Kanununun 53 üncü maddesinde belirtilen süreler geçmiş olsa bile; kasten işlenen bir suçtan dolayı bir yıl veya daha fazla süreyle hapis cezasına ya da affa uğramış olsa bile devletin güvenliğine karşı suçlar, Anayasal düzene ve bu düzenin işleyişine karşı suçlar, zimmet, irtikâp, rüşvet, hırsızlık, dolandırıcılık, sahtecilik, güveni kötüye kullanma, hileli iflas, ihaleye fesat karıştırma, edimin ifasına fesat karıştırma, suçtan kaynaklanan malvarlığı değerlerini aklama, kaçakçılık veya bilişim suçlarından mahkûm olmaması gerekir.
- Güven damgası almak isteyen hizmet sağlayıcı ve aracı hizmet sağlayıcı iflas etmiş ise itibarın iadesinin sağlanmış olması gerekir.
Görüldüğü gibi güven damgası alabilmek için oldukça fazla şartın bir arada gerçekleşmesi gerekli. Bu şartlardan sızma testi ve EV SSL’in şirketler için ek maliyet getireceğini söyleyebiliriz. Bunun yanında, daha önceden yukarıda saydığımız türden suçtan hüküm giymiş yani sabıkası olan birinin sahibi ya da yöneticisi olduğu e-ticaret sitesine güven damgası verilmemesini de açıkçası çok anlayabilmiş değiliz. İşin niteliğine baktığımızda oldukça ağır bir hüküm olduğunu söylemek mümkün.
Bunların yanı sıra güven damgası başvurusu ve her yıl yenilemenin de bir ücrete tabi olduğu Tebliğ’de belirtilmiş. Bunun miktarı belli olmamakla birlikte şirketler için ek bir maliyet yaratacağı açık.
GDS’lere, güven damgası verdikleri şirketi denetleme yetkisi ve sorumluluğu da getirilmiş durumda. GDS’ler şikayet üzerine her zaman denetim yapabileceği gibi yılda en az bir kez yukarıda sayılan güven damgası almak için gerekli olan şartların korunduğuna yönelik denetim yapmakla mükellefler. Bu tür bir denetimin sınırı her ne kadar Tebliğ’deki şartları taşıyıp taşımadığı noktasında çizilmiş olsa da e-ticaretle ilgili tüm mevzuatlara uygun süreçler tasarlanması gerekliliği ve bu konuda da GDS’nin denetim yapma yetkisi kafaları karıştırıcı olacaktır. ÖRN; aldığı ürünün zamanında teslim edilmediğinden bahisle güven damgası sahibi bir e-ticaret şirketinin ilgili GDS’ye şikayet edilmesi durumunda GDS gelip denetim yapacak mıdır? Eğer yapacak ise e-ticaret şirketlerinin zaten oldukça ağır olan denetim yükümlülüklerine bir mekanizma daha eklendi diyebiliriz.
Güven damgası alınması her ne kadar zorunlu olmasa da eğer uygulamada bir çok şirketin bu damgayı alması söz konusu olur ve bu damgaya sahip olmayan şirketlerin güvenli olmadığı gibi bir algı yerleşirse kaçınılmaz olarak her e-ticaret şirketinin bu damgayı alması piyasa koşulları gereği gerekecektir. Bu da şirketler için daha başlangıç aşamasında ek maliyet, zaman ve çeşitli külfetler anlamına gelecektir.
Güven damgası ile ulaşılmak istenen e-ticaret’in daha güvenli hale getirilmesi ise bu uygulama ile bunun sağlanabileceğini pek düşünmüyoruz. Haberlerini sık sık gördüğümüz; “gelen paketten salatalık çıktı” şeklindeki durumların önüne geçmek için güven damgası yeterli olmayacaktır. Güven damgası hiçbir şekilde damgayı taşıyan şirketin ürün ya da hizmeti sorunsuz bir şekilde vereceğini taahhüt etmemektedir. Sadece yukarıda saydığımız şartları taşıyan, bir anlamda teknik yeterliliğe sahip olduğunu gösteren bir onay olarak görülmelidir.
Güven damgası bunu taahhüt etmediği için damga sahibi bir şirketin ürün göndermemesi ve bir adım ötesinde damgayı kötüye kullanarak müşterilerinin ürünlerini teslim etmemesi durumunda güven damgası sistemi de sorgulanır bir sistem haline gelebilecektir.
Henüz akredite edilmiş GDS bulunmadığından şu an itibariyle güven damgası almak için başvuru yapmak mümkün olmayıp GDS’lerin akredite edilmesini beklemek gerekecektir.
Umarım uygulaması sağlıklı olur ve beklendiği gibi e-ticaret ortamında güven telkin eden bir araç olarak karşımıza çıkar.