6563 sayılı “Elektronik Ticaretin Düzenlenmesi Hakkında Kanun”da E-ticaret; “Fiziki ortamda karşı karşıya gelinmeksizin, elektronik ortamda gerçekleştirilen çevirim içi iktisadi ve ticari her türlü faaliyet” şeklinde tanımlanmıştır.
E-Ticaretin küresel ölçekte gösterdiği hızlı artış sonrasında güvenlik konusu tüm sektörler için en önemli konuların başında gelmeye başlamıştır. Sanal ortamda E-ticaret platformlarına zarar verebilecek her türlü eylem potansiyel siber güvenlik tehdidi olarak değerlendirilmektedir. Müşteri ve kredi kartı verilerinin çalınması, veri tabanının silinmesi ve finansal bilgilerin çalınması gibi durumlar bunlardan başlıcalarıdır.
Türkiye’de 2017 yılında Elektronik Ticarette tüketicilere yönelik bir çeşit siber güvenlik sertifikası görevi gören “Güven Damgası” uygulaması başlatılmıştır. Bu uygulamanın yasal tanımı ise, “Elektronik ticarette asgari güvenlik ve hizmet kalitesi standartlarına uyan hizmet sağlayıcı ve aracı hizmet sağlayıcılara verilen elektronik işaret” şeklindedir. (Güven Damgası Hakkında Tebliğ m. 4/f).
Bu damga tamamen dijital bir uygulama olup, hizmet sağlayıcı ve aracı hizmet sağlayıcıların asgari düzeyde belirli güvenlik tedbirlerini aldıklarını ve alıcılar nezdinde güvenilir olduklarını göstermek amacıyla kullanılmaktadır. Güven damgası alınması bu tebliğ hükümlerine göre zorunlu olmayıp, hizmet sağlayıcı ve aracı hizmet sağlayıcının isteğine bırakılmıştır. Ancak elektronik ticarette en büyük sorunlardan birinin alıcıların yaşadığı güven sorunu olduğu düşünüldüğünde, bu alanda faaliyet gösteren sağlayıcıların güven damgasını alma yolunu tercih edecekleri kanısı hakimdir. Ancak sağlayıcıların bu yolu tercih etmelerinde güven damgasına erişimin yarattığı ekonomik yükümlülüğün makul bir düzeyde olması da belirleyici bir kriter olarak karşımıza çıkabilecektir.
Güven damgası almak isteyen hizmet sağlayıcı ve aracı hizmet sağlayıcının asgari düzeyde Güven Damgası Hakkında Tebliğ’de belirtilen standartları karşılaması gerekmektedir. Bu standartlardan bir tanesi de, başvuruda bulunmadan en fazla üç ay önce ve her takvim yılı içinde en az bir defa, TSE tarafından onaylı sızma testi firmalarına sızma testi yaptırarak gerekli önlemleri almak ve bu önlemleri aldığına ilişkin doğrulama testi yaptırmaktır. Sisteme dâhil olmak isteyen sağlayıcılar, tebliğde yer verilen güvenlik ve hizmet kalitesi standartlarını sağladıktan sonra, Bakanlık tarafından yetkilendirilen güven damgası sağlayıcısına başvurabilecektir. Ticaret Bakanlığı, Türkiye’deki tek güven damgası sağlayıcı olarak Türkiye Odalar ve Borsalar Birliği’ni (TOBB) yetkilendirmiştir.
Elektronik Ticarette Güven Damgası Hakkında Tebliğ 5. Madde hükmünde şartlar şu şekilde düzenlenmiştir;
’’Güven damgası almak isteyen hizmet sağlayıcı ve aracı hizmet sağlayıcı asgari olarak aşağıdaki standartlara uyar;
a) Kişisel veri ve ödeme bilgisi içeren her türlü işlemin internet sitesi ve mobil sitede EV SSL, uygulamada SSL ile gerçekleştirilmesini sağlamak,
b) Başvuruda bulunmadan en fazla üç ay önce ve her takvim yılı içinde en az bir defa, Türk Standartları Enstitüsü tarafından onaylı sızma testi firmalarına sızma testi yaptırarak gerekli önlemleri almak ve bu önlemleri aldığına ilişkin doğrulama testi yaptırmak,
c) Elektronik ticaret ortamında satışı yasak olan ya da şarta bağlanan ürünlere ilişkin düzenleme ve idari kararlara uygun süreçler tasarlamak
ç) Elektronik ticaret ortamında çocukların fiziksel, zihinsel, ahlaki, psikolojik ve toplumsal gelişim özelliklerini olumsuz yönde etkileyebilecek içeriğe yönelik tedbirleri almak
d) Elektronik ticarete konu malın stok bilgisi, içeriği, malzemesi, ölçüleri gibi özelliklerine, kullanımına ve varsa garantisine, teknik desteğine ve bunların kim tarafından sağlanacağına ilişkin detaylar ile gerçek boyutlarının anlaşılmasını mümkün kılan görselleri, tedarik, kargo ve teslimat süresi gibi hususları, sipariş alıcıya teslim edilinceye kadar siparişin durumu hakkında gerekli bilgileri ve kargo takip imkânını sunmak,
e) Elektronik ticarete konu hizmetin kim tarafından sağlanacağı, kapsamı ve süresi gibi bilgileri sunmak,
f) Alıcının siparişi hakkında bilgi alabilmesi, talep ve şikâyetlerini internet tabanlı iletişim yöntemlerinden en az biri ve telefon aracılığıyla iletebilmesi için müşteri hizmetleriyle iletişim imkânı sunmak,
g) Talep ve şikâyetlerin etkin bir şekilde yönetilmesini, sonuçlandırılmasını ve konuya ilişkin alıcının bilgilendirilmesini sağlamak
Güven Damgası başvurusunun değerlendirilmesinde hizmet sağlayıcı ya da aracı hizmet sağlayıcının başvuru esnasında sunmuş olduğu ve doğruluğunu taahhüt ettiği bilgi ve belgeler güven damgası alma şartları bakımından ilgili tebliğ uyarınca TOBB tarafından değerlendirilir. Değerlendirme 30 gün içinde sonuçlandırılarak sonuç başvuru sahibine iletilir.
Başvurucunun şartlara uymadığı tespit edilmesi halinde ise, bu durumun ortadan kaldırılması için 30 gün süre verilir. Bu süre bir defaya mahsus olmak üzere 15 gün uzatılabilir. Verilen sürenin sonuna kadar şartlara uyduğu tespit edilen başvuru sahibine güven damgası tahsis edilir. Aksi takdirde başvuru reddedilir. Güven Damgası’na sahip olan E-Ticaret sitelerinin tamamına www.guvendamgasi.org.tr adresinden ulaşılabilir.
Güven Damgası, TOBB’un ilgili e-ticaret sitesine kefil ya da garantör olduğu anlamına da gelmemektedir. Bu kapsamda elektronik damganın amacı “Siber Güvenlik” şartlarının sağlandığı, gerçekleşecek muhtemel ticari işlemin bu kapsamda güvenli olduğunu belgelemektir.
Türkiye Odalar ve Borsalar Birliği (Güven Damgası Sağlayıcı), güven damgası tahsis ettiği sağlayıcıları denetleme yetkisine de sahiptir. Şikâyet üzerine her zaman ve her takvim yılı içinde en az bir defa denetlemek ve hizmet sağlayıcı ve aracı hizmet sağlayıcının sahip olduğu EV, SSL ve SSL’in geçerlilik sürelerini takip etmekle yükümlüdür. (Güven Damgası Hakkında Yönetmelik m. 9). Ayrıca Gümrük ve Ticaret Bakanlığı; bu tebliğ kapsamında elektronik ticaret işlem ve faaliyetlerinin güven ve istikrar içinde sürdürülebilmesini sağlamak amacıyla gerekli her türlü bilgi ve belgeyi talep etmeye, denetim yapmaya, idari tedbir almaya ve tasarrufta bulunmaya, Güven Damgası Sağlayıcısı tarafından verilen güven damgası hizmetine ilişkin itirazları kabul etmeye, yükümlülüklerini yerine getirmeyen Güven Damgası sağlayıcısının yetkisini iptal etmeye, güven damgası hizmeti kapsamında alınacak ücretlerin üst sınırını ve güven damgasının biçimi ile ölçütlerini belirlemeye yetkili kılınmıştır.