Yeni çipli e-Kimlik kartına (vatandaşlık kartı) sahip bir vatandaşın, bir kuruma kimliğini ispat etmesini sağlayan elektronik kimlik doğrulama çözümüdür. biOnay çözümü; vatandaşın kimlik doğrulamasının yapıldığı noktada kullanılan biOnay Kart Erişim Cihazı (KEC) ve kimlik doğrulamayı yapan kurum merkezinde bulunan biOnay Elektronik Kimlik Doğrulama Sistemi (EKDS) ‘den oluşur.
biOnay iki farklı anlamı içerisinde barındırır. Biyometrik Onay anlamında kişilerden biyometrik veri ile kimlik doğrulama yapılmasını sağlar. Bir Onay anlamında çipli kimlik kartı ile yapılan tüm işlemlerde aslında kart sahibinin onayının, rızasının alınmasını sağlar. biOnay bu iki anlamı vurgulayan ortak kelimedir.
biOnay aşağıda belirtilen temel fonksiyonlara sahiptir:
biOnay gittiğiniz her yerde, kimliğinizi uzattığınız her noktada; noterlerde, hastane ve eczanelerde, okullarda, sınav merkezlerinde, sigorta şirketlerinde, bankalarda, GSM bayilerinde, tapu dairelerinde, belediyelerde, kapınıza gelen lojistik firmasında, Sosyal Güvenlik Kurumunda (SGK), PTT’de, kolluk kuvvetlerinde ve daha pek çok alanda kullanılabilir.
biOnay sayesinde vatandaşlar;
Herhangi bir kurumda kendi adlarına sahte işlem gerçekleştirilemeyeceğinden emin olur.
Kendi çipli kartlarından yetkisiz kurumların kişisel verileri okuyamayacağını bilir.
Parmak izi verileri herhangi bir merkezde veya cihazda saklanmadığı ve başka amaçlarla kullanılamayacağı için huzurlu olur.
biOnay sayesinde kurumlar;
Hizmet verdikleri kişinin kimliğinden emin olur.
Sahte kimlikle yapılan işlemler nedeniyle uğradıkları maddi kayıplar ve itibar kayıplarından korunur.
Manuel süreçleri kaldırıp kimlik doğrulama sürecini dijital süreçlerine entegre ederek verimliliklerini arttırır ve tasarruf sağlar.
Ekstra kimlik doğrulama yöntemleri geliştirmek ve ilave yatırımlar yapmak zorunda kalmaz.
biOnay sayesinde kamusal alanda farklı kimlik doğrulama yöntemleri, kapalı ve tek bir kurumca kullanılabilen sistemler yerine, tüm kurumlarda çok daha güvenli yeni e-Kimlik kartlarının doğrulanmasına geçilebilir. Mükerrer yatırımların ortadan kalkması, kimlik ile ilgili süreçlerin dijitalleşmesi, sahteciliğin ve mağduriyetlerin önüne geçilmesi ülkemize sayısız fayda sağlayacaktır. Vatandaşlar her kurumda farklı bir kimlik doğrulama deneyimi yerine, kredi kartlarından da alışık olduğu çip ve PIN yöntemine, hatta kapı girişlerinden alışık olduğu parmak izi doğrulama ile tüm kurumlarda aynı deneyime; pratik, güvenli ve kolay bir çözüme kavuşabilir.
biOnay cihazı, parmak izi ve PIN bilgisini üzerinde saklamaz veya bir merkeze göndermez. Bu fonksiyonu bağımsız kurumlarca test edilip onaylanmıştır. Kişiye ait diğer (Anne adı, doğum yeri, kan grubu, dini, cinsiyeti, medeni hali, anne kızlık soyadı vb.) veriler ise sadece Nüfus İşlerinden yetki sertifikası alabilen kuruluşlarca karttan okunabilir. Kişiye ait hiçbir veri cihaz üzerinde saklanmaz ve kişi kartı çıkardığı anda, cihaz üzerinde hiçbir kişisel veri bulunmaz.
biOnay cihazı çipli e-Kimlik kartından kişiye ait parmak izi verisini okur, kişiden ise cihaz üzerindeki parmak izi sensor vasıtasıyla parmak izi verisini alır ve bu iki veriyi karşılaştırır. Bu işlem 1-2 saniye sürer ve parmak izi verisi hiçbir merkeze gönderilmeden veya cihaz üzerinde kaydedilmeden doğrulama işlemi gerçekleştirilir.
Hayır, göndermez.
Hayır, saklamaz.
biOnay cihazı kart sahibinin PIN veya parmak izi verisi ile o kartın gerçek sahibi olup olmadığını doğrular. Ayrıca, cihaz başında görevli varsa, çipli karttan okuduğu ve kart sahibine ait dijital fotoğrafı cihaz ekranında gösterip görevliye onaylatır. biOnay 3-faktör kimlik doğrulama gerçekleştirebilmektedir. “Sahip olunan” unsur çipli e-Kimlik kartı, “bilinen şey” karta ait PIN ve “kişiye ait özellik” parmak izidir.
PIN ve parmak izi verisine ek olarak fotoğraf ve elektronik sertifika doğrulaması ile doğrulama yapılabilir.
biOnay cihazı orijinal ve açılıp müdahale edilmemiş ise, kart takıldığı anda kart sahibine sadece o kişinin bildiği ve çip üzerinde yer alan kişisel mesajını gösterip onaylatır. Kart sahibi sadece kendi bildiği kişisel mesajını cihaz ekranında görmüyorsa işleme devam etmemelidir. Sadece onaylı cihazlar bu mesajı okuyabilir. Her vatandaşın kişisel mesajı farklıdır ve kendi çip kartında muhafaza edilmektedir. Vatandaş ilk kez kart aldığında kişisel mesajı PIN zarfı ile birlikte gelir ve daha sonra herhangi bir biOnay cihazında bu mesajını değiştirebilir.
biOnay cihazı çipli vatandaşlık kartının Nüfus İşleri tarafından basılmış bir kart olduğunu doğruladıktan sonra kart sahibine cihazın orijinal olduğunu, dışarıdan müdahale edilmediğini ispatlamak için kişiye ait mesajı çip kartından okuyarak cihaz ekranında gösterir. Kart sahibi vatandaşın kişisel mesajını onaylamasından sonra, yapılan işlem tipine ve risk seviyesine göre kimlik doğrulama gerçekleşir. Kart sahibinden PIN veya parmak izi istenebilir veya dijital fotoğrafı görevliye onaylatılabilir. Cihaz kişiye ait hiçbir veriyi üzerinde tutmaz veya bir merkeze göndermez. biOnay cihazı gerçekleşen kimlik doğrulama işlemine ait bir bildirim (Kimlik Doğrulama Bildirimi) oluşturur ve bu bildirimi cihaz içerisindeki Nüfus İşlerine ait akıllı kart ile imzalar. biOnay cihazı imzaladığı kimlik doğrulama bildirimini, cihazın sahibi ve doğrulama yapacak kurum merkezine gönderir. Bildirim içerisinde vatandaşın T.C. kimlik numarası, adı ve soyadı ile hangi yöntem ile vatandaşın doğrulandığı bilgisi yer alır. Kimlik doğrulama sırasında görevli katılmış ise, görevliye ait kimlik bilgisi de bu veri içerisinde yer alır.
biOnay cihazı kişiye ait verileri sadece Nüfus İşlerinden yetki sertifikası alan kurumlar için okuyabilir. Bu özellik vatandaşın çipli e-Kimlik kartının bir parçasıdır. Nüfus İşlerinden yetki sertifikası alan kurum bu sertifikası ile biOnay cihazı üzerinden çipli kimlik kartına doğrulama yapar. Bu doğrulama uçtan uca güvenli olarak gerçekleşir ve bizzat e-Kimlik kartı bu verinin okunmasına Nüfus İşlerinin yetki verdiğini doğrular. Sertifika tüm verilere erişilmesine izin vermez, sadece Nüfus İşlerinin yetki verdiği alanlar okunabilir. Örneğin, bir banka anne kızlık soyadı bilgisini okuyabilirken, bir sağlık kurumu sadece kan grubunu okuyabilir.
biOnay cihazı TSE tarafından akredite edilmiş bağımsız 3. taraf laboratuvarınca güvenlik testlerine tabi tutulmuştur. Uluslararası geçerliliği olan Ortak Kriterler değerlendirilmesinden geçen biOnay cihazı Common Criteria EAL 4+ seviyesinde güvenlik sertifikasına sahiptir. Bu seviye değerlendirmede; yazılımın TÜBİTAK tarafından hazırlanan Koruma Kılavuzunda (Protection Profile) belirlenen tehditleri karşıladığı, modüler tasarımda gerçeklendiği ve ürün geliştirme ortamının güvenli olduğu tescil edilmiştir. Yapılan yazılım kaynak kod incelemesi, fonksiyonel ve açıklık analizi testleri ile sahada yapılacak güvenlik ataklarına karşı güvenli olduğu belgelenmiştir.
Koruma Kılavuzu dokümanına bu linkten ulaşılabilir:
Sertifika raporuna bu linkten ulaşılabilir:
biOnay cihazında dışarıdan müdahalelere karşı tespit ve koruma mekanizmaları yer almaktadır (Tamper Protection). Cihaz kasası açıldığında bu durumu tespit eder ve içerisindeki verileri silerek cihazı kullanılamaz hale getirir. Bu saldırıya maruz kalan cihaz, açılışta kart sahibinin kişisel verisini okuyup gösteremez. Bir başka önemli güvenlik fonksiyonu ise cihaz üzerindeki yazılımların açılıştan itibaren güvenlik kontrolü gerçekleştirilerek çalıştırılmasıdır (Secure Boot). Böylelikle biOnay cihazı üzerindeki yazılımlara müdahale tespit edilir ve cihaz açılmaz. biOnay cihazı kurum merkezindeki sunucular ile uçtan uca şifreli ve dijital imzalı haberleşir. Cihaz içerisindeki Nüfus İşlerine ait Güvenli Erişim Modülü (GEM Akıllı Kart) sayesinde cihaz tarafından kullanılan gizli anahtarları korur. Cihaz içerisindeki gerçek zaman saati ile tüm işlem zamanları saniye bazında doğrulanır. GEM kart, hizmet alan vatandaşın kimlik kartı ve hizmet veren görevli kimlik kartı ile şifreli ve dijital imzalı haberleşir.
biOnay cihazı bu tür müdahaleleri tespit eder ve kullanılamaz hale gelir.
biOnay cihazı, TÜBİTAK e-Kimlik Test Laboratuvarı tarafından yürütülen, Kart Erişim Cihazları (KEC) için TSE uygunluk değerlendirme testlerinden geçmiştir. Arayüz, güvenlik ve gömülü yazılım fonksiyonlarının test edildiği biOnay cihazı, 2.000’e yakın senaryoyu başarıyla gerçekleştirmiştir. Bu kapsamda uyum sağlanan standartlar; TS-13582, TS-13583, TS-13584, TS-13585, TS-13678, TS-13679, TS-13680, TS-13681 kodlu standartlardır.
biOnay cihazında yer alan iki kart okuyucusundan birisi hizmet alan vatandaşın, diğeri ise hizmete katılan görevlinin e-Kimlik kartı içindir. Vatandaşın dijital fotoğrafı cihaz ekranında doğrulanacağı durumlarda görevlinin kartının takılı olması zorunludur. Bu sayede üretilen kimlik doğrulama bildiriminde fotoğrafı doğrulayan görevlinin de kimlik numarası yer alır. Ayrıca görevli kartı işlem anında doğrulamayı isteyen kurum tarafından da istenebilir. Eğer aracılı bir işlem gerçekleşecek ise de görevli kartı zorunludur.