Standart: ISO/IEC 27037
International Organization for Standardization ISO/IEC 27037:2012 'Guidelines for identification, collection, acquisition and preservation of digital evidence' standardı, dijital delilin (a) belirlenmesi, (b) toplanması, (c) elde edilmesi, (d) korunması için adımları belirler. Türkiye TSE TS ISO/IEC 27037 olarak benimsendi (2014).
Dijital kanıtın 4 temel ilkesi
ISO 27037 dört ilke: (1) Relevance — konuyla ilgili olmalı. (2) Sufficiency — yeterli detay. (3) Reliability — güvenilir kaynak. (4) Authenticity — bütünlüğü kanıtlanabilir. Geofence + zaman damgası kayıtlarının mahkeme önünde kabulü bu dört ilkeye uygunluğa bağlıdır.
Zaman damgası: kim damgalıyor?
Türkiye 5070 sayılı Elektronik İmza Kanunu Madde 3-l: 'zaman damgası, bir elektronik verinin, üretildiği, değiştirildiği, gönderildiği, alındığı veya kaydedildiği zamanın tespit edilmesi amacıyla, elektronik sertifika hizmet sağlayıcısı tarafından elektronik imzayla doğrulanan kaydı'. Sıradan sunucu zamanı yeterli değil — TÜBİTAK BİLGEM Kamu SM gibi yetkili e-İmza otoritesinin damgası gerekir. EkibimJet gibi mobil PDKS platformlarında bu altyapı entegrasyonu kritik.
Geofence verisinin doğrulanabilirliği
NIST 'Cellular Carrier Network Forensics' (2023): GPS konumu A-GPS + hücre baz istasyonu üçgenlemesi + WiFi MAC pozisyonlama kombinasyonu ile doğrulanabilir. Tek-kaynaklı GPS kaydı (sadece uydu fix) bazı mahkeme kararlarında 'spoofing' iddiasıyla zayıflatılmıştır (UK R v Khan 2019, US People v Garner 2021). Çoklu kaynak kombinasyonu kanıt gücünü artırır.
Türkiye HMK ve elektronik delil
Türkiye 6100 sayılı Hukuk Muhakemeleri Kanunu (HMK) Madde 199-205 elektronik delil için 'belge' niteliğinde kabul kuralı getirir. HMK 199/2: 'elektronik veri, içerik ve gönderici/alıcı bakımından bütünlüğü ve değişmediği güvence altına alınmışsa belge sayılır'. Bu bütünlük garantisi e-İmza Kanunu zaman damgası + hash chain ile sağlanır.
Hash chain ve blockchain bağlamı
W3C 'Verifiable Credentials Data Model 2.0' (2024) dijital kanıt zincirini standartlaştırır: her kayıt önceki kaydın hash'ini içerir (Merkle tree veya linear chain), geriye dönük değiştirme imkansızlaşır. Avrupa eIDAS Reg 910/2014 ve eIDAS 2.0 (2024) bu modeli yasal çerçeveye oturttu. Saha PDKS bu mimariyi uygularsa kayıt 'tamper-evident' olur.
Pratik politika: kayıt prosedürü
Mobil saha kayıt platformunda öneri: (1) Olay (giriş/çıkış/iş başlangıcı) yerel cihazda hash'lenir + sunucuya gönderilir. (2) Sunucu kaydı zaman damgası otoritesi (TSA — TÜBİTAK Kamu SM) ile damgalar. (3) Hash chain'e eklenir. (4) Çalışan SMS/email ile bilgilendirilir (anti-repudiation). Bu prosedür bir uyuşmazlık halinde mahkemeye sunulabilir delil setidir.
Özet çıkarımlar
- ISO 27037 dijital kanıtın 4 ilkesi: relevance, sufficiency, reliability, authenticity.
- 5070 e-İmza Kanunu zaman damgasını e-İmza otoritesi vermeli — sunucu zamanı yetmez.
- GPS tek-kaynaklı kayıt spoofing iddiasına açıktır — çoklu kaynak şart.
- HMK Madde 199/2 elektronik veri bütünlüğü ile belge sayılır.
Kaynakça
Bu yazı aşağıdaki uluslararası kaynaklardan sentezlenip Türkiye mevzuat bağlamına uyarlanmıştır. Doğrudan çeviri yapılmamıştır.
- ISO/IEC 27037:2012 — Digital evidence guidelines. International Organization for Standardization. https://www.iso.org/standard/44381.html (erişim: 2026-05-13)
- 5070 sayılı Elektronik İmza Kanunu. T.C. Resmi Gazete. https://www.mevzuat.gov.tr/MevzuatMetin/1.5.5070.pdf (erişim: 2026-05-13)
- 6100 sayılı Hukuk Muhakemeleri Kanunu (HMK). T.C. Resmi Gazete. https://www.mevzuat.gov.tr/MevzuatMetin/1.5.6100.pdf (erişim: 2026-05-13)
- W3C Verifiable Credentials Data Model 2.0. World Wide Web Consortium (W3C). https://www.w3.org/TR/vc-data-model-2.0/ (erişim: 2026-05-13)
- eIDAS Regulation 910/2014 + eIDAS 2.0. European Commission (Eur-Lex). https://eur-lex.europa.eu/eli/reg/2014/910/oj (erişim: 2026-05-13)