Güvenlik & Uyum

KVKK uyumlu kurumsal yapay zekâ: dikkat edilecek üç teknik mesele

Kurumsal AI projelerinde KVKK uyumu, çoğu zaman pazarlama söyleminden daha derin teknik mesele içerir. Bu yazı, denetlenebilir üç başlığı somutlar.

Yayın: Yazar: Lys Tech Güvenlik EkibiSüre: 6 dk

KVKK uyumu, kurumsal yazılım ürünlerinde sıklıkla bir “onay metni” işine indirgenir; oysa pratikte üç ayrı teknik karar setinin tutarlı uygulanmasıyla mümkündür. Bu yazı, kurumsal yapay zekâ projeleri için bu üç başlığı somutlar.

1 — Veri yerelleştirme ve barındırma

Kişisel veri içeren işlemlerin Türkiye sınırları içinde barındırılması, KVKK'nın özüne sadık bir tasarımın ilk koşuludur. Pratikte bu, sunucu bölgesinin TR olarak seçilmesi ile sınırlı değildir; yedekleme, log toplama ve harici servis çağrılarının tamamı bu prensibi takip etmelidir.

Yapay zekâ modelleri için karar daha incedir. Modelin kendisi yurtdışındaki bir API üzerinden çağrılıyorsa, modele giden istemlerin (prompt) içinde kişisel veri olmamalı veya bu veri çağrı öncesinde maskelenmelidir.

2 — Eğitim verisinin yönetimi

Müşteri verisinin model eğitiminde kullanılması KVKK açısından özel onay gerektiren bir alandır. Standart kurulum, müşteri verisinin model eğitiminde kullanılmamasıdır; çağrılar yalnızca anlık çıkarım (inference) için yapılır.

Bu prensibi denetlenebilir kılan şey, kullanılan model sağlayıcısının sözleşmesel taahhüdüdür. Lys Tech ürünleri, kurumsal sözleşmeli model sağlayıcılarıyla çalışır; eğitim verisinde kullanılmayacağı yazılı olarak kayıt altına alınmıştır.

3 — Denetim kayıtları ve şeffaflık

KVKK'nın denetlenebilirlik prensibi, kişisel veriye yapılan her erişimin kayıt altında tutulmasını gerektirir. Kurumsal yazılımda bu, hangi kullanıcının hangi tarihte hangi veriyi gördüğü/değiştirdiğinin sistemli kaydı anlamına gelir.

Yapay zekâ destekli süreçlerde denetim kayıtları bir adım daha gider: hangi sorgu ile hangi yanıtın üretildiği, hangi modelin hangi versiyonla çalıştığı kayıt altındadır. Bu, “neden bu yanıt geldi” sorusunun cevaplanabilmesini sağlar.

Mühendislik kontrol listesi

  • Sunucu bölgesi TR — yedekleme dahil
  • Model çağrıları öncesi PII maskeleme
  • Model sağlayıcısı ile yazılı eğitim-yasağı sözleşmesi
  • Tüm kişisel veri erişimlerinin denetim kaydı
  • Sorgu ve yanıt çiftlerinin denetlenebilir kaydı
  • Rol bazlı yetkilendirme ve tenant izolasyonu

İlgili yazılar

Tüm yazılar ›

Lys Tech ürün ailesini yakından inceleyin.

Dört ürünün işletmenizdeki kullanım senaryoları, mühendislik prensipleri ve bütünleşik mimari. Detaylar için ürün sayfalarımızı keşfedin veya bize yazın.

Ürünleri keşfetBize yazın ›