AI Destekli Politika olarak Kod Motoru ile Çerçeveler Arasında Otomatik Kanıt Üretimi

SaaS’ın hızlı hareket eden dünyasında, güvenlik anketleri ve uyum denetimleri, her yeni anlaşma için bir engelleyici hâle gelmiştir.
Geleneksel yaklaşımlar, politika alıntılarının manuel kopyalanıp yapıştırılmasına, elektronik tablo takibine ve en güncel kanıt sürümünü yakalamak için sürekli bir kovalamacaya dayanır. Sonuç olarak yavaş dönüş süreleri, insan hatası ve her yeni tedarikçi talebiyle artan gizli bir maliyet ortaya çıkar.

İşte AI‑Destekli Politika‑Kod (PaC) Motoru—uyum kontrollerinizi bildirimsel, sürüm‑kontrollü kod olarak tanımlamanıza olanak veren birleşik bir platform ve bu tanımları çoklu çerçeveler (SOC 2, ISO 27001, GDPR, HIPAA, NIST CSF vb.) açısından denetim‑hazır kanıtlara otomatik olarak dönüştürür. Bildirimsel PaC’yi büyük dil modelleri (LLM’ler) ile birleştirerek motor, bağlamsal anlatılar üretir, canlı yapılandırma verilerini çeker ve doğrulanabilir artefaktları ekler; tek bir insan tuş vuruşu bile gerekmez.

Bu makale, bir PaC‑destekli kanıt üretim sisteminin tanım aşamasından CI/CD entegrasyonuna kadar tam yaşam döngüsünü adım adım inceler ve organizasyonların bu yaklaşımı benimsedikten sonra ölçtükleri somut faydaları vurgular.

1. Kanıt Otomasyonu İçin Neden Politika olarak Kod Önemlidir

Geleneksel Süreç	PaC‑Destekli Süreç
Statik PDF’ler – politikalar belge yönetim sistemlerinde depolanır, çalışma zamanı artefaktlarıyla bağlanması zordur.	Bildirimsel YAML/JSON – politikalar Git’te yaşar, her kural bir makine‑okunur nesnedir.
Manuel Eşleme – güvenlik ekipleri anket sorusunu manuel olarak bir politika paragrafına bağlar.	Semantik Eşleme – LLM’ler anketin amacını anlar ve ilgili politika snippet’ini otomatik getirir.
Parçalanmış Kanıt – günlükler, ekran görüntüleri ve yapılandırmalar araçlar arasında dağınıktır.	Birleştirilmiş Artefakt Kütüğü – her kanıt bir benzersiz kimlikle kaydedilir ve köken politikaya geri bağlanır.
Sürüm Kayması – güncel olmayan politikalar uyum boşluklarına yol açar.	Git‑Tabanlı Sürümleme – her değişiklik denetlenir, motor her zaman en son commit’i kullanır.

Politikaları kod olarak ele alarak geliştiricilerin sahip olduğu aynı avantajları kazanırsınız: inceleme akışları, otomatik testler ve izlenebilirlik. Bir LLM eklendiğinde sistem, kendi kendine hizmet veren uyum motoru hâline gelir ve sorulara gerçek zamanlı olarak yanıt verir.

2. AI‑Destekli PaC Motorunun Temel Mimarisi

Aşağıda, ana bileşenleri ve veri akışını gösteren yüksek‑seviye bir Mermaid diyagramı yer alıyor.

  graph TD
    A["Policy Repository (Git)"] --> B["Policy Parser"]
    B --> C["Policy Knowledge Graph"]
    D["LLM Core (GPT‑4‑Turbo)"] --> E["Intent Classifier"]
    F["Questionnaire Input"] --> E
    E --> G["Contextual Prompt Builder"]
    G --> D
    D --> H["Evidence Synthesizer"]
    C --> H
    I["Runtime Data Connectors"] --> H
    H --> J["Evidence Package (PDF/JSON)"]
    J --> K["Auditable Trail Store"]
    K --> L["Compliance Dashboard"]
    style A fill:#f9f,stroke:#333,stroke-width:2px
    style D fill:#bbf,stroke:#333,stroke-width:2px
    style I fill:#bfb,stroke:#333,stroke-width:2px

Bileşen Açıklamaları

Bileşen	Sorumluluk
Policy Repository	Katı bir şema (`control_id`, `framework`, `description`, `remediation_steps`) ile YAML/JSON biçiminde politikaları saklar.
Policy Parser	Politika dosyalarını, ilişkileri (`control_id` → `artifact_type`) yakalayan bir Bilgi Grafiği’ne dönüştürür.
LLM Core	Doğal‑dil anlama, niyet sınıflandırması ve anlatı üretimini sağlar.
Intent Classifier	Anket maddelerini, anlamsal benzerlik (≥0.92 güven) ile bir veya daha fazla politika kontrolüne bağlar.
Contextual Prompt Builder	Politika bağlamı, canlı yapılandırma verileri ve uyum dilini birleştirerek prompt oluşturur.
Runtime Data Connectors	IaC araçlarından (Terraform, CloudFormation), CI pipeline’larından, güvenlik tarayıcılarından ve günlük platformlarından veri çeker.
Evidence Synthesizer	Politika metni, canlı veri ve LLM‑üretimli anlatıyı tek bir, imzalı kanıt paketinde birleştirir.
Auditable Trail Store	Her kanıt üretim olayını (WORM bucket gibi) değiştirilemez şekilde kaydeder.
Compliance Dashboard	Güvenlik ve hukuk ekiplerinin AI‑üretimli yanıtları incelemesi, onaylaması veya geçersiz kılması için UI sağlar.

3. Adım‑Adım İş Akışı

3.1 Politikaları Kod Olarak Tanımlayın

# policies/soc2/security/01.yml
control_id: CC6.1
framework: SOC2
category: Security
description: |
  Organizasyon, sistem erişimini yalnızca yetkili personele sınırlamak için mantıksal erişim kontrolleri uygular.  
remediation_steps:
  - Tüm yönetici hesapları için MFA zorunlu kılın.
  - IAM politikalarını haftalık olarak gözden geçirin.
artifact_type: IAMPolicyExport
source: terraform/aws

Tüm politikalar, güvenlik ve mühendislik ekiplerinin onayladığı bir Git deposunda tutulur; böylece her değişiklik denetlenir.

3.2 Çalışma Zamanı Artefaktlarını Alın

Basit bir bağlayıcı ile en güncel IAM politika ihracatı şu şekilde alınır:

terraform show -json > artifacts/iam_policy.json

Bağlayıcı, artefakti bir UUID ile kaydeder ve bütünlüğü doğrulamak için SHA‑256 hash’i saklar.

3.3 Bir Anket Maddesi Alın

“Özel yetkili kullanıcılar için çok faktörlü kimlik doğrulamayı nasıl uygularsınız?”

Bu madde, Intent Classifier tarafından CC6.1 kontrolüne yüksek bir güvenle eşlenir.

3.4 Prompt’u Oluşturun

[Policy]
Control ID: CC6.1
Description: Organizasyon, sistem erişimini yalnızca yetkili personele sınırlamak için mantıksal erişim kontrolleri uygular.
Remediation: Tüm yönetici hesapları için MFA zorunlu kılın ...

[Runtime Artifact]
File: iam_policy.json
Relevant Section: {"Statement":[...,"Effect":"Allow","Action":"sts:AssumeRole",...}]

[Question]
Özel yetkili kullanıcılar için çok faktörlü kimlik doğrulamayı nasıl uygularsınız?

3.5 LLM Anlatı Üretir

“Procurize, AWS IAM politikaları aracılığıyla tüm özel yetkili IAM kullanıcıları için MFA’yı zorunlu kılar; sts:AssumeRole eylemi için MFA tokenı gerektiren bir politika tanımlanmıştır. Bu politika Terraform’da sürüm‑kontrol edilir ve her PR birleştirildiğinde CI/CD üzerinden güncellenir. 30 Eylül 2025 tarihli bir uyum denetimi, politikayı 42 özel yetkili hesapta %100 başarı oranı ile etkin olduğunu doğrulamıştır.”

3.6 Kanıtı Paketleyin

Evidence Synthesizer, aşağıdakileri birleştirir:

Politika alıntısı (Markdown)
LLM anlatısı (HTML)
İhrac edilmiş IAM politikası (JSON)
SHA‑256 hash ve zaman damgası
Platformun imzalama anahtarıyla dijital imza

Son ürün, imzalı bir PDF ve bir JSON dosyası olarak depolanır ve orijinal anket maddesine bağlanır.

4. CI/CD Boru Hatlarıyla Entegrasyon

PaC motorunu CI/CD’ye gömmek, kanıtın her zaman güncel olmasını garanti eder.

# .github/workflows/compliance.yml
name: Uyum Kanıtı Oluştur

on:
  push:
    branches: [ main ]

jobs:
  evidence:
    runs-on: ubuntu-latest
    steps:
      - uses: actions/checkout@v3
      - name: IAM Politikası İhracı
        run: terraform show -json > artifacts/iam_policy.json
      - name: PaC Motorunu Çalıştır
        env:
          OPENAI_API_KEY: ${{ secrets.OPENAI_API_KEY }}
        run: |
          ./pac-engine generate \
            --question "Özel yetkili kullanıcılar için MFA uygulamasını açıklayın" \
            --output evidence/          
      - name: Artefaktı Yükle
        uses: actions/upload-artifact@v3
        with:
          name: compliance-evidence
          path: evidence/

Her birleştirme, yeni bir kanıt paketi üretir; güvenlik ekibinin artık eski dosyaları kovalamaya gerek kalmaz.

5. Denetlenebilir İz ve Uyum Yönetişimi

Denetleyiciler giderek süreç kanıtı talep ediyor, yalnızca son yanıt değil. PaC motoru aşağıdaki alanları kaydeder:

Alan	Örnek
`request_id`	`req-2025-10-18-001`
`control_id`	`CC6.1`
`timestamp`	`2025-10-18T14:32:07Z`
`llm_version`	`gpt‑4‑turbo‑2024‑11`
`artifact_hash`	`sha256:ab12...f3e9`
`signature`	`0x1a2b...c3d4`

Tüm girdiler değiştirilemez, aranabilir ve dış denetçiler için CSV denetim günlüğü olarak dışa aktarılabilir. Bu özellik, SOC 2 CC6.1 ve ISO 27001 A.12.1 gibi izlenebilirlik gereksinimlerini karşılar.

6. Gerçek Dünya Faydaları

Ölçüt	PaC Motoru Öncesi	PaC Motoru Sonrası
Ortalama anket dönüş süresi	12 gün	1.5 gün
Anket başına manuel çaba	8 saat	30 dakika (çoğunlukla inceleme)
Kanıt sürüm kayması olayları	Çeyrekte 4	0
Denetim bulgusu şiddeti	Orta	Düşük/Olmayan
Takım memnuniyeti (NPS)	42	77

2025 yılında orta ölçekli bir SaaS sağlayıcısının SOC 2 Type II denetiminde %70 daha hızlı tedarikçi katılımı ve sıfır uyum açığı elde ettiği rapor edilmiştir.

7. Uygulama Kontrol Listesi

Politikalar için bir Git deposu oluştur ve önerilen şemayı kullan.
Policy Parser (veya açık kaynak pac-parser kütüphanesini) kurarak YAML’ları bir bilgi grafiğine dönüştür.
Veri bağlayıcılarını yapılandır; kullandığın platformları (AWS, GCP, Azure, Docker, Kubernetes vb.) ekle.
LLM uç noktasını temin et (OpenAI, Anthropic ya da kendi barındırdığın model).
PaC motorunu Docker konteyneri ya da sunucusuz işlev olarak iç ağ API geçidinin arkasına dağıt.
CI/CD kancalarını kur; her birleştirme sonrası kanıt üret.
Uyum panosunu ticket sistemi (Jira, ServiceNow) ile bağla.
Değiştirilemez depolamayı etkinleştir (AWS Glacier, GCP Archive).
Bir pilot çalıştır; yüksek frekanslı anketlerle dene, geribildirim al ve iyileştir.

8. Gelecek Yönelimleri

Retrieval‑Augmented Generation (RAG): Bilgi grafiğini vektör veri tabanlarıyla birleştirerek gerçekçilik seviyesini yükselt.
Zero‑Knowledge Proofs: Üretilen kanıtın kaynağına eşleştiğini, ham veriyi ortaya çıkarmadan kriptografik olarak kanıtla.
Federated Learning: Birden çok kuruluşun politika kalıplarını paylaşmasını sağlarken özelleştirilmiş veriyi gizli tut.
Dinamik Uyum Isı Haritaları: Aktif anketler üzerinden kontrol kapsamının gerçek‑zaman görselleştirmesini sun.

Politika‑Kod, LLM’ler ve değiştirilemez denetim izleri birleştiğinde SaaS şirketlerinin güvenlik ve uyum kanıtı sunma şekli kökten değişiyor. Erken benimseyenler, hız, doğruluk ve denetçi güveni açısından dramatik kazançlar elde ediyor. Eğer hâlâ PaC‑destekli bir kanıt motoru inşa etmediyseniz, bir sonraki tedarikçi anket dalgası büyümeyi tekrar yavaşlatmadan önce harekete geçme zamanı.