AI‑Destekli Kanıt Otomatik Eşleştirme Motoru, Çok‑Çerçeveli Anket Uyumluluğu İçin

Giriş

Güvenlik anketleri, her B2B SaaS anlaşmasının giriş kapısıdır. Potansiyel müşteriler, SOC 2, ISO 27001, GDPR, PCI‑DSS ve ortaya çıkan veri‑lokalizasyon düzenlemeleri gibi çerçevelere uyum kanıtı ister. Kontroller çoğu zaman örtüşse de, her çerçeve kendi terminolojisini, kanıt formatını ve şiddet derecelendirmesini tanımlar. Geleneksel manuel süreçler, güvenlik ekiplerini çabayı tekrar etmeye zorlar: bir kontrolü bir çerçevede bulur, yanıtı başka bir çerçeveye uyacak şekilde yeniden yazar ve tutarsızlık riski taşırlar.

Kanıt Otomatik Eşleştirme Motoru (EAME), bir kaynak çerçeveden kanıtı hedef çerçevenin diline otomatik olarak çevirecek şekilde bu sorunu çözer. Büyük dil modelleri (LLM), dinamik bir uyumluluk bilgi grafiği ve modüler bir retrieval‑augmented generation (RAG) hattı sayesinde, EAME saniyeler içinde doğru ve denetlenebilir yanıtlar sunar.

Bu makalede:

EAME’nin mimarisini ve güvenilirliğini sağlayan veri akışlarını inceliyoruz.
LLM‑güdümlü anlamsal eşleşmenin gizliliği nasıl koruduğunu açıklıyoruz.
Procurize müşterileri için adım‑adım dağıtım kılavuzu sunuyoruz.
Performans ölçütleri ve en iyi uygulama önerileri veriyoruz.

Temel Sorun: Çerçeveler Arasında Parçalanmış Kanıt

Çerçeve	Tipik Kanıt Türü	Örtüşme Örneği
SOC 2	Politikalar, Süreç Belgeleri, Ekran Görüntüleri	Erişim kontrol politikası
ISO 27001	Uygulanabilirlik Bildirimi, Risk Değerlendirmesi	Erişim kontrol politikası
GDPR	Veri‑işleme kayıtları, DPIA	Veri‑işleme kayıtları
PCI‑DSS	Ağ diyagramları, Tokenizasyon raporları	Ağ diyagramı

Bir Erişim Kontrol Politikası, hem SOC 2 hem de ISO 27001 çerçevelerini tatmin edebilse de, her anket bu politikayı farklı bir formatta ister:

SOC 2, sürüm ve son gözden geçirme tarihini içeren bir politika alıntısı talep eder.
ISO 27001, uygulanabilirlik bildirimi bağlantısı ve risk puanı ister.
GDPR, aynı politikayı referans alan bir işlem faaliyetleri kaydı talep eder.

Manuel ekipler politikayı bulur, kopyala‑yapıştır yapar, atıf biçimini yeniden düzenler ve risk puanlarını elle hesaplar – bu hataya açık iş akışı, dönüş süresini %30‑50  artırır.

Otomatik Eşleştirme Motorunun Mimari Görünümü

Motor üç temel üzerine inşa edilmiştir:

Uyumluluk Bilgi Grafiği (CKG) – varlıkları (kontroller, kanıt artefaktları, çerçeveler) ve ilişkileri (“covers”, “requires”, “equivalent‑to”) yakalayan yönlendirilmiş, etiketli bir grafik.
LLM‑Geliştirilmiş Anlamsal Eşleştirici – bir kaynak kanıt düğümünü hedef çerçevenin yanıt şablonuna çeviren istem (prompt) katmanı.
Retrieval‑Augmented Generation Döngüsü (RAG‑Loop) – oluşturulan yanıtları CKG ve dış politika depolarına karşı doğrulayan geri besleme mekanizması.

Aşağıda veri akışını gösteren yüksek‑seviye bir Mermaid diyagramı yer alıyor.

  graph LR
  A[Kullanıcı Anketi Gönderir] --> B[Anket Ayrıştırıcı]
  B --> C{Hedef Çerçeveyi Belirle}
  C -->|SOC2| D[CKG Arama: SOC2 Düğümü]
  C -->|ISO27001| E[CKG Arama: ISO Düğümü]
  D --> F[Kaynak Kanıtı Getir]
  E --> F
  F --> G[LLM Anlamsal Eşleştirici]
  G --> H[Oluşturulan Yanıt]
  H --> I[Uyumluluk Doğrulayıcı]
  I -->|Başarılı| J[Yanıt Procurement DB’ye Kaydedilir]
  I -->|Başarısız| K[İnsan‑İç‑Döngü İncelemesi]
  K --> G

1. Uyumluluk Bilgi Grafiği (CKG)

CKG üç kaynaktan doldurulur:

Çerçeve Taksonomileri – resmi kontrol kütüphaneleri düğüm seti olarak içe aktarılır.
Kurumsal Politika Deposu – Markdown/Confluence dosyaları gömülü temsillerle indekslenir.
Kanıt Meta‑Veri Deposu – dosyalar, ekran görüntüleri ve denetim günlükleri SPDX‑benzeri tanımlayıcılarla etiketlenir.

Her düğüm framework, control_id, evidence_type, version, confidence_score gibi özniteliklere sahiptir. İlişkiler eşdeğerlik (equivalent_to), hiyerarşi (subcontrol_of) ve kaynaklık (generated_by) gibi kavramları kodlar.

Grafik Örneği (Mermaid)

  graph TD
  A["Erişim Kontrol Politikası"]:::evidence -->|kapsar| B["SOC2 CC6.1"]:::control
  A -->|kapsar| C["ISO27001 A.9.2.1"]:::control
  A -->|kapsar| D["GDPR Art.32"]:::control
  classDef control fill:#f9f,stroke:#333,stroke-width:2px;
  classDef evidence fill:#bbf,stroke:#333,stroke-width:2px;

2. LLM‑Geliştirilmiş Anlamsal Eşleştirici

Eşleştirici bir kaynak kanıt yükü (ör. politika belgesi) ve bir hedef çerçeve şablonu (ör. SOC 2 yanıt formatı) alır. Uyumluluk bağlamı için hazırlanmış birkaç‑örnekli bir istem (prompt) kullanarak LLM aşağıdaki yapılandırılmış yanıtı üretir:

{
  "framework": "SOC2",
  "control_id": "CC6.1",
  "answer": "Erişim Kontrol Politikamız (v3.2, 2024‑12‑01 tarihinde gözden geçirilmiştir), en az yetki prensibini benimseyen yetkili personel için sistem erişimini sınırlar. Tam politika metni için ek ekiye bakınız.",
  "evidence_refs": ["policy_v3.2.pdf"]
}

Önemli istem bileşenleri:

Sistem İstemi – uyumluluk tonunu ayarlar ve hayal üretimini (hallucination) sınırlamaya çalışır.
Birkaç‑Örnek – geçmiş denetimlerden anonimleştirilmiş gerçek anket yanıtları.
Kısıtlama Token’ları – yanıtın en az bir evidence_refs girdisine referans vermesini zorunlu kılar.

LLM, özel bir çıkarım uç noktası arkasında çalıştırılarak veri gizliliği ve GDPR uyumluluğu sağlanır.

3. Retrieval‑Augmented Generation Döngüsü (RAG‑Loop)

Oluşturulan yanıt, bir doğrulayıcı üzerinden şu adımlarla geçer:

Çapraz‑referans – yanıtın evidence_refs alanı CKG’deki ilgili artefaktla eşleşir; böylece atıf edilen kanıtın ilgili kontrolü gerçekten kapsadığı doğrulanır.
Sürüm Tutarlılığı – politika sürümü, grafikteki en yeni sürümle aynı olmalı.
Benzerlik Skoru – oluşturulan metin ile orijinal kaynak kanıt arasındaki benzerlik skoru %85’in altındaysa İnsan‑İç‑Döngü (HITL) incelemesi tetiklenir.

Döngü, doğrulama başarılı olana kadar tekrarlanır; bu da izlenebilirlik ve denetlenebilirlik garantilerinin korunmasını sağlar.

Procurize’da Motorun Dağıtımı

Önkoşullar

Gereklilik	Minimum Özellik
Kubernetes Kümesi	3 düğüm, her biri 8 vCPU
Kalıcı Depolama	200 GB SSD (CKG için)
LLM Sağlayıcı	OpenAI‑uyumlu API destekleyen özel uç nokta
IAM Politikası	Politika deposu ve kanıt kovasına okuma/yazma erişimi

Kurulum Adımları

CKG Servisini Sağla – Helm chart’ı kullanarak Neo4j ya da Amazon Neptune tabanlı graf veri tabanını dağıt.
Çerçeve Taksonomilerini İçeri Aktar – ckg-import CLI’sını en güncel SOC 2, ISO 27001, GDPR JSON şemalarıyla çalıştır.
Kurumsal Politikaları İndeksle – policy-indexer komutunu çalıştır; yoğun vektör gömme (SBERT) oluşturur ve grafiğe ekler.
LLM Çıkarımını Dağıt – VPC‑izoleli bir yük dengeleyici arkasında private-llm konteynerini başlat. LLM_API_KEY ortam değişkenini ayarla.
RAG‑Loop’u Yapılandır – rag-loop.yaml manifestini uygulayarak doğrulayıcı webhook, HITL kuyruğu (Kafka) ve Prometheus metriklerini tanımla.
Procurize UI ile Entegre Et – Anket düzenleyicide “Otomatik‑Eşleştir” seçeneğini etkinleştir. UI, source_framework, target_framework ve question_id ile /api/auto-map adresine bir POST gönderir.
Duman Testi Çalıştır – SOC 2 CC6.1 gibi bilinen bir kontrol içeren test anketi gönder; yanıtın doğru politika referansını içerdiğini doğrula.

İzleme & Gözlemlenebilirlik

Gecikme – Yanıt başına < 2 saniye hedeflenir; > 5 saniye olursa alarm verir.
Doğrulama Başarısızlık Oranı – %1’in altında tutulmalı; artış, politika deposundaki kayma işaret eder.
LLM Token Kullanımı – Maliyeti izle; tekrarlanan sorular için önbellekleme etkinleştir.

Performans Ölçütleri

Ölçüt	Manuel Süreç	Otomatik Eşleştirme Motoru
Soru Başına Ortalama Dönüş Süresi	4,2 dk	1,3 sn
Kanıt Yeniden Kullanım Oranı*	%22	%78
İnsan İncelemesi Yükü	Soruların %30’u	Soruların %4’ü
Anket Başına Maliyet (USD)	$12,40	$1,75

*Kanıt yeniden kullanım oranı, aynı artefaktın birden fazla çerçeve kontrolünü karşılamadaki başarısını ölçer.

Motor, %86’lık bir azalma sağlayarak manuel çabayı büyük ölçüde azaltırken %97 denetim‑onaylı doğrulama geçme oranı sunar.

Sürdürülebilir Otomatik Eşleştirme İçin En İyi Uygulamalar

CKG’yi Güncel Tut – ISO, SOC ve GDPR portallarından güncellenmiş kontrol kütüphanelerini gece‑yarısı senkronizasyon işleriyle alın.
Kanıtlara Sürüm Etiketi Ver – Yüklenen her artefaktı anlamsal bir sürüm (örn. policy_v3.2.pdf) ile işaretle. Doğrulayıcı, eski referansları reddeder.
LLM’yi Alan Verisiyle İnce-Ayarlama – 5 k anonim anket yanıtı üzerine bir LoRA adaptörü eğiterek uyumluluk tonunu iyileştir.
Rol‑Tabanlı Erişim Uygula – HITL onaylarını sadece yetkili kullanıcılar yapabilsin; her onay kullanıcı kimliği ve zaman damgası ile loglansın.
Periyodik Sapma Testleri Çalıştır – Rasgele seçilmiş yanıtları insan‑yazılmış temel yanıtlarla karşılaştır, BLEU/ROUGE skorlarını ölçerek regresyonları tespit et.

Güvenlik ve Gizlilik Hususları

Veri Yerleşimi – LLM uç noktasını, politika kovasının bulunduğu bölgeye dağıtarak veri‑lokalizasyon gereksinimlerini karşıla.
Sıfır‑Bilgi Kanıtı (Zero‑Knowledge Proof) – Son derece hassas politikalar için, içeriği ifşa etmeden CKG’de bulunduğunu kanıtlayan zk‑SNARK tabanlı bir kanıt üret.
Farklılaştırılmış Gizlilik (Differential Privacy) – Kullanım metriklerini toplarken, belirli politikalar hakkında bilgi sızdırmamak için kalibre edilmiş gürültü ekle.

Gelecek Yol Haritası

Çok‑Modelli Kanıt Desteği – OCR ile taranmış uyumluluk sertifikalarını ve ağ diyagramları için görüntü gömmelerini ekle.
Çok‑Kiracı Federated Graph – Endüstri konsorsiyumlarının anonimleştirilmiş kontrol eşdeğerlik haritalarını paylaşmasını sağlarken, her üyenin özgün kanıtlarını koru.
Sürekli Düzenleyici Akış – Yeni düzenlemeleri (ör. AI Act) gerçek zamanlı alıp grafik düğümleri oluşturacak, LLM eşleştirme istemini otomatik olarak güncelleyecek bir sistem kur.

Sonuç

AI‑Destekli Kanıt Otomatik Eşleştirme Motoru, uyumluluk alanını reaktif, manuel bir darboğazdan proaktif, veri‑odaklı bir hizmete dönüştürüyor. SOC 2, ISO 27001, GDPR ve diğer çerçeveler arasındaki kanıtları birleştirerek anket dönüş süresini %95’in üzerinde azaltıyor, insan hatasını azaltıyor ve denetçiler ile düzenleyicileri tatmin eden denetlenebilir bir iz izi sağlıyor.

EAME’yi Procurize içinde hayata geçirmek, güvenlik, hukuki ve ürün ekiplerine tek bir doğru kaynağı sunar, stratejik risk azaltımına odaklanmalarını serbest bırakır ve SaaS işletmeleri için gelir döngülerinin hızlanmasını sağlar.