AI‑Güçlendirilmiş Sürekli Kanıt Deposunu Gerçek‑Zamanlı Güvenlik Anketi Otomasyonu İçin Oluşturma

Günümüzde işletmeler, güvenlik anketleri, tedarikçi denetimleri ve düzenleyici talepler dalgasıyla sürekli mücadele ediyor. Procurize gibi platformlar ne olduğunu—anketleri ve görevleri—merkezileştiriyor olsa da hâlâ gizli bir darboğaz var: her cevabı destekleyen kanıt. Geleneksel kanıt yönetimi, statik belge kütüphaneleri, manuel bağlantılar ve rastgele aramalara dayanır. Sonuç, hata, gecikme ve denetim riski getiren kırılgan bir “kopyala‑yapıştır” iş akışıdır.

Bu rehberde:

1. Sürekli Kanıt Deposu (CER) kavramını tanımlayacağız—her yeni politika, kontrol veya olayla birlikte evrilen bir bilgi tabanı.
2. Büyük Dil Modelleri (LLM) nasıl kullanılabilir göstererek kanıtları gerçek zamanlı olarak çıkartma, özetleme ve anket maddelerine eşleme sürecini anlatacağız.
3. Uçtan‑uza bir mimari sunacağız; sürüm kontrol depolama, meta veri zenginleştirme ve AI‑tabanlı getirme birleşimini açıklayacağız.
4. Procurize üzerine çözümü uygulamak için pratik adımlar; entegrasyon noktaları, güvenlik hususları ve ölçeklendirme ipuçları vereceğiz.
5. Yönetim ve denetlenebilirlik konularını ele alarak sistemi uyumlu ve güvenilir tutmayı tartışacağız.

1. Sürekli Kanıt Deposunun Önemi Neden Artıyor

1.1 Kanıt Açığı

Bir CER, politikalar, test sonuçları, olay günlükleri ve mimari diyagramları sürekli olarak alıp normalleştirerek aranabilir, sürümlü bir bilgi grafiğine dönüştürerek bu sıkıntıları çözer.

1.2 Faydalar

• Hız: En güncel kanıt saniyeler içinde bulunur, manuel avlamaya son verir.
• Doğruluk: AI‑destekli çapraz‑kontroller, bir cevabın altta yatan kontrole aykırı olup olmadığını uyarır.
• Denetim Hazırlığı: Her kanıt nesnesi değiştirilemez meta veri (kaynak, sürüm, inceleyen) taşır ve uyumluluk paketi olarak dışa aktarılabilir.
• Ölçeklenebilirlik: Yeni anket tipleri (ör. GDPR DPA, CMMC) sadece eşleme kuralları eklenerek devreye alınır; tüm depo yeniden inşa edilmez.

2. CER’in Temel Bileşenleri

Aşağıda sistemin yüksek seviyeli görünümü verilmiştir. Her blok, bulut‑yerel hizmetler, açık‑kaynak araçlar ya da hibrit bir yaklaşım seçebilmeniz için teknoloji‑bağımsız tasarlanmıştır.

  graph TD
    A["Politika ve Kontrol Kaynakları"] -->|Ingest| B["Ham Kanıt Deposu"]
    C["Test ve Tarama Sonuçları"] -->|Ingest| B
    D["Olay ve Değişiklik Kayıtları"] -->|Ingest| B
    B -->|Versioning & Metadata| E["Kanıt Gölü (nesne depolama)"]
    E -->|Embedding / Indexing| F["Vektör Deposu (ör. Qdrant)"]
    F -->|LLM Retrieval| G["AI Getirme Motoru"]
    G -->|Answer Generation| H["Anket Otomasyon Katmanı (Procurize)"]
    H -->|Feedback Loop| I["Sürekli Öğrenme Modülü"]

Temel çıkarımlar:

• Tüm ham girdiler merkezi bir Blob/Lake içinde (Kanıt Gölü) toplanır. Dosyalar özgün formatlarını (PDF, CSV, JSON) korur ve yanlarında sürüm, yazar, etiketler ve SHA‑256 hash içeren hafif bir JSON yan dosyası bulundurur.
• Gömme Servisi, metinsel içeriği (politika maddeleri, tarama günlükleri) yüksek boyutlu vektörlere çevirir ve Vektör Deposuna kaydeder. Bu, sadece anahtar kelime değil, anlamsal arama sağlar.
• AI Getirme Motoru, retrieval‑augmented generation (RAG) boru hattı çalıştırır: bir sorgu (anket maddesi) önce en ilgili kanıt parçacıklarını çeker, ardından ince ayarlanmış bir LLM bunları alıntı‑zengin bir cevap olarak birleştirir.
• Sürekli Öğrenme Modülü, inceleme geri bildirimlerini (👍 / 👎, düzenlenmiş cevaplar) toplar ve LLM’yi organizasyon‑özel dil üzerine ince ayar yaparak zaman içinde doğruluğu artırır.

3. Veri Alımı ve Normalleştirme

3.1 Otomatik Çekmeler

Her alım işi, bir manifest yazar:

{
  "source_id": "github.com/company/policies",
  "file_path": "iso27001/controls/A.12.1.2.md",
  "commit_sha": "b7c9d2e...",
  "ingested_at": "2025-10-05T14:23:00Z",
  "hash": "4a7d1ed414..."
}

3.2 Meta Veri Zenginleştirme

Ham depolamadan sonra bir meta veri çıkarma servisi şunları ekler:

• Kontrol tanımlayıcıları (ör. ISO 27001 A.12.1.2, NIST 800‑53 AC‑2)
• Kanıt türü (policy, scan, incident, architecture diagram)
• Güven skoru (OCR kalitesi, şema doğrulaması bazlı)
• Erişim kontrol etiketleri (confidential, public)

Zenginleştirilmiş meta veriler, belge veri tabanı (MongoDB gibi) içinde saklanır ve sonraki sorguların kaynağıdır.

4. Retrieval‑Augmented Generation (RAG) Boru Hattı

4.1 Sorgu Normalleştirme

Bir anket maddesi geldiğinde (ör. “Şifreleme‑at‑rest kontrollerinizi açıklayın”), sistem şu adımları izler:

1. Madde çözümleme – anahtar kelimeler, düzenleyici referanslar ve niyeti belirlemek için cümle‑seviye sınıflandırıcı kullanır.
2. Anlamsal genişletme – “encryption‑at‑rest” için eş anlamlıları (“data‑at‑rest encryption”, “disk encryption”) Word2Vec modeliyle genişletir.
3. Vektör gömme – genişletilmiş sorguyu yoğun bir vektöre kodlar (ör. sentence‑transformers/all‑mpnet‑base‑v2).

4.2 Vektör Araması

Vektör deposu, kosinüs benzerliğine göre en iyi k (genellikle 5‑10) kanıt parçacığını döndürür. Her parçacık, köken meta verileriyle birlikte gelir.

4.3 Prompt Oluşturma

Bir retrieval‑augmented prompt hazırlanır:

Sen bir SaaS şirketi için uyumluluk analistisin. Aşağıdaki kanıtlara dayanarak anket maddesine cevap ver. Her kaynağı kimliğiyle alıntıla.

Kanıtlar:
1. "ISO 27001 A.10.1.1 – Veri şifreleme politikası sürüm 3.2" (policy, v3.2, 2025‑09‑12)
2. "AWS KMS yapılandırması – Tüm S3 bucket’ları AES‑256 ile şifrelenmiş" (scan, 2025‑10‑01)
3. "Olay #12345 – Bir ihlal sonrası şifreleme anahtarı döndürülmüş" (incident, 2025‑08‑20)

Madde: "Şifreleme‑at‑rest kontrollerinizi açıklayın."

LLM, alıntı‑zengin ve öz bir yanıt verir:

Tüm SaaS verileri Amazon S3, RDS ve EBS’de AWS KMS aracılığıyla AES‑256 ile şifrelenir; bu, ISO 27001‑uyumlu şifreleme politikamızda (sürüm 3.2) tanımlanmıştır. Şifreleme anahtarları her 90 günde bir otomatik döndürülür ve Olay #12345 sonrasında manuel bir döndürme gerçekleştirilmiştir (kanıt 1‑3). Kaynaklar: 1, 2, 3.

4.4 İnsan İnceleme Döngüsü

Procurize, AI‑oluşturulmuş cevabı ve kaynak listesini gösterir. İnceleyiciler şunları yapabilir:

• Onayla (yeşil işaret ekler ve kararı kaydeder).
• Düzenle (yanıtı değiştirir; düzenleme eylemi model ince ayarı için loglanır).
• Reddet (manuel yanıta geri dönülür ve negatif örnek olarak modele eklenir).

Tüm eylemler Sürekli Öğrenme Modülüne kaydedilir; periyodik yeniden eğitimle organizasyon‑özgü dil ve uyumluluk terminolojisi geliştirilir.

5. CER’in Procurize ile Entegrasyonu

5.1 API Köprüsü

Procurize’ın Anket Motoru, yeni bir anket ya da madde aktif olduğunda bir webhook gönderir:

{
  "question_id": "Q-2025-SEC-07",
  "text": "Şifreleme‑at‑rest kontrollerinizi açıklayın."
}

Hafif bir entegrasyon servisi, bu yükü alır, maddeyi AI Getirme Motoruna yönlendirir ve yanıtı auto_generated bayrağıyla geri yazar.

5.2 UI Geliştirmeleri

Procurize arayüzünde:

• Kanıt bölmesi ilgili alıntıların listesini katlanabilir şekilde gösterir, her birine ön izleme düğmesi eklenir.
• Güven skor göstergesi (0‑100) semantik eşleşmenin ne kadar güçlü olduğunu bildirir.
• Sürüm seçici, yanıtın belirli bir politika sürümüne bağlanmasını sağlar; böylece izlenebilirlik garantilenir.

5.3 İzinler ve Denetim

AI‑oluşturulmuş içerik, kaynak kanıtların erişim kontrol etiketlerini miras alır. Örneğin, bir kanıt confidential olarak etiketlenmişse, yalnızca Compliance Manager rolündeki kullanıcılar ilgili cevabı görebilir.

Denetim günlükleri şunları tutar:

• Kim AI yanıtını onayladı.
• Ne zaman yanıt üretildi.
• Hangi kanıt kullanıldı (sürüm hash’i dahil).

Bu günlükler, Splunk ya da Elastic gibi denetim panellerine dışa aktarılabilir ve sürekli izlenebilir.

6. Ölçeklendirme Hususları

7. Yönetim Çerçevesi

1. Sahiplik Matrisi – Her kanıt alanı (politika, tarama, olay) için bir Veri Sorumlusu atanır; alım boru hatlarını ve meta veri şemalarını onaylar.
2. Değişiklik Yönetimi – Her kaynak belge güncellemesi, onu kullanan tüm anket yanıtlarını otomatik olarak yeniden değerlendirme tetikler; yanıtlar incelenmek üzere işaretlenir.
3. Gizlilik Kontrolleri – Hassas kanıtlar (ör. penetrasyon testi raporları) KMS anahtarıyla şifrelenir; anahtarlar yıllık döndürülür. Erişim günlükleri 2 yıl saklanır.
4. Uyumluluk Dışa Aktarımı – Zaman aralığı seçilerek tüm kanıt + yanıtlar zip olarak paketlenir, organizasyon PGP anahtarıyla imzalanır; bütünlük doğrulanabilir.

8. Adım‑Adım Uygulama Kontrol Listesi

9. Gerçek Dünya Etkisi: Mini‑Vaka Çalışması

Şirket: 300 çalışanlı bir FinTech SaaS sağlayıcısı, SOC 2‑Type II sertifikalı.

En büyük kazanç, güncel olmayan politika referanslarından kaynaklanan denetim bulgularının ortadan kalkması oldu. Politika sürüm değiştiğinde yanıtlar otomatik olarak yeniden değerlendirilerek “sürekli uyumluluk” kanıtlanmış ve denetçiler bu vizyonu rekabet avantajı olarak değerlendirmiştir.

10. Gelecek Yönelimleri

• Kurumsallar Arası Bilgi Grafiği Paylaşımı: Anonimleştirilmiş kanıt şemalarını ortak ekosistemlerle paylaşarak ortak uyumluluk girişimlerini hızlandırma.
• Regülasyon Öngörüsü: Yaklaşan düzenleyici taslakları CER boru hattına besleyerek “gelecek” kontrolleri üzerinde ön‑eğitim.
• Üretken Kanıt Oluşturma: AI ile yeni politika dokümanları (ör. veri saklama prosedürleri) taslak olarak üretip inceleme sonrası depo’ya kilitleme.

11. Sonuç

Sürekli Kanıt Deposu, statik uyumluluk varlıklarını canlı, AI‑güçlendirilmiş bir bilgi tabanına dönüştürür. Anlamsal vektör arama ile retrieval‑augmented generation (RAG) kombinasyonu, organizasyonların gerçek zamanlı anket yanıtları vermesini, denetim‑hazır izlenebilirliği sürdürmesini ve evrak işine harcanan zamanı stratejik risk azaltmaya yönlendirmesini sağlar.

Procurize üzerine bu mimariyi kurmak, yanıt sürelerini hızlandırmakla kalmaz, aynı zamanda büyüyen düzenleyici ortam, teknoloji yığını ve iş büyümesi ile uyumlu, geleceğe dönük bir uyumluluk temeli oluşturur.

İlgili Bağlantılar

• Procurize Dokümantasyonu – Anket İş Akışlarının Otomasyonu
• NIST SP 800‑53 Rev 5 – Otomatik Uyumluluk İçin Kontrol Eşlemesi
• Qdrant Vektör Arama – Ölçeklenebilir Desenler