Gerçek Zamanlı Satıcı Anketleri için AI Destekli Bağlamsal Kanıt Sentezi

Güvenlik ve uyum anketleri, SaaS satış sürecinde bir darboğaz haline geldi. Satıcıların, saatler içinde, günler değil, SOC 2, ISO 27001, GDPR ve sektöre özgü kontrolleri kapsayan onlarca ayrıntılı soruya yanıt vermesi bekleniyor. Geleneksel otomasyon çözümleri, belge depolarından statik alıntılar çekmeyi tercih eder; ekipler bu alıntıları manuel olarak birleştirir, alaka düzeyini doğrular ve eksik bağlamı ekler. Sonuç, hâlâ önemli ölçüde insan çabası gerektiren ve hatalara açık kırılgan bir süreçtir.

Bağlamsal Kanıt Sentezi (CES), basit geri getirmeden öte bir AI‑driven iş akışıdır. Tek bir paragrafı getirmek yerine soru niyetini anlar, ilgili kanıt parçalarının bir setini bir araya toplar, dinamik bağlam ekler ve tek, denetlenebilir bir yanıt üretir. Temel bileşenler şunlardır:

Birleştirilmiş kanıt bilgi grafiği – düğümler, politikaları, denetim bulgularını, üçüncü‑taraf teyitlerini ve dış tehdit istihbaratını temsil eder; kenarlar “kapsar”, “türetilir‑veya‑olur”, “son‑tarihi‑var” gibi ilişkileri yakalar.
Geri Getirmeli Üretim (RAG) – hızlı bir vektör deposu ile zenginleştirilmiş büyük bir dil modeli (LLM), en ilgili kanıt düğümlerini sorgular.
Bağlamsal Akıl Yürütme Katmanı – uyum‑özel mantık ekleyen hafif bir kural motoru (ör. “bir kontrol ‘devam ediyor’ olarak işaretlenmişse iyileştirme zaman çizelgesi ekle”).
Denetim İzleri Oluşturucu – oluşturulan her yanıt, otomatik olarak temel grafik düğümlerine, zaman damgalarına ve sürüm numaralarına bağlanır; bu da müdahale‑kanıtlı bir kanıt izi oluşturur.

Sonuç, gerçek‑zamanlı, AI‑tarafından oluşturulmuş bir yanıtdır; bu yanıt gözden geçirilebilir, yorumlanabilir veya doğrudan bir satıcı portalına yayınlanabilir. Aşağıda mimari, veri akışı ve CES’i uyum yığınınıza entegre etmek isteyen ekipler için pratik uygulama adımları yer almaktadır.

1. Geleneksel Geri Getirmenin Neden Yetersiz Kaldığını Gösteren Nedenler

Sorun Noktası	Geleneksel Yaklaşım	CES Avantajı
Statik alıntılar	PDF belgesinden sabit bir madde çeker.	Birden çok maddeyi, güncellemeleri ve dış veriyi dinamik olarak birleştirir.
Bağlam kaybı	Soru nüansını (ör. “olay müdahalesi” vs. “afet kurtarma”) algılamaz.	LLM niyeti yorumlar, kesin bağlama uyan kanıtı seçer.
Denetlenebilirlik	Manuel kopyala‑yapıştır iz bırakmaz.	Her yanıt, sürümlenmiş kimlikli grafik düğümlerine bağlanır.
Ölçeklenebilirlik	Yeni politikalar eklemek tüm belgelerin yeniden indekslenmesini gerektirir.	Kenar eklemeleri artımlı; RAG indeksi otomatik güncellenir.

2. CES’in Temel Bileşenleri

2.1 Kanıt Bilgi Grafiği

Grafik, tek gerçek kaynakdır. Her düğüm şunları depolar:

İçerik – ham metin ya da yapılandırılmış veri (JSON, CSV).
Meta‑veri – kaynak sistem, oluşturulma tarihi, uyum çerçevesi, son kullanım tarihi.
İmzalama – değişiklik tespiti için kriptografik parmak izi.

Kenarlıklar mantıksal ilişkileri ifade eder:

  graph TD
    "Policy: Access Control" -->|"covers"| "Control: AC‑1"
    "Audit Report: Q3‑2024" -->|"evidence‑for"| "Control: AC‑1"
    "Third‑Party Attestation" -->|"validates"| "Policy: Data Retention"
    "Threat Intel Feed" -->|"impacts"| "Control: Incident Response"

Not: Tüm düğüm etiketleri, Mermaid sözdizimi gereği çift tırnak içinde; kaçış gerekmez.

2.2 Geri Getirmeli Üretim (RAG)

Bir anket geldiğinde sistem şu adımları izler:

Niyet Çıkarımı – LLM soruyu ayrıştırarak yapılandırılmış bir temsil üretir (ör. {framework: "SOC2", control: "CC6.1", domain: "Security Incident Management"}).
Vektör Arama – Niyet, gömülür ve yoğun vektör deposundan (FAISS ya da Elastic Vector) en ilgili grafik düğümlerini çeker.
İletim İstemi – LLM, getirilen kanıt alıntılarını ve “kaynakları koruyarak özlü bir yanıt sentezle” talimatını içeren bir istem alır.

2.3 Bağlamsal Akıl Yürütme Katmanı

Geri getirme ve üretim arasında bir kural motoru yer alır:

Motor ayrıca şunları zorlayabilir:

Son kullanım kontrolü – geçerliliği geçmiş kanıtları dışlar.
Regülasyon eşlemesi – yanıtın birden çok çerçeveyi aynı anda karşılamasını sağlar.
Gizlilik maskelemesi – LLM’e ulaşmadan önce hassas alanları karartır.

2.4 Denetim İzleri Oluşturucu

Her yanıt, BİRLEŞİK NESNE içinde paketlenir:

{
  "answer_id": "ans-2025-10-22-001",
  "question_id": "q-12345",
  "generated_text": "...",
  "evidence_refs": [
    {"node_id": "policy-AC-1", "hash": "a5f3c6"},
    {"node_id": "audit-2024-Q3", "hash": "d9e2b8"}
  ],
  "timestamp": "2025-10-22T14:32:10Z",
  "llm_version": "gpt‑4‑turbo‑2024‑09‑12"
}

Bu JSON, değiştirilemez bir logda (WORM depolama) saklanır ve uyum panosunda fareyle üzerine gelindiğinde hangi kanıtın hangi iddiayı desteklediği gösterilir.

3. Uçtan Uca Veri Akışı

  sequenceDiagram
    participant User as Security Analyst
    participant UI as Procurize Dashboard
    participant CES as Contextual Evidence Synthesizer
    participant KG as Knowledge Graph
    participant LLM as Retrieval‑Augmented LLM
    participant Log as Audit Trail Store

    User->>UI: Yeni anketi yükle (PDF/JSON)
    UI->>CES: Soruları ayrıştır, niyet nesneleri oluştur
    CES->>KG: Her niyet için vektör araması yap
    KG-->>CES: En iyi k‑kadar kanıt düğümünü döndür
    CES->>LLM: Kanıt ve sentez kurallarıyla istem gönder
    LLM-->>CES: Üretilen yanıt
    CES->>Log: Yanıtı kanıt referanslarıyla sakla
    Log-->>UI: İzlenebilirlik linkleriyle yanıtı göster
    User->>UI: İncele, yorum ekle, onayla
    UI->>CES: Onaylı yanıtı satıcı portalına gönder

Bu şema, insan incelemesinin kritik bir kontrol noktası olduğunu vurgular. Analistler, AI‑tarafından üretilen metni yorumlayabilir, değiştirebilir ve nihai gönderimden önce onaylayabilir; böylece hız ve yönetişim birlikte korunur.

4. Uygulama Yol Haritası

4.1 Bilgi Grafiğini Kurma

Bir grafik veri tabanı seç – Neo4j, JanusGraph veya Amazon Neptune.
Mevcut varlıkları içe aktar – politikalar (Markdown, PDF), denetim raporları (CSV/Excel), üçüncü‑taraf teyitler (JSON) ve tehdit istihbarat beslemeleri (STIX/TAXII).
Gömüler üret – her düğümün metin içeriği için bir cümle‑dönüştürücü model (all‑MiniLM‑L6‑v2) kullan.
Vektör indeksi oluştur – gömüler FAISS ya da Elastic Vector’da tutulur; böylece hızlı en‑yakın‑komşu sorguları yapılır.

4.2 Geri Getirmeli Üretim Katmanını İnşa Et

Özel bir LLM uç noktası (OpenAI, Anthropic veya kendi barındırdığınız Llama‑3) bir özel API geçidi arkasında çalıştır.
İstem Şablonu oluştur; içinde {{question}}, {{retrieved_evidence}}, {{compliance_rules}} yer tutucuları bulunur.
İş akışını yönlendirmek için LangChain veya LlamaIndex kullan.

4.3 Akıl Yürütme Kurallarını Tanımla

Kural motorunu Durable Rules, Drools ya da hafif bir Python DSL ile uygula. Örnek kural seti:

rules = [
    {
        "condition": lambda node: node["status"] == "expired",
        "action": lambda ctx: ctx["exclude"](node)
    },
    {
        "condition": lambda node: node["framework"] == "SOC2" and node["control"] == "CC6.1",
        "action": lambda ctx: ctx["add_context"]("Incident response plan last tested on {{last_test_date}}")
    }
]

4.4 Denetlenebilir Depolama

Bileşik yanıt nesnelerini ek‑sadece bir S3 kovasına (Object Lock etkin) ya da blok‑zincir‑tabanlı bir deftere kaydet.
Her yanıt için SHA‑256 karması üret; bu, sonradan değişiklik tespiti sağlar.

4.5 UI Entegrasyonu

Procurize panosuna her anket satırının yanına bir “AI‑Sentezle” düğmesi ekle.
Çökebilir bir görünümde göster:
- Üretilen yanıt.
- Satır içi alıntılar (örn. [Policy: Access Control] grafik düğümüne bağlar).
- Sürüm etiketi (v1.3‑2025‑10‑22).

4.6 İzleme ve Sürekli İyileştirme

Ölçüt	Nasıl Ölçülür
Yanıt gecikmesi	Sorudan yanıt üretimine kadar geçen toplam süre.
Alıntı kapsama	Yanıt cümlelerinin en az bir kanıt düğümüne bağlanma yüzdesi.
İnsan düzenleme oranı	AI‑üretimi yanıtların analist tarafından değiştirilme oranı.
Uyumluluk kayması	Süresi dolmuş kanıt nedeniyle geçersiz hâle gelen yanıt sayısı.

Bu ölçütleri Prometheus’tan toplayın, eşik aşıldığında alarm verin ve verileri kural motoru içinde otomatik ayarlama için geri besleme olarak kullanın.

5. Gerçek Dünya Yararları

Yanıt Süresi Azaltma – Takımlar, ortalama yanıt süresini %70‑80 oranında kısaltıyor (48 saattan ~10 saniyeye).
Doğruluk Artışı – Alıntı‑bağlantılı yanıtlar, gerçek hataları %95 oranında azaltıyor.
Denetlenebilir Dokümantasyon – Tek tıklamayla denetim izi dışa aktarımı, SOC 2 ve ISO 27001 kanıt‑listesi gereksinimlerini karşılıyor.
Ölçeklenebilir Bilgi Yeniden Kullanımı – Yeni anketler, mevcut kanıtları otomatik olarak yeniden kullanarak çaba tekrarını önlüyor.

Finansal bir teknoloji şirketindeki bir vaka çalışması, CES’i devreye aldıktan sonra dört kat anket hacmini ek bir personel almadan yönetebildiğini gösterdi.

6. Güvenlik ve Gizlilik Hususları

Veri İzolasyonu – Vektör deposu ve LLM çıkarımı, internet çıkışı olmayan bir VPC içinde tutulur.
Zero‑Trust Erişim – Her analist oturumu için kısa ömürlü IAM token’ları kullan.
Diferansiyel Gizlilik – Dış tehdit‑istihbarat beslemeleri işlenirken, iç politika detaylarının sızmasını önlemek için gürültü ekle.
Model Denetimi – Her LLM isteği ve yanıtı, gelecekteki uyumluluk denetimlerine dahil etmek üzere loglanır.

7. Gelecek Geliştirmeler

Yol Haritası Öğesi	Açıklama
Federated Graph Sync	Ortak veri sahipliği kurallarına uyarak seçilmiş düğümlerin iş ortaklarıyla paylaşılması.
Explainable AI Overlay	Soru‑yanıt arasındaki akış yolunu bir DAG olarak görselleştiren kanıt izleme katmanı.
Çok‑Dilli Destek	Fransızca, Almanca ve Japonca için çok‑dilli gömülerle geri getirme ve üretim genişletmesi.
Self‑Healing Templates	Bir kontrolün temel politikasını değiştirdiğinde anket şablonlarını otomatik güncelleme.

8. Başlangıç Kontrol Listesi

Mevcut kanıt kaynaklarınızı haritalayın – politikalar, denetim raporları, teyitler ve istihbarat akışlarını listeleyin.
Grafik veri tabanı kurun ve varlıkları meta‑veriyle birlikte içe aktarın.
Gömüler oluşturun ve bir vektör arama hizmeti kurun.
LLM’i RAG sarmalasıyla dağıtın (LangChain ya da LlamaIndex).
Kuruluşunuza özgü uyum kurallarını tanımlayın.
Procurize ile entegrasyonu tamamlayın – “AI‑Sentezle” düğmesi ve denetim‑izi UI bileşeni ekleyin.
Küçük bir anket setiyle pilot çalıştırın, gecikme, düzenleme oranı ve denetlenebilirlik ölçütlerini ölçün.
Yineleyin – kuralları iyileştirin, grafiği zenginleştirin ve yeni çerçevelere genişletin.

Bu adımları izleyerek, zaman‑alan bir manuel süreci sürekli, AI‑destekli bir uyum motoruna dönüştürebilir ve işinizi ölçeklendikçe uyum risklerini düşük tutabilirsiniz.