Kendinden Hizmet AI Uyum Asistanı: RAG Rol‑Tabanlı Erişim ile Güvenli Anket Otomasyonunu Buluşturuyor

SaaS dünyasının hızlı temposunda, güvenlik anketleri, uyum denetimleri ve satıcı değerlendirmeleri bir geçiş ritüeli haline geldi. Bu talepleri hızlı, doğru ve net bir denetim iziyle yanıtlayan şirketler anlaşmaları kazanır, müşterilerini elde tutar ve yasal riskleri azaltır. Geleneksel manuel süreçler—politika parçalarını kopyala‑yapıştırma, kanıt arama ve sürüm kontrolü—artık sürdürülebilir değil.

İşte Kendinden Hizmet AI Uyum Asistanı (SSAIA). Retrieval‑Augmented Generation (RAG) ile Role‑Based Access Control (RBAC)‘yi birleştirerek SSAIA, güvenlik mühendisleri, ürün yöneticileri, hukuk danışmanları ve hatta satış temsilcileri gibi tüm paydaşların doğru kanıtları almasını, bağlam‑duyarlı yanıtlar üretmesini ve bunları uyumlu bir şekilde yayınlamasını tek bir işbirliği merkezinden sağlar.

Bu makale, mimari sütunları, veri akışını, güvenlik garantilerini ve modern bir SaaS organizasyonunda SSAIA’yı hayata geçirmek için pratik adımları ele alıyor. Ayrıca uç‑uç boru hattını gösteren bir Mermaid diyagramı sunacağız ve eyleme dönüştürülebilir sonuçlarla kapatacağız.

1️⃣ Neden RAG ve RBAC’yi Birleştiriyoruz?

Açıklama	Retrieval‑Augmented Generation (RAG)	Role‑Based Access Control (RBAC)
Ana Hedef	Bilgi tabanından ilgili bölümleri çekip AI‑oluşturulan metne entegre eder.	Kullanıcıların sadece yetkili oldukları verilere erişmesini/düzenlemesini sağlar.
Anketlere Katkısı	Yanıtların mevcut, onaylanmış kanıtlara (politikalar, denetim günlükleri, test sonuçları) dayalı olmasını garantiler.	Gizli kontrollerin ya da kanıtların yetkisiz kişilere sızdırılmasını önler.
Uyum Etkisi	SOC 2, ISO 27001, GDPR gibi standartların gerektirdiği kanıta dayalı yanıtları destekler.	En az ayrıcalık ilkesini zorunlu kılan veri‑gizliliği düzenlemeleriyle uyumludur.
Sinerji	RAG ne getiriyorsa; RBAC kim ve nasıl kullandığını yönetir.	Birlikte güvenli, denetlenebilir ve bağlam‑zengin yanıt üretim iş akışı sunar.

Bu kombinasyon iki büyük acı noktasını ortadan kaldırır:

Eski ya da alakasız kanıtlar – RAG, vektör benzerliği ve meta‑veri filtrelerine göre en güncel parçayı alır.
Veri sızdırma hataları – RBAC, bir satış temsilcisinin yalnızca kamu politikası alıntılarını görmesini, bir güvenlik mühendisinin ise iç penetrasyon‑test raporlarını görüntüleyip eklemesini garantiler.

2️⃣ Mimari Genel Bakış

Aşağıda, Kendinden Hizmet AI Uyum Asistanı’nın temel bileşenlerini ve veri akışını yakalayan yüksek‑seviyeli bir Mermaid diyagramı bulunuyor.

  flowchart TD
    subgraph UserLayer["Kullanıcı Etkileşim Katmanı"]
        UI[ "Web UI / Slack Bot" ]
        UI -->|Kimlik Doğrulama Talebi| Auth[ "Identity Provider (OIDC)" ]
    end

    subgraph AccessControl["RBAC Motoru"]
        Auth -->|JWT Oluştur| JWT[ "İmzalı Token" ]
        JWT -->|Doğrula| RBAC[ "Policy Decision Point\n(PDP)" ]
        RBAC -->|İzin/Red| Guard[ "Policy Enforcement Point\n(PEP)" ]
    end

    subgraph Retrieval["RAG Getirme Motoru"]
        Guard -->|Sorgu| VectorDB[ "Vektör Deposu\n(FAISS / Pinecone)" ]
        Guard -->|Meta‑Filtre| MetaDB[ "Meta Veri DB\n(Postgres)" ]
        VectorDB -->|En İyi K Belgeler| Docs[ "İlgili Doküman Parçaları" ]
    end

    subgraph Generation["LLM Üretim Servisi"]
        Docs -->|Bağlam| LLM[ "Büyük Dil Modeli\n(Claude‑3, GPT‑4o)" ]
        LLM -->|Cevap| Draft[ "Taslak Cevap" ]
    end

    subgraph Auditing["Denetim & Versiyonlama"]
        Draft -->|Log| AuditLog[ "Değişmez Log\n(ChronicleDB)" ]
        Draft -->|Depo| Answers[ "Cevap Deposu\n(Encrypted S3)" ]
    end

    UI -->|Anket Gönder| Query[ "Anket İstemi" ]
    Query --> Guard
    Guard --> Retrieval
    Retrieval --> Generation
    Generation --> Auditing
    Auditing -->|Render| UI

Diyagramdan Çıkarılabilecek Temel Noktalar

Identity Provider (IdP), kullanıcıları kimlik doğrular ve rol iddialarını içeren bir JWT sağlar.
Policy Decision Point (PDP), bu iddiaları Halka Açık Politika Oku, İç Kanıt Ekle gibi izin matrisine karşı değerlendirir.
Policy Enforcement Point (PEP), her isteği getirme motoruna yönlendirmeden önce yalnızca yetkili kanıtların döndürülmesini sağlar.
VectorDB, tüm uyum artefaktlarının (politikalar, denetim raporları, test günlükleri) gömme temsillerini saklar. MetaDB, gizlilik seviyesi, son inceleme tarihi ve sorumlular gibi yapılandırılmış nitelikleri tutar.
LLM, seçilmiş doküman parçalarını ve orijinal anket sorusunu alarak kaynakları izlenebilir bir taslak üretir.
AuditLog, her sorgu, kullanıcı ve üretilen cevabı yakalayarak tam adli inceleme imkânı tanır.

3️⃣ Veri Modelleme: Kanıtı Yapılandırılmış Bilgi Olarak Saklamak

Sağlam bir SSAIA, iyi yapılandırılmış bir bilgi tabanına dayanır. İşte önerilen kanıt öğesi şeması:

{
  "id": "evidence-12345",
  "title": "2025 Q2 Çeyrek Penetrasyon Test Raporu",
  "type": "Report",
  "confidentiality": "internal",
  "tags": ["penetration-test", "network", "critical"],
  "owner": "security-team@example.com",
  "created_at": "2025-06-15T08:30:00Z",
  "last_updated": "2025-09-20T12:45:00Z",
  "version": "v2.1",
  "file_uri": "s3://compliance-evidence/pt-q2-2025.pdf",
  "embedding": [0.12, -0.04, ...],
  "metadata": {
    "risk_score": 8,
    "controls_covered": ["A.12.5", "A.13.2"],
    "audit_status": "approved"
  }
}

confidentiality (gizlilik) RBAC filtrelerini yönlendirir – yalnız role: security-engineer sahip kullanıcılar internal kanıtlara erişebilir.
embedding vektör tabanlı semantik aramayı besler.
metadata faceted aramayı mümkün kılar (örnek: “ISO 27001 onaylı, risk ≥ 7 kanıtları göster”).

4️⃣ Retrieval‑Augmented Generation Akışı

Kullanıcı bir anket sorusu gönderir – örnek: “Veri‑dinlenme şifreleme mekanizmalarınızı açıklayın.”
RBAC koruması, kullanıcının rolünü kontrol eder. Eğer bir ürün yöneticisi ise guard, aramayı confidentiality = public ile sınırlar.
Vektör araması, en çok semantik olarak eşleşen 5‑7 parçayı getirir.
Meta veri filtreleri ile sonuçlar daraltılır (örn. sadece audit_status = approved belgeler).

LLM’e verilen istem:

Soru: Veri‑dinlenme şifreleme mekanizmalarınızı açıklayın.
Bağlam:
1. [Politika A – şifreleme algoritması detayları]
2. [Mimari Diyagram – anahtar yönetim akışı]
3. [...]
Kısa, uyum‑hazır bir cevap verin. Kaynakları ID ile belirtin.

Üretim, aşağıdaki gibi satır içi atıflı bir taslak verir: Platformumuz veri‑dinlenme aşamasında AES‑256‑GCM kullanır (Kanıt ID: evidence‑9876). Anahtar rotasyonu her 90 günde bir gerçekleşir (Kanıt ID: evidence‑12345).
İnsan incelemesi (isteğe bağlı) – kullanıcı taslağı düzenleyip onaylar. Tüm düzenlemeler versiyonlanır.
Cevap, şifreli Answer Store’da saklanır ve değişmez bir denetim kaydı yazılır.

5️⃣ Rol‑Tabanlı Erişim İnceliği

Rol	İzinler	Tipik Kullanım Senaryosu
Güvenlik Mühendisi	Tüm kanıtlara okuma/yazma, yanıt üretme, taslakları onaylama	İç kontrollere derinlemesine dalıp penetrasyon‑test raporlarını ekleme
Ürün Yöneticisi	Kamu politikalarını okuma, sadece kamu kanıtlarıyla yanıt üretme	Pazarlama‑uyumlu açıklamaları taslaklamak
Hukuk Danışmanı	Tüm kanıtları okuma, yasal etkileri not etme	Düzenleyici dilin bölgeye uygunluğunu sağlamak
Satış Temsilcisi	Sadece kamu cevapları okuma, yeni taslak isteği	Potansiyel müşterilere hızlı RFP yanıtları vermek
Denetçi	Tüm kanıtları okuma, düzenleme yapamama	Üçüncü‑taraf incelemeleri gerçekleştirmek

İnce taneli izinler, OPA (Open Policy Agent) politikalarıyla ifade edilebilir; bu sayede istek niteliklerine göre (soru etiketi, kanıt risk skoru vb.) dinamik değerlendirme yapılır. Örnek politika (JSON):

{
  "allow": true,
  "input": {
    "role": "product-manager",
    "evidence_confidentiality": "public",
    "question_tags": ["encryption", "privacy"]
  },
  "output": {
    "reason": "Erişim verildi: rol gizlilik seviyesini karşılıyor."
  }
}

6️⃣ Denetlenebilir İz & Uyum Kazanımları

Uygun bir organizasyon, üç denetim sorusuna yanıt vermelidir:

Kim kanıta erişti? – JWT iddiası logları AuditLog içinde yakalanır.
Hangi kanıt kullanıldı? – Cevaba gömülü atıflar (Evidence ID) ve cevap deposunda saklanır.
Ne zaman cevap üretildi? – Değişmez zaman damgaları (ISO 8601) bir write‑once defterde (Amazon QLDB gibi) saklanır.

Bu loglar SOC 2 uyumlu CSV formatında dışa aktarılabilir veya dış uyum panoları ile bütünleştirilmek üzere bir GraphQL API üzerinden tüketilebilir.

7️⃣ Uygulama Yol Haritası

Aşama	Kilometre Taşları	Tahmini Süre
1. Temeller	IdP (Okta) kurulum, RBAC matris tanımlama, VectorDB & Postgres altyapısı	2 hafta
2. Bilgi Tabanı Aktarımı	PDF, markdown, spreadsheet’leri ayrıştırıp gömme + meta veri oluşturma ETL boru hattı	3 hafta
3. RAG Servisi	LLM (Claude‑3) özel uç noktasına yerleştirme, istem şablonları geliştirme	2 hafta
4. UI & Entegrasyon	Web UI, Slack bot ve Jira/ServiceNow gibi mevcut bilet sistemleriyle API bağları	4 hafta
5. Denetim & Raporlama	Değişmez denetim logu, versiyonlama ve dışa aktarma bağlayıcılarının devreye alınması	2 hafta
6. Pilot & Geri Bildirim	Güvenlik ekibiyle deneme, KPI (dönüş süresi, hata oranı) toplama	4 hafta
7. Organizasyon‑Geneli Yayılım	RBAC rolleri genişletme, satış & ürün ekiplerini eğitme, dokümantasyon yayınlama	Sürekli

İzlenecek kilit performans göstergeleri (KPI):

Ortalama cevap dönüş süresi – hedef < 5 dakika.
Kanıt yeniden kullanım oranı – yanıtların %80’i mevcut kanıtlara atıfta bulunmalı.
Uyum olay sayısı – anket hatalarına ilişkin denetim bulguları (hedef 0).

8️⃣ Gerçek Dünya Örneği: Günlerden Dakikalara Dönüş

Şirket X, ISO 27001 denetim anketlerine yanıt vermede ortalama 30 gün bekliyordu. SSAIA’yı devreye aldıktan sonra:

Ölçüt	Önce SSAIA	Sonra SSAIA
Ortalama yanıt süresi	72 saat	4 dakika
Manuel kopyala‑yapıştır hatası	12 adet/ay	0
Kanıt sürüm uyumsuzluğu	8 olay	0
Denetçi memnuniyet puanı	3.2 / 5	4.8 / 5

Yıllık 350 bin $ iş gücü tasarrufu ve daha hızlı anlaşma kapanışları sayesinde yatırım getirisi sağlandı.

9️⃣ Güvenlik Hususları & Katılaştırma

Zero‑Trust Ağ – Tüm hizmetler özel VPC içinde, Mutual TLS zorunlu.
Dinlenmede Şifreleme – S3 bucket’ları için SSE‑KMS, PostgreSQL için sütun‑düzeyi şifreleme.
İstem Enjeksiyonunu Önleme – Kullanıcı metnini temizle, token uzunluğunu sınırla, sabit sistem istemleri ekle.
Hız Sınırlandırma – LLM uç noktasına API gateway üzerinden istek hızı kontrolü.
Sürekli İzleme – CloudTrail logları, kimlik doğrulama kalıplarında anomali tespiti.

🔟 Gelecek Geliştirmeler

Federated Learning – Şirket içi jargon üzerine dış sağlayıcılarla veri paylaşmadan yerel ince ayar.
Differential Privacy – Hassas kanıtlara giden gömmelere gürültü ekleyerek gizliliği korurken geri getirme kalitesini tutmak.
Çok Dilli RAG – Kanıtları otomatik çevirerek global ekipler için aynı kaynakları koruyup atıfları tutmak.
Explainable AI – Her cevap token’ının hangi kaynak parçalarına dayandığını gösteren bir köken grafiği oluşturarak denetçileri desteklemek.

📚 Çıkarımlar

Güvenli, denetlenebilir otomasyon, RAG’ın bağlam gücünü RBAC’ın katı erişim kontrolüyle birleştirerek elde edilir.
İyi yapılandırılmış bir kanıt deposu, gömme, meta veri ve versiyonlamayı kapsamalıdır.
İnsan gözetimi hâlâ kritik; asistan öneri sunar, karar verilmez.
Ölçüm‑odaklı dağıtım, sistemin ölçülebilir ROI ve uyum güveni sağlamasını garantiler.

Bir Kendinden Hizmet AI Uyum Asistanına yatırım yaparak, SaaS şirketleri tarihsel olarak emek yoğun bir darboğazı stratejik bir avantaj haline çevirebilir—daha hızlı, daha doğru anket yanıtları sunarken en yüksek güvenlik standartlarını korur.