Düzenleyici Uyumluluk

Uyumluluk ve Güvenlik

Denetçiler için inşa edildi, onlara karşı değil. Her mimari karar düzenleyici uyumluluk açısından alındı — sonradan uyarlanmadı.

Teknik ile Veri Koruma

Teknik Uygulama

PII-Vault · Denetim İzi · Execution Rings · Token Takibi

Veri Egemenliği

Veri Yerellik

Tüm veriler SovereignNode'unuzda kalır. Ağınızdan tek bir bayt bile çıkmaz — açıkça izin vermediğiniz sürece.

SovereignNode (Sunucunuz) Kullanıcı Kanalları Ajan Süreçleri PostgreSQL + SQLite LLM (yerel Runtime) PII-Vault Anonimleştirme Anonimliği Kaldırma Harici (isteğe bağlı) Bulut-LLM API Web Arama API anonimleştirilmiş Dahili (güvenli) PII-Vault üzerinden (anonimleştirilmiş) Harici (yalnızca anonimleştirilmiş veriler)

Veri Koruma Motoru

PII-Vault

Her harici API çağrısından önce kişisel verilerin otomatik anonimleştirilmesi.

Kullanıcı "Max Müller hat" "3000 EUR bezahlt" Ajan İşleme PII-Vault Anonimleştir "[PER_1] hat" "[AMT_1] bezahlt" Harici API Bulut-LLM PII-Vault Anonimliği Kaldır "Max Müller hat" "3000 EUR bezahlt" Kullanıcı Tam Yanıt Eşleştirme (oturum bağlı) [PER_1] = "Max Müller" [AMT_1] = "3000 EUR"
Oturum

Eşleştirmeler oturuma bağlıdır ve kalıcı olarak saklanmaz

Regex + NER

Regex kalıpları ve Ad Varlık Tanıma ile algılama

Denetim

Her anonimleştirme denetim kaydında belgelenir

Kayıt Tutma

Denetim İzi

Her ajan eylemi eksiksiz olarak kayıt altına alınır. Denetim izi altı olay türünü kapsar:

SYSTEM_PROMPT Tamr System-Prompt für Nachvollziehbarkeit
REQUEST Gelen kullanıcı isteği
RESPONSE Tam ajan yanıtı
TOOL_START Parametrelerle araç çağrısı
TOOL_OK Araç sonucu (başarı veya hata)
LLM_USAGE Token tüketimi, model, gecikme
// Örnek: Denetim Kaydı Girdisi
{
  "id": 42847,
  "timestamp": "2026-03-22T14:32:17.445Z",
  "session_id": "ses_7f3a2b91",
  "agent": "logistik",
  "event_type": "TOOL_START",
  "tool": "sql_query",
  "ring": 1,
  "params": {
    "connector": "uyumsoft_db",
    "query": "SELECT item, qty FROM stock WHERE qty < 10"
  },
  "user_id": "tg_12345",
  "pii_anonymized": false
}
// İlgili LLM_USAGE Girdisi
{
  "event_type": "LLM_USAGE",
  "session_id": "ses_7f3a2b91",
  "model": "qwen3.5:27b",
  "prompt_tokens": 2847,
  "completion_tokens": 312,
  "total_tokens": 3159,
  "latency_ms": 4280,
  "cognitive_balance": 3
}

Erişim Kontrolü

Execution Rings — Güven Seviyeleri

Execution Rings yetkisiz eylemleri nasıl önler.

Örnek: Ajan (Ring 1) file_write (Ring 2) deniyor Logistik-Agent Ring 1 (Standart) file_write() Ring-Dispatcher Ring Kontrolü: 1 < 2 ENGELLENDİ "file_write aracı Ring 2 gerektirir" Denetim Kaydı Girdisi TOOL_BLOCKED | agent=logistik | tool=file_write | required=2 | actual=1

Kaynak İzleme

Token Takibi

Her LLM çağrısı tam token tüketimi, model adı ve gecikme ile belgelenir.

Prompt + Completion

İstek başına prompt_tokens ve completion_tokens olarak tam döküm.

Gecikme Ölçümü

Her LLM isteği, model adı ve oturum bağlamı dahil latency_ms ile kaydedilir.

Cognitive Balance

Oturum başına kalan LLM çağrıları cognitive_balance olarak takip edilir.

Düzenleyici Uyumluluk

Normen

DSGVO / GDPR · ISO 9001 & 27001 · GoBD

AB Veri Koruma

KVKK / GDPR

AIMOS erfüllt die DSGVO nicht durch nachträgliche Anpassung, sondern durch architektonische Entscheidungen — Privacy by Design.

Madde 25 — Teknik Tasarım ile Veri Koruma

  • Veri işleme varsayılan olarak yerel (SovereignNode)
  • PII-Vault her harici iletimden önce anonimleştirir
  • Standart yapılandırmada bulut hizmeti yok
  • Veri minimizasyonu: LLM prompt'unda yalnızca ilgili bağlam verileri

Madde 32 — İşleme Güvenliği

  • Şifreleme: PostgreSQL SSL, SQLite disk üzerinde
  • Execution Rings ile erişim kontrolü (3 seviye)
  • Tüm işleme süreçlerinin eksiksiz denetim izi
  • Oturuma bağlı PII eşleştirmeleri (kalıcı PII deposu yok)

Norm Uyumluluğu

ISO 9001 & 27001

AIMOS, her iki standardın gereksinimlerini yerleşik mekanizmalarla destekler.

ISO 9001 — Kalite Yönetimi

  • Takip edilebilirlik: Her karar denetim kaydında
  • Geri izlenebilirlik: Oturum kimlikleri tüm olayları bağlar
  • Belgelenmiş süreçler: SOP olarak sistem prompt'ları
  • Düzeltici önlemler: Dreaming döngüsü hatalardan öğrenir

ISO 27001 — Bilgi Güvenliği

  • Sınıflandırma: Execution Rings erişim seviyelerini tanımlar
  • Erişim kontrolü: Ajan başına araç etkinleştirme yapılandırılabilir
  • Olay kaydı: Tüm 6 olay türü kaydedilir
  • Fiziksel güvenlik: Veriler SovereignNode'u terk etmez

Muhasebe

GoBD Uyumluluğu

GoBD (elektronik formda defterlerin, kayıtların ve belgelerin düzgün tutulması ve saklanmasına ilişkin ilkeler) YZ destekli sistemlere özel gereksinimler koyar.

AIMOS bunu katı mimari ayrım ile çözer:

Ayrım: Taslak vs. Kesinleştirme

Ajanlar kayıt girdilerini hazırlar (taslak). Kesinleştirme yalnızca hedef sistemdeki yetkili muhasebeciler tarafından yapılır (ETA V8, DATEV, vb.). Hiçbir LLM'in işlem yetkisi yoktur.

Human-in-the-Loop

Ring 2 eylemleri (yazma erişimi) açık etkinleştirme gerektirir. Muhasebe ile ilgili işlemler her zaman insan onayı gerektirir — politika ile değil, mimari olarak zorlanmıştır.

Finans Ajanı Kayıt taslağı oluşturur TASLAK Kayıt girdisi (kesinleştirilmemiş) İNSAN DENETİMİ Muhasebeci kontrol eder ve onaylar KESİNLEŞTIRME Hedef sistemde (ETA, DATEV, vb.)

AB YZ Yasası

AB YZ Yönetmeliği

Risk Sınıflandırması · Şeffaflık · İnsan Denetimi · Dokümantasyon

Ağustos 2026'dan itibaren yürürlükte

AB Düzenlemesi

AB YZ Yasası (YZ Yönetmeliği)

AB YZ Yönetmeliği (AB) 2024/1689 aşamalı olarak yürürlüğe girmektedir ve YZ sistemleri kullanan her işletmeyi etkilemektedir. AIMOS mimari olarak uyumluluk için tasarlanmıştır — sonradan uyarlanmamıştır.

Risk Sınıflandırması: Sınırlı Risk

AIMOS ajanları, insan denetimli (İnsan Denetimi) yardımcı sistemlerdir. Kişiler hakkında otonom kararlar yok, biyometrik gözetim yok, sosyal puanlama işlevleri yok. Bu nedenle „sınırlı risk” kategorisine girerler — „yüksek riskli” değil.

Şeffaflık Yükümlülüğü: Karşılandı

Madde 50: Kullanıcılar bir YZ ile etkileştiklerini bilmelidir. Her AIMOS ajanı sistem prompt'unda kendisini YZ asistanı olarak tanımlar. Tüm eylemler denetim izinde takip edilebilir.

İnsan Denetimi: Mimari olarak zorlanmış

Madde 14: Execution Rings, hiçbir ajanın kendi başına kritik eylemler gerçekleştirmemesini sağlar. Kayıtlar, e-postalar ve siparişler taslak olarak sunulur — insan karar verir.

Teknik Dokümantasyon: Eksiksiz

Madde 11: Sistem mimarisi, veri akışları, model tanımı, performans göstergeleri ve risk değerlendirmesi belgelenmiş ve görülebilirdir. MIT Lisansı: tam kaynak kodu erişimi.

Kayıt Tutma: Eksiksiz

Madde 12: Her ajan eylemi kaydedilir — araç çağrıları, LLM istekleri, token tüketimi, karar zincirleri. Oturum kimlikleri ve zaman damgaları ile denetim güvenli denetim izleri.

Veri Egemenliği: Eksiksiz

Madde 10: Eğitim verileri ve işleme verileri SovereignNode'u terk etmez. PII-Vault harici API çağrılarını otomatik olarak anonimleştirir. Bulut bağımlılığı yok.

Yerel YZ'nin Avantajı

Bulut YZ hizmetleri „Genel Amaçlı YZ” (GPAI) olarak daha sıkı koşulları karşılamak zorundadır. AIMOS yerel olarak işletilen bir açık kaynak modeli kullanır — GPAI yükümlülükleri model sağlayıcısını (Alibaba/Qwen) etkiler, işletmeciyi değil.

Kanıtlanabilirlik

Denetim Güvenliği

Her YZ destekli kararın eksiksiz takip edilebilirliği.

Token Takibi

Her LLM çağrısı tam token tüketimi (Prompt + Completion), model adı ve gecikme ile belgelenir.

Tamr Trail

Kullanıcı isteğinden araç çağrıları üzerinden yanıta kadar — her adım zaman damgası ve oturum kimliği ile takip edilebilir.

PII-Vault İzleri

Oturuma bağlı anonimleştirme eşleştirmeleri. Hangi verilerin ne zaman anonimleştirildiği ve anonimliğinin kaldırıldığı takip edilebilir.

Kaynak Kodu İncelemesi

MIT Lisansı: Denetçiler her satır kodu inceleyebilir. Kara kutu yok, tescilli mantık yok.

Kanıtlanabilir Denetim Kayıtları · PII-Vault İzleri · Oturum Kimlikleri · Token Takibi · Kaynak Kodu İncelemesi