Yasal Uyumluluk

Uyumluluk & Güvenlik

Denetçiler için tasarlandı, onlara karşı değil. Her mimari karar yasal uyumluluk göz önünde bulundurularak alındı — sonradan uyarlanmadı.

Uyumluluk Yaklaşımı

Tasarımla Uyumluluk — Kontrol Listesiyle Değil

AIMOS, veri koruma ve güvenlik gereksinimlerini sonradan uyarlama yoluyla değil, mimari kararlarla karşılar. Üç tasarım ilkesi tüm sistemi kapsar:

Veriler yerel kalır

Tüm işlemler sunucunuzda gerçekleşir. Siz açıkça izin vermedikçe hiçbir byte ağınızı terk etmez.

İnsan karar verir

Asistan hazırlar, insan onaylar. Otomatik gönderim yok, otomatik kayıt yok.

Her şey kayıt altında

Kesintisiz denetim izi: Kim ne zaman ne sorguladı, hangi araç kullanıldı, hangi yanıt verildi.

AB Veri Koruma

DSGVO / GDPR / KVKK

AIMOS, DSGVO ve KVKK uyumluluğunu sonradan uyarlama ile değil, mimari kararlarla sağlar — Tasarımla Gizlilik.

Md. 25 — Teknik Tasarımla Veri Koruma

  • Veri işleme varsayılan olarak yerel (SovereignNode)
  • PII-Vault (Personally Identifiable Information — kişisel verilerin korunması) her harici iletimden önce anonimleştirir
  • Standart yapılandırmada bulut hizmeti yok
  • Veri minimizasyonu: LLM promptunda yalnızca ilgili bağlam verileri

Md. 32 — İşleme Güvenliği

  • Şifreleme: PostgreSQL SSL, SQLite disk üzerinde
  • Yürütme Halkaları ile erişim kontrolu (3 seviye)
  • Tüm işleme süreçlerinin kesintisiz denetim izi
  • Oturuma bağlı PII eşlemeleri (kalıcı PII deposu yok)

AB YZ Yasası

AB Yapay Zeka Yönetmeliği

Risk sınıflandırması · Şeffaflık · İnsani denetim · Belgelendirme

Ağustos 2026'dan itibaren yürürlükte

AB Düzenlemesi

AB YZ Yasası (YZ Yönetmeliği)

AB YZ Yönetmeliği (AB) 2024/1689 kademeli olarak yürürlüğe girmekte olup YZ sistemleri kullanan her işletmeyi etkilemektedir. AIMOS, mimari olarak uyumluluk için tasarlanmıştır — sonradan uyarlanmamıştır.

Risk sınıflandırması: Sınırlı risk

AIMOS asistanları insani denetimli (Human-in-the-Loop) YZ sistemleridir. Kişiler hakkında otonom kararlar yok, biyometrik gözetim yok, sosyal puanlama fonksiyonu yok. Bu nedenle “sınırlı risk” kategorisine girer — “yüksek risk” değil.

Şeffaflık yükümlülüğü: Karşılandı

Md. 50: Kullanıcılar bir YZ ile etkileşimde olduklarını bilmelidir. Her AIMOS asistanı sistem promptunda kendisini YZ asistanı olarak tanıtır. Tüm eylemler denetim izinde takip edilebilir.

İnsani denetim: Mimari olarak zorunlu kılınmış

Md. 14: Yürütme Halkaları, hiçbir asistanın bağımsız olarak kritik eylemler gerçekleştirmemesini sağlar. Kayıtlar, e-postalar ve siparişler taslak olarak sunulur — insan karar verir.

Teknik belgelendirme: Eksiksiz

Md. 11: Sistem mimarisi, veri akışları, model açıklaması, performans göstergeleri ve risk değerlendirmesi belgelenmiş ve erişilebilir durumdadır. MIT lisansı: tam kaynak kodu erişimi.

Kayıt tutma: Kesintisiz

Md. 12: Her asistan eylemi kayıt altına alınır — araç çağrıları, LLM sorguları, token tüketimi, karar zincirleri. Oturum kimlikleri ve zaman damgalarıyla denetim açısından güvenli denetim izleri.

Veri egemenliği: Tam

Md. 10: Eğitim verileri ve işleme verileri SovereignNode'u terk etmez. PII-Vault harici API çağrılarını otomatik olarak anonimleştirir. Bulut bağımlılığı yok.

Yerel YZ'nin avantajı

Bulut YZ hizmetleri “Genel Amaçlı YZ” (GPAI) olarak daha katı gerekliliklere tabidir. AIMOS yerel olarak çalıştırılan açık kaynak modeli kullanır — GPAI yükümlülükleri model sağlayıcısını (Alibaba/Qwen) etkiler, işletmecisini değil.

Standart Uyumluluğu

ISO & GoBD

ISO 9001 & 27001 · GoBD

Standart Uyumluluğu

ISO 9001 & 27001

AIMOS, her iki standardın gereksinimlerini yerleşik mekanizmalarla destekler.

ISO 9001 — Kalite Yönetimi

  • İzlenebilirlik: Her karar denetim kaydında
  • Geriye dönük izleme: Oturum kimlikleri tüm olayları birbirine bağlar
  • Belgelenmiş süreçler: Sistem promptları SOP olarak
  • Düzeltici önlemler: Dreaming döngüsü hatalardan öğrenir

ISO 27001 — Bilgi Güvenliği

  • Sınıflandırma: Yürütme Halkaları erişim seviyelerini tanımlar
  • Erişim kontrolü: Asistan başına araç etkinleştirmesi yapılandırılabilir
  • Olay kayıtları: Tüm 6 olay türü yakalanır
  • Fiziksel güvenlik: Veriler SovereignNode'u terk etmez

Muhasebe

GoBD Uyumluluğu

GoBD (Elektronik ortamda defter, kayıt ve belgelerin usulüne uygun tutulması ve saklanmasına ilişkin ilkeler), YZ destekli sistemler için özel gereksinimler öngörmektedir.

AIMOS bunu katı bir mimari ayrımla çözer:

Ayrım: Taslak ve Kesinleştirme

Asistanlar muhasebe kayıtlarını hazırlar (taslak). Kesinleştirme yalnızca hedef sistemdeki (ETA V8, DATEV vb.) yetkili muhasebeciler tarafından yapılır. Hiçbir LLM'nin işlem yetkisi yoktur.

Human-in-the-Loop

Halka 2 eylemleri (yazma erişimi) açık onay gerektirir. Muhasebe ile ilgili işlemler her zaman insani onay gerektirir — politika ile değil, mimari olarak zorunlu kılınmıştır.

Finans Asistanı Muhasebe taslağı oluşturur TASLAK Muhasebe kaydı (kesinleştirilmemiş) İNSANİ KONTROL Muhasebeci kontrol eder ve onaylar KESİNLEŞTİRME Hedef sistemde (ETA, DATEV vb.)

Teknikle Veri Koruma

AIMOS bunu teknik olarak nasıl uyguluyor

PII-Vault · Denetim İzi · Yürütme Halkaları · Token İzleme

Veri Egemenliği

Veri Yerelliği

Tüm veriler SovereignNode'unuzda kalır. Siz açıkça izin vermedikçe hiçbir byte ağınızı terk etmez.

SovereignNode (Sunucunuz) Kullanıcı Kanalları Asistan Süreçleri PostgreSQL + SQLite LLM (yerel Runtime) PII-Vault Anonimleştirme Anonimliği Kaldırma Harici (isteğe bağlı) Bulut LLM API Web Arama API anonimleştirilmiş Dahili (güvenli) PII-Vault üzerinden (anonim) Harici (yalnızca anonim veri)

Veri Koruma Motoru

PII-Vault

Her harici API çağrısından önce kişisel verilerin otomatik anonimleştirilmesi.

Kullanıcı "Ahmet Yılmaz" "3000 EUR ödedi" Asistan İşleme PII-Vault Anonimleştir "[PER_1]" "[AMT_1] ödedi" Harici API Bulut LLM PII-Vault Anonimliği Kaldır "Ahmet Yılmaz" "3000 EUR ödedi" Kullanıcı Tam Yanıt Eşleme (oturuma bağlı) [PER_1] = "Ahmet Yılmaz" [AMT_1] = "3000 EUR"
Oturum

Eşlemeler oturuma bağlıdır ve kalıcı olarak saklanmaz

Regex + NER

Regex kalıpları ve Adlandırılmış Varlık Tanıma ile algılama

Denetim

Her anonimleştirme denetim kaydında belgelenir

Kayıt Tutma

Denetim İzi

Her asistan eylemi kesintisiz olarak kayıt altına alınır. Denetim izi altı olay türünü yakalar:

SYSTEM_PROMPT İzlenebilirlik için tam sistem promptu
REQUEST Gelen kullanıcı talebi
RESPONSE Asistanın tam yanıtı
TOOL_START Parametrelerle araç çağrısı
TOOL_OK Araç sonucu (başarı veya hata)
LLM_USAGE Token tüketimi, model, gecikme
// Örnek: Denetim kaydı girişi
{
  "id": 42847,
  "timestamp": "2026-03-22T14:32:17.445Z",
  "session_id": "ses_7f3a2b91",
  "agent": "lojistik",
  "event_type": "TOOL_START",
  "tool": "sql_query",
  "ring": 1,
  "params": {
    "connector": "uyumsoft_db",
    "query": "SELECT item, qty FROM stock WHERE qty < 10"
  },
  "user_id": "tg_12345",
  "pii_anonymized": false
}
// İlgili LLM_USAGE girişi
{
  "event_type": "LLM_USAGE",
  "session_id": "ses_7f3a2b91",
  "model": "qwen3.5:27b",
  "prompt_tokens": 2847,
  "completion_tokens": 312,
  "total_tokens": 3159,
  "latency_ms": 4280,
  "cognitive_balance": 3
}

Erişim Kontrolü

Yürütme Halkaları — Güven Seviyeleri

Yürütme Halkaları yetkisiz eylemleri nasıl önler.

Örnek: Asistan (Halka 1) file_write (Halka 2) denemeye çalışıyor Lojistik Asistanı Halka 1 (Standart) file_write() Halka Dağıtıcısı Halka kontrolü: 1 < 2 ENGELLENDİ "file_write aracı Halka 2 gerektirir" Denetim Kaydı Girişi TOOL_BLOCKED | agent=lojistik | tool=file_write | required=2 | actual=1

Kaynak İzleme

Token İzleme

Her LLM çağrısı kesin token tüketimi, model adı ve gecikme ile belgelenir.

Prompt + Completion

Her sorgu için prompt_tokens ve completion_tokens olarak kesin döküm.

Gecikme Ölçümü

Her LLM sorgusu latency_ms ile birlikte model adı ve oturum bağlamı dahil kaydedilir.

Cognitive Balance

Oturum başına kalan LLM çağrı sayısı cognitive_balance olarak takip edilir.

Kanıtlanabilirlik

Revizyon Güvenliği

Her YZ destekli kararın kesintisiz izlenebilirliği.

Token İzleme

Her LLM çağrısı kesin token tüketimi (Prompt + Completion), model adı ve gecikme ile belgelenir.

Tam İz

Kullanıcı talebinden araç çağrılarına ve yanıta kadar — her adım zaman damgası ve oturum kimliğiyle izlenebilir.

PII-Vault İzleri

Oturuma bağlı anonimleştirme eşlemeleri. Hangi verilerin ne zaman anonimleştirildiği ve anonimliğinin kaldırıldığı izlenebilir.

Kaynak Kodu İncelemesi

MIT lisansı: Denetçiler her satır kodu inceleyebilir. Kara kutu yok, tüzel mantık yok.

Kanıtlanabilir Denetim Kayıtları · PII-Vault İzleri · Oturum Kimlikleri · Token İzleme · Kaynak Kodu İncelemesi