Əksər təşkilatda 'uyumluluq' bir Word sənədində yaşayır: kimin nəyə girişi var, hansı veri çölə çıxmamalı, hansı sorğu loglanmalı — hamısı yazılı, amma tətbiqi insana buraxılmışdır. Bank auditlərində ən tez-tez kırılma nöqtəsi məhz buradır — yazılı siyasət ilə işləyən sistem arasındakı boşluq. CentraQL bu boşluğu bağlamaq üçün uyumluluğu bir profil kimi runtime-a gömür.
ComplianceProfile nədir?
ComplianceProfile bir qurulumun bütün uyumluluq davranışını vahid konfiqurasiya obyektində toplayır. 'Default' və 'RegulatedFinance' kimi profillər gəlir; hər profil bu parametrləri daşıyır:
- Hansı LLM çağırışlarına icazə var (on-prem məcburidir?).
- PII maskalama səviyyəsi (FİN, IBAN, telefon).
- Sorğu səthi məhdudiyyətləri (allowFreeText, joinDepthMax, rangeOf).
- Audit retention müddəti (məs. 365 gün).
- Egress (xarici çağırış) siyasəti.
Profili dəyişmək bir sətirdir; nəticə bütün pipeline-da dərhal qüvvəyə minir.
EgressGuard: çölə çıxan hər byte-ın qapısı
EgressGuard sistemdən çölə gedən bütün şəbəkə çağırışlarını yoxlayan qapıdır. RegulatedFinance profilində davranışı aydındır: cloud LLM-ə, xarici API-yə və ya təsdiqlənməmiş endpoint-ə gedən sorğu request sərhədində bloklanır. Developer səhvən cloud çağırışı qoysa belə, profil 'RegulatedFinance' olduqda o çağırış işləmir; bloklanma audit-ə yazılır.
Bu, 'müştəri verisi səhvən sızmasın' zəmanətini yaxşı niyyətə deyil, koda bağlayır.
PromptAuditLog ilə birləşməsi
Uyumluluğun sübut edilə bilməsi üçün hər sorğunun izi lazımdır. CentraQL Copilot pipeline-ı artıq hər mərhələni PromptAuditLog-a yazır: sorğu hash, istifadəçi, istifadə olunan model, dönən sətir, maskalanan sütunlar. ComplianceProfile bunun retention və detal səviyyəsini təyin edir. RegulatedFinance-də qeyd 365 gün saxlanır və dəyişdirilə bilməz (append-only).
BDDK auditində 'oktyabrda bu CRO bu sorğunu verdi, sistem bu modeli istifadə etdi, bu sütunları maskaladı, cavabı bu SQL ilə istehsal etdi' cümləsi sübutla təqdim edilə bilər.
EU AI Act və KVKK kəsişməsi
2026-da qüvvəyə minən EU AI Act, kredit skorlaması kimi yüksək-risk AI istifadələri üçün audit, izah edilə bilənlik və insan nəzarəti tələb edir. KVKK-nın mart 2026 rəhbərliyi, şəxsi verinin LLM təminatçısına göndərilməsində açıq razılıq şərtini dəqiqləşdirdi. ComplianceProfile bu iki çərçivəni vahid konfiqurasiyaya çevirir:
- Yüksək-risk işarəli sorğular insan təsdiqi növbəsinə düşür.
- PII daşıyan heç bir veri profil icazə vermədən çölə çıxa bilməz.
- Hər qərar izah (narrative + feature) ilə loglanır.
Niyə 'runtime' fərqi vacibdir?
Siyasət sənədi statikdir; sistem dinamikdir. Developer yeni inteqrasiya əlavə etdikdə sənəd dəyişmir amma davranış dəyişir. Uyumluluq runtime-a gömülürsə, yeni kod da eyni profilə tabedir — yəni uyumluluq 'sonradan yoxlanan' deyil, 'əvvəldən zorlanan' xüsusiyyətdir. Audit siyasət ilə reallıq arasındakı boşluğu deyil, vahid runtime həqiqətini görür.
Qurulma sırası
- Profili seçin: əksər bank üçün RegulatedFinance.
- ColumnPolicy ilə PII sütunlarını işarələyin (FİN, IBAN, telefon, e-poçt).
- EgressGuard allowlist-ini təyin edin (adətən boş — heç bir xarici çağırış yox).
- Audit retention və append-only saxlama sahəsini ayarlayın.
- Yüksək-risk sorğu tiplərini insan-təsdiqi növbəsinə bağlayın.
Yekun
Uyumluluq kağızda deyil, runtime-da yaşadıqda mənalıdır. CentraQL-in ComplianceProfile + EgressGuard + PromptAuditLog üçlüsü tənzimləməni insan intizamına buraxmaq əvəzinə sistemə gömür. Nəticə: yazılı siyasət ilə işləyən sistem arasında boşluq qalmır; audit bir sənəd deyil, dəyişdirilə bilməyən runtime qeydi görür.
