CentraQL

CentraQL ComplianceProfile: Regülasyonu Runtime'a Taşımak

Uyum bir politika dokümanı değil, çalışma zamanında zorlanan bir koddur. CentraQL'ın ComplianceProfile ve EgressGuard yapısı regülasyonu nasıl runtime'a çeker?

BIART Ekibi3 dk okuma7 görüntüleme
CentraQL ComplianceProfile ve EgressGuard görseli

Çoğu kurumda 'uyum' bir Word dokümanında yaşar: kimin neye erişebileceği, hangi verinin dışarı çıkmayacağı, hangi sorgunun loglanacağı yazılıdır ama uygulanması insana bırakılmıştır. Banka denetimlerinde en sık kırılma noktası tam buradadır — yazılı politika ile çalışan sistem arasındaki boşluk. CentraQL bu boşluğu kapatmak için uyumu bir profil olarak runtime'a gömer.

ComplianceProfile nedir?

ComplianceProfile, bir kurulumun tüm uyum davranışını tek bir konfigürasyon nesnesinde toplayan yapıdır. 'Default' ve 'RegulatedFinance' gibi profiller gelir; her profil şu parametreleri taşır:

  • Hangi LLM çağrılarına izin var (on-prem zorunlu mu?).
  • PII maskeleme seviyesi (TC kimlik, IBAN, telefon).
  • Sorgu yüzeyi kısıtları (allowFreeText, joinDepthMax, rangeOf).
  • Audit retention süresi (örn. 365 gün).
  • Egress (dış çağrı) politikası.

Profil değiştirmek tek satırdır; sonuç tüm pipeline'da anında geçerli olur.

EgressGuard: dışarı çıkan her byte'ın kapısı

EgressGuard, sistemden dışarı giden tüm ağ çağrılarını denetleyen bir kapıdır. RegulatedFinance profilinde davranışı nettir: cloud LLM'e, harici API'ye veya onaylanmamış bir endpoint'e giden istek request sınırında bloklanır. Geliştirici yanlışlıkla bir cloud çağrısı koysa bile, profil 'RegulatedFinance' olduğunda o çağrı çalışmaz; engellenme audit'e yazılır.

Bu, 'müşteri verisi yanlışlıkla dışarı sızmasın' garantisini iyi niyete değil, koda bağlar.

PromptAuditLog ile birleşimi

Uyumun kanıtlanabilir olması için her sorgunun izi gerekir. CentraQL'ın Copilot pipeline'ı zaten her aşamayı PromptAuditLog'a yazar: sorgu hash, kullanıcı, kullanılan model, dönen satır, maskelenen kolonlar. ComplianceProfile bunun retention ve detay seviyesini belirler. RegulatedFinance'te kayıt 365 gün saklanır ve değiştirilemez (append-only).

BDDK denetiminde 'Ekim ayında bu CRO bu sorguyu sordu, sistem şu modeli kullandı, şu kolonları maskeledi, cevabı şu SQL üretti' cümlesi kanıtla sunulabilir.

EU AI Act ve KVKK kesişimi

2026'da yürürlüğe giren EU AI Act, kredi skorlama gibi yüksek-risk AI kullanımları için audit, açıklanabilirlik ve insan denetimi zorunlu kılar. KVKK'nın Mart 2026 rehberi, kişisel verinin LLM sağlayıcısına gönderilmesinde açık rıza şartını netleştirdi. ComplianceProfile bu iki çerçeveyi tek konfigürasyona çevirir:

  • Yüksek-risk işaretli sorgular insan onayı kuyruğuna düşer.
  • PII içeren hiçbir veri profil izin vermeden dışarı çıkamaz.
  • Her karar açıklama (narrative + feature) ile loglanır.

Neden 'runtime' farkı önemli?

Politika dokümanı statiktir; sistem dinamiktir. Bir geliştirici yeni bir entegrasyon eklediğinde doküman değişmez ama davranış değişir. Uyum runtime'a gömülürse, yeni kod da aynı profile tabidir — yani uyum 'sonradan kontrol edilen' değil, 'baştan zorlanan' bir özelliktir. Denetim, politika ile gerçeklik arasındaki boşluğu değil, tek bir runtime gerçeğini görür.

Kurulum sırası

  1. Profili seçin: çoğu banka için RegulatedFinance.
  2. ColumnPolicy ile PII kolonlarını işaretleyin (TC kimlik, IBAN, telefon, e-posta).
  3. EgressGuard allowlist'ini tanımlayın (genelde boş — hiçbir dış çağrı yok).
  4. Audit retention ve append-only saklama alanını ayarlayın.
  5. Yüksek-risk sorgu tiplerini insan-onayı kuyruğuna bağlayın.

Sonuç

Uyum, kâğıtta değil çalışma zamanında yaşadığında anlamlıdır. CentraQL'ın ComplianceProfile + EgressGuard + PromptAuditLog üçlüsü, regülasyonu insan disiplinine bırakmak yerine sisteme gömer. Sonuç: yazılı politika ile çalışan sistem arasında boşluk kalmaz; denetim bir doküman değil, değiştirilemez bir runtime kaydı görür.

KVKK / GDPRVeri YönetişimiUyumLLM
Paylaş

İlgili yazılar