
# AI Destekli Gerçek Zamanlı Uyumluluk SSS Asistanı SaaS Güven Sayfaları İçin

Şirketler, bir sözleşme imzalamadan önce **şeffaf, anında doğrulanabilir uyumluluk bilgileri** talep etmeye giderek daha çok ihtiyaç duyuyor. Geleneksel güven sayfaları—statik PDF’ler, PDF’ler veya uzun HTML sayfaları—denetçiler için iyidir fakat belirli bir soruya hızlı yanıt arayan alıcılar için sinir bozucudur.  

**AI‑destekli gerçek zamanlı bir SSS asistanı** bu boşluğu doldurur. Uyumluluk politikalarınızı, güvenlik anketlerinizi ve denetim belgelerinizi işleyerek asistan, herhangi bir uyumluluk‑ile ilgili soruya anında yanıt verebilir ve yanıtın orijinal kaynak belgeye izlenebilir olduğunu garanti eder.

Bu makalede şunları yapacağız:

1. **Problemi tanımlayacağız** ve gerçek zamanlı bir SSS’nin stratejik avantajını açıklayacağız.  
2. **Referans mimarisini çizeceğiz**; Retrieval‑Augmented Generation (RAG), uyumluluk‑odaklı bir bilgi grafiği ve güvenli bir API katmanını birleştiren.  
3. **Veri alımı, indeksleme ve politika‑kod‑olarak‑depolanmış depolarla sürekli senkronizasyon** süreçlerini adım adım göstereceğiz.  
4. **Kaynak doğruluğu, gizlilik ve denetlenebilirliği** değişmez loglar ve sıfır‑bilgi kanıtlarıyla nasıl sağlayacağımızı anlatacağız.  
5. **SaaS güven sayfasına asistanı yerleştirmek** için UI/UX yönergeleri sunacağız.  
6. **Operasyonel en iyi uygulamaları** ve izleme konularını tartışacağız.  

Sonunda, desteklediğiniz düzenleyici çerçeveler ne olursa olsun ([SOC 2](https://secureframe.com/hub/soc-2/what-is-soc-2), [ISO 27001](https://www.iso.org/standard/27001), [GDPR](https://gdpr.eu/), [HIPAA](https://www.hhs.gov/hipaa/index.html) vb.) herhangi bir SaaS ürününe uyarlayabileceğiniz somut bir planınız olacak.

---

## 1. Gerçek‑Zamanlı Uyumluluk SSS’si Neden Önemli

| Sorun Noktası | Geleneksel Yaklaşım | AI SSS Etkisi |
|---------------|--------------------|---------------|
| **Uzun arama döngüleri** | Alıcılar yoğun politika PDF’lerini kaydırır | Anlık yanıtlar satış süresini %30’a kadar kısaltır |
| **Sürüm kayması** | Belgeler elle güncellenir, çoğu zaman senkronize olmaz | Otomatik senkronizasyon her zaman güncel yanıtlar sağlar |
| **Denetlenebilirlik** | Yanıt ile kaynak arasında net bir bağlantı yok | Kaynak grafiği her yanıtı orijinal maddeye bağlar |
| **Ölçeklenebilirlik** | Destek ekipleri tekrarlayan sorularla boğuşur | Bot yüksek hacimli sorguları yönetir, insan kaynaklarını serbest bırakır |
| **Düzenleyici kapsama** | Birden çok çerçeve ayrı ayrı doküman gerektirir | Tek bir bilgi grafiği çapraz‑düzenleyici kavramları normalleştirir |

Kısacası, gerçek‑zamanlı bir SSS **uyumluluğu bir engel olmaktan çıkarıp bir ayırt edici özellik haline getirir**.

---

## 2. Referans Mimari Genel Görünümü

Aşağıda uçtan uca sistemin yüksek‑seviye diyagramı yer alıyor. Modülerlik, güvenlik ve sürekli öğrenmeye vurgu yapıyor.

```mermaid
graph TD
    A["Politika Deposu (Git, CI/CD)"] --> B["Belge İşleme Servisi"]
    B --> C["Parçalama & Gömme Motoru"]
    C --> D["Vektör Deposu (FAISS / Milvus)"]
    A --> E["Uyumluluk Bilgi Grafiği Oluşturucu"]
    E --> F["Graf DB (Neo4j)"]
    D --> G["RAG Getirme Katmanı"]
    F --> G
    G --> H["LLM Üretim Servisi (OpenAI / Anthropic)"]
    H --> I["Yanıt Biçimlendirici & Kaynak Etiketleyici"]
    I --> J["API Ağ Geçidi (OAuth2, mTLS)"]
    J --> K["Güven Sayfası Front‑End (React / Vue)"]
    subgraph Monitoring
        L["Gözlemleme (Prometheus, Grafana)"]
        M["Denetim Logu (Değişmez Defter)"]
    end
    G --> L
    H --> M
```

**Ana Bileşenler**

| Bileşen | Rol |
|---------|-----|
| **Politika Deposu** | Tüm uyumluluk varlıklarının (Markdown, YAML, PDF) tek gerçek kaynağı. CI/CD ile sürüm kontrolü sağlanır. |
| **Belge İşleme Servisi** | PDF’leri ayrıştırır, tabloları çıkarır, markdown’u normalleştirir ve ham metni nesne depolamaya yazar. |
| **Parçalama & Gömme Motoru** | Metni anlamsal olarak tutarlı parçalara (≈200‑300 kelime) böler ve alan‑özel bir transformer ile yoğun vektör gömmeleri üretir. |
| **Vektör Deposu** | RAG getirme için hızlı benzerlik araması sağlar. |
| **Uyumluluk Bilgi Grafiği Oluşturucu** | Maddeleri standart bir ontolojiye (ör. “Veri Saklama”, “Erişim Kontrolü”) eşler. İlişkileri Neo4j’de saklar. |
| **RAG Getirme Katmanı** | Vektör benzerliğini grafik geçişiyle birleştirerek en ilgili parçaları ve bağlamsal meta verileri getirir. |
| **LLM Üretim Servisi** | Sistem istemleriyle ton, uzunluk ve atıf kurallarını zorlayarak özlü, politika‑uyumlu yanıtlar üretir. |
| **Yanıt Biçimlendirici & Kaynak Etiketleyici** | LLM çıktısını markdown ile sarar, kaynak madde kimliklerini ekler ve denetlenebilirlik için kriptografik bir hash ekler. |
| **API Ağ Geçidi** | Güvenli REST/GraphQL uç noktası sunar, oran sınırlama, kimlik doğrulama ve her isteği loglar. |
| **Front‑End** | Yanıtı, kaynak linklerini ve “Neden bu yanıt?” ipucunu gösteren gömülebilir widget. |
| **Gözlemleme & Denetim Logu** | Gecikme, hata oranları izlenir; değişmez loglar (ör. blokzincir‑destekli defter) denetçiler için saklanır. |

---

## 3. Veri Alımı ve Sürekli Senkronizasyon

### 3.1 Kaynak Normalleştirme

1. **Tüm politika kaynaklarını belirleyin** – güvenlik politikaları, **SOC 2** raporları, **ISO 27001** beyanları, gizlilik bildirimleri ve satıcı anketleri.  
2. **Düz metne dönüştürün**; taranmış PDF’ler için OCR, yapılandırılmış dokümanlar için markdown ayrıştırıcıları kullanın.  
3. **Her belgeye meta veri ekleyin**: `framework`, `version`, `effective_date`, `author`, `environment` (prod/dev).

### 3.2 Parçalama Stratejisi

- **Anlamsal bölme** (ör. `sentence_transformers` ile kosinüs eşik değeri) kullanarak mantıksal maddeleri bölmemeye özen gösterin.  
- **Madde kimliklerini** (ör. `ISO27001:A.9.2.1`) koruyun; ileride kaynak gösterimi için tutun.

### 3.3 Gömme Boru Hattı

- **BERT‑türünden bir kodlayıcıyı** küçük bir uyumluluk veri kümesi (≈10 k etiketli madde) üzerinde ince ayar yaparak alan terminolojisini yakalayın.  
- **FAISS indeksinde** IVF‑PQ ile milisaniye altı getirme sağlayın.

### 3.4 Bilgi Grafiği Oluşturma

- `Control`, `DataAsset`, `Risk`, `Regulation` gibi varlıkları içeren bir **ontoloji** tanımlayın.  
- **spaCy + kural‑tabanlı çıkarım** ile madde metnini ontoloji düğümlerine eşleyin.  
- İlişkileri (ör. `Control implements Regulation`) Neo4j’de saklayın; böylece “Hangi kontroller **GDPR** Madde 32’yi karşılıyor?” gibi grafik‑tabanlı sorgular mümkün olur.

### 3.5 Artımlı Güncellemeler

- **Git webhook**unu politika deposuna her push’ta tetikleyin.  
- **Diff‑bilaware** bir boru hattı çalıştırarak yalnızca değişen dosyaları yeniden işleyin, gömmeleri güncelleyin ve grafiği yamalayın.  
- **İmzalı bir olay** (`policy_update`) yayınlayın; alt hizmetler bu olayı tüketerek **sonsuza tutarlılık** sağlar.

---

## 4. Retrieval‑Augmented Generation (RAG) Akışı

1. **Kullanıcı sorgusu** API ağ geçidine ulaşır.  
2. **Ön‑işleme**: dil tespiti, ontolojiden eş anlamlı genişletme.  
3. **Vektör araması** en iyi k parçayı döndürür (k ≈ 5).  
4. **Grafik zenginleştirme**: her parça için ilgili düğümler (bağlantılı kontroller, risk puanları) alınır.  
5. **İstem birleştirme**: sistem istemi uyumluluk tonunu, getirilen alıntıları ve kaynak gösterme talimatını içerir. Örnek:

   ```
   You are a compliance assistant for a SaaS provider. Answer the user question using only the provided excerpts. Cite each clause with its ID in brackets.
   ```

6. **LLM üretimi** özlü bir yanıt oluşturur.  
7. **Son‑işleme**: her iddialı ifadenin en az bir alıntı ile desteklendiği doğrulanır; aksi takdirde “Yeterli bilgi yok” mesajı döner.  
8. **Kaynak etiketleme**: `source_ids`, `embedding_hash` ve daha sonra doğrulanabilecek bir **Merkle kanıtı** içeren bir JSON bloğu eklenir.

---

## 5. Güvenlik, Gizlilik ve Denetlenebilirlik

| Gereksinim | Uygulama |
|------------|----------|
| **Veri gizliliği** | Depodaki tüm metin ve gömmeler AES‑256 ile şifrelenir. API mTLS ve OAuth2 kapsamları (`compliance:read`) kullanır. |
| **Kaynak bütünlüğü** | Her yanıt, kaynak parçalarının SHA‑256 hash’ini içerir; hash’ler **değişmez bir deftere** (Amazon QLDB veya özel blokzincir) kaydedilir. |
| **Hassas maddeler için sıfır‑bilgi kanıtı** | Bir madde PII içeriyorsa, sistem ham metni göstermeden uyumluluğu kanıtlayan bir ZKP döndürür. |
| **Differansiyel gizlilik** | En çok sorulan sorular gibi toplu istatistikler, çıkarım saldırılarını önlemek için gürültü eklenir. |
| **Denetim izleme** | CSV/JSON logları zaman damgası, kullanıcı kimliği, sorgu metni, yanıt hash’i ve kaynak kimliklerini içerir; **SOC 2** “Denetim Logları” kriterlerini karşılar. |

---

## 6. Asistanı Güven Sayfasına Gömme

### 6.1 UI Bileşeni Taslağı

```mermaid
flowchart LR
    subgraph Widget["SSS Asistanı Widget'ı"]
        A["Arama Çubuğu"] --> B["Yanıt Kartı"]
        B --> C["Kaynak Linkleri"]
        B --> D["Neden Bu Yanıt? İpucu"]
    end
    style Widget fill:#f9f9f9,stroke:#333,stroke-width:1px
```

**Tasarım yönergeleri**

- **Duyarlı düzen** – mobilde katlanabilir, masaüstünde tam genişlik.  
- **Kademeli gösterim** – önce yanıt, kaynak linkleri tıklama/hover ile açılır.  
- **Erişilebilirlik** – ARIA etiketleri, klavye navigasyonu ve yüksek kontrast renkler.  
- **Marka tutarlılığı** – SaaS ürününün renk paleti ve tipografisiyle uyumlu.  

### 6.2 Entegrasyon Adımları

1. **Bir script etiketi** ekleyerek widget paketini CDN’den (veya kendi sunucunuzdan) yükleyin.  
2. **API uç noktası ve yalnızca‑okuma public API anahtarı** ile başlatın.  
3. **İsteğe bağlı parametreleri** yapılandırın: `maxResults`, `showProvenance`, `theme`.  
4. **Yayınlayın** – sunucu tarafında değişiklik gerekmez; widget doğrudan güvenli API ağ geçidine bağlanır.

```html
<script src="https://cdn.example.com/compliance-faq-widget.js"></script>
<script>
  ComplianceFAQ.init({
    endpoint: "https://api.example.com/compliance-faq",
    apiKey: "pk_live_XXXXXXXXXXXXXXXX",
    theme: "light",
    showProvenance: true
  });
</script>
<div id="compliance-faq-widget"></div>
```

---

## 7. Operasyonel En İyi Uygulamalar

| Alan | Tavsiye |
|------|---------|
| **İzleme** | `p95_response_time` ve hata oranlarını Prometheus’a aktarın; p95 > 800 ms ise alarm oluşturun. |
| **Model güncellemeleri** | Dönemsel olarak (her çeyrek) yeni etiketli maddelerle gömme modelini yeniden eğitin; değişen terminolojiyi yakalayın. |
| **Geri bildirim döngüsü** | “Beğen / Beğenme” butonu ekleyin; geri bildirimleri ayrı bir tabloda saklayın ve düşük güvenilirlikli yanıtları insan denetimine yönlendirin. |
| **Felaket kurtarma** | Vektör deposu ve Neo4j’in günlük anlık görüntülerini farklı bir bölgeye yedekleyin. |
| **Uyumluluk testi** | Bilinen politika sorularını sorgulayan otomatik testler çalıştırın; dönen kaynak kimliklerinin beklenen madde kimlikleriyle eşleştiğini doğrulayın. |

---

## 8. İş Etkisini Ölçmek

1. **Dönüşüm artışı** – FAQ widget’ı aktif olduktan sonra “güven incelemesi” aşamasını geçen anlaşma sayısını izleyin.  
2. **Destek talebi azalması** – Yayına öncesi ve sonrası uyumluluk‑ile ilgili destek ticket’ı hacmini karşılaştırın.  
3. **Denetim hazırlık skoru** – Değişmez kaynak loglarını denetçilere sunarak her kamu yanıtının izlenebilir olduğunu gösterin.  
4. **Müşteri memnuniyeti (CSAT)** – Asistanla etkileşime geçen kullanıcıları anketleyin; hedef CSAT ≥ 4.5/5 olsun.

İyi tasarlanmış bir SSS asistanı **satış döngüsünden günler çıkarabilir**, **destek maliyetlerini %40’a kadar azaltabilir** ve **kurumsal alıcılarla güveni pekiştirebilir**.

---

## 9. Gelecek Geliştirmeler

- **Çok‑dilli destek** – çok dilli bir LLM ile çeviri katmanı ekleyerek farklı bölgelerdeki müşterilere hizmet verin.  
- **Ses‑öncelikli etkileşim** – erişilebilirlik için Web Speech API ile sesli sorgu özelliği ekleyin.  
- **Dinamik politika simülasyonu** – “Veri saklama süremizi 90 gün olarak değiştirirsek ne olur?” gibi sorulara risk etkisi tahmini sunun.  
- **CI/CD entegrasyonu** – Her politika dosyası değiştiğinde otomatik “Ne yenilik?” değişiklik günlüğü oluşturup güven sayfasına yerleştirin.