Ana sayfa ›
Güvenlik, Kalite & Yönetişim ›
Uyumluluk & Standartlar
📜Uyumluluk ve Standartlar
📑 Bu sayfada
Komtaş AI sistemleri, ulusal ve uluslararası düzenleyici çerçevelere uygun olarak geliştirilmeli ve işletilmelidir.
11.1 NIST AI Risk Management Framework
| NIST Fonksiyonu | Açıklama | Komtaş Uygulaması |
|---|---|---|
| GOVERN | AI risk yönetimi politikaları ve kültürü | AI Governance Framework (bu doküman), yönetici onay süreci |
| MAP | Bağlamın belirlenmesi, risk kategorilendirme | Her AI sistemi için risk değerlendirmesi, DPIA |
| MEASURE | Risklerin analizi ve ölçülmesi | RAGAS metrikleri, red team testleri, OWASP kontrolleri |
| MANAGE | Risklerin önceliklendirilmesi ve yanıt verilmesi | Kalite kapıları, olay müdahale planı, sürekli izleme |
11.2 EU AI Act Uyumluluğu
⚠️ EU AI Act (Agustos 2026 tam yürürlük)
Komtaş'ın AB müşterileri için geliştirdiği AI sistemleri, risk sınıflandırmasına göre yükümlülük taşıyabilir.
| Risk Seviyesi | Örnekler | Yükümlülükler | Komtaş Etkisi |
|---|---|---|---|
| Kabul Edilemez | Sosyal puanlama, gizli biyometrik | YASAK | Hiçbir sistem bu kategoriye girmemeli |
| Yüksek Risk | İşe alım, kredi skorlama, kritik altyapı | Uygunluk değerlendirmesi, insan gözetimi | İK ve finans uygulamaları için zorunlu |
| Sınırlı Risk | Chatbot, deep fake | Şeffaflık bildirimi (AI olduğunu belirt) | Tüm chatbot'lar için zorunlu |
| Minimal Risk | Spam filtresi, öneri sistemi | Gönüllü davranış kuralları | Standart uygulamalar |
11.3 KVKK ve GDPR Uyumluluğu
| Gereksinim | KVKK | GDPR | Komtaş Uygulaması |
|---|---|---|---|
| Veri işleme hukuki dayanağı | Madde 5 | Madde 6 | Her sistem için hukuki dayanak belgesi |
| Veri minimizasyonu | Madde 4 | Madde 5(1)(c) | Presidio ile minimum veri ilkesi |
| Saklama süresi | Madde 7 | Madde 5(1)(e) | Audit log: 2 yıl, LLM log: 1 yıl |
| Veri ihlali bildirimi | 72 saat | 72 saat | SIEM → otomatik bildirim pipeline |
| İlgili kişi hakları | Madde 11 | Madde 15-22 | Self-servis portal ve DPO süreci |
| Yurt dışı transfer | Madde 9 | Bölüm V | ZDR politikası, eu-west3 bölgesi |
# KVKK Veri İşleme Envanter Şablonu (AI sistemleri için)
AI_DATA_PROCESSING_REGISTER = {
"system_name": "Komtaş CoPilot",
"purpose": "Müşteri sorgularına AI destekli yanıt üretimi",
"legal_basis": "Meşru menfaat (KVKK Madde 5(2)(f))",
"data_categories": [
"İsim ve iletişim bilgileri",
"Şirket bilgileri",
"Sözleşme bilgileri"
],
"data_subjects": ["Müşteriler", "Çalışanlar"],
"retention_period": "Müşteri ilişkisi + 2 yıl",
"third_parties": [
{"name": "Anthropic (Claude API)", "location": "ABD",
"transfer_mechanism": "Standart sözleşme maddeleri + ZDR"},
{"name": "Google Cloud (GKE/SQL)", "location": "AB (eu-west3)",
"transfer_mechanism": "AB veri merkezi, GDPR kapsamında"}
],
"security_measures": [
"Uçtan uca şifreleme (TLS 1.3)",
"PII maskeleleme (Presidio)",
"Erişim kontrolü (Cloud IAM)",
"Denetim kaydı (immutable log)"
],
"dpia_required": True,
"dpia_date": "2026-04-01"
}