🏠 Ana Sayfa 📖 Sözlük 💬 Doküman asistanı
Ana sayfaGüvenlik, Kalite & YönetişimAI Araçları Veri Güvenliği

🔐AI Araçları Veri Güvenliği — Riskler ve Önlemler

📑 Bu sayfada

Kurumsal AI araçları verimlilik sağlarken beraberinde önemli veri güvenliği riskleri getirir. Bu bölüm, Komtaş'ta standart olarak kullanılan 6 AI aracının risk profilini, veri işleme modellerini ve her birine karşı alınabilecek önlemleri sistematik biçimde ele alır.

⚠️ Temel Risk: Kasıtsız Veri Sızıntısı

Çalışanların gizli belge içerikleri, müşteri verileri, ticari sırlar veya kişisel verileri (KVKK kapsamında) AI araçlarına girmesi — izin veya politika olmaksızın — hem hukuki yükümlülük hem de rekabetçi risk oluşturur. En kritik tehdit, kasıtlı saldırıdan değil eğitimsiz kullanımdan kaynaklanır.

21.1 AI Araçları Risk Matrisi

AI Aracı Veri İşleme Modeli Eğitimde Kullanım Veri Kalıcılığı Risk Seviyesi İzin Verilen Veri Sınıfı
🪟 Microsoft Copilot Azure kiracısı dahilinde; Microsoft veri işleme ❌ Hayır (Enterprise) M365 saklama politikasına göre 🟢 Düşük Kamu / Dahili / Gizli / Kısıtlı*
🔬 Dataiku LLM Mesh Şirket altyapısı / seçilen sağlayıcı aracılığıyla ❌ Hayır (provider SLA ile) Şirket kontrolünde 🟢 Düşük Kamu / Dahili / Gizli
🖥️ Claude Cowork Anthropic işler; dosya içerikleri API'ya gönderilir ❌ Hayır (Teams plan) 90 gün varsayılan (yapılandırılabilir) 🟡 Orta Kamu / Dahili / Gizli (DPA ile)
🤖 Claude Business Anthropic işler; sohbet içeriği API'ya gönderilir ❌ Hayır (Teams plan) 90 gün varsayılan (yapılandırılabilir) 🟡 Orta Kamu / Dahili / Gizli (DPA ile)
💬 ChatGPT Business OpenAI işler; sohbet içeriği ve dosyalar API'ya gönderilir ❌ Hayır (Business plan) 30 gün varsayılan (yapılandırılabilir) 🟡 Orta Kamu / Dahili / Gizli (DPA ile)
📓 NotebookLM (ücretsiz) Google işler; yüklenen belgeler Google sunucularında ⚠️ Belirsiz (Enterprise BAA gerekli) Google politikasına bağlı 🔴 Yüksek Kamu / Dahili

* Kısıtlı sınıf için Copilot'ta Microsoft Purview ile belge şifreleme ve erişim kontrolleri yapılandırılmalı; ek onay gerekli.

21.2 Veri Sınıflandırma & AI Araç Eşleştirme Matrisi

Hangi veriyi hangi AI aracına göndereceğinizi belirlemek için veri sınıflandırmasına bakın:

🌐 KAMU
Web sitesi içeriği, basın bültenleri, kamuya açık belgeler
✅ Tüm araçlarda kullanılabilir:
🪟 Copilot 🤖 Claude 💬 ChatGPT 📓 NotebookLM 🖥️ Cowork 🔬 Dataiku
🏢 DAHİLİ
İç raporlar, toplantı notları, proje belgeleri, prosedürler
✅ Kullanılabilir (dikkatli kullanım):
🪟 Copilot 🤖 Claude 💬 ChatGPT 📓 NotebookLM 🖥️ Cowork 🔬 Dataiku
⚠️ NotebookLM için dikkat: Yalnızca Google Workspace Enterprise BAA kapsamında
🔒 GİZLİ
Müşteri sözleşmeleri, finansal projeksiyonlar, ticari sırlar, stratejik planlar
⚠️ Kısıtlı araçlar (DPA/BAA zorunlu):
🪟 Copilot ✅ 🤖 Claude (DPA ile) 💬 ChatGPT (DPA ile) 📓 NotebookLM ❌ 🖥️ Cowork (DPA ile) 🔬 Dataiku ✅
🚫 KISITLI
Kişisel veriler (KVKK), yasal süreç verileri, ödeme kartı verileri (PCI), sağlık verileri
🚫 Yalnızca özel yapılandırmalı araçlar:
🪟 Copilot (Purview + özel yapılandırma) 🔬 Dataiku (şirket altyapısı + PII guardrail)
❌ Claude, ChatGPT, NotebookLM, Cowork — bu sınıfta KULLANILMAZ (PII maskeleme gerekir)

21.3 Araç Bazlı Riskler, Önlemler ve Politikalar

🪟 Microsoft Copilot — Riskler & Önlemler
⚠️ Başlıca Riskler
  • Aşırı paylaşım: "Şirketteki Herkes" erişimli dosyalar Copilot tarafından beklenmedik kullanıcılara gösterilebilir
  • Yetersiz etiketleme: Etiketlenmemiş gizli belgeler DLP politikalarını atlatır
  • Copilot Studio agent hataları: Hatalı konfigüre edilmiş agent yanlış belge kaynaklarına erişir
✅ Önlemler
  • Microsoft Purview duyarlılık etiketleri zorunlu kıl (tüm dosyalar)
  • SharePoint Restricted SharePoint Search (RSS) aktifleştir
  • Copilot denetim günlüklerini Purview'de izle
  • Copilot Studio agent başlatmadan önce güvenlik review prosedürü uygula
🤖 Claude Business / Cowork — Riskler & Önlemler
⚠️ Başlıca Riskler
  • Dosya yükleme: Cowork'a yetkisiz gizli dosya yüklenmesi; içerik Anthropic API'ına gider
  • PII veri girişi: TC kimlik, müşteri adresi gibi KVKK verisinin prompt'a yazılması
  • Sohbet geçmişi: 90 günlük saklama varsayılan; politika gereği 0 güne indirilmeli
  • Screenshot erişimi: Cowork bilgisayar kontrolüyle ekranda gizli veri görebilir
✅ Önlemler
  • DPA imzalandığından emin ol; Teams plan kapsamını doğrula
  • Admin konsolundan sohbet geçmişini sıfıra al
  • Denetim günlüklerini aktif et; haftalık gözden geçir
  • Çalışan eğitiminde "hangi veri Claude'a girilmez" bölümü ekle
  • Cowork klasör erişimini yalnızca gerekli klasörlerle sınırla
💬 ChatGPT Business — Riskler & Önlemler
⚠️ Başlıca Riskler
  • Custom GPT veri sızıntısı: Yanlış yapılandırılmış GPT, yüklenen gizli bilgi tabanını açığa çıkarabilir
  • Connector erişimi: SharePoint/OneDrive bağlayıcısı tüm erişilen belgeleri API'a gönderir
  • Görüntü analizi: Gizli içerikli ekran görüntüsü yüklenmesi
  • Planlı görevler: Otomatik çalışan görevler beklenmedik veri toplaması yapabilir
✅ Önlemler
  • Admin konsolundan Custom GPT oluşturma yetkisini kısıtla (yalnızca onaylı kişiler)
  • Operator sistemi ile kurumsal güvenlik talimatlarını tüm kullanıcılara uygula
  • Connector bağlantı kapsamlarını minimum yetkiyle yapılandır
  • Planlı görevleri güvenlik incelemesinden sonra aktif et
📓 NotebookLM — Riskler & Önlemler
⚠️ Başlıca Riskler
  • Yüksek risk: Ücretsiz/standart sürümde gizli belgeler yüklenmesi; Google veri saklama politikası belirsiz
  • BAA eksikliği: Google Workspace Enterprise olmaksızın KVKK/GDPR uyumu garanti değil
  • Notebook paylaşımı: Paylaşılan notebook gizli kaynak belgelerine erişim sağlayabilir
✅ Önlemler
  • Politika: NotebookLM yalnızca Kamu/Dahili belgeler için kullanılabilir
  • Google Workspace Enterprise BAA imzalanana kadar Gizli belge yükleme yasağı
  • Notebook paylaşımını yalnızca belirli kişilerle sınırla; herkese açık yapma
  • Çalışan eğitiminde NotebookLM'de ne yüklenemez açık şekilde belirt
🔬 Dataiku LLM Mesh — Riskler & Önlemler
⚠️ Başlıca Riskler
  • Sağlayıcı seçimi: Yanlış sağlayıcı (veri saklayan) seçilmesi durumunda veri eğitime gidebilir
  • Guardrail boşlukları: PII guardrail'ı yapılandırılmamış projelerde müşteri verisi modele gidebilir
  • Kota yönetimi yokluğu: Sınırsız token kullanımı beklenmedik maliyet ve veri maruziyeti oluşturur
✅ Önlemler
  • Tüm projelerde PII Guardrail zorunlu kıl (admin policy)
  • Sadece "No data retained" SLA'lı sağlayıcılar onaylı listeye al
  • Kota yönetimini proje başlatmadan önce yapılandır
  • LLM çağrı loglarını 90 gün sak ve aylık audit yap
📋 Kurumsal AI Veri Güvenliği Politikası — Özet Talimatlar
🚫 Hiçbir AI Aracına GİRMEYİN:
  • TC Kimlik Numarası, pasaport, sürücü belgesi
  • Müşteri kişisel bilgileri (ad + iletişim + finansal veri birlikte)
  • Kredi kartı, IBAN, banka hesap bilgileri
  • Şirket parolaları, API anahtarları, sertifikalar
  • Açıklanmamış ürün planları ve fiyatlandırma stratejisi
  • M&A süreci verileri (onaylı ortamlar hariç)
  • Devam eden hukuki uyuşmazlık detayları (Copilot hariç)
✅ Güvenli Kullanım İpuçları:
  • Gerçek müşteri verisi yerine anonim/sentetik veri kullanın
  • Gizli belgeleri AI'ya vermeden önce hassas bölümleri redact edin
  • Veri sınıfını bilemiyorsanız varsayılan olarak Gizli kabul edin
  • Her araçta sohbet geçmişini gerekmedikçe devre dışı bırakın
  • AI çıktılarını onaylanmadan kamuya paylaşmayın
  • Güvenlik sorununda Bilgi Güvenliği ekibini derhal bilgilendirin
⚖️ KVKK Uyarısı

KVKK kapsamında kişisel veri işleme için yasal dayanak (açık rıza veya meşru menfaat) ve veri işleme sözleşmesi (DPA/DPIA) zorunludur. Yurt dışına veri aktarımı (tüm cloud AI sağlayıcılar) için ya açık rıza ya da Kurul kararı gerekmektedir. Her AI aracı için DPIA değerlendirmesi yapın ve Veri Koruma Ofisi'ni bilgilendirin.

📌 Güvenlik Olgunluk Yol Haritası
Faz 1 — Temel (0-30 gün)
  • Veri sınıflandırma politikasını duyur
  • DPA'ları imzala (Claude, ChatGPT)
  • Purview etiketleme pilotunu başlat
  • Tüm çalışanlara temel eğitim ver
Faz 2 — Kontrol (30-90 gün)
  • Admin konsollarından denetim günlüğünü aktif et
  • Dataiku'da PII Guardrail'ı zorunlu kıl
  • NotebookLM politikasını ilan et
  • Aylık güvenlik review toplantısı başlat
Faz 3 — Olgunluk (90+ gün)
  • Otomatik DLP + AI entegrasyonu
  • KVKK DPIA belgelerini tamamla
  • AI güvenlik denetimini yıllık takvime al
  • Insider risk programına AI izleme ekle
🔗 İlgili bölümler
→ Araç Seçim→ Guardrails→ Shadow AI
Güvenlik, Kalite & Yönetişim Sonraki →Güvenlik & Guardrails