Güven & Güvenlik

Şüpheci olmakla yükümlü kişilerin güvenebileceği biçimde inşa edildi.

Bu platformda güvenlik ve gizlilik bir özellik değildir; ön koşuldur. Bir avukat, vekâlet sırrını, kişisel veriyi veya meslekî sorumluluğunu riske atan bir aracı benimseyemez. Bu nedenle söz konusu sınırları, ürünün ilk satırını yazmadan önce mimarinin içine yerleştirdik.

Aşağıda; müvekkil verisini neyin koruduğunu, bugün neyin canlı olduğunu ve neyin hâlâ yol haritasında bulunduğunu olduğu gibi aktarıyoruz. Olduğundan fazlasını söylemeyiz.

Yapısal hendekler

Sonradan eklenmemiş, mimariye yerleştirilmiş dört koruma.

Her biri, jenerik yapay zekâyı düzenlemeye tabi hukukî iş için mahkemeye sunulamaz kılan bir kusur biçimini ele alır. Bunlar yapısaldır — bir politika belgesiyle veya iyi niyetle değil, sistemin kendisiyle uygulanır.

01 Av.K. m.36

Gizlilik ve onay kapısı

Meslekî gizlilik (Avukatlık Kanunu m.36), bir teamülle değil, atlanması mümkün olmayan bir avukat-onay durum makinesiyle güvence altına alınır. Müvekkil verisi dosya (matter) bazında bölümlenir ve yetkili bir avukat onaylamadıkça hiçbir şey müvekkile ulaşmaz.

  • Atlanamaz onay durum makinesi — çıktı avukat kapısını geçemez
  • Müvekkil verisi dosya bazında bölümlenir; dosyalar arası sızıntı olmaz
  • Onaylanmamış hiçbir şey müvekkile ulaşmaz (Av.K. m.36)
  • İmzalayan ortak insan avukattır; sistem yardımcıdır
02 KVKK · AB yerleşimi

Mimari düzeyde veri yerleşimi

Kişisel veri, herhangi bir sınır-ötesi model çağrısından önce altı ilâ yedi kancada maskelenir. Maskelemeyi geri açan anahtar olan maske-tablosu yargı alanından dışarı çıkmaz. Veri at-rest olarak AES-256-GCM ile şifrelenir ve embedding’ler AB’ye yönlendirilebilir.

  • Sınır-ötesi çağrıdan önce 6–7 kancada PII maskeleme
  • Maske-tablosu yargı alanından çıkmaz
  • At-rest AES-256-GCM şifreleme
  • Embedding’ler AB altyapısına yönlendirilebilir
03 Türk hukuku

Çeviri değil, yerelleştirme

Sistem, Türkçe bir kabuk giydirilmiş yabancı bir model değil, Türk hukukuna demirlenmiştir. Kimlik numaraları sağlama (checksum) ile doğrulanır, yargı alanı yürürlükteki mevzuata göre temellendirilir ve iş-ürünü, bir Türk avukatın elinden çıkmış gibi okunur.

  • TCKN / VKN sağlama (checksum) doğrulaması
  • TTK ve yargı alanı, yürürlükteki mevzuata göre temellendirme
  • Makine çevirisi değil, Türk-hukuku iş-ürünü kalitesi
  • Türk pratiğine uygun üslup ve terminoloji
04 Uydurma yok

Kaynağa dayalı disiplin

Model ile sayfa arasında bir Citation Gate ve bağımsız bir Verifier durur. Emin olunmayan atıflar, olgu gibi sunulmak yerine “[doğrulama gerekli]” olarak işaretlenir; sistem var olmayan bir esas numarasını, dava adını veya atfı uydurmaz.

  • Her atıfta Citation Gate + bağımsız Verifier
  • Emin olunmayan atıflar “[doğrulama gerekli]” olarak işaretlenir
  • Esas numarası veya içtihat atfı uydurmaz
  • Çapraz sorguda ayakta kalacak biçimde tasarlandı

Veri güvenliği mimarisi

Ürünün altındaki kontroller.

Yukarıdaki güvenceler, somut bir mühendislik kontrolleri kümesine dayanır. Bunlar uygulanmıştır; temenni değildir.

01

Üç rollü RBAC

Müvekkil, avukat ve admin rolleri ayrı yetkilerle. İzinler varsayılmaz, sınırda denetlenir.

02

İki faktörlü kimlik doğrulama

Hesap erişiminde SMS ve e-posta tek-kullanımlık parola (OTP) faktörleri.

03

At-rest AES-256-GCM

Veritabanı, bilgi tabanı, belgeler ve çalışma alanı genelinde şifreleme — seçici değil.

04

Rotasyonlu şifreli yedekler

Yedekler şifrelenir ve düzenli olarak rotasyona tabi tutulur; tek arıza noktası tek kayıp noktasına dönüşmez.

05

Fail-closed oturum deposu

Kalıcı, fail-closed bir oturum deposu: tereddütte erişim verilmez, reddedilir.

06

Konuşma erişim yetkisi

Bir konuşmaya erişim her istekte ayrı yetkilendirilir; yalnızca bir ID’nin erişim sağladığı IDOR sınıfı kapatılır.

07

KVKK uyumlu gözlemlenebilirlik

Hatalar, günlüklere kişisel veri yazılmadan operasyon için gözlemlenebilir — telemetride PII yoktur.

08

Yalnızca-ekleme denetim günlüğü

Eklenebilen ama sessizce yeniden yazılamayan bir denetim izi; kimin ne yaptığının kaydı korunur.

Uyum duruşu

Önem taşıyan çerçeveler karşısında durduğumuz yer.

Bu, üçüncü-taraf sertifikasyon iddiası değil, bir uyum duruşu ve hazırlık beyanıdır. Neyin işler durumda, neyin yol haritasında olduğunu adıyla anar ve çizgiyi açıkça çekeriz.

KVKK
Kişisel Verilerin Korunması Kanunu
Türkiye
İşler durumda
GDPR
Genel Veri Koruma Tüzüğü
Avrupa Birliği
İşler durumda
UK GDPR
Birleşik Krallık Veri Koruma Tüzüğü
Birleşik Krallık
İşler durumda
EU AI Act
Risk-temelli yapay zekâ çerçevesi
Avrupa Birliği
İşler durumda
SOC 2
Service Organization Control 2
Bağımsız denetim
Yol haritası
ISO 27001
Bilgi güvenliği yönetimi
Bağımsız sertifikasyon
Yol haritası

Talep üzerine bir Veri İşleme Sözleşmesi (DPA) sunulur.

Dürüst olgunluk

Bugün neyin canlı olduğu ve neyin hâlâ yayıldığı.

Sezgiye aykırı biçimde, güveni inşa eden kısım budur. Neyin bitmediğini size söylemeyecek bir sağlayıcı, etrafında plan yapamayacağınız bir sağlayıcıdır. Ürün ilkemiz — AMENTÜ — dürüstlüktür: neyin çıktığını, neyin yapım aşamasında olduğunu işaretleriz ve henüz var olmayan bir kabiliyeti asla satmayız.

Bir kabiliyet bu çizginin “canlı” tarafında değilse, sizi sanki öyleymiş gibi faturalandırmayız.

Canlı Yayılıyor
  • Canlı m.36 avukat-onay kapısı — uygulanıyor
  • Canlı Sınır-ötesi çağrı öncesi KVKK PII maskeleme
  • Canlı Depolar genelinde at-rest AES-256-GCM şifreleme
  • Canlı Uydurma atıflara karşı Citation Gate + Verifier
  • Canlı Üç rollü RBAC, 2FA ve yalnızca-ekleme denetim günlüğü
  • Yayılıyor Embedding’ler için AB veri-yerleşimi yönlendirmesi
  • Yayılıyor Enterprise için host-dışı şifreli yedek
  • Yayılıyor Firma-RAG izole emsal hafızası
  • Yayılıyor SOC 2 / ISO 27001 bağımsız tasdik

Yalnızca iddiaları değil, kontrolleri görün.

Yapabileceğimiz en inandırıcı şey, size göstermektir. Bir demo planlayın; onay kapısını, maskeleme hattını ve denetim izini gerçek bir dosya üzerinde birlikte gezelim.

Demo planlayın DPA talep edin