uyum · 12 mayıs 2026

KVKK uyumlu yapay zeka asistanı — Ilura'nın audit-chain yaklaşımı

Türkiye'de bir yapay zeka asistanı kullandığında, sistem hangi verini saklıyor, ne kadar saklıyor, kanıtı nerede tutuyor? Ilura bu sorulara 6698 sayılı KVKK çerçevesinde teknik cevap veren bir altyapı kurar: her eylem SHA-256 imzalı bir defter satırına dönüşür, kullanıcı tek tıkla imzalı özetin PDF kanıtını indirir.

KVKK ne ister?

6698 sayılı Kişisel Verilerin Korunması Kanunu üç sorumluluğu net ifade eder:

Madde 5 — kişisel veri ancak açık rıza veya kanunla belirlenmiş bir sebeple işlenir.
Madde 12 — veri sorumlusu güvenliğin teknik kanıtını tutar (loglar, denetim kayıtları).
Madde 11 — kullanıcı hangi verilerin işlendiğini öğrenme, düzeltme, silme hakkına sahiptir.

Generic bir AI asistanı için bu üçü zor: chat tarihçesi sunucularda saklanır, kanıt zinciri yoktur, "sildim" cümlesinin kanıtı yine sunucudur. Ilura bu mimariyi tersine çevirir.

Ilura'nın üç katmanlı yanıtı

1. Audit zinciri — SHA-256 + ECDSA imza

Her agent eylemi audit_log tablosuna girer: dosya açıldı, bir API çağrıldı, bir izin verildi. Her satır bir önceki satırın hash'ini taşır → tek satır değiştirilirse zincir kırılır, doğrulama (verify_chain) bu kırığı tespit eder.

İmza P-256 ECDSA: anahtar cihazında (Secure Enclave / TPM / yazılım) durur, sunucuya gitmez. Hukuk talebi olduğunda Ilura "satırı biz değiştirmedik" kanıtını kriptografik olarak gösterir.

2. PII mask — denetim defterinde bile sızıntı yok

Audit defteri tüm eylemleri kaydeder, ama içerikleri ham tutmaz. API anahtarları, kredi kartı numaraları, e-posta adresleri yazılırken sızıntı düzleminde maskelenir: API_KEY=sk-...***... şeklinde. Denetim defterini hukuk inceler, kullanıcı verisi yine güvende kalır.

3. KVKK Kanıt PDF — kullanıcı kendi tutar

Ayarlar > KVKK Kanıtı sekmesinde son 7 / 30 / 90 gün özetini PDF olarak indirebilirsin: kaç kayıt vardı, kaç agent çalıştı, son hash ne, imzalayan public key ne. Bir avukat gelsin, sen elinde PDF'i tutarsın.

Veri yerleşimi — sade ve net

Audit defteri cihazında durur (yerel SQLite).
Cloud profile bağlandığında veri Azure West Europe'da işlenir (KVKK Avrupa veri ikametgâhı).
Hassas veri (sağlık, biyometrik) toplanmaz.
Aktarım yok. 3. parti analitik yok.

Hukuk review notu

Bu yazıdaki Aydınlatma Metni iskeleti v0.1 sürümünde — avukat ince ayarı bekliyor. Ürün içindeki Settings > KVKK Kanıtı sekmesi v0.1 sürüm etiketli PDF üretir. Hukuk pass sonrası v0.2'ye geçer; geçmiş PDF'ler sürümleri ile birlikte saklanır (bağlayıcı şartlar tarihçesi).

Veri sorumlusu: Mertcan Başak / Ilura. İletişim: destek@ilura.com.tr — KVKK Madde 11 talepleri 30 gün içinde yanıtlanır.