Denetim Kaydı
MevzuatRadar denetim kaydı; uyum, hesap verebilirlik, iç kontrol ve olay incelemesi için ürün içi kanıt yüzeyidir. Bu sayfa hukuk görüşü değildir; müşteri sözleşmesi, saklama süresi ve dış WORM/object-lock kabulü kurum hukuk ve güvenlik ekipleriyle ayrıca onaylanır.
Yüzeyler
| Yüzey | Kim kullanır | Kapsam |
|---|---|---|
/compliance/audit | Müşteri ADMIN ve LEGAL_REVIEWER | Kendi tenant içindeki denetim kayıtları |
/admin/audit | Platform/admin ekipleri | Platform ve müşteri bağlamlı destek/operasyon kayıtları |
EDITOR ve VIEWER rolleri denetim kaydı sayfasına, detayına ve export
API’lerine erişemez. Yetki kontrolü UI görünürlüğüyle sınırlı değildir; API
policy ve tenant sorguları fail-closed çalışır.
Kayıt İçeriği
Her kayıt ürün seviyesinde “kim, hangi tenant içinde, hangi yetkiyle, hangi varlık üzerinde, hangi sonucu üretti” sorusunu cevaplayacak kadar bağlam taşır. Tipik alanlar:
- aktör kullanıcı ve rolü
- tenant/organizasyon sınırı
- işlem adı, kategori ve sonuç
- varlık türü/id, route ve surface
- request/correlation id
- hash zinciri ve arşiv durumu
- AI/RAG olaylarında model lane, request id, citation/source id, token/kredi ve redaction sürümü
Ham prompt, ham cevap, token, secret, session id, API key, form payload, cookie, raw body ve gereksiz kişisel veri audit metadata içine yazılmaz. IP kanıtı gerekiyorsa raw IP yerine hashlenmiş kanıt saklanır.
Filtreler ve Export
Müşteri panelinde tarih, kullanıcı, rol, departman, işlem, kategori, sonuç, varlık, route, surface, hash durumu ve arşiv durumu filtrelenebilir. Admin panelinde bunlara ek olarak müşteri tenant id, admin aktör, destek gerekçesi, destek talebi ve AI request id filtreleri bulunur.
CSV ve PDF export aynı tenant ve yetki sınırlarını paylaşır. Adminin müşteri tenant export’u tarih aralığı ve erişim gerekçesi olmadan çalışmaz; büyük export üst limitinde kullanıcıya deterministik hata verilir ve tarih aralığını daraltması istenir.
Hash, Arşiv ve Saklama Sınırı
Denetim kayıtları append-only hash zinciri ve arşiv manifestiyle bütünlük kanıtı üretir. Bu repo-local bütünlük kanıtıdır; canlı WORM object lock, 10 yıl saklama veya dış denetçi kabulü iddiası ancak operatör ve dış sistem kanıtıyla kurulur.
Varsayılan ürün politikası uzun süreli saklamayı hedefler; saklama süresi, müşteri sözleşmesi, veri işleyen/veri sorumlusu rolü, yurt dışı aktarım ve AI sağlayıcı kullanımı hukuk/onay sürecinden ayrı tutulur.
Hukuki Dil
Denetim kaydı için müşteri metinlerinde “her müşteri için her tıklama kanuni zorunluluktur” gibi mutlak iddia kullanılmaz. Doğru sınıflandırma:
- KVKK bakımından denetim kaydı; erişim kontrolü, hesap verebilirlik, ihlal incelemesi, veri güvenliği denetimi ve yetkili işlem takibi için teknik-idari tedbir kanıtıdır.
- Finans sektörü müşterileri için denetim izi; iç kontrol, tedarikçi gözetimi, bilgi sistemi denetimi ve olay inceleme beklentilerini karşılayacak şekilde minimumun üzerinde tasarlanır.
- 5651 ve benzeri trafik log rejimleri uygulama içi denetim kaydının yerine geçmez; uygulama audit’i kullanıcı, yetki, tenant, varlık ve sonuç bağlamını ürün seviyesinde açıklar.
AI ve Veri Minimizasyonu
AI/RAG kayıtları semantic event seviyesine bağlanır; iç tool adı veya geçici debug string’i kalıcı UI sözleşmesi yapılmaz. Kayıtlarda source/citation id, conversation/message/request id, model lane, retrieval mode, cost/latency, outcome ve redaction sürümü tutulur. Kullanıcının serbest mesajı ve modelin ham cevabı saklanmaz.
Kontrol Kaynakları
Bu sayfa aşağıdaki kaynakları ürün kabul girdisi olarak kullanır: