Ana içeriğe geç

Bölüm 12: PII Koruması

PII Korumasına Genel Bakış

PII (Personally Identifiable Information) koruması, Arceris'in en temel güvenlik işlevlerinden biridir. Hassas veya kişisel verilerin yapay zeka servislerine kontrolsüz biçimde gönderilmesini önler veya kurum politikasına uygun şekilde işler. Bu yalnızca teknik bir maskeleme özelliği değil; veri koruma ve uyumluluk yaklaşımının ürün içindeki karşılığıdır.

PII Rules sayfası iki sekmeden oluşur: Rules (kural yönetimi) ve Playground (test aracı).

Rules Sekmesi — Kural Yönetimi

Rules sekmesi, tüm PII algılama kurallarının listelendiği, aranabildiği ve yönetildiği ana görünümdür. Sayfa başına 8 kural gösterilir ve sayfalanır.

Kural Tablosu Sütunları:

  • Name: Kuralın görünen adı (ör. "Email Address", "IBAN", "Phone Number").
  • Pattern: Kuralın kullandığı regex (düzenli ifade) deseni.
  • Action: Eşleşme bulunduğunda uygulanacak eylem (renkli badge ile gösterilir).
  • Scope: Kuralın kapsamı — Global veya ACL-bound.
  • Actions: Edit ve Delete butonları.

Kural Oluşturma ve Düzenleme

"Add Rule" butonu veya bir kuralın "Edit" butonu ile açılan modal, şu alanları içerir:

  • Name: Kuralın görünen adı. Örnek: "Email Address". Kural ID'si otomatik olarak bu adresten oluşturulur ve düzenleme sırasında sabit kalır.
  • Pattern (Regex): Hassas veriyi yakalamak için kullanılan Go uyumlu düzenli ifade. Örnek: \b[A-Z0-9._%+-]+@[A-Z0-9.-]+\.[A-Z]{2,}\b.
  • Replacement: Mask veya Redact eylemlerinde eşleşen içeriğin yerine yazılacak metin. Varsayılan: [REDACTED].
  • Action: Eşleşme bulunduğunda uygulanacak eylem (4 seçenek, aşağıda açıklanıyor).
  • Apply Globally: İşaretlendiğinde kural tüm proxy isteklerinde otomatik olarak çalışır. İşaretlenmezse kural yalnızca bir Model ACL kuralına bağlandığında etkinleşir (ACL-bound).

Kural Aksiyonları

PII eşleşmesinde uygulanacak dört eylem vardır:

  • Block: İsteği tamamen engeller ve reddeder. En sert eylemdir. Kritik veri sınıfları (ör. kredi kartı, TCKN) için uygundur.
  • Mask: Eşleşen içeriği [REDACTED] (veya özel replacement metni) ile değiştirerek isteği iletir. Hem güvenlik hem de kullanılabilirlik sağlar. En yaygın kullanılan eylemdir.
  • Redact: Hassas veriyi tamamen kaldırarak isteği iletir. Mask'ten farkı, yerine bir metin koymamasıdır.
  • Log: İsteği değiştirmeden iletir ve eşleşmeyi kayıt altına alır. İzleme ve denetim amaçlı kullanılır; ancak veri hala sağlayıcıya gider.

Doğru eylem seçimi, güvenlik sertliği ile kullanıcı deneyimi arasındaki dengeyi belirler.

Global ve ACL-Bound Kapsamı

Her PII kuralı iki kapsamdan birinde çalışır:

  • Global: Her proxy isteğinde otomatik olarak çalışır. Kuralın bir Model ACL kuralına bağlanması gerekmez. Tüm trafikte kesinlikle korunması gereken veri sınıfları için uygundur.
  • ACL-bound: Yalnızca bir Model ACL kuralına bağlandığında çalışır. Bu sayede belirli model veya kapsam koşullarında seçici PII koruması sağlanır. Yeni kurulumlarda built-in kurallar varsayılan olarak ACL-bound'dur.

Bu ayrım, aşırı geniş koruma ile hedefe yönelik koruma arasındaki dengeyi kurmak için kullanılır.

Built-in ve Custom Kurallar

Arceris, yaygın veri sınıfları için hazır built-in kurallarla gelir (ör. e-posta, telefon, IBAN). Bu kurallar hızlı başlangıç sağlar ve ACL-bound kapsamındadır.

Kurumlar kendi veri sınıflarını (ör. çalışan ID, proje kodu, özel kimlik numarası) tanımlamak için custom kural oluşturabilir. En iyi operasyon modeli, hazır kuralları temel almak ve kurum özelindeki veri risklerini custom kurallarla genişletmektir.

Playground Sekmesi — Test Aracı

Playground sekmesi, tanımlanan PII kurallarının gerçek metin üzerinde nasıl çalıştığını test etmek için kullanılır. Canlı kullanıma geçmeden önce kural davranışını kontrollü biçimde gözlemlemeyi sağlar.

Kullanım Akışı:

  1. Input Text alanına taranacak metin yapıştırılır. Varsayılan örnek metin ile başlanabilir.
  2. Filter Rules: İsteğe bağlı olarak yalnızca belirli kurallar seçilebilir. Hiçbir kural seçilmezse tüm kurallar çalıştırılır.
  3. Run Scan butonuna tıklanır.

Sonuçlar üç bölümden oluşur:

  • Highlighted Matches: Orijinal metin üzerinde eşleşen kısımlar kırmızı renkle vurgulanır. Kaç eşleşme bulunduğu badge ile gösterilir.
  • Sanitized Output: Mask/Redact eylemleri uygulandıktan sonraki temizlenmiş metin.
  • Match Table: Her eşleşme için kural ID'si ve yakalanan değer listelenir.

Bu araç, yanlış pozitif (false positive) ve yanlış negatif (false negative) risklerini azaltmak açısından değerlidir. Yeni bir kural eklendiğinde mutlaka Playground'da test edilmesi önerilir.

PII Kurallarının Access Management ile Bağlanması

Kuralın tanımlanması ile bir kullanıcı veya grup üzerinde etkili olması aynı şey değildir. ACL-bound kurallar, Access Management üzerinden bir hedefe (kullanıcı/grup) ve bir Model ACL kuralına bağlanarak etkinleşir. Bu bağlama sırasında kuralın varsayılan eylemi (action) hedef bazında da override edilebilir (ör. globalde "mask" olan bir kuralı belirli bir grupta "block" olarak zorlamak).

Global kurallar ise herhangi bir bağlama gerektirmez; tüm trafikte otomatik olarak çalışır.

İstek ve Yanıt Tarama Davranışı

PII denetimi varsayılan olarak istek tarafında çalışır. Yanıt tarafında da PII taraması isteniyorsa, Settings → Response Scanning bölümünde "Scan for PII" toggle'ı etkinleştirilmelidir. Bu sayede hem kullanıcının gönderdiği veri hem de modelin döndürdüğü içerik kurumsal politika açısından değerlendirilebilir.

PII koruması, Arceris'in en temel güvenlik işlevlerinden biridir. Amaç, hassas veya kişisel verilerin yapay zeka servislerine kontrolsüz biçimde gönderilmesini önlemek ya da kurum politikasına uygun şekilde işlenmesini sağlamaktır.

Bu alan yalnızca teknik bir maskeleme özelliği değil; veri koruma ve uyumluluk yaklaşımının ürün içindeki karşılığıdır.

PII Rule Library

PII kuralları reusable kütüphane mantığıyla yönetilir. Böylece kurum, veri sınıflarını ve eşleşme mantıklarını merkezi olarak tanımlayabilir.

Bu kütüphane yaklaşımı, hassas veri korumasının bireysel ekranlara dağılmadan standartlaşmasını sağlar.

Kural Aksiyonları: Block, Mask, Log

PII eşleşmesinde verilecek aksiyon, kurumun risk yaklaşımını doğrudan belirler:

  • Block Trafiği tamamen engeller
  • Mask İçeriği değiştirerek iletir
  • Log Eşleşmeyi kaydeder, ancak akışı durdurmaz

Doğru aksiyon seçimi, güvenlik sertliği ile kullanıcı deneyimi arasındaki dengeyi belirler.

Built-in ve Custom Kurallar

Arceris, hazır gelen built-in kurallarla hızlı başlangıç sağlar; ancak kurumun kendi veri sınıflarını tanımlayabilmesi için custom kural yaklaşımını da destekler. En iyi operasyon modeli, hazır kuralları temel almak ve kurum özelindeki veri risklerini custom kurallarla genişletmektir.

Global ve ACL-Bound Çalışma Mantığı

PII kuralları her zaman aynı kapsamda çalışmak zorunda değildir. Bazı kurallar global davranabilirken, bazıları yalnızca belirli erişim bağlamlarında etkin olabilir. Bu ayrım, aşırı geniş koruma ile hedefe yönelik koruma arasındaki dengeyi kurmak için önemlidir.

PII Test Aracı

PII kuralı tanımlamak kadar, tanımlanan kuralın beklenen şekilde çalışıp çalışmadığını doğrulamak da önemlidir. Test aracı, operatörün canlı kullanıma geçmeden önce kural davranışını kontrollü biçimde gözlemlemesini sağlar.

Bu alan, yanlış pozitif ve yanlış negatif risklerini azaltmak açısından değerlidir.

İstek ve Yanıt Tarama Davranışı

PII denetimi yalnızca istek tarafında değil, gerekli senaryolarda yanıt tarafında da anlam kazanır. Bu sayede hem kullanıcının gönderdiği veri hem de modelin döndürdüğü içerik kurumsal politika açısından değerlendirilebilir.

Operasyon ekipleri bu kapsamı performans ve koruma ihtiyacını birlikte düşünerek belirlemelidir.

PII Kurallarının Access Management ile Bağlanması

Kuralın var olması ile kullanıcı veya grup üzerinde etkili olması aynı şey değildir. PII kuralları, gerekli olduğunda Access Management üzerinden hedef bağlamına bağlanarak daha kontrollü ve bağlama duyarlı hale getirilebilir.