Yapay Zeka Sunumları Gizli Veriler İçin Güvenli mi? 2026 için Bir Güvenlik Kılavuzu

Kullanılan araca ve veriye bağlı. 2026 itibarıyla, güvenlik duruşuna göre üç sınıf yapay zeka sunum aracı mevcut: (1) içeriğinizi eğitim için kullanabilen tüketici araçları (varsayılan olarak gizli veriler için güvenli değil); (2) eğitim yapmama taahhütleri ve SOC 2 Type II sertifikası olan iş düzeyi araçlar (çoğu dahili veri için kabul edilebilir); (3) SSO, denetim günlükleri, veri konumu seçenekleri ve saklamama modları olan kurumsal düzey araçlar (düzenlenmiş sektörler için gerekli). Dürüst kısayol: gizli verileri asla ücretsiz bir tüketici yapay zeka aracına yapıştırmayın. 2026'da çoğu kurumsal ekip için, kurumsal düzey bir slayt oluşturucu — veya özel bir örnek çalıştırmak — SOC 2, GDPR ve HIPAA gibi sektöre özgü kurallarla uyumluluk için minimum standarttır. Risk nadiren slayt aracının kendisinde; genellikle temel LLM sağlayıcısı, saklama süresi ve ekibinizin yapılandırmayı unuttuğu erişim kontrollerindedir. Bu üçünü doğru yapın ve yapay zeka sunumları Google Docs'tan daha riskli olmaz.

Kuruluşunuz için yapay zeka sunum araçlarını değerlendiren bir satın alma lideri, hukuk müşaviri veya güvenlik mühendisiyseniz, bu kılavuz tek bir gizli slaytın oluşturucuya yapıştırılmadan önce neyin doğrulanması gerektiğini açıklamaktadır.

AI Sunum Araçlarının Üç Güvenlik Seviyesi

Her AI sunum aracı verilerinize aynı şekilde davranmaz. Herhangi bir satıcıyı değerlendirmeden önce, hangi seviyeye baktığınızı bilmek faydalıdır.

Seviye 1: Tüketici (gizli veriler için riskli)

Ücretsiz veya düşük maliyetli tüketici planları öğrenciler, bireysel içerik üreticileri ve hobiciler için tasarlanmıştır. Genellikle satıcının AI'larını geliştirmek için içeriğinizi kullanmasına izin veren veri kullanım maddeleri içerirler — pratikte bu, sunu içeriklerinizin kaydedilebileceği, saklanabileceği ve eğitim setlerinde kullanılabileceği anlamına gelir.

Bu seviyedeki örnekler: Gamma'nın ücretsiz katmanları, Canva Free ve çoğu giriş gerektirmeyen web oluşturucuları. Gamma'nın kendi belgelerinde, ücretsiz planlarda verilerin varsayılan olarak AI özelliklerini geliştirmek için kullanıldığı ve kullanıcıların manuel olarak devre dışı bırakması gerektiği belirtilir; Teams ve Business planları bu ayarı devre dışı bırakır ve kilitler.

Sonuç: Ders projeleri, kişisel sunumlar veya açık pazarlama içeriği için kabul edilebilir. NDA kapsamındaki içerikler, müşteri verileri, finansal belgeler, yasal dokümanlar veya düzenlenmiş kayıtlar için kabul edilemez.

Seviye 2: İş (çoğu dahili veri için kabul edilebilir)

İş düzeyi planlar, eğitim devre dışı bırakma, veri saklama ve üçüncü taraf denetimleriyle ilgili sözleşmesel taahhütler ekler. Minimum gereksinim, güncel bir SOC 2 Type II raporu, aktarımda TLS 1.2+ şifreleme, beklemede AES-256 ve müşteri içeriği üzerinde eğitim yapmama taahhüdüdür.

Bu seviyedeki örnekler: Gamma Business, Beautiful.ai (SOC 2 Type II, CCPA ve GDPR onaylarına sahiptir), Plus AI (SOC 2 Type II, eğitim yapmama taahhüdü) ve Canva'nın ücretli katmanları (SOC 2 Type II ve ISO 27001 sertifikalı).

Sonuç: Veri sınıflandırma politikanız bu kategorinin SaaS işlemesine izin verdiği sürece, çoğu dahili kurumsal içerik için kabul edilebilir — yönetim kurulu güncellemeleri, dahili eğitimler, satış sunumları, ürün yol haritaları.

Seviye 3: Kurumsal (düzenlenmiş veriler için gerekli)

Kurumsal seviye, SSO/SAML, SCIM sağlama, rol tabanlı erişim kontrolü, detaylı denetim kayıtları, yapılandırılabilir veri yerleşimi, GDPR Standart Sözleşme Hükümleri ile imzalanmış DPA'lar ve — sağlık hizmetleri için — imzalanmış İş Ortağı Anlaşması (BAA) ekler. Bazı satıcılar ayrıca sıfır saklama modları, müşteri tarafından yönetilen anahtarlar veya özel model dağıtımları sunar.

Bu seviyedeki örnekler: Microsoft 365 Copilot (Microsoft'un kurumsal BAA, SOC 2, ISO 27001, FedRAMP ve AB Veri Sınırı kapsamındadır), 2Slides Enterprise ve müşteri kontrollü altyapıda açık kaynaklı oluşturucuların özel dağıtımları.

Sonuç: Sağlık hizmetleri (PHI), finansal hizmetler (MNPI), yasal ayrıcalık, savunma veya belirli düzenleyici çerçevelere tabi herhangi bir veri için gereklidir.

Gizli Verileri Yapıştırmadan Önce Kontrol Edilmesi Gerekenler

Herhangi bir gizli slaytı herhangi bir AI aracına girmeden önce bu kontrol listesini kullanın. Bir sağlayıcı sekiz sorunun tamamını genel dokümantasyonla yanıtlayamıyorsa, güvenlik ekibine yükseltin veya farklı bir araç seçin.

1. Eğitim dışı bırakma — İçeriğinizin sağlayıcının veya herhangi bir alt işlemcinin AI modellerini eğitmek için kullanılmayacağına dair sözleşmesel bir taahhüt var mı? Katmanınız için varsayılan olarak açık mı, yoksa katılımla mı etkin?
2. Veri saklama politikası — İçeriğiniz sağlayıcının sunucularında ne kadar süre saklanır? API çağrıları için sıfır saklama modu var mı?
3. SOC 2 Type II raporu erişilebilirliği — NDA altında güncel (12 aydan eski olmayan) bir SOC 2 Type II raporu alabilir misiniz? Type I yeterli değildir — yalnızca tasarımı onaylar, operasyonel etkinliği değil.
4. Dinlenme ve aktarım sırasında şifreleme — Veriler aktarım sırasında TLS 1.2 veya üzeri, dinlenme sırasında AES-256 ile mi şifrelenir? Anahtarları kim tutar?
5. Bölge ve yerleşim seçenekleri — İşleme ve depolamayı belirli bir bölgeye (EU, US, APAC) sabitleyebilir misiniz? EU Veri Sınırı taahhüdü var mı?
6. SSO — Sağlayıcı katmanınızda SAML 2.0 veya OIDC SSO'yu destekliyor mu, böylece IdP'niz erişimi kontrol edebilir mi?
7. Denetim günlükleri — Kullanıcı eylemleri (oturum açma, belge erişimi, dışa aktarma, paylaşım) günlüğe kaydediliyor ve SIEM'inize aktarılabiliyor mu?
8. Alt işlemci listesi — Sağlayıcı, verilerinize dokunan LLM sağlayıcılarını, bulut altyapısını ve analitik satıcılarını adlandıran bir alt işlemci listesi yayınlıyor mu? Değişiklikler için önceden bildirim var mı?

Büyük Araçların Güvenlik Karşılaştırması

2026 itibariyle her satıcının kamuya açık belirtilen belgelerine dayanmaktadır. Bir yeteneğin kamuya açık olarak belirtilmediği durumlarda, bu tablo tahmin yapmak yerine bu durumu belirtir.

HIPAA iş yükleri için, Microsoft 365 Copilot bu listedeki Microsoft'un mevcut kurumsal BAA'sı aracılığıyla açık BAA kapsamını yayınlayan tek satıcıdır. Diğer tüm satıcılar için, herhangi bir PHI yüklemeden önce HIPAA kapsamını "satış ekibiyle iletişime geçin ve yazılı olarak alın" şeklinde değerlendirin.

Veri Yerleşimi ve GDPR

AB kuruluşları ve AB vatandaşlarının verilerini işleyen herhangi bir ABD şirketi için GDPR, "veri nerede bulunuyor?" sorusuna savunulabilir bir yanıt gerektirir.

Microsoft 365 Copilot şu anda en net hikayeye sahiptir: AB Veri Sınırı'nın bir parçasıdır, yani orada sağlanan kiracılar için istemler, yanıtlar ve temel veriler AB coğrafyası içinde kalır. Mart 2024'te kapsanan bir iş yükü olarak eklenmiştir.

Diğer satıcılar için AB veri yerleşimi genellikle yalnızca müzakere edilen kurumsal sözleşmelerde mevcuttur veya hiç kamuya sunulmaz. GDPR kapsamında bir veri denetleyicisiyseniz, şunları talep edin:

• AB dışındaki aktarımlar için Standart Sözleşme Hükümleri (SCC'ler) içeren imzalı bir Veri İşleme Eki (DPA)
• Yayınlanmış bir alt işlemci listesi ve değişiklik bildirimi süreci
• Herhangi bir ABD merkezli LLM alt işlemcisi (OpenAI, Anthropic, Google) için belgelenmiş Transfer Etki Değerlendirmeleri

"GDPR'ye uygunuz" bir yerleşim garantisi değildir. Bir konuşmanın başlangıç noktasıdır.

HIPAA ve Sağlık Hizmetleri

ABD sağlık hizmeti sunucuları ve iş ortakları, imzalanmış bir İş Ortağı Anlaşması (BAA) olmadan Korumalı Sağlık Bilgilerini (PHI) herhangi bir yapay zeka aracına gönderemez. Bu bir en iyi uygulama değil — 45 CFR Bölüm 164 kapsamında yasal bir gerekliliktir.

2026 itibarıyla, Microsoft 365 Copilot en doğrudan yoldur: Microsoft 365 kiracınıza bağlı HIPAA uyumlu hizmetler için Microsoft'un kurumsal BAA'sı kapsamındadır. Dağıtım hala kiracı yapılandırması gerektirir — her Microsoft hizmeti kapsam dahilinde değildir ve BAA yalnızca sözleşmenizin kapsadığını söylediğini kapsar.

Diğer yapay zeka sunum araçlarının çoğu için HIPAA kapsamı ya kamuya açık olarak belirtilmemiştir ya da yalnızca özel kurumsal sözleşmeler aracılığıyla sağlanmaktadır. Kuruluşunuz PHI ile çalışıyorsa, gerçekçi seçenekler şunlardır:

1. HIPAA için doğru şekilde yapılandırılmış bir kiracıyla Microsoft 365 Copilot kullanın
2. Açıkça BAA imzalayan bir satıcı kullanın (satış ekibiyle iletişime geçin, BAA kapsamını dikkatlice inceleyin)
3. HIPAA uyumlu altyapıda (imzalanmış BAA'lara sahip AWS, Azure veya GCP) açık kaynaklı bir slayt oluşturucunun özel örneğini dağıtın

Sağlık hizmetleri sunumlarında uyumluluk desenlerinin daha ayrıntılı bir incelemesi için sağlık hizmetleri ve tıbbi slaytlar için yapay zeka sunumları rehberimize bakın.

Peki Ya Arka Planda Kullanılan LLM Sağlayıcıları?

İşte çoğu tedarik incelemesinin gözden kaçırdığı kısım. AI sunum araçları nadiren kendi temel modellerini eğitir. OpenAI, Anthropic veya Google Gemini'den API'ler çağırırlar — bu da verilerinizin gizlilik duruşunun bir değil, iki politikanın kesişimi olduğu anlamına gelir.

Güven zinciri şöyle görünür:

Siz → Sunum satıcısı → LLM sağlayıcısı

Bir slayt oluşturucu "verileriniz üzerinde eğitim yapmıyoruz" sözü verebilir, ancak LLM alt işlemcisi de eğitim yapmama ve uygun saklama taahhüdünde bulunmadıkça, verileriniz o satıcının koşulları altında LLM sağlayıcısının kayıtlarında bulunur.

İyi haber: büyük LLM sağlayıcıları 2026 itibariyle olgun kurumsal koşullara sahip.

• OpenAI API: API aracılığıyla gönderilen veriler Mart 2023'ten beri modelleri eğitmek için kullanılmamaktadır (açıkça kabul etmediğiniz sürece). Standart katmanda kötüye kullanım izleme için varsayılan saklama süresi 30 gündür. Sıfır Veri Saklama (ZDR), uygun uç noktalar ve kurumsal müşteriler için talep üzerine mevcuttur.
• Anthropic API: Benzer şekilde varsayılan olarak eğitim yapmama duruşu; kurumsal katmanlar ek kontroller sunar.
• Vertex AI üzerinden Google Gemini: Kurumsal koşullar, eğitim yapmama taahhütleri ve bölge sabitleme sağlar.

Sunum satıcınıza sormanız gerekenler: "Hangi LLM sağlayıcısını ve uç noktasını kullanıyorsunuz? Trafik bir ZDR veya saklama yapmama anlaşması altında mı? Bize DPA zincirini gösterebilir misiniz?" Cevap "tüketici ChatGPT ürününü kullanıyoruz" ise, bu bir kırmızı bayraktır — tüketici ChatGPT'sinin API'den farklı varsayılan koşulları vardır. Özellikle hukuk ekipleri, sektöre özel rehberlik için hukuk ekipleri ve dava özetleri için AI sunumları analizimizi okumalıdır.

Sıkça Sorulan Sorular

ChatGPT'yi gizli slaytlar oluşturmak için kullanabilir miyim?

Ücretsiz veya Plus bireysel katmanlarında kullanamazsınız; bu katmanlar içeriğinizi modelleri geliştirmek için saklayabilir ve kullanabilir. ChatGPT Team, Enterprise, Business veya API üzerinden varsayılan olarak veriler eğitim için kullanılmaz ve Enterprise, SOC 2, SSO ve yönetici kontrollerini ekler. Verileriniz HIPAA'ya tabi ise veya imzalı bir BAA gerektiriyorsa, ChatGPT for Healthcare'i kullanın veya Microsoft BAA kapsamında Azure OpenAI üzerinden yönlendirin.

Bir finansal CSV dosyasını bir AI sunum aracına yüklemek uygun mu?

Yalnızca eğitim yapmama taahhüdü, SOC 2 Type II ve beklemede şifreleme sunan bir işletme veya kurumsal katmana yükleyin. Hiçbir satıcının ücretsiz katmanına asla yüklemeyin. Önemli kamuya açık olmayan bilgiler (MNPI) için, SSO, denetim günlükleri ve tercihen LLM tarafında sıfır saklama modu olan bir kurumsal aracı tercih edin.

Hangi araçlar HIPAA uyumludur?

Microsoft 365 Copilot, uygun HIPAA hizmetleri için Microsoft'un kurumsal BAA'sı kapsamındadır. Diğer çoğu AI sunum aracı için HIPAA kapsamı kamuya açık olarak belirtilmemiştir ve açık bir BAA ile kurumsal satış yoluyla müzakere edilmelidir. Asla varsaymayın — PHI göndermeden önce her zaman BAA'yı imzalatın.

2Slides verilerim üzerinde eğitim yapıyor mu?

2Slides Gizlilik Politikası'na göre (son güncelleme 17 Mart 2026), 2Slides ücretsiz kullanımda AI modellerini geliştirmek için içerik ve kullanım verilerini kullanır, ancak gizlilik kontrolleri etkinleştirilmiş ücretli planlarda içerik AI eğitimi için kullanılmaz. SSO, denetim günlükleri ve sıfır saklama modları dahil kurumsal gereksinimler için 2Slides ekibi ile iletişime geçin.

Peki ya yerinde veya özel AI slayt oluşturma?

En katı veri ikamet veya gizli veri gereksinimlerine sahip kuruluşlar için, özel bir dağıtım bazen tek savunulabilir çözümdür. Bu genellikle, müşteri altyapısında barındırılan bir LLM'ye (örneğin, müşteri altyapısında bir Llama veya Mistral varyantı) karşı veya müşteri tarafından yönetilen anahtarlarla bir ZDR sözleşmesi altında bir kurumsal LLM uç noktasına karşı açık kaynaklı bir slayt oluşturma hattı çalıştırmak anlamına gelir. Takas, maliyet, operasyonel yük ve daha yavaş model güncellemeleridir — ancak savunma, istihbarat ve bazı sağlık ortamları için bu tek yoldur.

Sonuç

Soru "yapay zeka gizli sunumlar için güvenli mi?" değil — "hangi yapay zeka aracı katmanı, hangi sözleşme altında, hangi LLM alt işlemcisiyle, hangi veri sınıflandırması için?" olmalıdır. Spesifik olun ve cevap yönetilebilir hale gelir.

Çoğu organizasyon üç kategoriden birine girer. Pazarlama, dahili eğitim ve satış destek ekipleri, SOC 2 Type II ve eğitim yapmama taahhütlerine sahip iş katmanı yapay zeka sunum araçlarını güvenle kullanabilir. Kurumsal BT, finans ve hukuk ekipleri Katman 3 kontrolleri talep etmelidir: SSO, denetim kayıtları, uygun yerlerde AB veri yerleşimi ve imzalanmış bir DPA. Sağlık, savunma ve düzenlenmiş finans sektörleri açık BAA'lar içeren kurumsal sözleşmelere veya özel dağıtımlara ihtiyaç duyar. En kötü sonuç orta yoldur — bir demo'da iyi göründüğü için tüketici aracını kurumsal düzeyde güvenli olarak değerlendirmek. Sekiz maddelik kontrol listesini bir kez yapın, tedarikçi alım formunuza yazın ve geri kalanı tekrarlanabilir hale gelir.

Net veri kontrolleriyle üretime hazır sunumlar için 2Slides'ı deneyin — veya SSO ve denetim kaydı içeren kurumsal planlar hakkında ekibimizle iletişime geçin.