ERP, CRM, Redmine ve kurum içi bilgi tabanınızı zaten devreye aldınız; farklı yapay zekâ araçlarını da denediniz. Ama sonuç çoğu zaman aynı oldu: “iki pencere arasında sürekli geçiş yapmak, içerikleri kopyalayıp yapıştırmak.” Çünkü yapay zekâ sizin sistemlerinizi göremiyor, sistemleriniz de yapay zekâ ile nasıl konuşacağını bilmiyor.

Appar Technologies, şirket içi sistemler için MCP Server ve özelleştirilmiş AI Agent çözümleri geliştirerek yapay zekânın gerçek bir çalışma arkadaşı gibi kurum içi sistemlerinizde hızlı ve güvenli şekilde işlem yapmasını sağlar: veri sorgulama, kayıt oluşturma, süreç yürütme. Üstelik kendi tasarladığımız GUARDS güvenlik ilkeleri sayesinde “işlem kapsamı, yetki, işlem logları, geri alma, anomali uyarıları ve maliyet yönetimi” tek çatı altında ele alınır. Böylece kurumsal sistemlerinize sadece bir chatbot eklemek yerine, AI’ı gerçekten dijital bir ekip arkadaşı haline getirir; iç sistemlerle birlikte çalışmasını ve işin tam içine girmesini sağlarız.

1. Kurumsal MCP Server nedir? Neden şirket yöneticileri bunu hemen tanımalı?

MCP (Model Context Protocol), yapay zekâ modellerinin harici sistemlerdeki veri ve fonksiyonlara “tek tip ve standart” bir yöntemle güvenli biçimde erişmesini sağlayan açık bir standarttır. Tersinden bakarsak: Bir sistem MCP Server eklediğinde, farklı AI Agent’lar MCP üzerinden o sistemin verilerine ve işlevlerine hızlıca erişebilir. Kısacası: MCP, yapay zekâyı iş akışlarına hızlıca dahil etmek için geliştirilmiştir. Bu standart Anthropic tarafından Kasım 2024’te duyurulmuştur. Günümüzde Anthropic, OpenAI, Google, Microsoft, AWS ve birçok yapay zekâ servis sağlayıcısı MCP destekli entegrasyonlara yönelmektedir.

Bunu şöyle düşünebilirsiniz: MCP, yapay zekâ için neyse USB de bilgisayar için odur.

Eskiden sistem ile AI entegrasyonu için her seferinde özel ara yazılımlar geliştirmek ve çok sayıda API entegrasyonunu ayrı ayrı yönetmek gerekiyordu. Şimdi ise MCP sayesinde, yapay zekâya açılacak sistemin standart bir arayüz “takması” yeterli; MCP destekleyen her AI Agent bu sisteme doğrudan erişebilir. Sonuç olarak AI entegrasyonu çok daha hızlı olur. Kurumlar açısından MCP’nin en büyük katkısı, entegrasyon karmaşıklığını ciddi ölçüde azaltmasıdır. Böylece şirketler “her iç sistem için ayrı ayrı küçük AI özellikleri deneme” aşamasından çıkıp, “hızlı ve kurumsal ölçekte tam kapsamlı AI Agent uygulamalarını devreye alma” seviyesine geçebilir.

MCP üç temel rolden oluşur. Bunları anlamak, aşağıdaki kullanım senaryolarını daha net görmenizi sağlar:

• MCP Host (AI Agent): Kullanıcının doğrudan kullandığı AI Agent uygulaması. Örneğin: şirket içi AI chatbot, Cursor, Claude vb.
• MCP Client (AI Agent’ın kurumsal sistemi kullanma katmanı): AI Agent uygulaması içinde bu yetenekleri “kullanan” katmandır; AI ile Server arasında köprü görevi görür.
• MCP Server (kurumsal sistem tarafı): Bir iç sistemin yapabildiği işleri, yetki kontrollü şekilde AI’a açar. Örneğin Redmine’daki görev sorgulama veya görev oluşturma fonksiyonlarını AI’ın çağırabileceği araçlara dönüştürür.
  

MCP Server tarafı = sistem yeteneklerini dışa açmak; MCP Client tarafı = AI’ın bu yetenekleri kullanmasını sağlamak.

2. Şirket içi MCP Server hazırlandıktan sonra ne olur? Appar Technologies’in tasarladığı GUARDS güvenliğinin 6 temel ilkesine bakalım

İç sistemleri yapay zekâya açmanın en büyük riski, “sistemi kurmak ama kontrol mekanizmasını kurmamak”tır. ERP sisteminize okuma-yazma yapabilen bir AI Agent, 7/24 çalışan ve gereğinden fazla yetkiye sahip olabilecek yeni bir “çalışan” gibidir. Eğer yönlendirilirse, saldırıya uğrarsa ya da basitçe hata yaparsa zarar görecek olan şey, kurum verilerinin gizliliği ve sistemlerin sürekliliğidir.

Sektörde şimdiden gerçek saldırı yöntemleri görülmektedir. Örneğin: tool poisoning, prompt injection, yetkisiz erişim ve kontrolsüz maliyet artışı. Bu nedenle Appar Technologies, her kurumsal MCP projesinde kendi geliştirdiği GUARDS 6 temel ilkesini tasarım ve kabul standardı olarak uygular.

GUARDS by Appar - Appar Technologies MCP Server Güvenliğinin 6 Temel İlkesi

• G – Gatekeeping (sistem kapsamı sınırları) - Agent sadece gerçekten gerekli sistemlere mi erişiyor?
• U – User Identity (kimlik ve yetki) - AI hesabı insan kullanıcı hesaplarından ayrılmış mı, en düşük yetki prensibi uygulanıyor mu?
• A – Audit (denetim ve izlenebilirlik) - Her giriş, çıkış ve API çağrısı geriye dönük izlenebilir mi?
• R – Rollback (geri alma / hata kurtarma) - Hata olduğunda işlem öncesine hızlıca dönülebiliyor mu veya acil izolasyon sağlanabiliyor mu?
• D – Detection (tespit ve uyarı) - Anormal davranışlar için gerçek zamanlı alarm mekanizması var mı?
• S – Spend Control (maliyet kontrolü) - kullanım limiti ve harcama üst sınırı görünür ve kısıtlanabilir mi?
  

Bu altı madde, kurumsal BT ve siber güvenlik yöneticilerinin en çok önem verdiği kavramlara doğrudan karşılık gelir: RBAC yetki yönetimi, en az yetki ilkesi, denetlenebilirlik (auditability), uyumluluk (compliance), olay müdahalesi ve maliyet yönetişimi. Biz önce özellik geliştirip sonra güvenlik eklemiyoruz; GUARDS’ı MCP geliştirme sürecinin temel standardı olarak ele alıyoruz.

3. GUARDS hangi riskleri önler?

GUARDS ilkelerini, AI Agent’ların gerçek hayatta doğurabileceği risklerle eşleştirince konu çok daha netleşir:

• AI’ın yetki alanını aşmasını önler (Gatekeeping): Sadece iş emri bilgisi sorgulaması yapması gereken bir AI Agent’ın finans ya da insan kaynakları sistemine erişmemesi gerekir. Ayrıca bu Agent saldırıya uğrarsa istisna işleme mekanizmaları devreye girer ve diğer sistem modüllerine yatay yayılım engellenir.
• Sorumluluk karmaşasını ve kimlik bilgisi sızıntısını önler (User Identity): AI, bağımsız servis hesabı, minimum yetki ve kısa ömürlü kimlik bilgileri ile çalışır. Böylece insan hesabını ödünç kullanmaz; “bir sorun oldu ama kimin yaptığı belli değil” problemi ortadan kalkar. Uzun ömürlü anahtarların sızması halinde oluşabilecek büyük risk de azaltılır.
• “AI ne yaptı, kimse bilmiyor” sorununu önler (Audit): Her çağrı, giriş ve çıkış loglanır. Böylece olay sonrası sorumluluk tespiti yapılabilir, denetimde kanıt sunulabilir ve bilgi güvenliği ile mevzuat uyumu şartları desteklenir.
• Geri döndürülemeyen hatalı işlemleri önler (Rollback): AI yanlış ayar değişikliği yaparsa veya veriyi yanlışlıkla silerse hızlı acil geri alma mekanizması devreye girer.
• Saldırıların gizlice ilerlemesini ve prompt injection istismarını önler (Detection): Anormal çağrı kalıpları gerçek zamanlı izlenir; “tool poisoning” ve “prompt injection” gibi yöntemler tespit edildiğinde anında alarm üretilebilir ve otomatik engelleme uygulanabilir.
• Fatura kontrolünün kaybedilmesini önler (Spend Control): Her Agent için kullanım kotası ve bütçe limiti tanımlanır; boşta kalan Agent’lar otomatik kapatılır. Böylece arka planda sonsuz token tüketimi engellenir.
  

GUARDS ilkelerine uyulduğunda, “sisteme entegre edilen AI” kurallı, kontrol edilebilir ve denetlenebilir hale gelir; yani güvenle birlikte çalışabileceğiniz bir dijital ekip arkadaşına dönüşür.

4. MCP Server kullanım senaryoları:
İç sistemleri AI yeteneklerine dönüştürmek

Server tarafının odağı şudur: “Mevcut sistemlerinizin yeteneklerini yapay zekâya hızlı ve güvenli şekilde açmak.” Appar Technologies aşağıdaki sistemler için MCP Server geliştirebilir:

• Proje / görev / iş emri sistemleri (Redmine, Jira): AI; görev sorgulama, görev oluşturma, kapatma ve issue durum analizi yapabilir.
• ERP / stok ve ticari sistemler: AI; stok sorgulama, rapor inceleme ve operasyonel verileri özetleme işlemlerini yapabilir.
• CRM / satış sistemleri: AI; müşteri bilgilerini sorgulayabilir, fırsat ilerlemesini güncelleyebilir ve takip listeleri hazırlayabilir.
• Kurum içi bilgi tabanı / doküman sistemleri: AI; SOP, prosedür, yönetmelik ve teknik dokümanları hassas şekilde arayabilir, “şirket içi sorulara” doğru yanıtlar verebilir.
• Veritabanı / BI platformları: AI, tüm veritabanını açmadan kontrollü şekilde sorgu çalıştırabilir ve belirli çıktılar üretebilir.
• İK / onay / müşteri hizmetleri sistemleri: AI; izin-devam bilgisi sorgulayabilir, formları önceden doldurabilir ve geçmiş kayıtları inceleyebilir.

Her MCP Server, GUARDS prensiplerine göre tasarlanır. Böylece mevcut sistemlerinizi AI için baştan yazmanız gerekmez; sistem içindeki fonksiyonlar AI’ın anlayabileceği ve kullanabileceği standart yetenekler olarak güvenli biçimde paketlenir.

5. MCP Client kullanım senaryoları:
AI Agent’ın sistemlerinizi gerçekten kullanmasını sağlamak

Client tarafının odağı şudur: “Seçtiğiniz AI uygulaması veya Agent’ın, sistemler arasında gerçek görevleri tamamlayabilmesi.” Appar Technologies kurumlar için şu çözümleri geliştirir veya entegre eder:

• Kurum içi AI asistanı / AI dijital çalışan: Birden fazla iç sistemde çalışabilen Agent; ekipler için veri sorgular, kayıt açar, ilerleme derler ve rapor üretir.
• Yazılım ekipleri için IDE entegrasyonu (Cursor / Claude): İç görev sistemini ve kod altyapısını geliştirme araçlarına bağlar; AI’ın ihtiyacı okuyup kod yazmasını ve ilerlemeyi geri işlemesini sağlar.
• Departman otomasyon Agent’ı: Düzenli kontroller yapar, haftalık rapor üretir, anormallikleri tespit edip proaktif bildirim gönderir.
• Yönetici karar destek asistanı: Sistemler arası verileri (ERP + CRM + proje yönetimi) bir araya getirir ve iş kararlarına doğal dille yanıt verir.
• Zamanlanmış iş akışı Agent’ı: Yoğun olmayan saatlerde toplu görevleri otomatik işler; bütçe ve kota sınırlarıyla kontrol altında tutulur.

Burada da her Client, GUARDS kurallarıyla sınırlandırılır: kimlik kontrollüdür, davranışları kayıt altındadır ve maliyet üst sınırına sahiptir. Böylece “AI Agent”, sistem kararlılığını bozacak bir risk kaynağı olmak yerine; görev sınırları belli, işlem kayıtları tutulan dijital bir çalışma arkadaşına dönüşür.

MCP uygulama örneği: Appar Technologies’in kendi iç kullanımı =
Redmine + AI employee + Cursor

Biz sadece müşterilerimiz için çözüm üretmiyoruz; bu sistemi kendi içimizde de aktif olarak kullanıyoruz.
Appar Technologies’in proje yönetim sistemi Redmine olduğu için, bunun etrafında uçtan uca bir AI iş birliği akışı kurduk:

1. adım — Redmine’ı MCP Server’a dönüştürmek.

Redmine’ın temel işlemlerini (görev sorgulama, görev açma, görev kapama, görev sayısı istatistikleri) MCP Server olarak paketledik. Böylece bu fonksiyonlar, AI’ın güvenli şekilde çağırabildiği yeteneklere dönüştü. Redmine her zaman tek doğru kaynak (single source of truth) olarak kalır; tüm proje yöneticileri, yazılım geliştiriciler ve AI aynı sistem üzerinde çalışır. Ayrıca MCP Server tasarımının GUARDS ilkelerine uygun olmasını sağlarız.

2. adım — MCP Client olarak “AI employee” adlı dijital çalışanı oluşturmak.

Redmine için AI employee adında bir eklenti (MCP Client) geliştirdik. Yetkili kişiler görev ataması yapabilir ve doğrudan Redmine içinde işi AI employee’e devredebilir. Örneğin şirketin görev açma standartlarına göre ticket yazmasını, görevi kapatmasını veya istatistik çıkarmasını isteyebilirler. AI employee gerçekten “Redmine üzerinde işlem yapar” ve yaptığı işlemlerin notları da görüntülenebilir.

3. adım — Redmine’ı MCP ile Cursor’a bağlamak.

Aynı zamanda Redmine’ı geliştirme aracı Cursor ile entegre ettik. Cursor düzenli olarak Redmine’daki görevleri kontrol eder, işlenebilir yazılım görevlerini seçer ve çözmeye başlar; işi bitirdiğinde göreve geri yazım yapar. Ayrıca bir ticket’ı anlamazsa veya ihtiyaç tanımı belirsizse, görevi PM’e geri atacak şekilde de eğitilmiştir. Düzgün tamamlanan görevler sonrasında ilgili iş, AI employee’e yönlendirilir.

Böylece verimliliği katlayan bir akış oluşur:

İnsan ekip arkadaşı (ihtiyacı iletir, görev açar) → AI (Cursor) görevi okur, kod yazar, çözüldü olarak işaretler → AI (AI employee) gerektiğinde sistem üzerinde işlem yapar, görevi kapatır ve istatistik üretir → sonuç tekrar insanın değerlendirmesine döner.

Bu sürecin tamamında her AI’ın net bir görev sınırı vardır, her işlem kayıt altına alınır ve maliyet kontrol edilir — işte GUARDS’ın gerçek hayattaki karşılığı budur. Appar Technologies olarak bu iş akışını kendi içimizde kullanıyoruz; son derece verimli buluyor ve aynı yeteneği şirketinize de kazandırmayı değerli görüyoruz.

Kurumsal ölçekte, sahada uygulanmış ve GUARDS ilkelerine sahip bir MCP Server çözümünü şirketinize taşımak ister misiniz?

• Appar Technologies, hem kendi içinde hem de birçok tanınmış müşterisinde GUARDS tasarımına sahip MCP Server çözümlerini devreye almıştır.
• Güvenlik temel önceliktir: Her proje GUARDS’a göre tasarlanır ve kabul edilir; daha ilk satır koddan itibaren siber güvenlik, yetki yönetimi, denetim ve maliyet önceliklidir.
• Mevcut sistemlerinizi değiştirmeden, AI’a kurumsal sistemleri makul, kontrollü ve güvenli şekilde kullanma yeteneği kazandırırız: Kurumsal ERP, CRM veya proje yönetim sistemlerinizi yeniden yazmanız gerekmez; biz bunları AI’ın kullanabileceği güvenli standart arayüzlere dönüştürürüz.
• MCP Server, MCP Client ve AI Agent çözümlerini uçtan uca sunarız: “Sistem yeteneklerini açma” aşamasından “AI’ın gerçekten kullanması” aşamasına kadar tüm süreci tek elden teslim ederiz.

Şirket içi sistemleriniz ile yapay zekânın kusursuz şekilde birlikte çalışmasını sağlayın — işte Appar Technologies’in kurumsal MCP geliştirme hizmeti budur.

*GUARDS by Appar - Appar Technologies MCP Server Güvenliğinin 6 Temel İlkesi, Appar Technologies tarafından 2026 yılındaki dönem ortası iç güvenlik toplantısında ortaya konmuş ve bu yazıda kamuya açık olarak paylaşılmıştır.