Instagram, 2026 itibarıyla küçük işletmelerden büyük markalara kadar müşteri etkileşiminin merkezinde. Ancak DM otomasyonu, yorum yanıtları ve AI destekli müşteri hizmetleri kurarken Meta'nın platform politikalarına uyum, başarının önkoşulu. Allync, Meta Verified Tech Provider statüsünde Instagram Business AI çözümleri sunar; bu rehberde 2026'nın doğru yaklaşımlarını teknik detaylarıyla anlatıyoruz.
Instagram Business AI Nedir?
Instagram Business AI, bir markanın Instagram Business veya Creator hesabına gelen DM'leri, yorumları ve story mention'larını yapay zeka ile analiz edip kullanıcıya otomatik, kişiselleştirilmiş yanıtlar veren sistemdir. Allync mimarisinde bu sistem, Meta'nın resmi Graph API ve Instagram OAuth akışı üzerinden çalışır; tarayıcı otomasyonu, scraping veya resmi olmayan SDK kullanmaz.
Kurumsal düzeyde Instagram Business AI sisteminin temel bileşenleri şunlardır:
- OAuth tabanlı kimlik doğrulama: Kullanıcı, Meta'nın login ekranıyla yetki verir; Allync hiçbir zaman Instagram parolası görmez
- Long-lived access token yönetimi: 60 günlük token'lar otomatik rotasyonla yenilenir
- Webhook tabanlı olay akışı: Yeni DM/yorum geldiğinde Meta sunucudan push gönderir, polling yapılmaz
- AI yanıt motoru: Marka tonuna ve bilgi tabanına göre yanıt üreten LLM
- Politika uyum katmanı: 24 saat kuralı, 7 günlük private reply, karakter limitleri ve veri minimizasyonu
Allync Meta Verified Tech Provider
Allync, Meta tarafından Instagram Business için doğrulanmış teknoloji sağlayıcısıdır. WhatsApp ve Instagram entegrasyonlarımız tamamen izole, ayrı Meta uygulamaları olarak çalışır; bir platformda yaşanan değişiklik diğerini etkilemez.
Meta İzinleri (Scopes) ve Anlamları
Instagram Graph API, izin tabanlı bir modelle çalışır. Bir uygulamanın yapabilecekleri, kullanıcının verdiği izinlerle (scope) sınırlıdır. Allync entegrasyonu üç temel izin etrafında inşa edilmiştir:
instagram_business_basic
Instagram Business veya Creator hesabının temel profil verilerine, kullanıcı kimliğine ve hesap istatistiklerine erişim sağlar. Bu izin olmadan hesap doğrulaması bile yapılamaz. Erişim sınırlıdır: takipçi listesi, story görüntüleyenler, beğenen kullanıcılar veya arama geçmişi bu izinle alınamaz.
instagram_business_manage_messages
DM kutusuna gelen mesajları okumayı ve mesaj göndermeyi sağlar. Yalnızca Meta App Review'dan geçmiş, gerçek bir iş ihtiyacı olan uygulamalara verilir. Allync'in Instagram entegrasyonu bu iznin onaylı kullanıcısıdır. AI yanıt motorunun mesaj okuyup yanıt yazabilmesinin teknik temeli budur.
instagram_business_manage_comments
Gönderilerin yorumlarını okumayı, yorumları yanıtlamayı ve gerektiğinde gizlemeyi mümkün kılar. Burada önemli bir ayrım var: Instagram, top-level (üst düzey) yorumlara doğrudan reply ile yanıt verilmesine ve uygun durumlarda private reply ile DM'e yönlendirilmesine izin verir; sub-comment (yanıt yorumu) için ise yalnızca top-level yorumun parent'ı altında yanıt yazılabilir.
24 Saat Kuralı ve 7 Günlük Private Reply
Meta, kullanıcıyı spam'den korumak için iki kritik zaman penceresi tanımlar. Bu pencerelerin doğru anlaşılması, hem politika uyumu hem de kampanya tasarımı için kritiktir.
24 Saat Mesajlaşma Penceresi
Bir kullanıcı bir markaya DM yazdığında, marka o anda 24 saatlik bir mesajlaşma penceresi kazanır. Bu pencere içinde marka, kullanıcının ilk mesajına standart şablon kısıtlaması olmadan yanıt verebilir. Pencere her yeni kullanıcı mesajıyla sıfırlanır. Pencerenin dışına çıkıldığında proaktif DM gönderilemez; bu kuralı çiğneyen uygulamalar Meta tarafından kalıcı olarak askıya alınır.
7 Günlük Private Reply Window
Bir kullanıcı bir gönderiye yorum yaptığında, marka 7 gün boyunca o yorumu yapan kullanıcıya tek seferlik bir DM gönderebilir. Bu, "yorum yap, DM'den fiyat listesi gönderelim" senaryosunun temelidir. 7 gün dolduktan sonra private reply hakkı kaybedilir; o yorum üzerinden yeni DM açılamaz.
Hız Limitleri
Instagram Graph API, kullanıcı/post kombinasyonu başına saatlik istek sınırı uygular. Tipik olarak bir uygulama, aynı kullanıcı + aynı post kombinasyonu için saatlik birkaç private reply hakkıyla sınırlandırılır. Allync, bu limitleri istemci tarafında modeller; limit aşımı yaklaştığında istekleri kuyruğa alır ve sıraya soktuğu mesajları sonraki saatte gönderir.
AI Yanıtlarını Karakter Limitlerine Uydurmak
Meta, Instagram Messaging API üzerinden gönderilen mesajlara karakter limiti koyar. Bu limitler aşıldığında istek API tarafından reddedilir; üretim ortamında bu, yanıtsız kalmış müşteri demektir.
Public Comment Reply: 900 Karakter
Bir gönderinin yorumuna verilen public reply, en fazla 900 karakterdir. AI motorunuzun çıktısı uzun olabilir; bu yüzden Allync prompt'larında "yanıtın 900 karakteri aşmamalı, gerekiyorsa DM'e yönlendir" kuralı bulunur ve bir post-processing katmanı son güvenliği sağlar.
Private Reply (DM via Comment): 950 Karakter
Yorumdan tetiklenen private reply DM'leri 950 karakter sınırına tabidir. Daha uzun bilgi paylaşmak gerekiyorsa, kullanıcıyı bir sonraki adımda standart DM akışına yönlendirip "Detaylar için bana yazabilirsiniz" mesajıyla pencereyi açık tutmak en iyi yaklaşımdır.
Standart DM
Standart DM mesajları (yani 24 saat penceresi içinde gelen normal yanıtlar) 1000 karakter civarındadır. Yine de 950 karakter altında tutmak güvenli bir alt sınırdır.
Toplanmaması Gereken Veriler
Meta Platform Terms ve Instagram Platform Policy çok net: bazı veriler, izin verilse bile toplanamaz, saklanamaz veya başka amaçlarla kullanılamaz. Bu kuralı çiğnemek uygulamanın kalıcı yasaklanmasına yol açar.
- Takipçi listeleri — Hesabın takipçilerinin kullanıcı adı/ID listesi indirilemez
- Story görüntüleyenler — Kim hangi story'yi gördü verisi saklanamaz
- Beğeni / yorum yapan kullanıcı havuzu — Demografik analiz veya targeting için kullanılamaz
- Arama geçmişi — Kullanıcının uygulama içi arama davranışı
- Diğer kullanıcıların kişisel bilgileri — DM'leşme dışındaki üçüncü kişilerin verileri
Allync, yalnızca aktif konuşmadaki kullanıcının mesaj metnini, gönderim zaman damgasını ve gönderen IGSID'sini işler. Profil resmi, telefon numarası, e-posta gibi PII'ler proaktif olarak çekilmez; iş gereği zorunlu değilse asla saklanmaz. Bu, hem Meta uyumu hem de KVKK/GDPR veri minimizasyonu prensibinin doğal sonucudur.
Webhook Güvenliği: x-hub-signature-256
Instagram Business AI'da DM ve yorum olayları, polling yerine webhook ile alınır. Meta, sizin URL'inize HTTP POST gönderir. Bu noktada en kritik güvenlik adımı, gelen isteğin gerçekten Meta'dan geldiğini doğrulamaktır.
HMAC SHA-256 İmza Doğrulaması
Meta, her webhook isteğine x-hub-signature-256 header'ı ekler. Bu header, request body'nin App Secret ile hesaplanmış HMAC SHA-256 imzasıdır. Sunucu tarafında aynı hesaplamayı yapıp gelen imzayla karşılaştırılır:
- Request body'yi raw byte olarak al (parse etmeden önce)
hmac.new(app_secret, body, sha256).hexdigest()hesapla- Header'daki
sha256=...ile constant-time compare ile karşılaştır - Eşleşmiyorsa 403 dön ve isteği logla
Allync, bu doğrulamayı framework seviyesinde uygular; ek olarak timestamp doğrulaması, idempotency key kontrolü (aynı event ID iki kez gelirse ikinci tetiklenme yutulur) ve rate limiting katmanları çalışır.
Token Yönetimi
Long-lived access token'lar 60 gün geçerlidir ancak süresi dolmadan refresh edilebilir. Allync, token'ları otomatik olarak süresinin dolmasından 10 gün önce rotasyona sokar. Token'lar veritabanında AES-256 şifreli saklanır; yanlışlıkla loglara düşmemesi için merkezi log redaction filtresi vardır.
Etkili AI Yanıtları Yazma Sanatı
Teknik uyum kurulduktan sonra ikinci aşama, AI'nın yazdığı metnin gerçekten iş sonucu üretmesidir. Allync deneyiminden öne çıkan ilkeler:
Marka Tonuna Sadık Kal
AI, "robot gibi cevap veren" duygusu yaratırsa kullanıcı kaçar. Sistem prompt'unda marka sesini, hitap şeklini, emoji kullanım kuralını netçe tanımla. Bir lüks marka ile bir genç giyim markasının DM'i aynı tonda olamaz.
Kısa Tut, CTA Koy
Mobilde DM penceresi dar. 200-400 karakter arası net cevap + tek bir net CTA ("WhatsApp'tan ulaşın", "linkimize tıklayın") en iyi dönüşüm formülüdür.
Halüsinasyondan Kaçın
AI fiyat, stok, kargo süresi gibi doğruluğu kritik bilgileri uydurabilir. Bu verileri RAG ile gerçek zamanlı veri kaynağına bağla, AI'nın ezberinden konuşmasını engelle. Allync mimarisi, bu tip alanları katı semantik kontrolle yönetir.
İnsana Devretme Mekanizması
Karmaşık şikayet, hassas konu (sağlık, hukuk) veya öfkeli müşteri tespitinde AI yanıt vermeyi bırakıp insan ekibe pas vermeli. Sentiment analizi + topic detection ile bu otomatik tetiklenebilir.
Story Mention'lar ve Reaction'lar
Instagram'ın özelliği yalnızca DM ve yorum değil. Kullanıcı bir story'de markayı mention ettiğinde, marka hesabına özel bir DM olayı düşer. Bu, hızlı bir teşekkür mesajıyla ilişkiyi pekiştirmenin altın fırsatıdır. Allync, story mention webhook'unu otomatik olarak işler ve kişiye özel kısa bir teşekkür/etkileşim DM'i gönderir.
Aynı şekilde mesaj reaction'ları (kalp, beğeni, gülme vb.) ayrı bir webhook olayı olarak gelir; bunları AI motoruna sentiment sinyali olarak besleyebilir, müşteri memnuniyetini ölçebilirsiniz.
Sıkça Sorulan Sorular
Instagram DM otomatik yanıtı Meta kurallarına uygun mu?
Evet. Allync, Meta Verified Tech Provider statüsünde olup yalnızca Meta'nın resmi Instagram OAuth akışı ve Graph API üzerinden çalışır. AI otomatik yanıtları, kullanıcının ilk mesajını veya story mention'ını izleyen 24 saatlik mesajlaşma penceresi içinde gönderilir. Bu pencerenin dışında proaktif DM gönderilemez. Ayrıca yorum-DM senaryolarında Instagram'ın 7 günlük private reply kuralına uyulur.
Hangi Instagram izinlerine (scope) ihtiyaç var?
Allync entegrasyonu üç temel izin kullanır: instagram_business_basic profil ve hesap bilgisine erişim için, instagram_business_manage_messages DM okuma ve yazma için, instagram_business_manage_comments yorum okuma ve sub-comment yanıtı için. Bu izinler Meta App Review sürecinden geçmiş ve onaylanmıştır.
Instagram'da hız limitleri ve 24 saat kuralı nasıl çalışır?
Instagram Messaging API kullanıcı başına ve kullanıcı/post kombinasyonu başına saatlik istek limiti uygular. 24 saat kuralı: bir kullanıcıya yalnızca son etkileşiminden itibaren 24 saat içinde standart yanıt gönderilebilir. Yorumdan DM'e dönüşümlerde ise 7 günlük private reply penceresi geçerlidir; bu pencereden sonra bot proaktif mesaj atamaz.
Toplanması yasak veriler hangileri?
Meta Platform Terms gereği takipçi listesi, story görüntüleyenler, beğenen kullanıcılar, arama geçmişi, profil keşif verileri ve diğer kullanıcıların kişisel bilgileri toplanamaz, saklanamaz veya AI eğitiminde kullanılamaz. Allync yalnızca mesaj metni, gönderim zaman damgası ve gönderici IGSID'sini Meta'nın izin verdiği kapsamda işler.
Webhook güvenliği nasıl sağlanıyor?
Allync, Meta'dan gelen her webhook isteğini x-hub-signature-256 header'ındaki HMAC SHA-256 imzasıyla doğrular. App secret ile hesaplanan HMAC, gelen imzayla zaman-sabit karşılaştırma (constant-time compare) ile eşleşmiyorsa istek reddedilir. Replay saldırılarına karşı timestamp doğrulaması ve idempotency key kontrolü uygulanır.
Allync Hakkında
Allync, Meta Verified Tech Provider olarak Instagram Business ve WhatsApp Business Platform üzerinde uçtan uca AI çözümleri sunar. WhatsApp ve Instagram entegrasyonlarımız birbirinden tamamen izole, ayrı Meta uygulamaları olarak yapılandırılmıştır; bu, bir platformdaki politika değişikliğinin diğerini etkilememesini sağlar.
Müşterilerimizin verisi hiçbir zaman model eğitiminde kullanılmaz. Anthropic ve OpenAI ile imzalı kurumsal DPA'lar bu izolasyonu sözleşme düzeyinde garanti eder. Allync, 2026 itibarıyla restoran, e-ticaret, sağlık, eğitim ve hizmet sektörlerinde Instagram Business AI çözümleri sunar.
Instagram'ınızı 2026'da AI ile Büyütün
Meta uyumlu, kurumsal kalitede Instagram Business AI çözümü için Allync ekibiyle tanışın.
Ücretsiz Görüşme Talep Et