Dinaminis sutartinių punktų susiejimas su DI saugumo klausimynams

Kodėl svarbu susieti sutartinius punktus

Saugumo klausimynai yra B2B SaaS sandorių vartų sargai. Įprastiniame klausiminyje klausiama, pavyzdžiui:

„Ar duomenis šifruojate rastoje būsenoje? Pateikite punkto nuorodą iš savo Paslaugų sutarties.“
„Koks jūsų incidentų reagavimo laikas? Nurodykite atitinkamą nuostatą savo Duomenų apdorojimo priedėlyje.“

Tiksliai atsakyti į šiuos klausimus reiškia surasti tikslią nuostata tarp daugybės sutarčių, priedų ir politika dokumentų. Tradicinis rankinis metodas turi tris kritines trūkumus:

Laiko sąnaudos – Saugumo komandos praleidžia valandas ieškodamos tinkamo pastraipos.
Žmogaus klaidos – Netinkama nuoroda į punktą gali sukelti atitikties spragas arba audito nesėkmes.
Pasenę nuorodos – Sutartys keičiasi; senų punktų numeriai tampa nebegaliojantys, tačiau klausimyno atsakymai lieka nepakoreguoti.

Dinaminio sutartinių punktų žemėlapio (DCCM) variklis sprendžia visas šias problemas, paverčiant sutarčių saugyklas į paiešką, savaime prižiūrimą žinių grafiką, kuris generuoja realaus laiko, DI‑sugeneruotus klausimyno atsakymus.

DCCM variklio pagrindinė architektūra

Žemiau pateikiamas aukšto lygio DCCM duomenų srauto vaizdas. Diagrama naudoja Mermaid sintaksę, kad parodytų duomenų srautą ir sprendimo punktus.

  stateDiagram-v2
    [*] --> IngestContracts: "Document Ingestion"
    IngestContracts --> ExtractText: "OCR & Text Extraction"
    ExtractText --> Chunkify: "Semantic Chunking"
    Chunkify --> EmbedChunks: "Vector Embedding (RAG)"
    EmbedChunks --> BuildKG: "Knowledge Graph Construction"
    BuildKG --> UpdateLedger: "Attribution Ledger Entry"
    UpdateLedger --> [*]

    state AIResponder {
        ReceiveQuestion --> RetrieveRelevantChunks: "Vector Search"
        RetrieveRelevantChunks --> RAGGenerator: "Retrieval‑Augmented Generation"
        RAGGenerator --> ExplainabilityLayer: "Citation & Confidence Scores"
        ExplainabilityLayer --> ReturnAnswer: "Formatted Answer with Clause Links"
    }

    [*] --> AIResponder

Svarbiausi komponentai (paaiškinimas)

Komponentas	Tikslas	Technologijos
IngestContracts	Įkelti sutartis, priedus, SaaS sąlygas iš debesų saugyklų, SharePoint ar GitOps saugyklų.	Event‑driven Lambda, S3 triggers
ExtractText	Konvertuoti PDF, skenų ir Word failus į gryną tekstą.	OCR (Tesseract), Apache Tika
Chunkify	Suskaidyti dokumentus į semantiškai nuoseklias sekcijas (dažniausiai 1‑2 pastraipas).	Nuosavas NLP skaidiklis, pagrįstas antraštėmis ir punktų hierarchija
EmbedChunks	Koduoti kiekvieną fragmentą į tankų vektorių panašumo paieškai.	Sentence‑Transformers (all‑MiniLM‑L12‑v2)
BuildKG	Sukurti savybių grafiką, kur mazgai = punktai, ryšiai = nuorodos, įsipareigojimai arba susiję standartai.	Neo4j + GraphQL API
UpdateLedger	Įrašyti nekeičiama patikimumo įrašą kiekvienam pridėtam arba modifikuotam fragmentui.	Hyperledger Fabric (append‑only ledger)
RetrieveRelevantChunks	Rasti top‑k panašiausius fragmentus pagal pateiktą klausimyno užklausą.	FAISS / Milvus vector DB
RAGGenerator	Kombinuoti gautą tekstą su LLM, kad sukurtų glaustą atsakymą.	OpenAI GPT‑4o / Anthropic Claude‑3.5
ExplainabilityLayer	Pridėti citatas, pasitikėjimo balus ir vizualinį fragmento iškarpą.	LangChain Explainability Toolkit
ReturnAnswer	Grąžinti atsakymą «Procurize» UI su paspaudžiamomis punktų nuorodomis.	React front‑end + Markdown rendering

Retrieval‑Augmented Generation (RAG) sutampa su sutartine tikslumu

Standartiniai LLM gali „hallucinoti“, kai jų prašo pateikti sutarties nuorodas. Įkurdindami generavimą į realų sutarties fragmentą, DCCM variklis garantuoja faktinį tikslumą:

Užklausos vektorizavimas – Vartotojo klausimyno tekstas paverčiamas į vektorių.
Top‑k paieška – FAISS grąžina penkis (k=5) labiausiai panašius sutarties fragmentus.
Užklausos formavimas – Gauti fragmentai įterpiami į sistemos priminimą, kuris priverčia LLM citatuoti šaltinį aiškiai:

You are a compliance assistant. Use ONLY the provided contract excerpts to answer the question. 
For each answer, end with "Clause: <DocumentID>#<ClauseNumber>".
If the excerpt does not contain enough detail, respond with "Information not available".

Po‑apdorojimas – Variklis išnagrinėja LLM išvestį, patikrina, ar kiekviena nurodyta nuoroda egzistuoja žinių grafe, ir priskiria pasitikėjimo balą (0‑100). Jei balas krenta žemiau konfigūruoto slenksčio (pvz., 70), atsakymas žymimas peržiūrai žmogaus.

Paaiškinamas priskyrimo ledgeris

Auditoriai reikalauja įrodymo, iš kur kilo kiekvienas atsakymas. DCCM variklis įrašo kriptografiškai pasirašytą ledgerio įrašą kiekvienam susiejimo įvykiui:

{
  "question_id": "Q-2025-07-12-001",
  "answer_hash": "sha256:8f3e...",
  "referenced_clause": "SA-2024-08#12.3",
  "vector_similarity": 0.94,
  "llm_confidence": 88,
  "timestamp": "2025-12-01T08:31:45Z",
  "signature": "0xABCD..."
}

Šis ledgeris:

Suteikia nekeičiama audito pėdsaką.
Leidžia zero‑knowledge proof užklausas, kai reguliuotojas gali patvirtinti citatos egzistavimą be visos sutarties atskleidimo.
Palaiko policy‑as‑code vykdymą – jei punktas sensta, ledgeris automatiškai žymi visus priklausomus klausimyno atsakymus peržiūrai.

Real‑time prisitaikymas prie punktų pasikeitimų

Sutartys yra besikeičiantys dokumentai. Kai punktas redaguojamas, Change‑Detection Service iš naujo apskaičiuoja vektorius paveiktam fragmentui, atnaujina žinių grafiką ir regeneruoja ledgerio įrašus visiems klausimyno atsakymams, kurie naudodavosi modifikuotu punktu. Šis ciklas paprastai trunka 2‑5 sekundes, todėl „Procurize“ vartotojo sąsaja visada rodo naujausią sutarties kalbą.

Pavyzdys

Originalus punktas (Versija 1)

“Data shall be encrypted at rest using AES‑256.”

Atnaujintas punktas (Versija 2)

“Data shall be encrypted at rest using AES‑256 or ChaCha20‑Poly1305, whichever is deemed more appropriate.”

Pasikeitus versijai:

Atnaujinamas punktų embedings.
Visi atsakymai, kurie anksčiau citavo „Clause 2.1“, yra iš naujo apdorojami per RAG generatorių.
Jei atnaujintas punktas įveda pasirinkimo galimybę, pasitikėjimo balas gali nukristi, todėl saugos peržiūrėtojas patikrina atsakymą.
Ledgeris įrašo drift įvykį, susiejantį seną ir naują punktų ID.

Kuo matuojami privalumai

Metrika	Prieš DCCM	Po DCCM (30‑dienų pilotas)
Vidutinis laikas atsakyti į klausimą su nuoroda į punktą	12 min (rankinis paieškos)	18 sek (DI‑valdomas)
Žmogiškų klaidų dažnis (neteisingos citatos)	4,2 %	0,3 %
Procentas atsakymų, kuriuos reikia peržiūrėti po sutarties atnaujinimo	22 %	5 %
Auditoriaus pasitenkinimo balas (1‑10)	6	9
Bendras klausimyno įvykdymo galiojimo sumažinimas	35 %	78 %

Šie skaičiai rodo, kaip vienas AI variklis gali paversti problematišką „siaubą“ į konkurencinį pranašumą.

Įgyvendinimo kontrolinis sąrašas saugumo komandų

Dokumentų centralizavimas – Įsitikinkite, kad visos sutartys yra saugomos mašinomis skaitomose saugyklose (PDF, DOCX arba paprasti tekstai).
Metaduomenų praturtinimas – Priskirkite kiekvienai sutartiai etiketes: vendor, type (SA, DPA, SLA), effective_date.
Prieigos kontrolė – DCCM tarnybai suteikite tik skaitymo teises; rašymo teisės apsiriboja tik ledgerio dalimi.
Politikos valdymas – Nustatykite pasitikėjimo slenkstį (pvz., > 80 % automatinis priėmimas).
Žmogaus įsikišimas (HITL) – Priskirkite atitikties peržiūrėtoją, kuris sprendžia žemas pasitikėjimo vertes.
Nuolatinė stebėsena – Įjunkite įspėjimus apie punktų pasikeitimo įvykius, kurių rizikos balas viršija slenkstį.

Laikantis šio sąrašo, diegimas vyks sklandžiai, o investicijų grąža – maksimaliai.

Ateities planas

Ketvirtis	Iniciatyva
Q1 2026	Daugiakalbė punktų paieška – išnaudoti daugiakalbę embedų technologiją, kad palaikytume sutartis prancūzų, vokiečių ir japonų kalbomis.
Q2 2026	Zero‑Knowledge Proof auditai – leisti reguliuotojams patikrinti punktų kilmę neatskleidžiant viso sutarties teksto.
Q3 2026	Edge‑AI įdiegimas – vykdyti embedų pipeline vietoje, skirtą itin reguliuojamoms pramonėms (finansai, sveikata).
Q4 2026	Generuojantys sutarties punktų šablonai – kai trūksta reikiamo punkto, variklis pasiūlys paruoštą tekstą, atitinkantį sektoriaus standartus.

Išvada

Dinaminis sutartinių punktų žemėlapis sujungia teisinį tekstą ir saugumo klausimynų poreikius. Naudodami Retrieval‑Augmented Generation, semantinius žinių grafus, nekeičiama ledgerio patikimumą ir realaus laiko pasikeitimų aptikimą, „Procurize“ suteikia saugumo komandoms galimybę atsakyti greitai, tiksliai ir su auditoriaus patvirtintu pagrindu.

SaaS įmonėms, siekiančioms laimėti įmonės sandorius greičiau, DCCM variklis nebėra patogus priedas – tai neprivaloma konkurencinio pranašumo priemonė.