Güvenlik Anketleri için AI Destekli Dinamik Sözleşme Maddesi Eşleştirme

Neden Sözleşme Maddelerinin Eşleştirilmesi Önemlidir

Güvenlik anketleri, B2B SaaS anlaşmalarının kontrol noktasıdır. Tipik bir anket şu tür sorular içerir:

“Verileri dinlenirken şifreliyor musunuz? Hizmet Sözleşmenizdeki madde referansını sağlayın.”
“Olay müdahale süreniz nedir? Veri İşleme Ek Sözleşmesindeki ilgili hükmü gösterin.”

Bu sorulara doğru yanıt vermek, çok sayıda sözleşme, ek ve politika belgesi içinde tam maddeleri bulmayı gerektirir. Geleneksel manuel yaklaşım üç temel sorunu beraberinde getirir:

Zaman alıcı – Güvenlik ekipleri doğru paragrafı bulmak için saatler harcar.
İnsan hatası – Yanlış madde referansı uyumsuzluklara ya da denetim hatalarına yol açabilir.
Eskimiş referanslar – Sözleşmeler değiştikçe eski madde numaraları geçersiz olur; ancak anket yanıtları aynı kalır.

Dinamik Sözleşme Maddesi Eşleştirme (DCCM) motoru, sözleşme depolarını gerçek‑zamanlı, kendini yenileyen bir bilgi grafiğine dönüştürerek bu üç problemi aynı anda çözer ve AI‑tabanlı, anlık anket yanıtları üretir.

DCCM Motorunun Temel Mimarisi

Aşağıda DCCM veri akışının üst‑seviye görünümü yer alıyor. Diyagram, veri akışını ve karar noktalarını göstermek için Mermaid sözdizimini kullanıyor.

  stateDiagram-v2
    [*] --> IngestContracts: "Document Ingestion"
    IngestContracts --> ExtractText: "OCR & Text Extraction"
    ExtractText --> Chunkify: "Semantic Chunking"
    Chunkify --> EmbedChunks: "Vector Embedding (RAG)"
    EmbedChunks --> BuildKG: "Knowledge Graph Construction"
    BuildKG --> UpdateLedger: "Attribution Ledger Entry"
    UpdateLedger --> [*]

    state AIResponder {
        ReceiveQuestion --> RetrieveRelevantChunks: "Vector Search"
        RetrieveRelevantChunks --> RAGGenerator: "Retrieval‑Augmented Generation"
        RAGGenerator --> ExplainabilityLayer: "Citation & Confidence Scores"
        ExplainabilityLayer --> ReturnAnswer: "Formatted Answer with Clause Links"
    }

    [*] --> AIResponder

Ana bileşenlerin açıklamaları

Bileşen	Amaç	Kullanılan Teknolojiler
IngestContracts	Sözleşme, ek ve SaaS şartlarını bulut depoları, SharePoint veya GitOps repo’larından çekmek.	Olay‑tabanlı Lambda, S3 tetikleyicileri
ExtractText	PDF, tarama ve Word dosyalarını ham metne dönüştürmek.	OCR (Tesseract), Apache Tika
Chunkify	Belgeleri anlamsal açıdan tutarlı bölümlere (genellikle 1‑2 paragraf) ayırmak.	Başlık ve madde hiyerarşisine dayalı özel NLP bölücü
EmbedChunks	Her bölümü benzerlik araması için yoğun vektöre kodlamak.	Sentence‑Transformers (all‑MiniLM‑L12‑v2)
BuildKG	Düğümler = maddeler, kenarlar = referanslar, yükümlülükler veya ilgili standartlar olan bir özellik grafiği oluşturmak.	Neo4j + GraphQL API
UpdateLedger	Eklenen veya değiştirilen her bölüm için değiştirilemez bir köken kaydı oluşturmak.	Hyperledger Fabric (sadece ek‑ekleme defteri)
RetrieveRelevantChunks	Belirli bir anket sorusu için en benzer bölümleri bulmak.	FAISS / Milvus vektör DB
RAGGenerator	Alınan metni LLM ile birleştirerek özlü bir yanıt üretmek.	OpenAI GPT‑4o / Anthropic Claude‑3.5
ExplainabilityLayer	Atıflar, güven skorları ve madde görüntüsü eklemek.	LangChain Explainability Toolkit
ReturnAnswer	Yanıtı Procurize UI’da tıklanabilir madde linkleriyle sunmak.	React front‑end + Markdown rendering

Retrieval‑Augmented Generation (RAG) ve Sözleşme Kesinliği

Standart LLM’ler sözleşme referansları sorulduğunda hayal ürünleri üretme eğilimindedir. DCCM motoru, üretimi gerçek sözleşme bölümleri üzerine temellendirerek doğruluk garantisi verir:

Soru gömmesi – Kullanıcının anket metni bir vektöre dönüştürülür.
En iyi‑k yaklaşımı – FAISS, en benzer sözleşme bölümlerini (varsayılan k=5) döndürür.
Prompt mühendisliği – Alınan özetler, LLM’i kaynağı mutlaka belirtmeye zorlayan bir sistem prompt’una eklenir:

You are a compliance assistant. Use ONLY the provided contract excerpts to answer the question. 
For each answer, end with "Clause: <DocumentID>#<ClauseNumber>".
If the excerpt does not contain enough detail, respond with "Information not available".

Son işleme – Motor, LLM’in çıktısını ayrıştırır, atıf yapılan her maddenin bilgi grafiğinde varlığını doğrular ve bir güven skoru (0‑100) ekler. Skor belirlenmiş eşik (ör. %70) altında ise yanıt insan incelemesi için işaretlenir.

Açıklanabilir Atıf Defteri (Ledger)

Denetçiler, her yanıtın nereden geldiğine dair kanıt ister. DCCM motoru, her eşleştirme olayı için kriptografik olarak imzalanmış bir defter girdisi yazar:

{
  "question_id": "Q-2025-07-12-001",
  "answer_hash": "sha256:8f3e...",
  "referenced_clause": "SA-2024-08#12.3",
  "vector_similarity": 0.94,
  "llm_confidence": 88,
  "timestamp": "2025-12-01T08:31:45Z",
  "signature": "0xABCD..."
}

Bu defter:

Değiştirilemez bir denetim izi sağlar.
Sıfır‑bilgi kanıtı (zero‑knowledge proof) sorgularına izin vererek bir düzenleyicinin atıf varlığını, sözleşmenin tamamını açığa çıkarmadan doğrulamasını mümkün kılar.
Kod‑olarak‑politika (policy‑as‑code) uygulamasını destekler—bir madde kullanımdan kaldırılırsa, o maddeye dayanan tüm anket yanıtları otomatik olarak yeniden değerlendirilir.

Gerçek‑Zamanlı Madde Kayması (Clause Drift) Adaptasyonu

Sözleşmeler yaşayan belgelerdir. Bir madde değiştiğinde, Değişiklik Algılama Servisi ilgili bölüme ait gömmeleri yeniden hesaplar, bilgi grafiğini günceller ve bu maddeye referans veren tüm anket cevaplarını yeniden oluşturur. Bu döngü genellikle 2‑5 saniye içinde tamamlanır ve Procurize UI her zaman en güncel sözleşme dilini gösterir.

Örnek Senaryo

Eski madde (Sürüm 1):

“Veriler, AES‑256 kullanılarak dinlenirken şifrelenir.”

Güncellenmiş madde (Sürüm 2):

“Veriler, AES‑256 veya ChaCha20‑Poly1305 kullanılarak dinlenirken şifrelenir; hangisi daha uygun görülürse o tercih edilir.”

Sürüm değişikliği gerçekleştiğinde:

Maddenin gömme vektörü yenilenir.
Önceden “Madde 2.1” referansı verilen tüm yanıtlar RAG motorundan tekrar geçirilir.
Güncellenmiş madde isteğe bağlılık içerdiği için güven skoru düşebilir; bu durumda güvenlik inceleme görevlisi yanıtı onaylamalıdır.
Defter, eski ve yeni madde kimliklerini bağlayan bir kayma (drift) olayı kaydeder.

Ölçülen Fayda

Ölçüt	DCCM Öncesi	DCCM Sonrası (30‑gün pilot)
Madde‑referanslı soruya ortalama yanıt süresi	12 dk (manuel arama)	18 sn (AI‑destekli)
İnsan hatası oranı (yanlış atıf)	%4.2	%0.3
Sözleşme güncellemesi sonrası yeniden inceleme oranı	%22	%5
Denetçi memnuniyet skoru (1‑10)	6	9
Toplam anket tamamlama süresi azalışı	%35	%78

Bu rakamlar, tek bir AI motorunun darboğazı rekabet avantajına dönüştürebileceğini gösteriyor.

Güvenlik Ekipleri için Uygulama Kontrol Listesi

Belge Merkezileştirme – Tüm sözleşmelerin makine‑okunur bir depoda (PDF, DOCX veya düz metin) saklandığından emin olun.
Meta‑veri Zenginleştirme – Her sözleşmeye vendor, type (SA, **DPAs, SLA) ve effective_date etiketleri ekleyin.
Erişim Kontrolü – DCCM servisine yalnızca okuma izni verin; yazma izni sadece atıf defterine sınırlı olsun.
Politika Yönetişimi – Bir güven skor eşiği belirleyin (ör. > 80 % otomatik kabul).
İnsana‑İşlem (HITL) – Düşük % güvenli yanıtları yönetecek bir uyum denetleyicisi atayın.
Sürekli İzleme – Risk skoru eşiğini aşan madde kayma olayları için uyarılar etkinleştirin.

Bu adımları izlemek, sorunsuz bir geçiş ve en yüksek Yatırım Getirisi (ROI) sağlar.

Gelecek Yol Haritası

Çeyrek	Girişim
2026 Q1	Çok‑dilli Madde Getirimi – Fransızca, Almanca ve Japonca sözleşmeler için çok‑dilli gömme modelleri kullanılacak.
2026 Q2	Sıfır‑Bilgi Kanıtı Denetimleri – Düzenleyiciler sözleşme kaynağını ifşa etmeden doğrulayabilecek.
2026 Q3	Uç‑AI Dağıtımı – Finans ve sağlık gibi yüksek düzenlemeli sektörler için gömmeler yerel sunucularda çalıştırılacak.
2026 Q4	Oluşturucu Madde Taslağı – Gerekli bir madde eksik olduğunda, motor sektöre özgü standartlarla uyumlu taslak dil önerisi sunacak.

Sonuç

Dinamik Sözleşme Maddesi Eşleştirme, yasal metinleri güvenlik anketi gereksinimleriyle köprüleyen bir çözümdür. Retrieval‑Augmented Generation, anlamsal bilgi grafiği, değiştirilemez atıf defteri ve gerçek‑zamanlı kayma tespitiyle Procurize, güvenlik ekiplerinin güvenle yanıt vermesini, süreci hızlandırmasını ve denetçileri tatmin etmesini sağlar—sözleşmeler otomatik olarak güncel tutulurken.

Kurumsal SaaS şirketlerinin büyük ölçekli anlaşmaları daha hızlı kazanmak istediği günümüzde, DCCM motoru bir tercihten çok bir zorunluluk haline gelmiştir.