
# AI‑vođeno otkrivanje i rješavanje sukoba politika u stvarnom vremenu preko regulatornih okvira

## Uvod

Pružatelji SaaS‑a djeluju u labirintu preklapajućih regulativa — [GDPR](https://gdpr.eu/), [CCPA](https://oag.ca.gov/privacy/ccpa), [SOC 2](https://secureframe.com/hub/soc-2/what-is-soc-2), [ISO 27001](https://www.iso.org/standard/27001), [PCI‑DSS](https://www.pcisecuritystandards.org/pci_security/), te industrijski specifični zahtjevi poput [HIPAA](https://www.hhs.gov/hipaa/index.html) ili [FedRAMP](https://www.fedramp.gov/). Kada sigurnosni upitnik ili javna stranica povjerenja referira na više okvira, mogu se pojaviti suptilni kontradikcije:

* **Čuvanje podataka**: GDPR propisuje “pravo na zaborav”, dok neki industrijski standardi zahtijevaju čuvanje zapisa 7 godina.  
* **Standardi šifriranja**: PCI‑DSS zahtijeva AES‑256 za podatke o karticama, dok određeni stariji ugovori još uvijek spominju slabije algoritme.  
* **Kontrole pristupa**: princip “need‑to‑know” iz ISO 27001 može biti u sukobu s GDPR‑om‑vođenim pravilom “minimizacija podataka” koje ograničava profiliranje korisnika.

Ovi sukobi rijetko se otkriju tijekom ručnih revizija jer su skriveni među deseticama politika, dokaza i odgovora na upitnike. Posljedica? Odgođeni auditi, pravni rizici i izgubljeni prihodi.

Upoznajte **AI‑vođeno otkrivanje i automatsko rješavanje sukoba politika u stvarnom vremenu** — sustav koji neprekidno prima ažuriranja politika, mapira ih na jedinstveni graf znanja, označava kontradikcije u trenutku nastanka i predlaže konkretne korake otklanjanja. U ovom članku istražit ćemo problem, arhitekturu, AI tehnike koje to omogućuju i praktične smjernice za implementaciju rješenja u vašoj organizaciji.

---

## Zašto tradicionalni pristupi ne uspijevaju

| Tradicionalna metoda | Ograničenje |
|----------------------|-------------|
| **Ručno pregledavanje politika** | Ljudski pregledavači propuštaju rijetke kontradikcije; skaliranje na stotine dokumenata je nemoguće. |
| **Statički popisi za usklađenost** | Popisi pretpostavljaju jedinstvenu mapu između kontrola i regulativa, zanemarujući nijansirane preklapanja. |
| **Motori temeljeni na pravilima** | Hard‑kodirana pravila postaju krhka kako regulative evoluiraju; njihovo održavanje je posao punog radnog vremena. |
| **Periodični auditi** | Auditi se provode kvartalno ili godišnje, ostavljajući veliko razdoblje u kojem sukobi mogu ostati neprimijećeni. |

Ovi pristupi tretiraju usklađenost kao **trenutni snimak**, a ne **živo, dinamično stanje**. Moderni SaaS okviri zahtijevaju **real‑time, podatkovno‑vođeni** pristup koji se može odmah prilagoditi regulatornim promjenama, izdanjima proizvoda i novim dokazima.

---

## Osnovni pojmovi

### 1. Unified Regulatory Knowledge Graph (URKG)

Graf‑bazirana reprezentacija koja obuhvaća:

* **Klauzule regulative** (čvorovi) – npr. “Podaci se moraju izbrisati na zahtjev.”
* **Mapiranje kontrola** – veze na interne kontrole, dokazne artefakte i odgovore na upitnike.
* **Odnos sukoba** – rubovi koji označavaju potencijalne kontradikcije (npr. “RetentionPeriodConflict”).

### 2. Event‑Driven Ingestion Pipeline

Svaka promjena — uređivanje politike, novi dokaz, odgovor na upitnik ili vanjsko ažuriranje regulative — emitira se kao događaj (Kafka, Pulsar ili AWS EventBridge). Cjevovod normalizira payload, obogaćuje ga metapodacima i ažurira URKG u gotovo stvarnom vremenu.

### 3. Conflict Detection Engine (CDE)

Kombinira:

* **Heuristike temeljene na pravilima** za očite kontradikcije (npr. “Retention > 7 godina vs. GDPR pravo na brisanje”).
* **Graph Neural Networks (GNN‑ovi)** koji uče latentne nespojivosti iz povijesnih rješenja sukoba.
* **Razmišljanje velikog jezičnog modela (LLM)** za interpretaciju dvosmislenih klauzula na prirodnom jeziku i otkrivanje skrivenih sukoba.

### 4. Automated Resolution Engine (ARE)

Kada se otkrije sukob, ARE:

1. **Klasificira** tip sukoba (čuvanje, šifriranje, pristup, itd.).
2. **Generira** prijedloge otklanjanja koristeći Retrieval‑Augmented Generation (RAG) koji povlači informacije iz kurirane biblioteke politika.
3. **Rangira** prijedloge prema utjecaju, naporu i riziku usklađenosti pomoću laganog XAI modela.
4. **Stvara** tiket za otklanjanje u alatu za radni tijek organizacije (Jira, ServiceNow) s priloženim planom ažuriranja dokaza.

---

## Pregled arhitekture

```mermaid
graph LR
    subgraph Ingestion
        A[Policy Edit Event] -->|Kafka| B[Event Processor]
        C[Regulatory Update Feed] -->|Kafka| B
        D[Questionnaire Answer] -->|Kafka| B
    end
    B --> E[Normalization & Enrichment]
    E --> F[URKG Store (Neo4j)]
    subgraph Detection
        F --> G[Rule Engine]
        F --> H[GNN Conflict Model]
        F --> I[LLM Reasoning Service]
        G --> J[Conflict Candidates]
        H --> J
        I --> J
    end
    J --> K[Conflict Scoring & Prioritization]
    K --> L[Alert Service (Slack, Email)]
    K --> M[Automated Resolution Engine]
    M --> N[Remediation Ticket Generator]
    N --> O[Workflow System]
    style Ingestion fill:#f9f,stroke:#333,stroke-width:2px
    style Detection fill:#bbf,stroke:#333,stroke-width:2px
```

*Dijagram prikazuje cjelokupni tijek podataka od unosa događaja do otkrivanja sukoba, upozorenja i automatskog otklanjanja.*

---

## AI tehnike u detalje

### Graph Neural Networks za otkrivanje latentnih sukoba

* **Ulaz**: Podgraf povezanih klauzula regulative i pripadajućih kontrola.  
* **Trening podaci**: Povijesni zapisi sukoba označeni od strane timova za usklađenost.  
* **Cilj**: Predvidjeti vjerojatnost sukoba za bilo koji par čvorova, čak i kada ne postoji izričito pravilo.

### Retrieval‑Augmented Generation (RAG) za otklanjanje

* **Retriever**: Vektorsko pretraživanje kroz kurirani korpus najboljih praksi usklađenosti (NIST, ISO, industrijski bijeli papiri).  
* **Generator**: LLM (npr. Claude‑3 ili GPT‑4o) koji sintetizira plan otklanjanja, citirajući najrelevantnije izvore.

### Explainable AI (XAI) za povjerenje

* **SHAP vrijednosti** na izlazu GNN‑a ističu koje atribute klauzula najviše doprinose rezultatu sukoba.  
* **LLM “thought chain”** se bilježi i prikazuje revizorima, osiguravajući transparentnost.

---

## Plan implementacije

| Faza | Milestones | Ključni isporučivi |
|------|------------|--------------------|
| **1. Osnove** | Postaviti event bus, uspostaviti Neo4j klaster, definirati shemu za URKG. | Cjevovod za unos podataka, osnovni graf znanja. |
| **2. Uvoz podataka** | Uvesti postojeće politike, dokaze i odgovore na upitnike. | Popunjen URKG s verzioniranim čvorovima. |
| **3. MVP za otkrivanje sukoba** | Implementirati heuristike temeljene na pravilima, istrenirati jednostavan GNN na pilot skupu podataka. | Prvi set upozorenja na sukobe, pregled na dashboardu. |
| **4. RAG integracija** | Izgraditi indeks retrievera, fino podesiti LLM na primjere otklanjanja. | Automatski prijedlozi otklanjanja. |
| **5. XAI sloj** | Dodati SHAP vizualizacije, zapise LLM‑ovog razmišljanja. | Transparentni izvještaji o sukobima. |
| **6. Produkcijsko puštanje** | Povezati s ticketing sustavom, postaviti usmjeravanje upozorenja, definirati SLA za otklanjanje. | Potpuno automatizirano, real‑time upravljanje sukobima. |
| **7. Kontinuirano učenje** | Prikupljati riješene sukobe, kvartalno retrenirati GNN. | Poboljšana točnost otkrivanja kroz vrijeme. |

---

## Primjer iz prakse

**Tvrtka:** CloudSecure SaaS (fiktivno)  
**Problem:** Nakon GDPR amandmana, klauzula “pravo na brisanje” sukobila se s postojećim SOC 2 dokazom koji je zahtijevao čuvanje logova 5 godina za audit.  

**Otkrivanje:** CDE je označio **RetentionPeriodConflict** s pouzdanošću 0,92.  

**Otklanjanje:** ARE je generirao tri opcije:

1. **Arhivirati logove** u šifriranom, nepromjenjivom skladištu 5 godina, uz održavanje zasebnog indeksa koji se može izbrisati na zahtjev.  
2. **Implementirati dvostruku politiku čuvanja**: čuvati sirove logove 5 godina, a obrađene metapodatke 2 godine (GDPR‑uskladivo).  
3. **Zatražiti smjernice regulatora** i dokumentirati opravdani izuzetak.

Tim za usklađenost odabrao je opciju 2, sustav je automatski ažurirao dokaz, kreirao Jira tiket i zabilježio odluku u URKG za buduću referencu.

**Rezultat:** Sukob je riješen u roku od 4 sata, spremnost za audit se poboljšala, a isti obrazac je automatski spriječen u budućim ažuriranjima politika.

---

## Prednosti

| Prednost | Utjecaj |
|----------|---------|
| **Trenutačna vidljivost** | Sukobi se pojavljuju u trenutku promjene politike, eliminirajući mjesečne „slijepe točke“. |
| **Smanjen ručni napor** | Automatsko otkrivanje smanjuje vrijeme revizije usklađenosti za do 70 %. |
| **Veće povjerenje revizora** | XAI objašnjenja zadovoljavaju revizore koji zahtijevaju sljedivost. |
| **Skalabilnost kroz okvire** | URKG može primiti bilo koji broj regulativa, čineći rješenje budućim. |
| **Kontinuirano poboljšanje** | Povratne informacije retreniraju GNN, čineći motor pametnijim s vremenom. |

---

## Najbolje prakse i zamke

| Treba raditi | Ne raditi |
|--------------|-----------|
| **Početi s minimalnim grafom** – fokusirati se na regulative s najvećim utjecajem. | **Prekomjerno inženjerirati shemu** prije nego što imate stvarne podatke; složenost usporava usvajanje. |
| **Održavati verzionirane čvorove** – svaka izmjena politike stvara novu verziju čvora. | **Smatrati graf statičkim**; ignorirati potrebu za kontinuiranim obogaćivanjem. |
| **Uključiti pravne, sigurnosne i proizvodne timove** u definiciju heuristika sukoba. | **Oslanjati se isključivo na AI**; uvijek imati ljudsku kontrolu za odluke visokog rizika. |
| **Praćenje stope lažnih pozitivnih** i redovito prilagođavati pragove. | **Zanemariti zamor od upozorenja**; previše niskorizičnih upozorenja erodira povjerenje. |
| **Dokumentirati akcije otklanjanja** natrag u graf za audit trail. | **Bacati riješene sukobe**; oni su vrijedni podaci za trening. |

---

## Smjerovi za budućnost

1. **Federirani grafovi znanja** – dijeliti anonimizirane podatke o sukobima među industrijskim konsortijima bez otkrivanja vlasničkih politika.  
2. **Validacija nultog znanja (Zero‑Knowledge Proof)** – dokazivati usklađenost bez otkrivanja podataka, povećavajući privatnost.  
3. **Digitalni blizanac regulative** – simulirati utjecaj nadolazećih zakona na URKG prije nego što postanu pravni.  
4. **Multimodalno izvlačenje dokaza** – kombinirati tekst, PDF i analizu slika (npr. snimke UI dijaloga pristanka) za obogaćivanje grafa.  

Kako regulative postaju dinamičnije, a SaaS proizvodi složeniji, sposobnost **otkrivanja i rješavanja sukoba politika u stvarnom vremenu** preći će iz konkurentske prednosti u nužnu usklađenost.

---

## Zaključak

Sukobi između regulatornih politika predstavljaju skriveni izvor rizika za pružatelje SaaS‑a. Korištenjem AI‑vođenog, događaj‑centriranog arhitektonskog pristupa temeljenog na jedinstvenom grafu regulatornog znanja, organizacije mogu prijeći s reaktivnih audita na proaktivnu, kontinuiranu usklađenost. Kombinacija pravila, graf‑neuronskih mreža i LLM‑pogonjenog otklanjanja donosi i brzinu i objašnjivost — ključne sastavnice za stjecanje povjerenja dionika i ubrzanje tržišnog tempa.

Implementacija ovog rješenja zahtijeva pažljivo planiranje, suradnju među funkcijama i predanost kontinuiranom učenju, ali nagrada — smanjena auditna opterećenja, manji pravni rizik i brži prodajni ciklusi — svakako opravdava ulaganje.