Kendi Barındırmalı KVVi Araçları Uyumluluk Denetimlerini Neden Geçemiyor
GDPR kanıt gerektirir. KVVi kaldırmanın her seferinde aynı şekilde yapıldığını göstermeniz gerekiyor. DVK denetçileri bunu kontrol eder. Tüm veriler genelinde net, tutarlı bir yöntem kullanıldığını görmek isterler.
Kendi barındırmalı Presidio'nun burada gerçek bir sorunu var. Bu bir yapılandırma sorunu değil. Kendi barındırmalı NLP araçlarının temel bir sınırı.
Ortam Kayması Nedir?
Kendi barındırmalı Presidio geliştirme, hazırlık ve üretim ortamlarında çalışıyor. Bunların her biri farklı davranabilir. Dolayısıyla aynı girdi her birinde farklı sonuçlar üretebilir.
Buna ortam kayması deniyor. Dört ana nedeni var.
Model Sürümü Kayması
spaCy modelleri sürümlüdür. en_core_web_lg 3.4.4 ve en_core_web_lg 3.5.1 modelleri farklı verilerle eğitildi. Farklı tasarımlar da kullanıyorlar. Dolayısıyla aynı belge her sürümde farklı NER sonuçları verebilir.
Yaygın bir kurulum şöyle görünüyor:
- Geliştirme:
en_core_web_lg 3.4.4— proje başında yüklendi - Hazırlık:
en_core_web_lg 3.5.0— rutin çalışma sırasında güncellendi - Üretim:
en_core_web_lg 3.5.1— bir güvenlik yaması sırasında güncellendi
Bu üç kurulum. Üç model sürümü. Üç farklı tespit sonucu. Testler hazırlık ortamında geçiyor. Ama üretim farklı bir model çalıştırıyor. Dolayısıyla boşluk gizli kalıyor.
Bağımlılık Sürümü Kayması
spaCy 3.4.x ve 3.5.x, cümleleri nasıl böldükleri konusunda farklılık gösteriyor. Bu değişiklik cümle sınırları yakınındaki adların nasıl bulunduğunu etkiliyor. Bu değişiklikler spaCy sürüm notlarında yer alıyor. Ama çoğu ekip bunları KVVi etkisi açısından kontrol etmiyor.
Yapılandırma Kayması
Geliştirmede ayarlanan puan eşikleri üretime taşınmayabilir. Özel kelime listeleri de kurulumlar arasında farklılık gösterebilir. Bu boşluklar yaygın. Nadiren takip ediliyorlar. Denetçilerin ne aradığı için GDPR uyumluluk kılavuzumuza bakın.
Donanım Farklılıkları
NLP modellerindeki matematik tüm CPU ve GPU'larda özdeş değil. Bir tüketici dizüstü bilgisayarı ve bir sunucu biraz farklı puan sonuçları verebilir. Dolayısıyla bazı adlar bir makinede bulunurken diğerinde bulunmayabilir.
Gerçek Bir Denetim Bulgusu
Bir banka kendi barındırmalı Presidio kurulumunu test etti.
Test kurulumu: Hazırlık kümesinde spaCy 3.4.4 ile Presidio. Canlı kurulum: Üretim kümesinde spaCy 3.5.1 ile Presidio.
Aynı belge setini her ikisinden çalıştırdılar. Ardından sonuçları karşılaştırdılar. Bulgu: belgelerin %3'ünde farklı KVVi kaldırma sonuçları vardı. Bazı adlar hazırlık ortamında yakalandı ama üretimde yakalanmadı. Bazılarında farklı tespit edilen metin aralıkları vardı.
Denetim bulgusu açıktı: "Firma, kuruluma özgü tespit çıktısındaki farklılıklar nedeniyle teknik KVVi kaldırma önlemlerinin tutarlı kullanımını gösteremiyor."
GDPR Madde 32 uygun teknik önlemleri gerektiriyor. KVVi kaldırma konusundaki EDPB kuralları tutarlılık ve tekrarlanabilirlik gerektiriyor. Aylık 100.000 belgede %3'lük oran, her ay 3.000 belgede tutarsız sonuç demek. Bazıları yanlış negatif. Hazırlık ortamının yakalayacağı KVVi canlı çıktıda kalıyor. Bu bir uyumluluk başarısızlığı.
Banka ardından yönetilen SaaS'a geçti. Denetim bulgusu kapatıldı. Yönetilen kurulumların bunu nasıl ele aldığı için güvenlik ve uyumluluk sayfamıza bakın.
Yönetilen Hizmetler Neden Farklı
Yönetilen hizmet tek bir motor sürümü çalıştırıyor. Tüm kullanıcılar aynı anda aynı sürümü çalıştırıyor. Model güncellemeleri tek bir yerden uygulanıyor. Yapılandırma da tam değişiklik günlüğüyle tek bir yerden yönetiliyor. Kullanıcı donanımı sonuçları etkilemiyor.
Dolayısıyla bugün işlenen aynı belge gelecek ay aynı sonucu veriyor. Motor sürümü değiştiyse bu değişiklik günlükleniyor ve sürümleniyor.
Denetim izi farkı kritik.
Kendi barındırma denetim izi:
- "Ubuntu 22.04'te spaCy
en_core_web_lg 3.5.1ile Presidio 2.2.35 kullanıldı." - Bu hazırlık ortamındakiyle aynı sürüm müydü? Bilinmiyor.
- Bu belge işlendiğinden beri model değişti mi? Takip edilmediği sürece bilinmiyor.
- Puan eşiği testlerdekiyle aynı mı? Yapılandırma yönetimine bağlı.
Yönetilen hizmet denetim izi:
- "2025-03-15T14:22:31Z'de anonym.legal API, motor sürümü 4.22.1 kullanıldı."
- Tüm kullanıcılar için aynı sürüm mü? Evet.
- Değişti mi? Motor sürümleri sabitlendi. Sürüm 4.22.1 her zaman aynı motoru ifade eder.
- Yapılandırma tekrarlanabilir mi? Evet. Ön ayar kimliği günlüklendi. O sürümdeki yapılandırma alınabilir.
Yönetilen iz açık. Kendi barındırma izi, çoğu ekibin atladığı dikkatli takip gerektiriyor.
Kendi Barındırma Tutarlılığını İyileştirme
Kendi barındırma zorunluysa dört adımla kaymayı azaltabilirsiniz.
Birincisi, model sürümlerini sabitleyin. Tüm dağıtım dosyalarında tam model sürümlerini kilitleyin. Otomatik güncellemeleri engelleyin. Sürümleri kaynak kontrolünde takip edin.
Ardından, konteyner görüntülerini dondurun. İçine gömülü tam model sürümleriyle Docker görüntüleri oluşturun. Her görüntüyü model sürümü, Presidio sürümü ve tarihle etiketleyin. Önce test etmeden temel görüntüleri güncellemeyin.
Ayrıca, yapılandırmayı kodda tutun. Tüm Presidio ayarlarını sürüm kontrolünde takip edilen dosyalarda saklayın. Bu tanımlayıcıları, puan eşiklerini ve etkin dilleri içeriyor. Yapılandırmayı uygulamayla birlikte dağıtın.
Son olarak, kurulumlar arasında test yapın. Herhangi bir güncellemeden sonra sabit bir test belgesi setini yeni kurulumdan çalıştırın. Sonuçları saklanan bir referansla karşılaştırın. Bu kontrolü otomatikleştirin. Otomatik KVVi regresyon testi hakkında sık sorulan sorular için SSS'e bakın.
Bu adımlar yardımcı oluyor. Ama aynı zamanda iş de ekliyor. Yönetilen hizmet ekstra çaba olmadan aynı tutarlılığı sağlıyor.
Özet
Tutarlı KVVi kaldırma ürün sayfalarında görünmüyor. Ama denetçiler kanıt istediğinde kritik hale geliyor.
Aktif dikkat olmadan kendi barındırmalı KVVi araçları kayıyor. Sürüm değişiklikleri sessiz boşluklar ekliyor. Bu boşluklar denetim bulguları olarak ortaya çıkıyor.
Yönetilen hizmetler varsayılan olarak tutarlılık sağlıyor. Motor tek bir yerden çalışıyor. Kullanıcı kurulumları sonuçları etkilemiyor. Uyumluluk odaklı ekipler için bu doğrudan bir avantaj.