CompliWrite AI — EXPLAINER

Concept

CompliWrite AI is a B2B SaaS platform that eliminates the costly compliance review cycle for content teams in regulated industries (FinTech, Pharma, Insurance, Legal).

Instead of writing content → sending to Legal → waiting weeks → rewriting, teams get:

1. AI-generated drafts that are compliance-aware from word one (RAG-enriched prompts).
2. Real-time compliance scoring (0–100) that highlights every problematic phrase before

it ever reaches Legal.

1. Customisable rule engine that lets Compliance Managers upload their own guidelines.
2. Audit-ready compliance reports that serve as the paper trail for regulators.

---

Architecture

┌──────────────────────────────────────────────────────────────┐
│  Client (React / Mobile / CLI)                               │
└────────────────────────┬─────────────────────────────────────┘
                         │ HTTPS  JWT Bearer
┌────────────────────────▼─────────────────────────────────────┐
│  Spring Boot 4.0.4 / Java 25                                 │
│                                                              │
│  AuthController   RuleController   DocumentController        │
│       │                │                  │                  │
│  AuthService      RuleService       DocumentService          │
│       │                │            ┌─────┴──────┐           │
│  JwtService    EmbeddingService  LlmClient  EmbeddingService  │
│                    │   │             │                       │
│              cosine sim│        OpenFeign → LLM API          │
│                        │                                     │
│  ┌─────────────────────▼────────────────────────────────┐    │
│  │  PostgreSQL (JPA / Hibernate 7)                       │    │
│  │  organisations · users · compliance_rules (+ vectors) │    │
│  │  documents · compliance_violations                    │    │
│  └───────────────────────────────────────────────────────┘    │
└──────────────────────────────────────────────────────────────┘

Key Design Decisions

Decision	Rationale
Spring Boot 4 / Java 25	Virtual threads, Records, pattern matching
JWT + RBAC	Stateless; ADMIN/MEMBER/VIEWER separation
Feign → OpenAI-compatible API	Swap model/provider via env var
Embedding stored as TEXT (JSON)	No PGVector extension required for MVP
In-process cosine similarity	Zero infra overhead; upgrade to PGVector later
RAG for generation	Rules are injected into the system prompt → safer drafts
Mock fallback	App runs fully without an LLM API key (demos, CI)

---

Endpoints

Auth (/api/auth) — Public

Method	Path	Description
%%INLINE1%%	%%INLINE2%%	Create account + organisation tenant
%%INLINE3%%	%%INLINE4%%	Authenticate; receive JWT

Register body:

{
  "email": "alice@acme.com",
  "password": "secret123",
  "fullName": "Alice Smith",
  "role": "ADMIN",
  "organizationName": "Acme FinTech",
  "industry": "FINANCE"
}

Login body:

{ "email": "alice@acme.com", "password": "secret123" }

Response (both):

{
  "token": "<JWT>",
  "email": "alice@acme.com",
  "fullName": "Alice Smith",
  "role": "ADMIN",
  "expiresIn": 86400000
}

---

Compliance Rules (/api/organisations/{orgId}/rules)

Requires Authorization: Bearer <JWT>.

POST / PUT / DELETE require ADMIN role.

Method	Path	Description
%%INLINE8%%	%%INLINE9%%	List active rules
%%INLINE10%%	%%INLINE11%%	Get single rule
%%INLINE12%%	%%INLINE13%%	Create rule + generate embedding
%%INLINE14%%	%%INLINE15%%	Update rule + regenerate embedding
%%INLINE16%%	%%INLINE17%%	Soft-delete rule

Create/Update body:

{
  "name": "No Guaranteed Returns",
  "description": "Investment products must not promise or imply guaranteed financial returns",
  "pattern": "guaranteed (return|profit|gain|yield)",
  "suggestion": "Replace with 'potential returns' and add risk disclaimer: 'Past performance is not indicative of future results.'",
  "severity": "CRITICAL",
  "industry": "FINANCE"
}

Response:

{
  "id": "uuid",
  "name": "No Guaranteed Returns",
  "description": "...",
  "pattern": "guaranteed (return|profit|gain|yield)",
  "suggestion": "...",
  "severity": "CRITICAL",
  "industry": "FINANCE",
  "active": true,
  "hasEmbedding": true,
  "createdAt": "2026-04-25T10:00:00",
  "updatedAt": "2026-04-25T10:00:00"
}

---

Documents (/api/documents)

All endpoints require Authorization: Bearer <JWT>.

Analyse existing content

POST /api/documents/analyze

{
  "title": "Q2 Investment Newsletter",
  "content": "Our premium fund offers guaranteed returns of 12% annually with zero risk.",
  "industry": "FINANCE"
}

Response (201):

{
  "document": {
    "id": "uuid",
    "title": "Q2 Investment Newsletter",
    "status": "NON_COMPLIANT",
    "industry": "FINANCE",
    "complianceScore": 50,
    "authorEmail": "alice@acme.com",
    "createdAt": "2026-04-25T10:01:00",
    "analyzedAt": "2026-04-25T10:01:02"
  },
  "report": {
    "documentId": "uuid",
    "documentTitle": "Q2 Investment Newsletter",
    "status": "NON_COMPLIANT",
    "complianceScore": 50,
    "totalViolations": 2,
    "criticalCount": 1,
    "highCount": 1,
    "mediumCount": 0,
    "lowCount": 0,
    "violations": [
      {
        "id": "uuid",
        "ruleName": "No Guaranteed Returns",
        "problematicPhrase": "guaranteed returns of 12%",
        "suggestion": "Replace with 'potential returns' ...",
        "severity": "CRITICAL",
        "startIndex": 45,
        "endIndex": 69
      }
    ],
    "analyzedAt": "2026-04-25T10:01:02",
    "generatedBy": "alice@acme.com"
  }
}

Generate compliant draft

POST /api/documents/generate

{
  "title": "Personal Loan Campaign",
  "templateType": "Personal Loan Ad",
  "industry": "FINANCE",
  "audience": "Adults 25–45 seeking debt consolidation",
  "keyPoints": "Competitive rates, fast approval, flexible terms, no hidden fees"
}

Response format identical to /analyze.

Get compliance report (audit trail)

GET /api/documents/{id}/report

Returns ComplianceReport — the legal audit trail for a processed document.

List organisation documents

GET /api/documents

Returns array of %%INLINE26%% ordered by %%INLINE27%% descending.

---

Compliance Score Algorithm

score = 100 − Σ deductions

CRITICAL violation: −25 pts
HIGH     violation: −15 pts
MEDIUM   violation:  −8 pts
LOW      violation:  −3 pts

score < 0 → clamped to 0

Score	Status
100 (no violations)	COMPLIANT
≥ 50, no CRITICAL	REVIEW_REQUIRED
< 50 or any CRITICAL	NON_COMPLIANT

---

RAG Pattern — How Compliance Rules Are Applied

Document text
    │
    ▼ chunk (80-word windows, 20-word overlap)
[chunk_1] [chunk_2] [chunk_3] ...
    │
    ▼ embed each chunk (LLM embeddings API or mock fallback)
[vec_1]  [vec_2]  [vec_3]  ...
    │
    ▼ cosine similarity vs. all rule vectors (threshold = 0.75)
Matched rules → ComplianceViolation records
    │
    ▼ regex/keyword pattern match (secondary pass)
Additional violations
    │
    ▼ compute score → persist document + violations → return report

For generation, rules are converted to a numbered constraint list and injected into the LLM system prompt before the user's content brief is sent.

---

Business Analysis

TAM / SAM

• TAM: Global RegTech market ~$18B (2026), growing 20% YoY
• SAM: AI-assisted compliance content tools — ~$2B
• Target beachhead: FinTech marketing teams in EU/US (MiFID II, SEC, FTC)

Monetisation

Tier	Price/mo	Users	Docs/mo	Custom Rules
Starter	$299	3	100	20
Growth	$999	15	500	100
Enterprise	Custom	Unlimited	Unlimited	Unlimited

ROI for Customer

• Legal review round: ~4h × $300/h attorney = $1,200/cycle
• CompliWrite eliminates 80% of cycles → $960 saved per document
• At 50 docs/month → $48,000/month in legal savings
• CompliWrite Growth plan: $999/month → 48× ROI

Competitive Moat

1. Domain-specific fine-tuning of rules per industry vertical
2. Audit trail satisfies regulators directly (reduces legal liability)
3. Embedding + RAG makes rules semantic, not just keyword matching
4. White-labeling for Legal/Compliance SaaS platforms

---

How to Run

Prerequisites

• Java 25+
• Maven 3.9+
• PostgreSQL 15+ with uuid-ossp extension
• (Optional) OpenAI API key for real LLM features

1. Database

CREATE DATABASE compliwrite;
CREATE EXTENSION IF NOT EXISTS "uuid-ossp";

2. Environment Variables

export SPRING_DATASOURCE_URL=jdbc:postgresql://localhost:5432/compliwrite
export SPRING_DATASOURCE_USERNAME=postgres
export SPRING_DATASOURCE_PASSWORD=yourpassword
export SPRING_JPA_HIBERNATE_DDL_AUTO=create-drop   # use 'validate' in prod

# Optional — enables real LLM calls
export APP_LLM_API_KEY=sk-...
export APP_LLM_MODEL=gpt-4o-mini
export APP_LLM_EMBEDDING_MODEL=text-embedding-3-small

# Optional — override JWT secret (min 32 chars)
export APP_JWT_SECRET=your-secret-32chars-minimum

3. Build & Run

cd solutions/2026-04-25-compliwrite-ai
mvn clean package -DskipTests
java -jar target/compliwrite-ai-0.0.1-SNAPSHOT.jar

Or with Maven directly:

mvn spring-boot:run

4. Quick Smoke Test

# Register
curl -s -X POST http://localhost:8080/api/auth/register \
  -H 'Content-Type: application/json' \
  -d '{"email":"admin@acme.com","password":"password123","fullName":"Admin","role":"ADMIN","organizationName":"Acme","industry":"FINANCE"}' \
  | jq .token

# Store token
TOKEN=<paste token here>

# Create a compliance rule
ORG_ID=<paste orgId from register response>
curl -s -X POST "http://localhost:8080/api/organisations/$ORG_ID/rules" \
  -H "Authorization: Bearer $TOKEN" \
  -H 'Content-Type: application/json' \
  -d '{"name":"No Guaranteed Returns","description":"Must not promise guaranteed financial returns","pattern":"guaranteed (return|profit)","suggestion":"Use potential returns with risk disclaimer","severity":"CRITICAL","industry":"FINANCE"}'

# Analyse a document
curl -s -X POST http://localhost:8080/api/documents/analyze \
  -H "Authorization: Bearer $TOKEN" \
  -H 'Content-Type: application/json' \
  -d '{"title":"Q2 Newsletter","content":"Our fund guarantees profit of 15% with zero risk.","industry":"FINANCE"}' \
  | jq .report.complianceScore

---

References

• BigIdeasDB — AI SaaS Ideas 2026
• Spring Boot 4.0.4 — https://spring.io/projects/spring-boot
• Spring Security 7 — https://docs.spring.io/spring-security/reference/
• jjwt 0.12.x — https://github.com/jwtk/jjwt
• OpenAI Embeddings API — https://platform.openai.com/docs/guides/embeddings
• RAG pattern — https://arxiv.org/abs/2005.11401
• MiFID II compliance — https://www.esma.europa.eu/regulation/mifid-ii

---

FinOps Analysis para CompliWrite AI

Estimación de Costos Operativos Mensuales (MVP)

Para una micro-startup como CompliWrite AI en su fase de Producto Mínimo Viable (MVP), los costos operativos se centran principalmente en el consumo de APIs de LLM y la infraestructura cloud necesaria para la aplicación Spring Boot y la base de datos vectorial.

1. Consumo de Tokens LLM (OpenAI GPT-4o-mini): ~150,000 tokens/mes

• Supuesto de Uso: Considerando 10 organizaciones cliente, cada una procesando un promedio de 5 documentos al mes.
• Por Documento:

* Generación de Borrador: Un prompt enriquecido (plantilla + input de usuario + reglas RAG) de ~500 tokens y una respuesta generada de ~1500 tokens. Total: 2000 tokens. * Análisis de Cumplimiento: Un prompt con fragmento de documento y reglas relevantes de ~500 tokens, y una respuesta de análisis/resaltado de ~100 tokens. Total: 600 tokens. * Total por documento: 2600 tokens. Total Mensual: (10 clientes 5 documentos/cliente * 2600 tokens/documento) = 130,000 tokens. Embeddings de Reglas: Generación de embeddings para nuevas reglas (ej. 5 reglas/mes 100 tokens/regla) es insignificante (~500 tokens).

• Buffer: Se añade un buffer para pruebas internas, reintentos y uso ocasional, redondeando a ~150,000 tokens/mes.

• Costo de LLM (GPT-4o-mini):

* Asumiendo una división aproximada de 75.5K tokens de entrada y 55K tokens de salida. Input: 75.5K tokens $0.00015/1K tokens = $11.33 Output: 55K tokens $0.0006/1K tokens = $33.00 * Costo Total LLM: ~$44.33/mes (redondeado a $45)

2. Costos de Infraestructura Cloud (AWS): ~$90/mes

• Compute (Spring Boot App):

* EC2 t3.medium (2 vCPU, 4GB RAM) para manejar la aplicación, las llamadas a RAG y las integraciones. Costo estimado: $30/mes.

• Base de Datos (PostgreSQL con PGVector):

* RDS db.t3.small (2 vCPU, 2GB RAM) con 20GB de almacenamiento para PostgreSQL y la extensión PGVector. Costo estimado: $30/mes.

• Red y Balanceo de Carga:

* Application Load Balancer (ALB) para escalabilidad futura y terminación SSL. Costo estimado: $20/mes.

• Monitoreo, Logs y Almacenamiento:

* CloudWatch (logs y métricas), S3 (backups de DB, logs de aplicación), Route 53 (gestión de DNS). Costo estimado: $10/mes.

3. Resumen de Costos Mensuales Totales:

• LLM (OpenAI): $45
• Infraestructura Cloud (AWS): $90
• Total de Costos Operativos Mensuales: $135

Estimación de Ingresos Mensuales (MVP)

• Modelo de Monetización: SaaS B2B por suscripción, basado en usuarios, documentos procesados y reglas personalizadas.
• Precio por Organización: Dado el valor crítico de cumplimiento normativo en FinTech y Salud, un precio de entrada de $150/mes por organización es razonable para un plan básico que cubre 2-3 usuarios y un volumen moderado de documentos y reglas.
• Clientes Iniciales: Se proyectan 10 organizaciones cliente en la fase MVP.

Ingresos Mensuales Estimados: 10 organizaciones $150/organización = $1,500/mes

Margen de Beneficio

• Ingresos Mensuales: $1,500
• Costos Operativos Mensuales: $135
• Beneficio Bruto: $1,500 - $135 = $1,365

Margen de Beneficio: (($1,500 - $135) / $1,500) 100 = (1365 / 1500) * 100 = 91%

(Nota: Este margen de beneficio es sobre los costos operativos directos y no incluye costos de desarrollo de personal, marketing, ventas, legales, etc., que serían significativos en una empresa en crecimiento.)

Optimizaciones FinOps Concretas para Reducir Costos

Para mantener un margen saludable y escalar eficientemente, CompliWrite AI debe implementar las siguientes estrategias FinOps:

1. Optimización del Consumo de LLM:

* Modelos Híbridos: Evaluar el uso de modelos más pequeños y económicos para tareas específicas como la generación de embeddings (%%INLINE34%%) o reescritura simple, reservando %%INLINE35%% para tareas de generación y análisis de cumplimiento más complejas. Esto puede reducir significativamente los costos de tokens. * Caching de Respuestas: Implementar un sistema de caché para las respuestas de análisis de cumplimiento y borradores generados. Si un mismo fragmento de texto o una solicitud similar se procesa múltiples veces, la respuesta puede servirse desde caché en lugar de realizar una nueva llamada al LLM. * Prompt Engineering Eficiente: Revisar y refinar continuamente los prompts para que sean lo más concisos y efectivos posible, minimizando el número de tokens de entrada sin comprometer la calidad de la salida. * Batch Processing: Para la generación inicial de embeddings de reglas de cumplimiento, procesar los documentos en lotes durante horas de menor actividad puede ser más eficiente y, en algunos casos, más económico si se utilizan APIs que ofrecen descuentos por volumen o modelos específicos para batch.

1. Optimización de la Infraestructura Cloud:

* Right-Sizing Continuo: Utilizar herramientas de monitoreo (ej. AWS CloudWatch) para analizar el uso real de CPU, memoria y E/S de las instancias EC2 y RDS. Ajustar el tamaño de las instancias a la demanda real, reduciendo a tipos %%INLINE36%% o %%INLINE37%% si el uso es consistentemente bajo. * Estrategia Serverless: Si los patrones de uso son esporádicos o con picos, migrar la aplicación Spring Boot a AWS Lambda o Fargate podría eliminar los costos de instancias inactivas, pagando solo por el tiempo de computación utilizado. Para la base de datos, Aurora Serverless v2 podría ofrecer ahorros similares. * Automatización de Backups: Asegurar que las políticas de retención de backups en S3 sean las adecuadas para el cumplimiento normativo, pero optimizadas para no acumular costos innecesarios de almacenamiento a largo plazo. * Alertas de Costos: Configurar alertas de presupuesto en AWS Cost Explorer para recibir notificaciones si los gastos superan los umbrales predefinidos, permitiendo una acción proactiva.

Estas optimizaciones permitirán a CompliWrite AI mantener la rentabilidad y asegurar una base sólida para el crecimiento futuro, al tiempo que se gestionan los costos de manera proactiva.