Produkt · Compliance-Nachweise
Kontrollstatus und Nachweise, abgebildet auf die Frameworks
Modul XIII liest die Aktivität, die Sie ohnehin schon aufzeichnen, und bildet sie auf den Status je Kontrolle über Frameworks hinweg ab — etwa den EU AI Act, NIST AI RMF und ISO/IEC 42001 — und versiegelt anschließend die Nachweise in einem reinen Anfüge-Ledger mit verketteten Hashes. Es ist Kontrollstatus und Nachweis, den Sie einem Prüfer vorlegen können, keine Zertifizierung, die wir ausstellen.
Im Produkt
Die Compliance-Konsole
Ein echter Screenshot, Beispieldaten. Status je Kontrolle über jedes Framework, Abdeckung auf einen Blick, die Zuordnung von Capability zu Nachweis und die versiegelten Nachweispakete, verankert im Ledger. Jeder Bericht trägt den Hinweis: Das ist Kontrollstatus und Nachweis, keine Zertifizierung.
Was es erzeugt
Von der Aktivität zum Nachweis, den ein Prüfer lesen kann
Vier Ausgaben, jede gestützt auf das, was das Ledger tatsächlich aufgezeichnet hat — und jede ehrlich beschriftet.
Status je Kontrolle, kein Bestanden/Nicht-bestanden-Siegel
Jede Kontrolle löst sich in einen von fünf Zuständen auf — satisfied, by_design, partial, gap oder unmapped. "Satisfied" wird durch echte operative Telemetrie belegt; "by_design" ist eine Designgarantie, noch ohne Telemetrie. Wir fassen die beiden niemals zusammen: Ein Designversprechen ist kein Nachweis des Betriebs.
Lückenanalyse und Capability-Map
Die Lückenanalyse benennt die Capabilities, die Ihnen für eine bestimmte Kontrolle fehlen; die Zuordnung von Capability zu Nachweis zeigt, welche Capability welchen Nachweis erzeugt. Eine frameworkübergreifende Übersicht fasst es zusammen, sodass eine Kontrolle mehrere Frameworks zugleich beantwortet.
Versiegelte Nachweispakete
Nachweise werden als versiegelte Pakete exportiert, verankert im reinen Anfüge-Ledger mit verketteten Hashes — so ist die Integrität dessen, was Sie übergeben, überprüfbar, und eine spätere Änderung würde die Kette zerstören. Der Nachweis stammt aus dem Ledger, nicht aus einem Dokument, dem Sie vertrauen sollen.
Risikoklassifizierung und Datenresidenz von Agenten
Jeder Agent wird gegen die Risikostufen des EU AI Act klassifiziert, quer auf NIST AI RMF abgebildet, neben einer Attestierung der Datenresidenz. Risikoeinstufung und Residenz sind Eingaben für den Nachweis — sie fließen in den Kontrollstatus ein, sie zertifizieren das Ergebnis nicht.
So funktioniert es
Aktivität wird zum abgebildeten, versiegelten Nachweis
Das Aktivitäts-Ledger speist einen Controls-Mapper, der jede Kontrolle auf einen Status auflöst; das Ergebnis wird als Nachweispaket exportiert, abgebildet auf die Frameworks. Was durch Telemetrie satisfied ist und was by_design ist, wird als getrennte Zustände dargestellt — niemals zu einem einzigen grünen Häkchen verschmolzen.
Was real ist
Kontrollstatus und Nachweise sind live; die Zertifizierung verfolgen Sie selbst
Wir sind hier präzise, denn die Worte haben rechtliches Gewicht:
- Live, auf einem stabilen Vertrag: Status je Kontrolle, Lückenanalyse, die Zuordnung von Capability zu Nachweis, die frameworkübergreifende Übersicht, versiegelte Nachweispakete, Risikoklassifizierung von Agenten und Attestierung der Datenresidenz.
- Sechs etablierte Framework-Familien sind abgebildet — EU AI Act, NIST AI RMF, ISO/IEC 42001, SOC 2, ISO/IEC 27001 und DSGVO. Mehrere weitere Referenzen sind nur design-toward — OWASP Agentic, CSA MAESTRO, die agentenbezogene CISA-Five-Eyes-Leitlinie und NIST-Overlays — und tragen keinen Konformitätsanspruch; das Design orientiert sich an ihnen, es behauptet keine Konformität mit ihnen.
- Keine Zertifizierung. Olivares befindet sich im Pre-Release und ist weder SOC-2-, ISO- noch EU-AI-Act-zertifiziert. Dieses Modul liefert Ihnen Kontrollstatus und Nachweise zur Unterstützung einer Zertifizierung, die Sie selbst verfolgen; es stellt keine aus, und das Fehlen einer Zertifizierung blockiert v1 nicht. Jeder Bericht sagt dies klar.
Compliance-Nachweise — Fragen
Macht uns das konform oder zertifiziert?
Nein — und wir behaupten es nicht. Modul XIII erzeugt Kontrollstatus und Nachweise: einen Zustand je Kontrolle über jedes Framework hinweg, dazu versiegelte Nachweispakete, die ein Prüfer lesen kann. Die Zertifizierung gegen SOC 2, ISO oder den EU AI Act ist ein Prozess, den Sie mit einer Zertifizierungsstelle verfolgen; Olivares selbst befindet sich im Pre-Release und ist nicht zertifiziert. Jeder Bericht trägt diesen Hinweis.
Was ist der Unterschied zwischen "satisfied" und "by_design"?
"Satisfied" bedeutet, dass die Kontrolle durch echte operative Telemetrie belegt ist — das Ledger hat die Aktivität aufgezeichnet, die sie nachweist. "By_design" bedeutet, dass die Architektur die Kontrolle garantiert, aber noch keine Telemetrie sie ausgeübt hat. Es sind bewusst getrennte Zustände, denn ein Designversprechen ist nicht dasselbe wie der Nachweis, dass etwas gelaufen ist. Die weiteren Zustände sind partial, gap und unmapped.
Welche Frameworks sind tatsächlich abgebildet?
Sechs etablierte Framework-Familien: der EU AI Act, NIST AI RMF, ISO/IEC 42001, SOC 2, ISO/IEC 27001 und DSGVO. Darüber hinaus orientiert sich das Design an mehreren nicht finalen Referenzen — OWASP Agentic, CSA MAESTRO, die agentenbezogene CISA-Five-Eyes-Leitlinie und NIST-Overlays. Diese kennzeichnen wir als design-toward und erheben keinen Konformitätsanspruch gegen sie.
Woher weiß ich, dass ein Nachweispaket nach dem Export nicht verändert wurde?
Jedes Paket ist versiegelt und im reinen Anfüge-Ledger mit verketteten Hashes verankert. Die Integrität ist gegen die Kette überprüfbar, sodass eine spätere Änderung am Nachweis — oder an der Aktivität dahinter — den Hash zerstören und sichtbar würde. Das Vertrauen liegt im Ledger, nicht in einem PDF, dem Sie blind vertrauen sollen.
Übergeben Sie einem Prüfer Nachweise, keine Behauptungen
Stellen Sie Olivares auf Ihrer eigenen Infrastruktur bereit, bilden Sie Ihre Aktivität auf den Status je Kontrolle über die Frameworks ab und exportieren Sie versiegelte, im Ledger verankerte Nachweise.