Producto · Evidencia de compliance
Estado de controles y evidencia, mapeado a los frameworks
El Módulo XIII lee la actividad que ya registras y la mapea a un estado por control en frameworks como el EU AI Act, NIST AI RMF e ISO/IEC 42001 — y luego sella la evidencia en un ledger append-only encadenado por hash. Es estado de controles y evidencia que puedes entregar a un auditor, no una certificación que nosotros emitamos.
En el producto
La consola de compliance
Una captura real, con datos de ejemplo. Estado por control en cada framework, cobertura de un vistazo, el mapa de capacidad-a-evidencia y los paquetes de evidencia sellados anclados al ledger. Cada informe lleva el aviso: esto es estado de controles y evidencia, no una certificación.
Qué produce
De la actividad a evidencia que un auditor pueda leer
Cuatro salidas, cada una basada en lo que el ledger registró de verdad — y cada una etiquetada con honestidad.
Estado por control, no una insignia de aprobado/suspenso
Cada control se resuelve en uno de cinco estados — satisfied, by_design, partial, gap o unmapped. «Satisfied» está respaldado por telemetría operativa real; «by_design» es una garantía de diseño que aún no tiene telemetría. Nunca fundimos los dos: una promesa de diseño no es evidencia de funcionamiento.
Análisis de gaps y mapa de capacidades
El análisis de gaps nombra las capacidades que te faltan para un control dado; el mapa de capacidad-a-evidencia muestra qué capacidad produce qué evidencia. Un resumen cross-framework lo consolida para que un mismo control responda a varios frameworks a la vez.
Paquetes de evidencia sellados
La evidencia se exporta como paquetes sellados anclados al ledger append-only encadenado por hash — así la integridad de lo que entregas es verificable, y una edición posterior rompería la cadena. La evidencia es del ledger, no un documento que te pedimos que creas.
Clasificación de riesgo de agentes y residencia
Cada agente se clasifica frente a los niveles de riesgo del EU AI Act, con cross-mapping a NIST AI RMF, junto a una atestación de residencia de datos. El nivel de riesgo y la residencia son entradas de evidencia — alimentan el estado de control, no certifican el resultado.
Cómo funciona
La actividad se convierte en evidencia mapeada y sellada
El ledger de actividad alimenta un mapeador de controles, que resuelve cada control a un estado; el resultado se exporta como un paquete de evidencia mapeado a los frameworks. Lo que está satisfied por telemetría y lo que es by_design se dibujan como estados distintos — nunca fundidos en un único tick verde.
Qué es real
El estado de controles y la evidencia están live; la certificación es tuya
Somos precisos en esto, porque las palabras tienen peso legal:
- Live, con contrato estable: estado por control, análisis de gaps, el mapa de capacidad-a-evidencia, el resumen cross-framework, los paquetes de evidencia sellados, la clasificación de riesgo de agentes y la atestación de residencia de datos.
- Seis familias de frameworks establecidos están mapeadas — EU AI Act, NIST AI RMF, ISO/IEC 42001, SOC 2, ISO/IEC 27001 y GDPR. Varias referencias adicionales son solo design-toward — OWASP Agentic, CSA MAESTRO, la guía agéntica Five-Eyes de CISA y los overlays de NIST — y no llevan ninguna afirmación de conformidad; el diseño las sigue, no afirma conformidad con ellas.
- No es una certificación. Olivares es pre-release y no está certificado en SOC 2, ISO ni EU AI Act. Este módulo te da estado de controles y evidencia para apoyar una certificación que tú decidas perseguir; no emite ninguna, y la ausencia de certificación no bloquea v1. Cada informe lo dice con claridad.
Evidencia de compliance — preguntas
¿Esto nos hace «compliant» o certificados?
No — y no vamos a decir que sí. El Módulo XIII produce estado de controles y evidencia: un estado por control en cada framework, más paquetes de evidencia sellados que un auditor puede leer. La certificación frente a SOC 2, ISO o el EU AI Act es un proceso que persigues con un organismo certificador; Olivares en sí es pre-release y no está certificado. Cada informe lleva ese aviso.
¿Qué diferencia hay entre «satisfied» y «by_design»?
«Satisfied» significa que el control está respaldado por telemetría operativa real — el ledger registró la actividad que lo demuestra. «By_design» significa que la arquitectura garantiza el control pero ninguna telemetría lo ha ejercitado todavía. Son estados deliberadamente separados, porque una promesa de diseño no es lo mismo que la evidencia de que algo se ejecutó. Los otros estados son partial, gap y unmapped.
¿Qué frameworks están realmente mapeados?
Seis familias de frameworks establecidos: el EU AI Act, NIST AI RMF, ISO/IEC 42001, SOC 2, ISO/IEC 27001 y GDPR. Más allá de esos, el diseño sigue varias referencias no finales — OWASP Agentic, CSA MAESTRO, la guía agéntica Five-Eyes de CISA y los overlays de NIST. Esas las etiquetamos como design-toward y no hacemos ninguna afirmación de conformidad frente a ellas.
¿Cómo sé que un paquete de evidencia no se editó tras exportarlo?
Cada paquete está sellado y anclado al ledger append-only encadenado por hash. La integridad es verificable contra la cadena, así que una edición posterior de la evidencia — o de la actividad que hay detrás — rompería el hash y se vería. La confianza está en el ledger, no en un PDF que te pedimos creer.
Entrega a un auditor evidencia, no afirmaciones
Despliega Olivares en tu propia infraestructura, mapea tu actividad a estado por control en los frameworks y exporta evidencia sellada anclada al ledger.