Prodotto · Evidenze di compliance
Stato dei controlli ed evidenze, mappati sui framework
Il Modulo XIII legge l'attività che già registri e la mappa allo stato per singolo controllo su framework come EU AI Act, NIST AI RMF e ISO/IEC 42001 — poi sigilla le evidenze su un registro append-only con verifica dell'integrità tramite catena di hash. È stato dei controlli ed evidenze da consegnare a un auditor, non una certificazione che rilasciamo noi.
Nel prodotto
La console di compliance
Uno screenshot reale, con dati di esempio. Stato per singolo controllo su ogni framework, copertura a colpo d'occhio, la mappa dalla capability all'evidenza e i pacchetti di evidenze sigillati ancorati al registro. Ogni report riporta la dichiarazione: si tratta di stato dei controlli ed evidenze, non di una certificazione.
Cosa produce
Dall'attività a evidenze che un auditor può leggere
Quattro output, ciascuno fondato su ciò che il registro ha effettivamente registrato — e ciascuno etichettato con onestà.
Stato per singolo controllo, non un badge pass/fail
Ogni controllo si risolve in uno di cinque stati — satisfied, by_design, partial, gap o unmapped. "Satisfied" è supportato da telemetria operativa reale; "by_design" è una garanzia di progettazione ancora priva di telemetria. Non li accorpiamo mai: una promessa di progettazione non è evidenza di funzionamento.
Analisi dei gap e mappa delle capability
L'analisi dei gap individua le capability che ti mancano per un determinato controllo; la mappa dalla capability all'evidenza mostra quale capability produce quale evidenza. Un riepilogo cross-framework lo aggrega, così un solo controllo risponde a più framework contemporaneamente.
Pacchetti di evidenze sigillati
Le evidenze sono esportate come pacchetti sigillati ancorati al registro append-only con catena di hash — così l'integrità di ciò che consegni è verificabile e una modifica successiva spezzerebbe la catena. L'evidenza è quella del registro, non un documento di cui ti chiediamo di fidarti.
Classificazione del rischio degli agenti e residenza dei dati
Ogni agente è classificato rispetto ai livelli di rischio dell'EU AI Act, con mappatura incrociata sul NIST AI RMF, insieme a un'attestazione di residenza dei dati. La classificazione del rischio e la residenza sono fattori di input per l'evidenza — informano lo stato dei controlli, non certificano l'esito.
Come funziona
L'attività diventa evidenza mappata e sigillata
Il registro delle attività alimenta un mapper dei controlli, che risolve ogni controllo in uno stato; il risultato è esportato come pacchetto di evidenze mappato sui framework. Ciò che è soddisfatto dalla telemetria e ciò che è by_design sono rappresentati come stati distinti — mai fusi in un unico segno di spunta verde.
Cosa è reale
Stato dei controlli ed evidenze sono operativi; la certificazione spetta a te
Su questo siamo precisi, perché le parole hanno un peso legale:
- Operativi, su un contratto stabile: stato per singolo controllo, analisi dei gap, la mappa dalla capability all'evidenza, il riepilogo cross-framework, i pacchetti di evidenze sigillati, la classificazione del rischio degli agenti e l'attestazione di residenza dei dati.
- Sono mappate sei famiglie di framework consolidate — EU AI Act, NIST AI RMF, ISO/IEC 42001, SOC 2, ISO/IEC 27001 e GDPR. Diversi ulteriori riferimenti sono solo come indirizzo di progettazione — OWASP Agentic, CSA MAESTRO, le linee guida agentic CISA Five-Eyes e gli overlay NIST — e non comportano alcuna dichiarazione di conformità; la progettazione li tiene in considerazione, non ne asserisce la conformità.
- Non è una certificazione. Olivares è in pre-release e non è certificata SOC 2, ISO o EU AI Act. Questo modulo ti fornisce stato dei controlli ed evidenze a supporto di una certificazione che scegli di perseguire; non ne rilascia una, e l'assenza di certificazione non blocca la v1. Ogni report lo dichiara in modo esplicito.
Evidenze di compliance — domande
Questo ci rende conformi o certificati?
No — e non diremo che è così. Il Modulo XIII produce stato dei controlli ed evidenze: uno stato per singolo controllo su ogni framework, più pacchetti di evidenze sigillati che un auditor può leggere. La certificazione rispetto a SOC 2, ISO o EU AI Act è un processo che intraprendi presso un organismo di certificazione; Olivares è in pre-release e non è certificata. Ogni report riporta tale dichiarazione.
Qual è la differenza tra "satisfied" e "by_design"?
"Satisfied" significa che il controllo è supportato da telemetria operativa reale — il registro ha registrato l'attività che lo dimostra. "By_design" significa che l'architettura garantisce il controllo, ma nessuna telemetria lo ha ancora esercitato. Sono stati deliberatamente distinti, perché una promessa di progettazione non equivale all'evidenza che qualcosa sia stato eseguito. Gli altri stati sono "partial", "gap" e "unmapped".
Quali framework sono effettivamente mappati?
Sei famiglie di framework consolidate: EU AI Act, NIST AI RMF, ISO/IEC 42001, SOC 2, ISO/IEC 27001 e GDPR. Oltre a queste, la progettazione tiene in considerazione diversi riferimenti non definitivi — OWASP Agentic, CSA MAESTRO, le linee guida agentic CISA Five-Eyes e gli overlay NIST. Li etichettiamo come indirizzo di progettazione e non formuliamo alcuna dichiarazione di conformità rispetto a essi.
Come faccio a sapere che un pacchetto di evidenze non è stato modificato dopo l'esportazione?
Ogni pacchetto è sigillato e ancorato al registro append-only con catena di hash. L'integrità è verificabile rispetto alla catena, quindi una modifica successiva all'evidenza — o all'attività che la sostiene — spezzerebbe l'hash e risulterebbe evidente. La fiducia sta nel registro, non in un PDF di cui ti chiediamo di fidarti.
Consegna a un auditor evidenze, non affermazioni
Distribuisci Olivares sulla tua infrastruttura, mappa la tua attività allo stato per singolo controllo sui framework ed esporta evidenze sigillate ancorate al registro.