Produkt · Dowody zgodności
Status kontroli i dowody, powiązane z ramami regulacyjnymi
Moduł XIII odczytuje aktywność, którą już rejestrujesz, i powiązuje ją ze stanem poszczególnych kontroli w ramach takich jak akt UE w sprawie sztucznej inteligencji, NIST AI RMF i ISO/IEC 42001 — a następnie pieczętuje dowody w rejestrze działającym wyłącznie w trybie dopisywania, zabezpieczonym łańcuchem skrótów. To status kontroli i dowody, które można przekazać audytorowi, a nie certyfikat, który wydajemy.
W produkcie
Konsola zgodności
Autentyczny zrzut ekranu, dane przykładowe. Stan poszczególnych kontroli w każdej z ram regulacyjnych, pokrycie w jednym spojrzeniu, mapa powiązań możliwości z dowodami oraz zapieczętowane pakiety dowodów zakotwiczone w rejestrze. Każdy raport zawiera zastrzeżenie: to status kontroli i dowody, a nie certyfikat.
Co dostarcza
Od aktywności do dowodów, które audytor może odczytać
Cztery wyniki, każdy oparty na tym, co rejestr faktycznie zarejestrował — i każdy opisany rzetelnie.
Stan poszczególnych kontroli, a nie odznaka „stan pozytywny/negatywny”
Każda kontrola przyjmuje jeden z pięciu stanów — spełniona, by_design, częściowa, luka lub niepowiązana. „Spełniona” opiera się na rzeczywistej telemetrii operacyjnej; „by_design” to gwarancja projektowa, na razie bez telemetrii. Nigdy nie łączymy tych dwóch: obietnica projektowa nie jest dowodem działania.
Analiza luk i mapa możliwości
Analiza luk wskazuje możliwości, których brakuje dla danej kontroli; mapa powiązań możliwości z dowodami pokazuje, która możliwość wytwarza który dowód. Podsumowanie obejmujące wiele ram regulacyjnych scala te informacje, tak aby jedna kontrola odpowiadała kilku ramom jednocześnie.
Zapieczętowane pakiety dowodów
Dowody są eksportowane jako zapieczętowane pakiety zakotwiczone w rejestrze działającym wyłącznie w trybie dopisywania, zabezpieczonym łańcuchem skrótów — dzięki czemu integralność przekazywanych materiałów jest weryfikowalna, a późniejsza zmiana przerwałaby łańcuch. Dowodem jest sam rejestr, a nie dokument, któremu mieliby Państwo wierzyć na słowo.
Klasyfikacja ryzyka agentów i rezydencja danych
Każdy agent jest klasyfikowany według poziomów ryzyka aktu UE w sprawie sztucznej inteligencji, z odwzorowaniem na NIST AI RMF, wraz z poświadczeniem rezydencji danych. Klasyfikacja ryzyka i rezydencja stanowią dane wejściowe procesu oceny — wpływają na status kontroli, ale nie certyfikują wyniku.
Jak to działa
Aktywność staje się powiązanym, zapieczętowanym dowodem
Rejestr aktywności zasila mapowanie kontroli, które rozstrzyga status każdej kontroli; wynik jest eksportowany jako pakiet dowodów powiązany z ramami regulacyjnymi. To, co jest spełnione na podstawie telemetrii, i to, co jest by_design, są przedstawiane jako odrębne stany — nigdy nie scalane w jeden zielony znacznik.
Co jest rzeczywiste
Status kontroli i dowody są dostępne; certyfikacja należy do Państwa
Wyrażamy się tu precyzyjnie, ponieważ te słowa mają wagę prawną:
- Dostępne, w ramach stabilnego kontraktu: stan poszczególnych kontroli, analiza luk, mapa powiązań możliwości z dowodami, podsumowanie obejmujące wiele ram regulacyjnych, zapieczętowane pakiety dowodów, klasyfikacja ryzyka agentów i poświadczenie rezydencji danych.
- Powiązano sześć ugruntowanych rodzin ram regulacyjnych — akt UE w sprawie sztucznej inteligencji, NIST AI RMF, ISO/IEC 42001, SOC 2, ISO/IEC 27001 i RODO. Kilka kolejnych odniesień jest śledzonych wyłącznie w fazie projektowania — OWASP Agentic, CSA MAESTRO, wytyczne CISA Five-Eyes dotyczące agentów oraz nakładki NIST — i nie wiąże się z nimi żadne oświadczenie o zgodności; projekt je śledzi, lecz nie deklaruje zgodności z nimi.
- Nie jest to certyfikat. Olivares jest w fazie przedpremierowej i nie posiada certyfikatów SOC 2, ISO ani aktu UE w sprawie sztucznej inteligencji. Ten moduł dostarcza status kontroli i dowody wspierające certyfikację, o którą zdecydują się Państwo ubiegać; nie wydaje certyfikatu, a brak certyfikacji nie blokuje wersji v1. Każdy raport stwierdza to wprost.
Dowody zgodności — pytania
Czy to czyni nas zgodnymi lub certyfikowanymi?
Nie — i nie będziemy tego twierdzić. Moduł XIII wytwarza status kontroli i dowody: stan poszczególnych kontroli w każdej z ram regulacyjnych oraz zapieczętowane pakiety dowodów, które audytor może odczytać. Certyfikacja względem SOC 2, ISO lub aktu UE w sprawie sztucznej inteligencji to proces prowadzony z jednostką certyfikującą; samo Olivares jest w fazie przedpremierowej i nie posiada certyfikatu. Każdy raport zawiera to zastrzeżenie.
Jaka jest różnica między stanem „spełniona” a „by_design”?
„Spełniona” oznacza, że kontrola opiera się na rzeczywistej telemetrii operacyjnej — rejestr zarejestrował aktywność, która ją potwierdza. „By_design” oznacza, że architektura gwarantuje kontrolę, ale żadna telemetria jeszcze jej nie zweryfikowała. To celowo odrębne stany, ponieważ obietnica projektowa to nie to samo, co dowód, że coś rzeczywiście zadziałało. Pozostałe stany to częściowa, luka i niepowiązana.
Które ramy regulacyjne są faktycznie powiązane?
Sześć ugruntowanych rodzin ram regulacyjnych: akt UE w sprawie sztucznej inteligencji, NIST AI RMF, ISO/IEC 42001, SOC 2, ISO/IEC 27001 i RODO. Poza nimi projekt śledzi kilka odniesień nieostatecznych — OWASP Agentic, CSA MAESTRO, wytyczne CISA Five-Eyes dotyczące agentów oraz nakładki NIST. Opisujemy je jako projektowe i nie składamy w odniesieniu do nich żadnego oświadczenia o zgodności.
Skąd mam wiedzieć, że pakiet dowodów nie został zmieniony po eksporcie?
Każdy pakiet jest pieczętowany i zakotwiczony w rejestrze działającym wyłącznie w trybie dopisywania, zabezpieczonym łańcuchem skrótów. Integralność jest weryfikowalna względem łańcucha, więc późniejsza zmiana dowodu — lub aktywności, która za nim stoi — przerwałaby łańcuch skrótów i byłaby dostrzegalna. Zaufanie opiera się na rejestrze, a nie na pliku PDF, który mieliby Państwo przyjąć na wiarę.
Przekaż audytorowi dowody, a nie deklaracje
Wdróż Olivares we własnej infrastrukturze, powiąż swoją aktywność ze stanem poszczególnych kontroli w ramach regulacyjnych i eksportuj zapieczętowane dowody zakotwiczone w rejestrze.