Produto · Evidência de conformidade
Estado dos controlos e evidência, mapeado para as frameworks
O Módulo XIII lê a atividade que já regista e mapeia-a para o estado por controlo nas várias frameworks como o Regulamento da IA da UE, o NIST AI RMF e a ISO/IEC 42001 — selando depois a evidência num registo apenas de adição, encadeado por hash. É estado de controlos e evidência que pode entregar a um auditor, não uma certificação que emitimos.
No produto
A consola de conformidade
Uma captura de ecrã genuína, com dados de exemplo. Estado por controlo em cada framework, cobertura num relance, o mapa de capacidade-para-evidência e os pacotes de evidência selados ancorados ao registo. Cada relatório inclui a advertência: isto é estado de controlos e evidência, não uma certificação.
O que produz
Da atividade à evidência que um auditor consegue ler
Quatro resultados, cada um fundamentado no que o registo de facto regista — e cada um rotulado com honestidade.
Estado por controlo, não um selo de aprovado/reprovado
Cada controlo resolve-se num de cinco estados — satisfied, by_design, partial, gap ou unmapped. "Satisfied" é sustentado por telemetria operacional real; "by_design" é uma garantia de conceção ainda sem telemetria. Nunca confundimos os dois: uma promessa de conceção não é evidência de operação.
Análise de lacunas e mapa de capacidades
A análise de lacunas indica as capacidades que lhe faltam para um determinado controlo; o mapa de capacidade-para-evidência mostra que capacidade produz que evidência. Um resumo transversal às frameworks agrega tudo, de modo que um único controlo responde a várias frameworks ao mesmo tempo.
Pacotes de evidência selados
A evidência é exportada como pacotes selados ancorados ao registo apenas de adição, encadeado por hash — de modo que a integridade do que entrega é verificável, e uma edição posterior quebraria a cadeia. A evidência é do registo, não um documento que lhe pedimos que aceite por confiança.
Classificação de risco do agente e residência
Cada agente é classificado face aos níveis de risco do Regulamento da IA da UE, com correspondência cruzada para o NIST AI RMF, a par de uma atestação de residência de dados. A definição de níveis de risco e a residência são entradas de evidência — informam o estado dos controlos, não certificam o resultado.
Como funciona
A atividade torna-se evidência mapeada e selada
O registo de atividade alimenta um mapeador de controlos, que resolve cada controlo num estado; o resultado é exportado como um pacote de evidência mapeado para as frameworks. O que está satisfeito por telemetria e o que é by_design são representados como estados distintos — nunca fundidos num único visto verde.
O que é real
O estado dos controlos e a evidência estão ativos; a certificação cabe-lhe a si prosseguir
Somos precisos quanto a isto, porque as palavras têm peso legal:
- Ativos, sobre um contrato estável: estado por controlo, análise de lacunas, o mapa de capacidade-para-evidência, o resumo transversal às frameworks, pacotes de evidência selados, classificação de risco do agente e atestação de residência de dados.
- Estão mapeadas seis famílias de frameworks estabelecidas — Regulamento da IA da UE, NIST AI RMF, ISO/IEC 42001, SOC 2, ISO/IEC 27001 e RGPD. Várias outras referências são apenas de orientação de conceção — OWASP Agentic, CSA MAESTRO, orientação para agentes da CISA Five-Eyes e overlays do NIST — e não comportam qualquer alegação de conformidade; a conceção acompanha-as, não afirma conformidade com elas.
- Não é uma certificação. A Olivares está em pré-lançamento e não está certificada em SOC 2, ISO ou Regulamento da IA da UE. Este módulo dá-lhe estado de controlos e evidência para sustentar uma certificação que opte por prosseguir; não emite nenhuma, e a ausência de certificação não bloqueia a v1. Cada relatório afirma-o de forma clara.
Evidência de conformidade — perguntas
Isto torna-nos conformes ou certificados?
Não — e não diremos que sim. O Módulo XIII produz estado de controlos e evidência: um estado por controlo em cada framework, mais pacotes de evidência selados que um auditor consegue ler. A certificação face ao SOC 2, à ISO ou ao Regulamento da IA da UE é um processo que prossegue com um organismo de certificação; a própria Olivares está em pré-lançamento e não está certificada. Cada relatório inclui essa advertência.
Qual é a diferença entre "satisfied" e "by_design"?
"Satisfied" significa que o controlo é sustentado por telemetria operacional real — o registo captou a atividade que o demonstra. "By_design" significa que a arquitetura garante o controlo, mas nenhuma telemetria o exercitou ainda. São deliberadamente estados separados, porque uma promessa de conceção não é o mesmo que evidência de que algo correu. Os outros estados são partial, gap e unmapped.
Que frameworks estão de facto mapeadas?
Seis famílias de frameworks estabelecidas: o Regulamento da IA da UE, o NIST AI RMF, a ISO/IEC 42001, o SOC 2, a ISO/IEC 27001 e o RGPD. Para além destas, a conceção acompanha várias referências não finais — OWASP Agentic, CSA MAESTRO, orientação para agentes da CISA Five-Eyes e overlays do NIST. Rotulamo-las como orientação de conceção e não fazemos qualquer alegação de conformidade face a elas.
Como sei que um pacote de evidência não foi editado após a exportação?
Cada pacote é selado e ancorado ao registo apenas de adição, encadeado por hash. A integridade é verificável face à cadeia, pelo que uma edição posterior à evidência — ou à atividade que lhe está subjacente — quebraria o hash e ficaria à vista. A confiança está no registo, não num PDF que lhe pedimos que aceite cegamente.
Entregue a um auditor evidência, não afirmações
Implemente a Olivares na sua própria infraestrutura, mapeie a sua atividade para o estado por controlo nas várias frameworks e exporte evidência selada ancorada ao registo.