Продукт · Докази відповідності
Стан контролів і докази, зіставлені зі стандартами
Модуль XIII зчитує активність, яку ви вже фіксуєте, і зіставляє її зі станом кожного контролю в розрізі таких стандартів, як EU AI Act, NIST AI RMF та ISO/IEC 42001, а потім запечатує докази в реєстрі, що дозволяє лише додавання записів і захищений ланцюжком хешів. Це стан контролів і докази, які ви можете передати аудитору, а не сертифікація, яку видаємо ми.
У продукті
Консоль відповідності
Справжній знімок екрана з прикладовими даними. Стан кожного контролю в розрізі кожного стандарту, огляд покриття одним поглядом, карта зіставлення можливостей із доказами та запечатані пакети доказів, прив’язані до реєстру. Кожен звіт містить застереження: це стан контролів і докази, а не сертифікація.
Що це створює
Від активності до доказів, які може прочитати аудитор
Чотири результати, кожен з яких ґрунтується на тому, що реально зафіксував реєстр, і кожен з яких позначено чесно.
Стан кожного контролю, а не значок «пройдено/не пройдено»
Кожен контроль набуває одного з п’яти станів — satisfied, by_design, partial, gap або unmapped. «Satisfied» підкріплено реальною операційною телеметрією; «by_design» — це гарантія на рівні архітектури, поки що без телеметрії. Ми ніколи не змішуємо ці два стани: обіцянка на рівні дизайну не є доказом роботи.
Аналіз прогалин і карта можливостей
Аналіз прогалин називає можливості, яких вам бракує для конкретного контролю; карта зіставлення можливостей із доказами показує, яка можливість продукує який доказ. Кросстандартне зведення узагальнює це так, щоб один контроль відповідав одразу кільком стандартам.
Запечатані пакети доказів
Докази експортуються як запечатані пакети, прив’язані до реєстру, що дозволяє лише додавання записів і захищений ланцюжком хешів, — тож цілісність того, що ви передаєте, можна перевірити, а пізніше редагування розірвало б ланцюжок. Доказ належить реєстру, а не є документом, якому ми просимо вас довіряти.
Класифікація ризику агентів і резидентність
Кожен агент класифікується за рівнями ризику EU AI Act, перехресно зіставляється з NIST AI RMF, поряд із атестацією резидентності даних. Рівні ризику та резидентність — це вхідні дані для доказів: вони впливають на стан контролю, але не сертифікують результат.
Як це працює
Активність стає зіставленим, запечатаним доказом
Реєстр активності живить зіставник контролів, який визначає стан кожного контролю; результат експортується як пакет доказів, зіставлений зі стандартами. Те, що satisfied за телеметрією, і те, що by_design, зображено як окремі стани — їх ніколи не зливають в одну зелену галочку.
Що реальне
Стан контролів і докази вже працюють; сертифікацію проходите ви самі
Ми формулюємо це точно, бо ці слова мають юридичну вагу:
- Працює на стабільному контракті: стан кожного контролю, аналіз прогалин, карта зіставлення можливостей із доказами, кросстандартне зведення, запечатані пакети доказів, класифікація ризику агентів та атестація резидентності даних.
- Зіставлено шість усталених родин стандартів — EU AI Act, NIST AI RMF, ISO/IEC 42001, SOC 2, ISO/IEC 27001 та GDPR. Ще кілька орієнтирів лише на стадії design-toward — OWASP Agentic, CSA MAESTRO, рекомендації CISA Five-Eyes щодо агентів та накладки NIST — і не несуть жодних заяв про відповідність; дизайн відстежує їх, але не стверджує відповідності їм.
- Це не сертифікація. Olivares перебуває на стадії pre-release і не має сертифікації SOC 2, ISO чи EU AI Act. Цей модуль дає вам стан контролів і докази на підтримку сертифікації, яку ви вирішите проходити; він її не видає, а відсутність сертифікації не блокує v1. Кожен звіт прямо про це повідомляє.
Докази відповідності — запитання
Чи робить це нас відповідними вимогам або сертифікованими?
Ні — і ми не стверджуватимемо протилежного. Модуль XIII продукує стан контролів і докази: стан кожного контролю в розрізі кожного стандарту плюс запечатані пакети доказів, які може прочитати аудитор. Сертифікація за SOC 2, ISO чи EU AI Act — це процес, який ви проходите з органом сертифікації; сам Olivares перебуває на стадії pre-release і не сертифікований. Кожен звіт містить це застереження.
Яка різниця між «satisfied» та «by_design»?
«Satisfied» означає, що контроль підкріплено реальною операційною телеметрією — реєстр зафіксував активність, яка це підтверджує. «By_design» означає, що архітектура гарантує контроль, але поки що його не задіяла в роботі жодна телеметрія. Це навмисно окремі стани, бо обіцянка на рівні дизайну — це не те саме, що доказ того, що щось відпрацювало. Інші стани — це partial, gap та unmapped.
Які стандарти зіставлено насправді?
Шість усталених родин стандартів: EU AI Act, NIST AI RMF, ISO/IEC 42001, SOC 2, ISO/IEC 27001 та GDPR. Окрім них, дизайн відстежує кілька нефінальних орієнтирів — OWASP Agentic, CSA MAESTRO, рекомендації CISA Five-Eyes щодо агентів та накладки NIST. Їх ми позначаємо як design-toward і не висуваємо щодо них жодних заяв про відповідність.
Як я дізнаюся, що пакет доказів не редагували після експорту?
Кожен пакет запечатано та прив’язано до реєстру, що дозволяє лише додавання записів і захищений ланцюжком хешів. Цілісність перевіряється за ланцюжком, тож пізніше редагування доказу — або активності, що за ним стоїть, — розірвало б хеш і стало б помітним. Довіра ґрунтується на реєстрі, а не на PDF, який ми просимо вас прийняти на віру.
Передайте аудитору докази, а не твердження
Розгорніть Olivares на власній інфраструктурі, зіставте свою активність зі станом кожного контролю в розрізі стандартів та експортуйте запечатані докази, прив’язані до реєстру.