এন্টারপ্রাইজ · অনুपालन ও প্রমাণপত্র

অনুমানভিত্তিক কাজ,
যান্ত্রিক।

ফ্রেমওয়ার্কগুলি প্রশ্ন করে; যে স্তরটি নির্ধারণ করে আপনার এজেন্টরা কী দেখবে তা তাদের বাধ্যতামূলক নিয়ন্ত্রণ এবং যাচাইযোগ্য প্রমাণপত্র দিয়ে উত্তর দেওয়া উচিত। LeanCTX ম্যাপ করে EU AI Act, ISO/IEC 42001 এবং SOC 2 যা এটি আসলে প্রয়োগ করে — এবং যে সব কিছু তা করতে পারে না সে সম্পর্কে স্পষ্ট।

সততা প্রথম: LeanCTX অনুपालन কাজের জন্য টুলিং সাপোর্ট — আইনি পরামর্শ নয়। "সংযুক্ত" হলো কার্যকর নিয়ন্ত্রণের একটি প্রযুক্তিগত বিবৃতি, কোনো সার্টিফিকেশন নয়। প্রতিটি ম্যাপিং এই ডিসক্লেইমার বহন করে, এবং প্রতিটি অনাবিষ্কৃত দায়িত্ব একটি নথিভুক্ত ফাঁক।

ম্যাপিংগুলি

তিনটি ফ্রেমওয়ার্ক, প্রতিটিতে একটি সৎ ম্যাট্রিক্স।

মেশিন-পাঠযোগ্য ম্যাপিং ম্যাট্রিক্স, যা নির্দিষ্ট ফ্রেমওয়ার্ক সংস্করণের সাথে পিন করা থাকে এবং অর্ধ-বার্ষিক পর্যালোচনা চক্রের মাধ্যমে আপডেট হয়। প্রতিটি কার্যকর স্লাইস বাস্তবায়ন করে একটি ফ্রেমওয়ার্ক নীতি প্যাকেজ সহ আসে — এটি উত্তরাধিকার সূত্রে নিন, প্রসারিত করুন, বা এর বিরুদ্ধে আপনার নিজস্ব প্যাকেজ নিরীক্ষা করুন।

Regulation (EU) 2024/1689

EU AI Act

১৪টির মধ্যে ১১টি ম্যাপ করা নিয়ন্ত্রণ প্রযুক্তিগতভাবে প্রয়োগকৃত

context ফ্লো-এর উপর ডিপ্লয়ারের দৃষ্টিকোণ: Art. 12 লগিং (tamper-evident, always-on), Art. 26(6) ছয় মাসের লগ ধারণ, Art. 10(5) নিয়ন্ত্রিত-শনাক্তকারী লালসরণ, Art. 14(4) হার্ড বাজেট ক্যাপের মাধ্যমে তত্ত্বাবধান এবং হস্তক্ষেপ, Art. 15(5) অ্যাক্সেস নিয়ন্ত্রণ। প্রশিক্ষণ-ডেটা গভর্নেন্স এবং সাংগঠনিক দায়িত্বগুলি নথিভুক্ত ফাঁক — লুকানো নয়।

pack: eu-ai-act-deployer

ISO/IEC 42001:2023, Annex A

ISO/IEC 42001

কার্যকর Annex A স্লাইস, ফাঁক নথিভুক্ত

A.6.2.6 অপারেশন লগিং, A.9.2 দায়িত্বশীল-ব্যবহার প্রক্রিয়া — নীতি প্যাকেজটি মেশিন-প্রয়োগকৃত প্রক্রিয়া সংজ্ঞা — রেকর্ড করা লঙ্ঘন সহ A.9.4 উদ্দেশ্যমূলক-ব্যবহার প্রয়োগ, ব্যবহার করার আগে A.7.4 ডেটা নিয়ন্ত্রণ। AIMS নিজেই সংজ্ঞায়িতভাবে সাংগঠনিক; ম্যাপিং তা বলে।

pack: iso42001-aligned

AICPA TSC 2017 (2022 points of focus)

SOC 2

TSC এর Context-pipeline স্লাইস, প্রমাণপত্র সহ

CC6.1 লজিক্যাল অ্যাক্সেস (ডিফল্ট-ডিনাই ক্ষমতা গেট), CC6.6 বর্ডার সুরক্ষা (egress denial + path jail), CC7.2 অ্যানোমালি মনিটরিং (টাইপড সিকিউরিটি ইভেন্ট), C1.1 গোপনীয়তা (credential + identifier লালসরণ)। এন্ট্রি-স্তরের মান আপনার সংস্থার সাথে থাকে — ম্যাপিংটি সীমানা আঁকে।

pack: soc2-context

সত্যের উৎস: রিপোজিটরির ম্যাপিং ম্যাট্রিক্স — TOML, পর্যালোচনাযোগ্য, diffable। প্রতিটি সম্পূর্ণ কভারেজ দাবি একটি CI পরীক্ষাটির নাম দেয় যা প্রয়োগ প্রমাণ করে; যখন দাবি এবং পরীক্ষাগুলি ভিন্ন হয় তখন একটি ড্রিফট টেস্ট বিল্ড ব্যর্থ করে।

কভারেজ রিপোর্ট

অডিট কথোপকথন, একটি কমান্ড হিসাবে।

একটি কমান্ড যা মূল্যায়নকারীরা আসলে দেখতে চান তা রেন্ডার করে: আপনার বাস্তব, সমাধান করা নীতি প্যাকেটের বিরুদ্ধে প্রতি-নিয়ন্ত্রণ রায়—ব্রোশিওরের বিরুদ্ধে নয়।

$ lean-ctx policy coverage --framework eu-ai-act

AIA-12.1      Art. 12(1)    ENGINE        hash-chained audit trail, always-on
AIA-26.6      Art. 26(6)    ENFORCED      audit_retention_days = 365 (≥ 180 d)
AIA-10.5      Art. 10(5)    ENFORCED      4/4 regulated-identifier classes redacted
AIA-14.4e     Art. 14(4)(e) ENFORCED      max_context_tokens = 12000 bounds every assembly
AIA-10.2      Art. 10(2)    GAP           training-data governance is outside the pipeline

11 of 14 controls technically enforced (5 pack-verified, 6 engine guarantees) · 3 documented gaps

ENFORCED আপনার সমাধান করা প্যাকের বিরুদ্ধে লাইভ যাচাই করা হয় — একটি দুর্বল প্যাক এক্সিট কোড ১ সহ NOT-ENFORCED এ নেমে যায়, তাই রিপোর্টটি CI-gateable। ENGINE গ্যারান্টি দেয় যে সেগুলি প্রমাণ করে এমন পরীক্ষা উদ্ধৃত করবে। GAP সারিগুলি কী সাংগঠনিক দায়িত্ব হিসাবে থেকে যায় তা বলে। আপনার GRC টুলের জন্য --json

স্বাক্ষরিত CISO রিপোর্ট

একটি স্বাক্ষরিত রিপোর্ট, পুরো সময়কাল জুড়ে।

একটি তারিখের পরিসরকে একটি এক্সিকিউটিভ আর্টিফ্যাক্টে রোল করুন: OWASP-Top-10-for-Agents অ্যালাইনমেন্ট, ফ্রেমওয়ার্ক কভারেজ, কী প্রয়োগ কার্যকরভাবে ব্লক এবং লালন করেছে তা, এবং ধারণের অবস্থান — Ed25519-স্বাক্ষরিত এবং অফলাইনে যাচাইযোগ্য।

$ lean-ctx compliance report --from 2026-05-01 --to 2026-06-01 --framework eu-ai-act --format pdf

period         2026-05-01 → 2026-06-01   ·   audit chain: VALID
owasp-agents   9 / 10 aligned · 1 documented gap
eu-ai-act      11 / 14 controls enforced · 3 documented gaps
enforcement    142 tool calls blocked (ToolDenied) · 87 secrets redacted
retention      audit_retention_days = 365

Signed compliance report written to ~/.local/share/lean-ctx/compliance/report-v1_2026-06.json
Verify offline (no LeanCTX needed):  lean-ctx compliance verify report-v1_2026-06.json

গঠনের মাধ্যমে সৎ: একটি শান্ত সময় শূন্য ব্লক রিপোর্ট করে এবং একটি ভাঙা চেইন রিপোর্ট করা হয়, কখনও লুকানো নয়। স্বাক্ষরিত JSON সর্বদা লেখা হয়; --format pdf বোর্ডের জন্য একটি নির্ভরতা-মুক্ত PDF 1.7 যোগ করে। যে কেউ lean-ctx compliance verify <report.json> দিয়ে এটি পুনরায় পরীক্ষা করতে পারে — কোনো অডিট ট্রেইল, কোনো LeanCTX ইনস্টল প্রয়োজন নেই।

প্রমাণ বান্ডিল

অডিটররা যাচাই করে — আমাদের বিশ্বাস না করেও।

lean-ctx অডিট প্রমাণ রপ্তানি একটি ডिटरमिनিস্টিক, Ed25519-স্বাক্ষরিত ZIP: সময়কালের জন্য টেম্পার-এভিডেন্ট অডিট সেগমেন্ট, বলবৎ সমাধান করা নীতি প্যাক এবং কভারেজ রিপোর্ট। একই ইনপুট, বাইট-আইডেন্টিক্যাল বান্ডিল — পুনরায় তৈরি করুন এবং তুলনা করুন।

প্রতিপক্ষ, leanctx-verify, একটি স্বতন্ত্র টুল যা কোনো ইঞ্জিন কোড এবং চারটি নির্ভরতা সহ—খোলা evidence-bundle-v1 চুক্তির একটি স্বাধীন দ্বিতীয় বাস্তবায়ন। এটি অফলাইনে, অডিটরের মেশিনে, এক মিনিটেরও কম সময়ে চলে:

1

আর্কাইভ + ম্যানিফেস্ট

সুগঠিত, সংস্করণ সমর্থিত বান্ডিল করুন

2

ফাইল ইনভেন্টরি

প্রতিটি ফাইল তার SHA-256 এর সাথে মেলে, কিছু যোগ বা সরানো হয়নি

3

চেইন রিপ্লে

অডিট হ্যাশ চেইন অ্যাঙ্করের থেকে হেডের পুনর্গণনা করে

4

ম্যানিফেস্ট স্বাক্ষর

Ed25519 বৈধ — আপনার যদি একটি থাকে তবে আউট-অফ-ব্যান্ড কী এর বিরুদ্ধে

5

এন্ট্রি সিগনেচার

প্রতিটি লগ লাইন স্বতন্ত্রভাবে সাইন এবং যাচাই করা হয়

মিউটেশন-টেস্টেড: একটি ফ্লিপ করা বাইট, একটি বাদ দেওয়া লাইন, একটি ভুল কী — অবৈধ। অডিটর গাইড সহজ ভাষায় ব্যাখ্যা করে যে প্রমাণটি কী প্রমাণ করে এবং কী করতে পারে না (ইভেন্টগুলি রেকর্ড করার মুহূর্ত থেকে সুরক্ষিত হয়—আগে নয়; একটি সৎ থ্রেট মডেল ফরম্যাটের অংশ)। ভেরিফায়ার সোর্স: packages/leanctx-verify

FAQ

কমপ্লায়েন্স দল যা জিজ্ঞাসা করে।

LeanCTX কি আমাদের EU AI Act / ISO 42001 / SOC 2 compliant করে?

কোনো টুল তা দাবি করতে পারে না, এবং আমরাও করি না। LeanCTX প্রযুক্তিগতভাবে সেই নিয়ন্ত্রণগুলি প্রয়োগ করে যা context পাইপলাইনে থাকে—এবং CI টেস্ট ও রনটাইম প্রমাণ দিয়ে প্রয়োগ প্রমাণ করে। ম্যাপিং ম্যাট্রিক্সগুলিতে প্রতিটি নিয়ন্ত্রণের জন্য বলা আছে যে কভারেজ সম্পূর্ণ (প্রয়োগ করা + পরীক্ষিত), আংশিক (অবশিষ্ট ফাঁক বর্ণনা করা) বা কোনোটিই নেই (সাংগঠনিক কর্তব্য)। কমপ্লায়েন্স হল মানুষের দ্বারা একটি মূল্যায়ন; LeanCTX তাদের প্রয়োগযোগ্য নিয়ন্ত্রণ এবং যাচাইযোগ্য প্রমাণ সরবরাহ করে।

ম্যাপিং ম্যাট্রিক্সগুলিতে ঠিক কী আছে?

ম্যান মেশিন-পাঠ্য TOML ফাইল, প্রতিটি ফ্রেমওয়ার্কের জন্য আলাদা, যা অর্ধ-বার্ষিক পর্যালোচনা চক্র সহ একটি নির্দিষ্ট ফ্রেমওয়ার্ক সংস্করণে পিন করা থাকে। প্রতিটি নিয়ন্ত্রণের সাথে ধারাটি, একটি বাক্য প্রয়োজনীয়তা, LeanCTX প্রক্রিয়া (প্যাক নিয়ম, অডিট ইভেন্ট, প্রমাণ রপ্তানি), একজন মূল্যায়নকারী যে প্রমাণ পান তা, কভারেজ দাবি — এবং প্রতিটি সম্পূর্ণ দাবির জন্য সেই CI টেস্টের নাম যা প্রয়োগ প্রমাণ করে। একটি ড্রিফট টেস্ট বিল্ড ব্যর্থ করে যদি কোনো দাবি এমন একটি পরীক্ষার দিকে নির্দেশ করে যা বিদ্যমান নেই।

আমি কীভাবে একটি ফ্রেমওয়ার্কের বিরুদ্ধে আমাদের নিজস্ব সেটআপ পরীক্ষা করব?

lean-ctx policy coverage --framework eu-ai-act (বা iso42001, soc2) অডিট-কনভারসেশন আর্টিফ্যাক্ট রেন্ডার করে: প্রতিটি নিয়ন্ত্রণ ENFORCED হিসাবে (আপনার সমাধান করা নীতি প্যাকের বিরুদ্ধে লাইভ যাচাইকৃত), ENGINE (CI-প্রমাণ ইঞ্জিন গ্যারান্টি), NOT-ENFORCED (আপনার প্যাকেজে নিয়মটি নেই — এক্সিট কোড ১, CI-গেটেবল) বা GAP (নথিভুক্ত সাংগঠনিক কর্তব্য)। মেশিনের জন্য --json যোগ করুন।

এভিডেন্স বান্ডেল কী?

lean-ctx অডিট প্রমাণ দ্বারা তৈরি একটি ডিটারমিনিস্টিক, Ed25519-signed ZIP: একটি সময়ের জন্য টেম্পার-এভিডেন্ট অডিট-চেইন সেগমেন্ট, যে নীতি প্যাকটি কার্যকর ছিল তা এবং CGB + ফ্রেমওয়ার্ক কভারেজ রিপোর্ট। অভিন্ন ইনপুটগুলি বাইট-সমতুল্য বান্ডেল তৈরি করে, তাই দুটি পক্ষ পুনরুৎপাদন এবং তুলনা করতে পারে। ফরম্যাটটি একটি উন্মুক্ত চুক্তি (evidence-bundle-v1)।

আমরা বিশ্বাস না করেও একজন অডিটর কীভাবে একটি বান্ডিল যাচাই করবেন?

leanctx-verify দিয়ে — একটি স্বতন্ত্র টুল যা ইঞ্জিনটির সাথে কোনো কোড শেয়ার করে না এবং প্রকাশিত চুক্তিটি স্বাধীনভাবে প্রয়োগ করে। এটি হ্যাশ চেইন পুনরায় প্লে করে এবং এক মিনিটেরও কম সময়ে পাঁচটি PASS/FAIL ধাপে সমস্ত স্বাক্ষর অফলাইনে পরীক্ষা করে। মিউটেশন টেস্ট প্রমাণ করে যে একটি একক ফ্লিপ করা বাইট, একটি বাদ দেওয়া লগ লাইন বা একটি ভুল কী রায়টিকে INVALID করে তোলে। একটি সাধারণ-ভাষার অডিটর গাইড ব্যাখ্যা করে যে প্রমাণটি কী প্রমাণ করে — এবং ঠিক ততটাই স্পষ্টভাবে, এটি কী প্রমাণ করতে পারে না।

আপনার পরবর্তী অডিট কথোপকথনে প্রমাণ নিয়ে আসুন।

আজই আপনার নিজস্ব প্যাকগুলির বিরুদ্ধে কভারেজ রিপোর্ট চালান — স্থানীয়ভাবে, বিনামূল্যে। অথবা আপনার কমপ্লায়েন্স দলের সাথে একটি পাইলট নিয়ে আলোচনা করুন।