Empresarial · Cumplimiento y Evidencia

Trabajo de cumplimiento,
mecanizado.

Los frameworks hacen preguntas; la capa que decide lo que ven sus agentes debería responderlas con controles aplicados y evidencia verificable. LeanCTX mapea EU AI Act, ISO/IEC 42001 y SOC 2 a mecanismos que realmente aplica — y es explícito sobre todo lo que no puede.

Honestidad ante todo: LeanCTX es una herramienta de soporte para el trabajo de cumplimiento, no asesoramiento legal. "Alineado" es una declaración técnica sobre controles aplicables, no una certificación. Cada mapeo lleva esta exención de responsabilidad, y cada deber sin cubrir es una brecha documentada.

Los mapeos

Tres frameworks, una matriz honesta cada uno.

Matrices de mapeo legibles por máquina, fijadas a ediciones exactas del framework con un ciclo de revisión semestral. Cada una viene con un paquete de políticas del framework que implementa la porción aplicable: heréditelo, extiéndalo o audite su propio paquete contra ella.

Regulation (EU) 2024/1689

EU AI Act

11 de 14 controles mapeados técnicamente aplicados

Perspectiva del implementador sobre el flujo de contexto: Art. 12 de registro (a prueba de manipulaciones, siempre activo), Art. 26(6) retención de registros de seis meses, Art. 10(5) enmascaramiento de identificadores regulados, Art. 14(4) supervisión e intervención mediante límites presupuestarios rígidos, Art. 15(5) control de acceso. La gobernanza de datos de entrenamiento y los deberes organizacionales son brechas documentadas, no ocultas.

pack: eu-ai-act-deployer

ISO/IEC 42001:2023, Annex A

ISO/IEC 42001

Porciones aplicables del Anexo A, brechas documentadas

A.6.2.6 registro de operaciones, A.9.2 proceso de uso responsable: el paquete de políticas es la definición de proceso aplicada por máquina: A.9.4 aplicación de uso previsto con violaciones registradas, A.7.4 control de datos antes del uso. El AIMS en sí mismo es organizacional por definición; el mapeo lo indica.

pack: iso42001-aligned

AICPA TSC 2017 (2022 points of focus)

SOC 2

Porción de pipeline de contexto del TSC, evidencia incluida

CC6.1 acceso lógico (puerta de capacidad por defecto-denegar), CC6.6 protección de límites (negación de salida + path jail), CC7.2 monitoreo de anomalías (eventos de seguridad tipificados), C1.1 confidencialidad (enmascaramiento de credenciales e identificadores). Los criterios a nivel de entidad se quedan con su organización: el mapeo traza el límite.

pack: soc2-context

Fuente de verdad: las matrices de mapeo en el repositorio — TOML, revisables, diffables. Cada afirmación de cobertura completa nombra la prueba CI que demuestra la aplicación; una prueba de deriva falla la compilación cuando las afirmaciones y pruebas divergen.

Informes de cobertura

La conversación de auditoría, como un comando.

Un solo comando renderiza lo que los evaluadores realmente quieren ver: veredictos por control contra su paquete de políticas real y resuelto, no contra un folleto.

$ lean-ctx policy coverage --framework eu-ai-act

AIA-12.1      Art. 12(1)    ENGINE        hash-chained audit trail, always-on
AIA-26.6      Art. 26(6)    ENFORCED      audit_retention_days = 365 (≥ 180 d)
AIA-10.5      Art. 10(5)    ENFORCED      4/4 regulated-identifier classes redacted
AIA-14.4e     Art. 14(4)(e) ENFORCED      max_context_tokens = 12000 bounds every assembly
AIA-10.2      Art. 10(2)    GAP           training-data governance is outside the pipeline

11 of 14 controls technically enforced (5 pack-verified, 6 engine guarantees) · 3 documented gaps

ENFORCED se verifica en vivo contra su paquete resuelto; un paquete débil baja a NO-ENFORCED con código de salida 1, por lo que el informe es apto para CI. ENGINE garantiza citar la prueba que los demuestra. Las filas GAP indican lo que sigue siendo una obligación organizacional. --json para su herramienta GRC.

Informe CISO firmado

Un informe firmado, todo el período.

Agrupe un rango de fechas en un único artefacto ejecutivo: alineación OWASP-Top-10-for-Agents, cobertura del marco, lo que realmente bloqueó y redactó la aplicación, y la postura de retención — firmado con Ed25519 y verificable sin conexión.

$ lean-ctx compliance report --from 2026-05-01 --to 2026-06-01 --framework eu-ai-act --format pdf

period         2026-05-01 → 2026-06-01   ·   audit chain: VALID
owasp-agents   9 / 10 aligned · 1 documented gap
eu-ai-act      11 / 14 controls enforced · 3 documented gaps
enforcement    142 tool calls blocked (ToolDenied) · 87 secrets redacted
retention      audit_retention_days = 365

Signed compliance report written to ~/.local/share/lean-ctx/compliance/report-v1_2026-06.json
Verify offline (no LeanCTX needed):  lean-ctx compliance verify report-v1_2026-06.json

Honesto por construcción: un período tranquilo reporta cero bloqueos y una cadena rota se reporta, nunca oculta. El JSON firmado siempre se escribe; --format pdf añade un PDF 1.7 libre de dependencias para la junta directiva. Cualquiera puede volver a comprobarlo con lean-ctx compliance verify <report.json> — sin pista de auditoría, sin instalación de LeanCTX requerida.

Paquetes de evidencia

Los auditores verifican — sin tener que confiar en nosotros.

lean-ctx exporta la evidencia de auditoría como un ZIP determinístico y firmado con Ed25519: el segmento de auditoría a prueba de manipulaciones para el período, el paquete de políticas resuelto en vigor y los informes de cobertura. Mismos inputs, paquete idéntico en bytes — regenere y compare.

La contraparte, leanctx-verify, es una herramienta independiente sin código de motor y con cuatro dependencias: una segunda implementación independiente del contrato abierto evidence-bundle-v1. Se ejecuta sin conexión, en la máquina del auditor, en menos de un minuto:

1

Archivo + manifiesto

paquete bien formado y versión soportada

2

Inventario de archivos

cada archivo coincide con su SHA-256, nada añadido ni eliminado

3

Reejecución de la cadena

la cadena de hashes de auditoría se recompone desde el ancla hasta la cabeza

4

Firma del manifiesto

Ed25519 válido — contra una clave fuera de banda si tiene una

5

Firmas de entrada

cada línea de registro firmada y verificada individualmente

Probado con mutaciones: un byte volteado, una línea eliminada, una clave incorrecta — INVÁLIDO. La guía del auditor explica en lenguaje sencillo lo que prueba la evidencia y lo que no puede (los eventos están protegidos desde el momento en que se registran, no antes; un modelo de amenaza honesto es parte del formato). Fuente del verificador: packages/leanctx-verify.

FAQ

Lo que preguntan los equipos de cumplimiento.

¿Hace LeanCTX que seamos compatibles con la Ley de IA de la UE / ISO 42001 / SOC 2?

Ninguna herramienta puede afirmar eso, y nosotros tampoco. LeanCTX aplica técnicamente los controles que residen en el pipeline de contexto y prueba su aplicación con pruebas CI y evidencia de ejecución. Las matrices de mapeo indican por control si la cobertura es completa (aplicado + probado), parcial (brecha residual descrita) o nula (deber organizacional). El cumplimiento es una evaluación que hacen los humanos; LeanCTX les proporciona controles aplicables y evidencia verificable.

¿Qué hay exactamente en las matrices de mapeo?

Archivos TOML legibles por máquina, uno por marco, fijados a una edición exacta del marco con un ciclo de revisión semestral. Cada control lleva la cláusula, un requisito de una frase, el mecanismo LeanCTX (regla de paquete, evento de auditoría, exportación de evidencia), la evidencia que recibe un evaluador, la afirmación de cobertura y, para cada afirmación completa, el nombre de la prueba CI que demuestra su aplicación. Una prueba de deriva falla la compilación si una afirmación apunta a una prueba que no existe.

¿Cómo reviso mi propia configuración contra un marco?

lean-ctx policy coverage --framework eu-ai-act (o iso42001, soc2) renderiza el artefacto de conversación de auditoría: cada control como APLICADO (verificado en vivo contra su paquete de políticas resuelto), MOTOR (garantía de motor probada con CI), NO APLICADO (su paquete no contiene la regla — código de salida 1, bloqueable por CI) o BRECHA (deber organizacional documentado). Añadir --json para máquinas.

¿Qué es un paquete de evidencia?

Un ZIP determinístico y firmado con Ed25519 producido por lean-ctx audit evidence: el segmento de cadena de auditoría a prueba de manipulaciones para un período, el paquete de políticas resuelto que estaba en vigor y los informes CGB + cobertura del marco. Las entradas idénticas producen paquetes idénticos en bytes, por lo que dos partes pueden regenerar y comparar. El formato es un contrato abierto (evidence-bundle-v1).

¿Cómo verifica un auditor un paquete sin confiarnos?

Con leanctx-verify: una herramienta independiente que no comparte código con el motor e implementa el contrato publicado de forma independiente. Reproduce la cadena de hashes y comprueba todas las firmas fuera de línea en cinco pasos de APROBADO/FALLIDO, en menos de un minuto. Las pruebas de mutación demuestran que un solo byte volteado, una línea de registro eliminada o una clave incorrecta convierte el veredicto en INVÁLIDO. Una guía del auditor en lenguaje sencillo explica lo que prueba la evidencia y, con igual claridad, lo que no puede probar.

Presente evidencia en su próxima conversación de auditoría.

Ejecute el informe de cobertura contra sus propios paquetes hoy mismo: localmente, gratis. O hable con nosotros sobre un piloto con su equipo de cumplimiento involucrado.