एंटरप्राइज · अनुपालन और साक्ष्य

अनुपालन कार्य,
यांत्रिक।

फ्रेमवर्क सवाल पूछते हैं; वह लेयर जो तय करती है कि आपके एजेंट्स क्या देखते हैं, उन्हें लागू नियंत्रणों और सत्यापन योग्य साक्ष्य के साथ जवाब देना चाहिए। LeanCTX EU AI Act, ISO/IEC 42001 और SOC 2 को उन तंत्रों से मैप करता है जिन्हें यह वास्तव में लागू करता है — और हर उस चीज़ के बारे में स्पष्ट है जिसे यह नहीं कर सकता।

ईमानदारी सबसे पहले: LeanCTX अनुपालन कार्य के लिए टूलिंग समर्थन है — कानूनी सलाह नहीं। "संरेखित" लागू नियंत्रणों के बारे में एक तकनीकी बयान है, कोई प्रमाणन नहीं। हर मैपिंग इस अस्वीकरण को वहन करती है, और हर अनकवर कर्तव्य एक प्रलेखित अंतर होता है।

मैपिंग्स

तीन फ्रेमवर्क, हर एक में एक ईमानदार मैट्रिक्स।

मशीन-पठनीय मैपिंग मैट्रिक्स, अर्ध-वार्षिक समीक्षा चक्र के साथ सटीक फ्रेमवर्क संस्करणों से जुड़े हुए। प्रत्येक लागू करने योग्य स्लाइस को लागू करने वाली एक फ्रेमवर्क नीति पैक के साथ आता है — इसे विरासत में लें, इसका विस्तार करें, या इसके विरुद्ध अपने स्वयं के पैक का ऑडिट करें।

Regulation (EU) 2024/1689

EU AI Act

14 में से 11 मैप किए गए नियंत्रण तकनीकी रूप से लागू

संदर्भ प्रवाह पर डिप्लॉयर परिप्रेक्ष्य: Art. 12 लॉगिंग (टैम्पर-एविडेंट, हमेशा चालू), Art. 26(6) छह महीने का लॉग प्रतिधारण, Art. 10(5) विनियमित-पहचानकर्ता विलोपन, Art. 14(4) कठोर बजट कैप के माध्यम से निरीक्षण और हस्तक्षेप, Art. 15(5) एक्सेस कंट्रोल। प्रशिक्षण-डेटा शासन और संगठनात्मक कर्तव्य प्रलेखित अंतर हैं — छिपे हुए नहीं।

pack: eu-ai-act-deployer

ISO/IEC 42001:2023, Annex A

ISO/IEC 42001

लागू करने योग्य Annex A स्लाइस, अंतर प्रलेखित

A.6.2.6 ऑपरेशन लॉगिंग, A.9.2 जिम्मेदार-उपयोग प्रक्रिया — नीति पैक मशीन-लागू प्रक्रिया परिभाषा है — रिकॉर्ड किए गए उल्लंघनों के साथ A.9.4 इच्छित-उपयोग प्रवर्तन, उपयोग से पहले A.7.4 डेटा नियंत्रण। स्वयं AIMS परिभाषा के अनुसार संगठनात्मक है; मैपिंग ऐसा कहती है।

pack: iso42001-aligned

AICPA TSC 2017 (2022 points of focus)

SOC 2

TSC का संदर्भ-पाइपलाइन स्लाइस, साक्ष्य सहित

CC6.1 तार्किक एक्सेस (डिफ़ॉल्ट-डीनाई क्षमता गेट), CC6.6 बाउंड्री प्रोटेक्शन (एग्रैस डिनायल + पाथ जेल), CC7.2 विसंगति निगरानी (टाइप्ड सुरक्षा इवेंट्स), C1.1 गोपनीयता (क्रेडेंशियल + पहचानकर्ता विलोपन)। इकाई-स्तर के मानदंड आपके संगठन के साथ रहते हैं — मैपिंग सीमा खींचती है।

pack: soc2-context

सत्य का स्रोत: रिपॉजिटरी में मैपिंग मैट्रिक्स — TOML, समीक्षा योग्य, diffable। हर पूर्ण कवरेज दावे CI टेस्ट का नाम लेते हैं जो प्रवर्तन को साबित करता है; एक ड्रिफ्ट टेस्ट बिल्ड को विफल कर देता है जब दावे और परीक्षण विचलित होते हैं।

कवरेज रिपोर्ट

ऑडिट बातचीत, एक कमांड के रूप में।

एक कमांड वह प्रस्तुत करता है जो मूल्यांकनकर्ताओं को वास्तव में देखना होता है: आपके वास्तविक, हल किए गए पॉलिसी पैक के विरुद्ध प्रति-नियंत्रण निर्णय - न कि किसी ब्रोशर के विरुद्ध।

$ lean-ctx policy coverage --framework eu-ai-act

AIA-12.1      Art. 12(1)    ENGINE        hash-chained audit trail, always-on
AIA-26.6      Art. 26(6)    ENFORCED      audit_retention_days = 365 (≥ 180 d)
AIA-10.5      Art. 10(5)    ENFORCED      4/4 regulated-identifier classes redacted
AIA-14.4e     Art. 14(4)(e) ENFORCED      max_context_tokens = 12000 bounds every assembly
AIA-10.2      Art. 10(2)    GAP           training-data governance is outside the pipeline

11 of 14 controls technically enforced (5 pack-verified, 6 engine guarantees) · 3 documented gaps

ENFORCED आपके हल किए गए पैक के विरुद्ध लाइव सत्यापित होता है — एक कमजोर पैक एग्जिट कोड 1 के साथ NOT-ENFORCED में कम हो जाता है, इसलिए रिपोर्ट CI-gateable होती है। ENGINE गारंटी देता है कि वे परीक्षण उद्धृत करें जो उन्हें साबित करते हैं। GAP पंक्तियाँ बताती हैं कि क्या एक संगठनात्मक कर्तव्य बना हुआ है। आपके GRC टूलिंग के लिए --json

हस्ताक्षरित CISO रिपोर्ट

एक हस्ताक्षरित रिपोर्ट, पूरे अवधि का।

एक तिथि सीमा को एक कार्यकारी कलाकृति में रोल करें: OWASP-Top-10-for-Agents संरेखण, फ्रेमवर्क कवरेज, क्या प्रवर्तन ने वास्तव में अवरुद्ध और संपादित किया, और प्रतिधारण मुद्रा — Ed25519-हस्ताक्षरित और ऑफ़लाइन-सत्यापन योग्य।

$ lean-ctx compliance report --from 2026-05-01 --to 2026-06-01 --framework eu-ai-act --format pdf

period         2026-05-01 → 2026-06-01   ·   audit chain: VALID
owasp-agents   9 / 10 aligned · 1 documented gap
eu-ai-act      11 / 14 controls enforced · 3 documented gaps
enforcement    142 tool calls blocked (ToolDenied) · 87 secrets redacted
retention      audit_retention_days = 365

Signed compliance report written to ~/.local/share/lean-ctx/compliance/report-v1_2026-06.json
Verify offline (no LeanCTX needed):  lean-ctx compliance verify report-v1_2026-06.json

निर्माण द्वारा ईमानदार: एक शांत अवधि शून्य ब्लॉकों की रिपोर्ट करती है और टूटी हुई श्रृंखला की रिपोर्ट की जाती है, कभी छिपी नहीं। हस्ताक्षरित JSON हमेशा लिखा जाता है; --format pdf बोर्ड के लिए एक निर्भरता-मुक्त PDF 1.7 जोड़ता है। कोई भी इसे lean-ctx compliance verify <report.json> से पुन: जांच कर सकता है — कोई ऑडिट ट्रेल नहीं, LeanCTX इंस्टॉलेशन आवश्यक नहीं।

साक्ष्य बंडल

ऑडिटर सत्यापित करते हैं — हम पर भरोसा किए बिना।

lean-ctx ऑडिट साक्ष्य एक नियतात्मक, Ed25519-हस्ताक्षरित ZIP निर्यात करता है: अवधि के लिए छेड़छाड़-प्रमाणित ऑडिट सेगमेंट, बल में हल किया गया पॉलिसी पैक, और कवरेज रिपोर्ट। समान इनपुट, बाइट-समान बंडल — पुनर्जीवित करें और तुलना करें।

काउंटरपार्ट, leanctx-verify, एक स्टैंडअलोन टूल है जिसमें कोई इंजन कोड नहीं और चार निर्भरताएं हैं — खुले evidence-bundle-v1 अनुबंध का एक स्वतंत्र दूसरा कार्यान्वयन। यह ऑफ़लाइन चलता है, ऑडिटर की मशीन पर, एक मिनट से भी कम समय में:

1

आर्काइव + मैनिफेस्ट

सुव्यवस्थित, संस्करण समर्थित बंडल

2

फ़ाइल इन्वेंटरी

हर फ़ाइल अपने SHA-256 से मेल खाती है, कुछ भी जोड़ा या हटाया नहीं गया

3

चेन रीप्ले

ऑडिट हैश चेन एंकर से हेड तक पुनर्गणना करती है

4

मैनिफेस्ट हस्ताक्षर

Ed25519 मान्य — यदि आपके पास कोई आउट-ऑफ-बैंड कुंजी है तो

5

एंट्री सिग्नेचर

प्रत्येक लॉग लाइन को व्यक्तिगत रूप से साइन और सत्यापित किया जाता है

म्यूटेशन-परीक्षणित: एक पलटा हुआ बाइट, एक छूटी हुई लाइन, एक गलत कुंजी — अमान्य। ऑडिटर गाइड स्पष्ट भाषा में समझाता है कि साक्ष्य क्या साबित करता है और क्या नहीं (घटनाएं रिकॉर्ड होने के क्षण से सुरक्षित होती हैं - पहले से नहीं; एक ईमानदार थ्रेट मॉडल प्रारूप का हिस्सा है)। सत्यापनकर्ता स्रोत: packages/leanctx-verify

FAQ

अनुपालन टीमें क्या पूछती हैं।

क्या LeanCTX हमें EU AI Act / ISO 42001 / SOC 2 के अनुरूप बनाता है?

कोई उपकरण ऐसा दावा नहीं कर सकता, और हम नहीं करते। LeanCTX तकनीकी रूप से उन नियंत्रणों को लागू करता है जो संदर्भ पाइपलाइन में रहते हैं — और CI परीक्षणों तथा रनटाइम साक्ष्य के साथ प्रवर्तन साबित करता है। मैपिंग मैट्रिक्स प्रति नियंत्रण यह बताते हैं कि कवरेज पूर्ण (लागू + परखा गया), आंशिक (अवशिष्ट अंतर का वर्णन किया गया) या कोई नहीं (संगठनात्मक कर्तव्य) है। अनुपालन एक मूल्यांकन है जो मनुष्य करते हैं; LeanCTX उन्हें लागू करने योग्य नियंत्रण और सत्यापन योग्य साक्ष्य देता है।

मैपिंग मैट्रिक्स में वास्तव में क्या होता है?

मशीन-पठनीय TOML फ़ाइलें, प्रत्येक फ्रेमवर्क के लिए एक, जो अर्ध-वार्षिक समीक्षा चक्र के साथ एक सटीक फ्रेमवर्क संस्करण से जुड़ी होती हैं। प्रत्येक नियंत्रण में खंड, एक वाक्य की आवश्यकता, LeanCTX तंत्र (पैकेज नियम, ऑडिट इवेंट, साक्ष्य निर्यात), मूल्यांकनकर्ता को प्राप्त साक्ष्य, कवरेज दावा — और हर पूर्ण दावे के लिए, उस CI परीक्षण का नाम जो प्रवर्तन साबित करता है। एक ड्रिफ्ट टेस्ट बिल्ड को विफल कर देता है यदि कोई दावा ऐसे परीक्षण की ओर इशारा करता है जो मौजूद नहीं है।

मैं किसी फ्रेमवर्क के विरुद्ध अपनी सेटअप की जांच कैसे करूं?

lean-ctx policy coverage --framework eu-ai-act (या iso42001, soc2) ऑडिट-संवाद कलाकृति प्रस्तुत करता है: प्रत्येक नियंत्रण ENFORCED (आपके हल किए गए नीति पैक के विरुद्ध लाइव सत्यापित), ENGINE (CI-सिद्ध इंजन गारंटी), NOT-ENFORCED (आपका पैक नियम नहीं रखता — एग्जिट कोड 1, CI-गेट करने योग्य) या GAP (दस्तावेजित संगठनात्मक कर्तव्य)। मशीनों के लिए --json जोड़ें।

साक्ष्य बंडल क्या है?

lean-ctx ऑडिट साक्ष्य द्वारा उत्पादित एक नियतात्मक, Ed25519-हस्ताक्षरित ZIP: एक अवधि के लिए छेड़छाड़-प्रूफ ऑडिट-चेन सेगमेंट, लागू नीति पैक, और CGB + फ्रेमवर्क कवरेज रिपोर्ट। समान इनपुट बाइट-समान बंडल उत्पन्न करते हैं, इसलिए दो पक्ष पुनर्जीवित और तुलना कर सकते हैं। प्रारूप एक खुला अनुबंध है (evidence-bundle-v1)।

ऑडिटर हमें भरोसा किए बिना बंडल का सत्यापन कैसे करता है?

leanctx-verify के साथ — एक स्टैंडअलोन टूल जो इंजन के साथ कोई कोड साझा नहीं करता और प्रकाशित अनुबंध को स्वतंत्र रूप से लागू करता है। यह हैश चेन को पुन: चलाता है और पांच PASS/FAIL चरणों में सभी हस्ताक्षरों की ऑफ़लाइन जांच करता है, जिसमें एक मिनट से भी कम समय लगता है। म्यूटेशन टेस्ट साबित करते हैं कि एक एकल पलटा हुआ बाइट, छूटी हुई लॉग लाइन या गलत कुंजी निर्णय को INVALID कर देती है। एक सरल भाषा का ऑडिटर गाइड समझाता है कि साक्ष्य क्या साबित करता है — और, उतनी ही स्पष्ट रूप से, क्या नहीं साबित कर सकता।

अपने अगले ऑडिट संवाद में साक्ष्य लाएं।

आज ही अपने पैक के विरुद्ध कवरेज रिपोर्ट चलाएं — स्थानीय रूप से, मुफ़्त। या हमें अपनी अनुपालन टीम के साथ एक पायलट पर बात करें।