Enterprise · Kepatuhan & Bukti

Pekerjaan kepatuhan,
dimekanisasi.

Kerangka kerja mengajukan pertanyaan; lapisan yang menentukan apa yang dilihat agen Anda harus menjawabnya dengan kontrol yang ditegakkan dan bukti yang dapat diverifikasi. LeanCTX memetakan EU AI Act, ISO/IEC 42001 dan SOC 2 ke mekanisme yang benar-benar ditegakkannya — dan transparan tentang apa pun yang tidak bisa dilakukan.

Kejujuran diutamakan: LeanCTX adalah dukungan alat untuk pekerjaan kepatuhan — bukan nasihat hukum. "Selaras" adalah pernyataan teknis tentang kontrol yang dapat ditegakkan, bukan sertifikasi. Setiap pemetaan membawa penafian ini, dan setiap tugas yang tidak terungkap adalah kesenjangan yang didokumentasikan.

Pemetaan

Tiga kerangka kerja, satu matriks jujur masing-masing.

Matriks pemetaan yang dapat dibaca mesin, dipin ke edisi kerangka kerja yang tepat dengan siklus peninjauan semi-tahunan. Masing-masing dilengkapi dengan paket kebijakan kerangka kerja yang mengimplementasikan irisan yang dapat ditegakkan — wariskan, perluas, atau audit paket Anda sendiri terhadapnya.

Regulation (EU) 2024/1689

EU AI Act

11 dari 14 kontrol yang dipetakan secara teknis ditegakkan

Perspektif deployer pada alur konteks: Art. 12 logging (anti-tamper, selalu aktif), Art. 26(6) retensi log enam bulan, Art. 10(5) redaksi pengidentifikasi yang diatur, Art. 14(4) pengawasan dan intervensi melalui batas anggaran keras, Art. 15(5) kontrol akses. Tata kelola data pelatihan dan tugas organisasi adalah kesenjangan yang didokumentasikan — bukan tersembunyi.

pack: eu-ai-act-deployer

ISO/IEC 42001:2023, Annex A

ISO/IEC 42001

Irisan Annex A yang dapat ditegakkan, kesenjangan didokumentasikan

A.6.2.6 pencatatan operasi, A.9.2 proses penggunaan bertanggung jawab — paket kebijakan adalah definisi proses yang ditegakkan mesin — A.9.4 penegakan penggunaan yang dimaksudkan dengan pelanggaran yang dicatat, A.7.4 kontrol data sebelum digunakan. AIMS itu sendiri bersifat organisasi berdasarkan definisinya; pemetaan mengatakan demikian.

pack: iso42001-aligned

AICPA TSC 2017 (2022 points of focus)

SOC 2

Irisan konteks-pipa dari TSC, bukti disertakan

CC6.1 akses logis (gerbang kemampuan default-deny), CC6.6 perlindungan batas (penolakan keluar + path jail), CC7.2 pemantauan anomali (peristiwa keamanan bertipe), C1.1 kerahasiaan (redaksi kredensial + pengidentifikasi). Kriteria tingkat entitas tetap dengan organisasi Anda — pemetaan menggambar batasnya.

pack: soc2-context

Sumber kebenaran: matriks pemetaan di repositori — TOML, dapat ditinjau, dapat dibedakan. Setiap klaim cakupan penuh menyebutkan tes CI yang membuktikan penegakannya; uji penyimpangan gagal build ketika klaim dan tes menyimpang.

Laporan cakupan

Percakapan audit, sebagai sebuah perintah.

Satu perintah menampilkan apa yang sebenarnya diinginkan oleh penilai: putusan per kontrol terhadap paket kebijakan Anda yang nyata dan terselesaikan—bukan terhadap brosur.

$ lean-ctx policy coverage --framework eu-ai-act

AIA-12.1      Art. 12(1)    ENGINE        hash-chained audit trail, always-on
AIA-26.6      Art. 26(6)    ENFORCED      audit_retention_days = 365 (≥ 180 d)
AIA-10.5      Art. 10(5)    ENFORCED      4/4 regulated-identifier classes redacted
AIA-14.4e     Art. 14(4)(e) ENFORCED      max_context_tokens = 12000 bounds every assembly
AIA-10.2      Art. 10(2)    GAP           training-data governance is outside the pipeline

11 of 14 controls technically enforced (5 pack-verified, 6 engine guarantees) · 3 documented gaps

ENFORCED diverifikasi secara langsung terhadap paket yang diselesaikan—paket yang lemah diturunkan menjadi NOT-ENFORCED dengan kode keluar 1, sehingga laporan dapat diatur sebagai CI-gateable. ENGINE menjamin kutipan tes yang membuktikannya. Baris GAP menyatakan apa yang masih merupakan tugas organisasi. --json untuk alat GRC Anda.

Laporan CISO yang ditandatangani

Satu laporan yang ditandatangani, seluruh periode.

Jalankan rentang tanggal menjadi satu artefak eksekutif: keselarasan OWASP-Top-10-for-Agents, cakupan kerangka kerja, apa yang benar-benar diblokir dan disunting penegakan, dan postur retensi—ditandatangani Ed25519 dan dapat diverifikasi secara offline.

$ lean-ctx compliance report --from 2026-05-01 --to 2026-06-01 --framework eu-ai-act --format pdf

period         2026-05-01 → 2026-06-01   ·   audit chain: VALID
owasp-agents   9 / 10 aligned · 1 documented gap
eu-ai-act      11 / 14 controls enforced · 3 documented gaps
enforcement    142 tool calls blocked (ToolDenied) · 87 secrets redacted
retention      audit_retention_days = 365

Signed compliance report written to ~/.local/share/lean-ctx/compliance/report-v1_2026-06.json
Verify offline (no LeanCTX needed):  lean-ctx compliance verify report-v1_2026-06.json

Jujur berdasarkan konstruksi: periode tenang melaporkan nol blok dan rantai yang rusak dilaporkan, tidak pernah disembunyikan. JSON yang ditandatangani selalu ditulis; --format pdf menambahkan PDF 1.7 bebas dependensi untuk dewan. Siapa pun dapat memeriksanya kembali dengan lean-ctx compliance verify <report.json>—tidak perlu jejak audit, tidak perlu instalasi LeanCTX.

Bundel bukti

Auditor memverifikasi — tanpa mempercayai kami.

lean-ctx mengekspor bukti audit ZIP yang deterministik dan ditandatangani Ed25519: segmen audit anti-tamper untuk periode tersebut, paket kebijakan yang diselesaikan yang berlaku, dan laporan cakupan. Input yang sama, bundel identik byte—regenerasi dan bandingkan.

Pasangannya, leanctx-verify, adalah alat mandiri tanpa kode mesin dan empat dependensi—implementasi kedua independen dari kontrak evidence-bundle-v1 terbuka. Ini berjalan secara offline, di mesin auditor, dalam waktu kurang dari satu menit:

1

Arsip + manifest

mengemas yang terstruktur dengan baik, versi didukung

2

Inventaris file

setiap file cocok dengan SHA-256-nya, tidak ada yang ditambahkan atau dihapus

3

Pemutaran rantai

rantai hash audit dihitung ulang dari jangkar ke kepala

4

Tanda tangan manifest

Ed25519 valid—terhadap kunci out-of-band jika Anda memilikinya

5

Tanda tangan entri

setiap baris log ditandatangani dan diverifikasi secara individual

Diuji mutasi: satu byte dibalik, satu baris hilang, satu kunci salah — TIDAK VALID. panduan auditor menjelaskan dalam bahasa sederhana apa yang dibuktikan oleh bukti dan apa yang tidak (peristiwa dilindungi sejak direkam — bukan sebelumnya; model ancaman jujur adalah bagian dari format). Sumber Verifier: packages/leanctx-verify.

FAQ

Apa yang ditanyakan tim kepatuhan.

Apakah LeanCTX membuat kami patuh terhadap EU AI Act / ISO 42001 / SOC 2?

Tidak ada alat yang dapat mengklaim itu, dan kami juga tidak. LeanCTX secara teknis menegakkan kontrol yang berada dalam pipeline konteks — dan membuktikan penegakan dengan tes CI dan bukti runtime. Matriks pemetaan menyatakan per kontrol apakah cakupannya penuh (ditegakkan + diuji), parsial (kesenjangan residual dijelaskan) atau tidak ada (kewajiban organisasi). Kepatuhan adalah penilaian yang dibuat manusia; LeanCTX menyerahkan kepada mereka kontrol yang dapat ditegakkan dan bukti yang dapat diverifikasi.

Apa sebenarnya yang ada dalam matriks pemetaan?

File TOML yang dapat dibaca mesin, satu per kerangka kerja, dipin ke edisi kerangka kerja yang tepat dengan siklus peninjauan semi-tahunan. Setiap kontrol membawa klausa, persyaratan satu kalimat, mekanisme LeanCTX (aturan paket, peristiwa audit, ekspor bukti), bukti yang diterima oleh penilai, klaim cakupan — dan untuk setiap klaim penuh, nama tes CI yang membuktikan penegakan. Tes penyimpangan gagal build jika sebuah klaim menunjuk pada tes yang tidak ada.

Bagaimana cara saya memeriksa pengaturan sendiri terhadap kerangka kerja?

lean-ctx policy coverage --framework eu-ai-act (atau iso42001, soc2) merender artefak audit-konversasi: setiap kontrol sebagai ENFORCED (diverifikasi langsung terhadap paket kebijakan yang diselesaikan), ENGINE (jaminan mesin terbukti CI), NOT-ENFORCED (paket Anda tidak memiliki aturan — kode keluar 1, dapat dihalangi CI) atau GAP (kewajiban organisasi yang didokumentasikan). Tambahkan --json untuk mesin.

Apa itu bundel bukti?

ZIP deterministik, ditandatangani Ed25519 yang dihasilkan oleh lean-ctx audit evidence: segmen rantai audit anti-tamper untuk periode waktu, paket kebijakan yang diselesaikan yang berlaku, dan laporan cakupan CGB + kerangka kerja. Input yang identik menghasilkan bundel yang identik byte demi byte, sehingga dua pihak dapat meregenerasi dan membandingkan. Formatnya adalah kontrak terbuka (evidence-bundle-v1).

Bagaimana auditor memverifikasi bundel tanpa mempercayai kami?

Dengan leanctx-verify — alat mandiri yang tidak berbagi kode dengan engine dan mengimplementasikan kontrak yang diterbitkan secara independen. Alat ini memainkan kembali rantai hash dan memeriksa semua tanda tangan secara offline dalam lima langkah PASS/FAIL, kurang dari satu menit. Tes mutasi membuktikan bahwa satu byte yang dibalik, baris log yang hilang atau kunci yang salah mengubah putusan menjadi TIDAK VALID. Panduan auditor bahasa biasa menjelaskan apa yang dibuktikan oleh bukti — dan, sama eksplisitnya, apa yang tidak dapat dibuktikannya.

Bawa bukti ke percakapan audit Anda berikutnya.

Jalankan laporan cakupan terhadap paket Anda sendiri hari ini — secara lokal, gratis. Atau bicaralah dengan kami tentang uji coba dengan tim kepatuhan Anda yang terlibat.