Enterprise · Conformità e prove

Lavoro di conformità,
meccanizzato.

I framework fanno domande; lo strato che decide cosa vedono i tuoi agenti dovrebbe rispondere con controlli imposti e prove verificabili. LeanCTX mappa EU AI Act, ISO/IEC 42001 e SOC 2 a meccanismi che effettivamente applica — ed è esplicito su tutto ciò che non può.

Onestà prima: LeanCTX è uno strumento di supporto per il lavoro di conformità, non un consiglio legale. "Allineato" è una dichiarazione tecnica sui controlli applicabili, non una certificazione. Ogni mappatura porta questo disclaimer e ogni dovere non coperto è un gap documentato.

Le mappature

Tre framework, una matrice onesta ciascuno.

Matrici di mappatura leggibili dalle macchine, vincolate a edizioni specifiche del framework con un ciclo di revisione semestrale. Ognuna viene fornita con un pacchetto policy che implementa la fetta applicabile — ereditatela, estendetela o auditate il vostro pacchetto contro di essa.

Regulation (EU) 2024/1689

EU AI Act

11 controlli su 14 mappati e tecnicamente applicati

Prospettiva dello sviluppatore sul flusso del contesto: Art. 12 logging (a prova di manomissione, sempre attivo), Art. 26(6) conservazione dei log per sei mesi, Art. 10(5) ridazione degli identificatori regolamentati, Art. 14(4) supervisione e intervento tramite limiti di budget rigidi, Art. 15(5) controllo degli accessi. La governance dei dati di addestramento e i doveri organizzativi sono gap documentati — non nascosti.

pack: eu-ai-act-deployer

ISO/IEC 42001:2023, Annex A

ISO/IEC 42001

Fette Annex A applicabili, gap documentati

A.6.2.6 logging delle operazioni, A.9.2 processo di uso responsabile — il pacchetto policy è la definizione del processo applicato dalla macchina — A.9.4 applicazione dell'uso previsto con violazioni registrate, A.7.4 controllo dei dati prima dell'uso. L'AIMS stesso è organizzativo per definizione; la mappatura lo afferma.

pack: iso42001-aligned

AICPA TSC 2017 (2022 points of focus)

SOC 2

Fetta di contesto-pipeline del TSC, prove incluse

CC6.1 accesso logico (porta di capacità default-deny), CC6.6 protezione dei confini (negazione dell'uscita + path jail), CC7.2 monitoraggio delle anomalie (eventi di sicurezza tipizzati), C1.1 riservatezza (ridazione di credenziali e identificatori). I criteri a livello di entità rimangono con la vostra organizzazione — la mappatura traccia il confine.

pack: soc2-context

Fonte di verità: le matrici di mappatura nel repository — TOML, revisionabili, diffabili. Ogni affermazione di copertura completa nomina il test CI che ne prova l'applicazione; un test di deriva fallisce la build quando le affermazioni e i test divergono.

Rapporti di copertura

La conversazione di audit, come comando.

Un singolo comando renderizza ciò che gli assessori desiderano vedere: verdetto per controllo rispetto al vostro pacchetto di policy reale e risolto, non rispetto a una brochure.

$ lean-ctx policy coverage --framework eu-ai-act

AIA-12.1      Art. 12(1)    ENGINE        hash-chained audit trail, always-on
AIA-26.6      Art. 26(6)    ENFORCED      audit_retention_days = 365 (≥ 180 d)
AIA-10.5      Art. 10(5)    ENFORCED      4/4 regulated-identifier classes redacted
AIA-14.4e     Art. 14(4)(e) ENFORCED      max_context_tokens = 12000 bounds every assembly
AIA-10.2      Art. 10(2)    GAP           training-data governance is outside the pipeline

11 of 14 controls technically enforced (5 pack-verified, 6 engine guarantees) · 3 documented gaps

ENFORCED è verificato in tempo reale contro il vostro pacchetto risolto — un pacchetto debole scende a NON-ENFORCED con codice di uscita 1, così il report è CI-gateable. ENGINE garantisce di citare il test che li prova. Le righe GAP indicano ciò che rimane un dovere organizzativo. --json per i vostri strumenti GRC.

Report CISO firmato

Un report firmato, per tutto il periodo.

Raggruppa un intervallo di date in un singolo artefatto esecutivo: allineamento OWASP-Top-10-for-Agents, copertura del framework, ciò che l'applicazione ha effettivamente bloccato e ridotto, e la postura di ritenzione — firmato con Ed25519 e verificabile offline.

$ lean-ctx compliance report --from 2026-05-01 --to 2026-06-01 --framework eu-ai-act --format pdf

period         2026-05-01 → 2026-06-01   ·   audit chain: VALID
owasp-agents   9 / 10 aligned · 1 documented gap
eu-ai-act      11 / 14 controls enforced · 3 documented gaps
enforcement    142 tool calls blocked (ToolDenied) · 87 secrets redacted
retention      audit_retention_days = 365

Signed compliance report written to ~/.local/share/lean-ctx/compliance/report-v1_2026-06.json
Verify offline (no LeanCTX needed):  lean-ctx compliance verify report-v1_2026-06.json

Onesto per costruzione: un periodo tranquillo segnala zero blocchi e una catena interrotta viene riportata, mai nascosta. Il JSON firmato è sempre scritto; --format pdf aggiunge un PDF 1.7 senza dipendenze per il consiglio di amministrazione. Chiunque può ricontrollarlo con lean-ctx compliance verify <report.json> — nessun audit trail, nessuna installazione LeanCTX richiesta.

Bundle di prove

Gli revisori verificano — senza fidarsi di noi.

lean-ctx esporta le prove di audit in un ZIP deterministico e firmato con Ed25519: il segmento di audit a prova di manomissione per il periodo, il pacchetto di policy risolto in vigore e i report di copertura. Stessi input, bundle byte-identico — rigenerare e confrontare.

Il corrispettivo, leanctx-verify, è uno strumento autonomo senza codice motore e quattro dipendenze — una seconda implementazione indipendente del contratto aperto evidence-bundle-v1. Funziona offline, sulla macchina dell'auditore, in meno di un minuto:

1

Archivio + manifest

bundle ben formato, versione supportata

2

Inventario file

ogni file corrisponde al suo SHA-256, nulla aggiunto o rimosso

3

Riproduzione catena

la catena di hash di audit viene ricalcolata dall'ancora alla testa

4

Firma manifest

Ed25519 valido — rispetto a una chiave out-of-band se ne avete una

5

Firme di entrata

ogni riga di log firmata e verificata individualmente

Testato con mutazioni: un byte invertito, una riga mancante, una chiave errata — INVALID. La guida per l'auditore spiega in linguaggio semplice cosa dimostra la prova e cosa non può (gli eventi sono protetti dal momento in cui vengono registrati — non prima; un modello di minaccia onesto fa parte del formato). Fonte Verifier: packages/leanctx-verify.

FAQ

Cosa chiedono i team di conformità.

LeanCTX ci rende compliant con l'EU AI Act / ISO 42001 / SOC 2?

Nessuno strumento può affermarlo, e noi non lo facciamo. LeanCTX applica tecnicamente i controlli che risiedono nel pipeline di contesto — e ne dimostra l'applicazione con test CI ed evidenze runtime. Le matrici di mappatura specificano per controllo se la copertura è completa (applicata + testata), parziale (gap residuo descritto) o nulla (dovere organizzativo). La conformità è una valutazione che fanno gli umani; LeanCTX fornisce loro controlli applicabili e prove verificabili.

Cosa c'è esattamente nelle matrici di mappatura?

File TOML leggibili dalle macchine, uno per framework, vincolati a una specifica edizione del framework con un ciclo di revisione semestrale. Ogni controllo porta la clausola, un requisito di una frase, il meccanismo LeanCTX (regola pack, evento audit, esportazione evidenza), l'evidenza che riceve un valutatore, la dichiarazione di copertura — e per ogni dichiarazione completa, il nome del test CI che ne prova l'applicazione. Un test di deriva fallisce la build se una dichiarazione punta a un test inesistente.

Come controllo il mio setup rispetto a un framework?

lean-ctx policy coverage --framework eu-ai-act (o iso42001, soc2) renderizza l'artefatto di conversazione audit: ogni controllo come ENFORCED (verificato in tempo reale contro il tuo pacchetto di politiche risolto), ENGINE (garanzia motore provata da CI), NOT-ENFORCED (il tuo pack non contiene la regola — codice di uscita 1, bloccabile da CI) o GAP (dovere organizzativo documentato). Aggiungi --json per le macchine.

Cos'è un bundle di evidenze?

Uno ZIP deterministico e firmato con Ed25519 prodotto da lean-ctx audit evidence: il segmento della catena di audit a prova di manomissione per un periodo, il pacchetto di politiche risolto che era in vigore e i report CGB + copertura framework. Input identici producono bundle byte-identici, così due parti possono rigenerare e confrontare. Il formato è un contratto aperto (evidence-bundle-v1).

Come fa un revisore a verificare un bundle senza fidarsi di noi?

Con leanctx-verify — uno strumento autonomo che non condivide codice con il motore e implementa il contratto pubblicato in modo indipendente. Riproduce la catena hash e verifica tutte le firme offline in cinque passaggi PASS/FAIL, in meno di un minuto. I test di mutazione dimostrano che un singolo byte invertito, una riga di log mancante o una chiave errata trasforma il verdetto in INVALID. Una guida per l'auditore in linguaggio semplice spiega cosa prova la prova — e, con pari chiarezza, cosa non può provare.

Porta le prove al tuo prossimo colloquio di audit.

Esegui il report di copertura sui tuoi pack oggi stesso — localmente, gratuitamente. Oppure parlaci di un progetto pilota con il tuo team di conformità coinvolto.