Enterprise · Zgodność i dowody

Praca nad zgodnością,
mechanizowana.

Frameworki zadają pytania; warstwa decydująca o tym, co widzą Twoi agenci, powinna na nie odpowiadać za pomocą wymuszonych kontroli i weryfikowalnych dowodów. LeanCTX mapuje EU AI Act, ISO/IEC 42001 i SOC 2 na mechanizmy, które faktycznie egzekwuje — i jest jawne co do wszystkiego, czego nie może.

Najpierw uczciwość: LeanCTX to narzędzie wspierające pracę nad zgodnością — a nie porada prawna. Określenie „zgodny” jest technicznym stwierdzeniem dotyczącym wymuszalnych kontroli, a nie certyfikatem. Każde mapowanie niesie ze sobą tę klauzulę wyłączającą, a każdy niezabezpieczony obowiązek to udokumentowana luka.

Mapowania

Trzy frameworki, jedna uczciwa macierz każda.

Macierze mapujące, czytelne dla maszyn, przypięte do dokładnych edycji frameworków z cyklem przeglądu półrocznego. Każdy jest dostarczany wraz z pakietem polityki frameworka implementującym wymuszalny wycinek — dziedzicz go, rozszerz lub audytuj własny pakiet względem niego.

Regulation (EU) 2024/1689

EU AI Act

11 z 14 mapowanych kontroli technicznie egzekwowanych

Perspektywa wdrażającego na przepływ kontekstu: Art. 12 logowanie (zapobiegające manipulacjom, zawsze aktywne), Art. 26(6) retencja dzienników przez sześć miesięcy, Art. 10(5) redakcja identyfikatorów regulowanych, Art. 14(4) nadzór i interwencja za pomocą twardych limitów budżetu, Art. 15(5) kontrola dostępu. Zarządzanie danymi treningowymi i obowiązki organizacyjne to udokumentowane luki — nie ukryte.

pack: eu-ai-act-deployer

ISO/IEC 42001:2023, Annex A

ISO/IEC 42001

Egzekwowalne wycinki Annex A, udokumentowane luki

A.6.2.6 logowanie operacji, A.9.2 proces użycia odpowiedzialnego — pakiet polityki to definicja procesu egzekwowanej maszynowo — A.9.4 wymuszanie zamierzonego użycia z rejestrowanymi naruszeniami, A.7.4 kontrola danych przed użyciem. Samo AIMS jest organizacyjne z definicji; mapowanie to stwierdza.

pack: iso42001-aligned

AICPA TSC 2017 (2022 points of focus)

SOC 2

Wycinek kontekstu-potoku TSC, włączając dowody

CC6.1 dostęp logiczny (brama domyślnie odmawiająca), CC6.6 ochrona granic (odmowa wyjścia + PathJail), CC7.2 monitorowanie anomalii (typowych zdarzeń bezpieczeństwa), C1.1 poufność (redakcja poświadczeń i identyfikatorów). Kryteria na poziomie encji pozostają w Twojej organizacji — mapowanie rysuje granicę.

pack: soc2-context

Źródło prawdy: macierze mapujące w repozytorium — TOML, do przeglądania i różnicowania. Każde roszczenie o pełne pokrycie wymienia test CI, który udowadnia egzekwowanie; test dryfu zawodzi build, gdy roszczenia i testy się rozbiegają.

Raporty pokrycia

Rozmowa audytowa, jak polecenie.

Jedna komenda renderuje to, co audytorzy faktycznie chcą zobaczyć: werdykty na poziomie kontroli dla Twojego rzeczywistego, rozstrzygniętego pakietu polityk — a nie broszury.

$ lean-ctx policy coverage --framework eu-ai-act

AIA-12.1      Art. 12(1)    ENGINE        hash-chained audit trail, always-on
AIA-26.6      Art. 26(6)    ENFORCED      audit_retention_days = 365 (≥ 180 d)
AIA-10.5      Art. 10(5)    ENFORCED      4/4 regulated-identifier classes redacted
AIA-14.4e     Art. 14(4)(e) ENFORCED      max_context_tokens = 12000 bounds every assembly
AIA-10.2      Art. 10(2)    GAP           training-data governance is outside the pipeline

11 of 14 controls technically enforced (5 pack-verified, 6 engine guarantees) · 3 documented gaps

ENFORCED jest weryfikowane na żywo względem Twojego rozstrzygniętego pakietu — słaby pakiet degraduje się do NOT-ENFORCED z kodem wyjścia 1, dzięki czemu raport można użyć jako bramy CI. ENGINE gwarantuje podanie testu, który je udowadnia. Wiersze GAP wskazują, co pozostaje obowiązkiem organizacyjnym. Dla Twoich narzędzi GRC użyj --json.

Podpisany raport CISO

Jeden podpisany raport, za cały okres.

Zbierz zakres dat w jeden artefakt wykonawczy: zgodność z OWASP-Top-10-for-Agents, pokrycie ramowe, co faktycznie zostało zablokowane i usunięte oraz postawę retencji — podpisany Ed25519 i możliwy do zweryfikowania offline.

$ lean-ctx compliance report --from 2026-05-01 --to 2026-06-01 --framework eu-ai-act --format pdf

period         2026-05-01 → 2026-06-01   ·   audit chain: VALID
owasp-agents   9 / 10 aligned · 1 documented gap
eu-ai-act      11 / 14 controls enforced · 3 documented gaps
enforcement    142 tool calls blocked (ToolDenied) · 87 secrets redacted
retention      audit_retention_days = 365

Signed compliance report written to ~/.local/share/lean-ctx/compliance/report-v1_2026-06.json
Verify offline (no LeanCTX needed):  lean-ctx compliance verify report-v1_2026-06.json

Uczciwe z definicji: okres bez zdarzeń raportuje zero blokad, a zerwana ciągłość jest zgłaszana, nigdy ukryta. Podpisany JSON jest zawsze zapisywany; --format pdf dodaje niezależny od zależności plik PDF 1.7 dla zarządu. Każdy może to ponownie sprawdzić za pomocą lean-ctx compliance verify <report.json> — nie wymaga ścieżki audytowej ani instalacji LeanCTX.

Pakiety dowodów

Audytorzy weryfikują — bez zaufania do nas.

lean-ctx eksportuje deterministyczny, podpisany Ed25519 ZIP: segment audytu odporny na manipulacje dla danego okresu, rozstrzygnięty pakiet polityk w mocy oraz raporty o pokryciu. Te same dane wejściowe, identyczne bajt po bajcie pakiety — wygeneruj i porównaj.

Kontrpartner, leanctx-verify, to samodzielne narzędzie bez kodu silnika i cztery zależności — niezależna druga implementacja otwartego kontraktu evidence-bundle-v1. Działa offline, na maszynie audytora, w czasie krótszym niż minuta:

1

Archiwum + manifest

spakowany i poprawny, wspierana wersja

2

Inwentaryzacja plików

każdy plik pasuje do swojego SHA-256, nic nie dodano ani usunięto

3

Odtwarzanie łańcucha

hash łańcuch audytu jest przeliczany od kotwicy do głowy

4

Podpis manifestu

Ed25519 ważny — względem klucza poza pasem, jeśli taki posiadasz

5

Podpisywanie sygnatur wejścia

każda linia logu jest indywidualnie podpisywana i weryfikowana

Testowane mutacyjnie: jeden zmieniony bajt, jedna usunięta linia, jeden zły klucz — INVALID. przewodnik dla audytora wyjaśnia prostym językiem, co dowód udowadnia i czego nie potrafi (wydarzenia są chronione od momentu ich zarejestrowania — a nie wcześniej; uczciwy model zagrożenia jest częścią formatu). Źródło weryfikatora: packages/leanctx-verify.

FAQ

Pytania zespołów ds. zgodności.

Czy LeanCTX zapewnia nam zgodność z EU AI Act / ISO 42001 / SOC 2?

Żaden narzędzie nie może tego obiecać, i my też nie możemy. LeanCTX technicznie egzekwuje kontrole zawarte w potoku kontekstu — i udowadnia ich egzekucję za pomocą testów CI i dowodów wykonania. Macierze mapowania określają dla każdego kontrolu, czy pokrycie jest pełne (egzekwowane + przetestowane), częściowe (opisana luka resztkowa) czy brak (obowiązek organizacyjny). Zgodność to ocena dokonana przez człowieka; LeanCTX dostarcza im egzekwowalne kontrole i weryfikowalne dowody.

Co dokładnie znajduje się w macierzach mapowania?

Pliki TOML czytelne dla maszyn, po jednym na każdy framework, przypisane do dokładnej edycji frameworka z cyklem przeglądu półrocznego. Każdy kontrol zawiera klauzulę, wymaganie składające się z jednego zdania, mechanizm LeanCTX (reguła pakowania, wydarzenie audytu, eksport dowodów), dowód otrzymywany przez oceniającego, roszczenie o pokrycie — i dla każdego pełnego roszczenia nazwę testu CI, który udowadnia egzekucję. Test dryfu zawodzi budowę, jeśli roszczenie wskazuje na test, którego nie ma.

Jak sprawdzić nasze własne ustawienie względem frameworka?

lean-ctx policy coverage --framework eu-ai-act (lub iso42001, soc2) renderuje artefakt rozmowy audytorskiej: każdy kontrol jako ENFORCED (zweryfikowany na żywo względem Twojego rozstrzygniętego pakietu polityk), ENGINE (gwarancja silnika udowodniona przez CI), NOT-ENFORCED (Twój pakiet nie zawiera reguły — kod wyjścia 1, możliwy do blokowania w CI) lub GAP (udokumentowany obowiązek organizacyjny). Dodaj --json dla maszyn.

Czym jest pakiet dowodów?

Deterministyczny, podpisany Ed25519 plik ZIP wygenerowany przez lean-ctx audit evidence: segment ścieżki audytowej odporny na manipulacje dla danego okresu, rozstrzygnięty pakiet polityk obowiązujący w tym czasie oraz raporty CGB + pokrycia frameworka. Identyczne dane wejściowe generują identyczne bajtowo pakiety, dzięki czemu dwie strony mogą je odtworzyć i porównać. Format to otwarty kontrakt (evidence-bundle-v1).

Jak audytor może zweryfikować pakiet bez zaufania do nas?

Za pomocą leanctx-verify — samodzielnego narzędzia, które nie współdzieli kodu z silnikiem i niezależnie implementuje opublikowany kontrakt. Odgrywa ponownie łańcuch hashy i sprawdza wszystkie podpisy offline w pięciu krokach PASS/FAIL, w czasie znacznie krótszym niż minuta. Testy mutacyjne udowadniają, że jeden zmieniony bajt, usunięta linia logu lub zły klucz zmienia werdykt na INVALID. Prosty przewodnik dla audytora wyjaśnia, co dowód udowadnia — i równie wyraźnie, czego nie potrafi udowodnić.

Przedstaw dowody podczas swojej następnej rozmowy audytorskiej.

Uruchom raport pokrycia dla własnych pakietów już dziś — lokalnie, za darmo. Lub porozmawiaj z nami o pilotażu z udziałem swojego zespołu ds. zgodności.