Empresarial · Conformidade e Evidência

Trabalho de conformidade,
mecanizado.

Frameworks fazem perguntas; a camada que decide o que seus agentes veem deve respondê-las com controles aplicados e evidências verificáveis. LeanCTX mapeia EU AI Act, ISO/IEC 42001 e SOC 2 para mecanismos que ele realmente aplica — e é explícito sobre tudo o que não pode.

Honestidade em primeiro lugar: LeanCTX é suporte de ferramentas para trabalho de conformidade — não aconselhamento jurídico. "Alinhado" é uma declaração técnica sobre controles aplicáveis, não uma certificação. Cada mapeamento carrega este aviso e cada dever descoberto é uma lacuna documentada.

Os mapeamentos

Três frameworks, uma matriz honesta cada.

Matrizes de mapeamento legíveis por máquina, fixadas em edições exatas de framework com um ciclo de revisão semestral. Cada uma é acompanhada por um pacote de políticas do framework implementando a fatia aplicável — herde-o, estenda-o ou audite seu próprio pacote contra ele.

Regulation (EU) 2024/1689

EU AI Act

11 de 14 controles mapeados tecnicamente aplicados

Perspectiva do implantador sobre o fluxo de contexto: Art. 12 logging (à prova de adulteração, sempre ativo), Art. 26(6) retenção de logs de seis meses, Art. 10(5) redação de identificadores regulamentados, Art. 14(4) supervisão e intervenção via limites orçamentários rígidos, Art. 15(5) controle de acesso. Governança de dados de treinamento e deveres organizacionais são lacunas documentadas — não ocultas.

pack: eu-ai-act-deployer

ISO/IEC 42001:2023, Annex A

ISO/IEC 42001

Fatias aplicáveis do Anexo A, lacunas documentadas

A.6.2.6 logging de operação, A.9.2 processo de uso responsável — o pacote de políticas é a definição de processo aplicada por máquina — A.9.4 aplicação de uso pretendido com violações registradas, A.7.4 controle de dados antes do uso. O próprio AIMS é organizacional por definição; o mapeamento diz isso.

pack: iso42001-aligned

AICPA TSC 2017 (2022 points of focus)

SOC 2

Fatia de pipeline de contexto do TSC, evidência incluída

CC6.1 acesso lógico (porta de capacidade padrão-negação), CC6.6 proteção de fronteira (negação de saída + path jail), CC7.2 monitoramento de anomalias (eventos de segurança tipados), C1.1 confidencialidade (redação de credenciais + identificadores). Critérios em nível de entidade permanecem com sua organização — o mapeamento desenha a fronteira.

pack: soc2-context

Fonte de verdade: as matrizes de mapeamento no repositório — TOML, revisável, diffable. Cada reivindicação de cobertura completa nomeia o teste CI que prova a aplicação; um teste de deriva falha o build quando as reivindicações e os testes divergem.

Relatórios de cobertura

A conversa de auditoria, como um comando.

Um único comando renderiza o que os avaliadores realmente querem ver: pareceres por controle contra seu pacote de políticas real e resolvido — não contra um folheto.

$ lean-ctx policy coverage --framework eu-ai-act

AIA-12.1      Art. 12(1)    ENGINE        hash-chained audit trail, always-on
AIA-26.6      Art. 26(6)    ENFORCED      audit_retention_days = 365 (≥ 180 d)
AIA-10.5      Art. 10(5)    ENFORCED      4/4 regulated-identifier classes redacted
AIA-14.4e     Art. 14(4)(e) ENFORCED      max_context_tokens = 12000 bounds every assembly
AIA-10.2      Art. 10(2)    GAP           training-data governance is outside the pipeline

11 of 14 controls technically enforced (5 pack-verified, 6 engine guarantees) · 3 documented gaps

ENFORCED é verificado ao vivo contra seu pacote resolvido — um pacote fraco é rebaixado para NOT-ENFORCED com código de saída 1, para que o relatório seja CI-gateable. ENGINE garante citar o teste que os prova. As linhas GAP indicam o que permanece como dever organizacional. --json para suas ferramentas GRC.

Relatório CISO assinado

Um relatório assinado, o período inteiro.

Compile um intervalo de datas em um único artefato executivo: alinhamento OWASP-Top-10-for-Agents, cobertura do framework, o que a aplicação realmente bloqueou e redigiu, e a postura de retenção — assinado Ed25519 e verificável offline.

$ lean-ctx compliance report --from 2026-05-01 --to 2026-06-01 --framework eu-ai-act --format pdf

period         2026-05-01 → 2026-06-01   ·   audit chain: VALID
owasp-agents   9 / 10 aligned · 1 documented gap
eu-ai-act      11 / 14 controls enforced · 3 documented gaps
enforcement    142 tool calls blocked (ToolDenied) · 87 secrets redacted
retention      audit_retention_days = 365

Signed compliance report written to ~/.local/share/lean-ctx/compliance/report-v1_2026-06.json
Verify offline (no LeanCTX needed):  lean-ctx compliance verify report-v1_2026-06.json

Honesto por construção: um período tranquilo relata zero bloqueios e uma cadeia quebrada é reportada, nunca escondida. O JSON assinado é sempre escrito; --format pdf adiciona um PDF 1.7 livre de dependências para o conselho. Qualquer pessoa pode verificar com lean-ctx compliance verify <report.json> — nenhum rastro de auditoria, nenhuma instalação LeanCTX necessária.

Pacotes de evidência

Auditores verificam — sem confiar em nós.

O lean-ctx exporta evidências de auditoria determinísticas e assinadas Ed25519: o segmento de auditoria à prova de adulteração para o período, o pacote de políticas resolvido em vigor e os relatórios de cobertura. Mesmas entradas, pacote byte-idêntico — regenere e compare.

O contraparte, leanctx-verify, é uma ferramenta autônoma sem código de motor e quatro dependências — uma segunda implementação independente do contrato aberto evidence-bundle-v1. Ele roda offline, na máquina do auditor, em menos de um minuto:

1

Arquivo + manifesto

agrupar bem formado, versão suportada

2

Inventário de arquivos

cada arquivo corresponde ao seu SHA-256, nada adicionado ou removido

3

Repetição da cadeia

a cadeia de hash de auditoria é recalculada do âncora até a cabeça

4

Assinatura do manifesto

Ed25519 válido — contra uma chave fora de banda se você tiver uma

5

Assinaturas de entrada

cada linha de log individualmente assinada e verificada

Testado por mutação: um byte invertido, uma linha perdida, uma chave errada — INVÁLIDO. O guia do auditor explica em linguagem simples o que a evidência prova e o que não pode (os eventos são protegidos desde o momento em que são registrados — não antes; um modelo de ameaça honesto faz parte do formato). Fonte do verificador: packages/leanctx-verify.

FAQ

O que as equipes de conformidade perguntam.

O LeanCTX nos torna compatíveis com o EU AI Act / ISO 42001 / SOC 2?

Nenhuma ferramenta pode alegar isso, e nós não. O LeanCTX aplica tecnicamente os controles que vivem no pipeline de contexto — e prova a aplicação com testes CI e evidências em tempo de execução. As matrizes de mapeamento declaram por controle se a cobertura é total (aplicado + testado), parcial (lacuna residual descrita) ou nenhuma (dever organizacional). A conformidade é uma avaliação que os humanos fazem; o LeanCTX fornece controles aplicáveis e evidências verificáveis para eles.

O que exatamente está nas matrizes de mapeamento?

Arquivos TOML legíveis por máquina, um por framework, fixados a uma edição exata do framework com ciclo de revisão semestral. Cada controle carrega a cláusula, um requisito de uma frase, o mecanismo LeanCTX (regra de pacote, evento de auditoria, exportação de evidência), a evidência que um avaliador recebe, a reivindicação de cobertura — e para cada reivindicação total, o nome do teste CI que prova a aplicação. Um teste de deriva falha a compilação se uma reivindicação aponta para um teste que não existe.

Como verifico minha própria configuração em relação a um framework?

lean-ctx policy coverage --framework eu-ai-act (ou iso42001, soc2) renderiza o artefato de conversação de auditoria: cada controle como ENFORCED (verificado ao vivo contra seu pacote de política resolvido), ENGINE (garantia de motor comprovada por CI), NOT-ENFORCED (seu pacote não contém a regra — código de saída 1, bloqueável por CI) ou GAP (dever organizacional documentado). Adicione --json para máquinas.

O que é um bundle de evidências?

Um ZIP determinístico e assinado Ed25519 produzido pela evidência de auditoria lean-ctx: o segmento da cadeia de auditoria à prova de adulteração por um período, o pacote de política resolvido que estava em vigor e os relatórios CGB + cobertura do framework. Entradas idênticas produzem bundles byte-idênticos, para que duas partes possam regenerar e comparar. O formato é um contrato aberto (evidence-bundle-v1).

Como um auditor verifica um bundle sem confiar em nós?

Com leanctx-verify — uma ferramenta autônoma que não compartilha código com o motor e implementa o contrato publicado de forma independente. Ele reproduz a cadeia de hash e verifica todas as assinaturas offline em cinco etapas PASS/FAIL, em bem menos de um minuto. Testes de mutação provam que um único byte invertido, uma linha de log perdida ou uma chave errada torna o veredito INVÁLIDO. Um guia do auditor em linguagem simples explica o que a evidência prova — e, tão explicitamente quanto isso, o que não pode provar.

Traga evidências para sua próxima conversa de auditoria.

Execute o relatório de cobertura contra seus próprios pacotes hoje — localmente, gratuitamente. Ou converse conosco sobre um piloto com sua equipe de conformidade envolvida.