Kurumsal · Uyumluluk ve Kanıt

Uyumluluk çalışmaları,
mekanize edilmiş.

Çerçeveler sorular sorar; ajanlarınızın ne göreceğini belirleyen katman ise uyulması zorunlu kontroller ve doğrulanabilir kanıtlarla cevap vermelidir. LeanCTX, EU AI Act, ISO/IEC 42001 ve SOC 2'yi gerçekten uyguladığı mekanizmalara eşleştirir — ve ne yapamadığı konusunda açık olur.

Dürüstlük öncelikli: LeanCTX, uyumluluk çalışmaları için bir araç desteğidir — hukuki tavsiye değildir. "Uyumlu" terimi, sertifikasyon değil, uygulanabilir kontroller hakkındaki teknik bir ifadedir. Her eşleştirme bu feragatnameyi taşır ve keşfedilen her görev belgelenmiş bir boşluktur.

Eşleştirmeler

Üç çerçeve, her biri için dürüst bir matris.

Yarı yıllık inceleme döngüsüne sahip, tam çerçeve sürümlerine sabitlenmiş makine tarafından okunabilir eşleştirme matrisleri. Her biri, uygulanabilir dilimi uygulayan bir çerçeve politikası paketi ile birlikte gelir — onu miras alın, genişletin veya kendi paketinizi buna göre denetleyin.

Regulation (EU) 2024/1689

EU AI Act

Uygulanması zorunlu 14 kontrolün 11'i teknik olarak uygulanmış

Bağlam akışı üzerine dağıtıcı bakış açısı: Art. 12 günlük kaydı (değiştirilemez, her zaman açık), Art. 26(6) altı aylık kayıt saklama, Art. 10(5) düzenlenmiş tanımlayıcı sansürleme, Art. 14(4) sert bütçe limitleri aracılığıyla gözetim ve müdahale, Art. 15(5) erişim kontrolü. Eğitim verisi yönetişimi ve örgütsel görevler belgelenmiş boşluklardır — gizli değil.

pack: eu-ai-act-deployer

ISO/IEC 42001:2023, Annex A

ISO/IEC 42001

Uygulanabilir Ek A dilimleri, boşluklar belgelendi

A.6.2.6 operasyon günlük kaydı, A.9.2 sorumlu kullanım süreci — politika paketi makine tarafından zorlanan süreç tanımıdır — A.9.4 kaydedilmiş ihlallerle amaçlandırılmış kullanım uygulama, A.7.4 kullanımdan önce veri kontrolü. AIMS'nin kendisi tanımları gereği örgütseldir; eşleştirme bunu söyler.

pack: iso42001-aligned

AICPA TSC 2017 (2022 points of focus)

SOC 2

TSC bağlam hattı dilimi, kanıt dahil

CC6.1 mantıksal erişim (varsayılan-red özelliğindeki kapı), CC6.6 sınır koruması (çıkış reddi + path jail), CC7.2 anomali izleme (tiplandırılmış güvenlik olayları), C1.1 gizlilik (kimlik bilgisi + tanımlayıcı sansürleme). Varlık düzeyindeki kriterler kuruluşunuzla kalır — eşleştirme sınırı çizer.

pack: soc2-context

Doğruluk kaynağı: depodaki eşleştirme matrisleri — TOML, incelenebilir, farklılaştırılabilir. Her tam kapsam iddiası, uygulamayı kanıtlayan CI testini adlandırır; bir sapma testi, iddialar ve testler ayrıldığında derlemeyi başarısız kılar.

Kapsama raporları

Denetim konuşması, bir komut gibi.

Bir komut, değerlendiricilerin gerçekten görmek istediğini sunar: broşürlere karşı değil, gerçek, çözümlenmiş politika paketiniz üzerinde kontrol başına kararlar.

$ lean-ctx policy coverage --framework eu-ai-act

AIA-12.1      Art. 12(1)    ENGINE        hash-chained audit trail, always-on
AIA-26.6      Art. 26(6)    ENFORCED      audit_retention_days = 365 (≥ 180 d)
AIA-10.5      Art. 10(5)    ENFORCED      4/4 regulated-identifier classes redacted
AIA-14.4e     Art. 14(4)(e) ENFORCED      max_context_tokens = 12000 bounds every assembly
AIA-10.2      Art. 10(2)    GAP           training-data governance is outside the pipeline

11 of 14 controls technically enforced (5 pack-verified, 6 engine guarantees) · 3 documented gaps

UYGULANMIŞ, çözümlenmiş paketinize karşı canlı doğrulanır — zayıf bir paket, çıkış kodu 1 ile UYGULANMAMIŞ'a düşer, böylece rapor CI-geçilebilir olur. MOTOR, bunları kanıtlayan testi belirtmeyi garanti eder. BOŞLUK satırları organizasyonel görevin ne olduğunu belirtir. GRC araçlarınız için --json kullanın.

İmzalı CISO raporu

Tek bir imzalı rapor, tüm dönemi.

Bir tarih aralığını tek bir yönetici eserinde toplayın: OWASP-Top-10-for-Agents uyumu, çerçeve kapsamı, uygulamanın gerçekten neyi engellediği ve gizlediği ve elde tutma duruşu — Ed25519-imzalı ve çevrimdışı doğrulanabilir.

$ lean-ctx compliance report --from 2026-05-01 --to 2026-06-01 --framework eu-ai-act --format pdf

period         2026-05-01 → 2026-06-01   ·   audit chain: VALID
owasp-agents   9 / 10 aligned · 1 documented gap
eu-ai-act      11 / 14 controls enforced · 3 documented gaps
enforcement    142 tool calls blocked (ToolDenied) · 87 secrets redacted
retention      audit_retention_days = 365

Signed compliance report written to ~/.local/share/lean-ctx/compliance/report-v1_2026-06.json
Verify offline (no LeanCTX needed):  lean-ctx compliance verify report-v1_2026-06.json

Yapısal olarak dürüst: sessiz bir dönem sıfır engel raporlarken, kırık bir zincir asla gizlenmeden raporlanır. İmzalı JSON her zaman yazılır; --format pdf yönetim kurulu için bağımlılık gerektirmeyen bir PDF 1.7 ekler. Herkes bunu lean-ctx compliance verify <report.json> ile yeniden kontrol edebilir — denetim izi, LeanCTX kurulumu gerekmez.

Kanıt paketleri

Denetçiler doğrular — bize güvenmek zorunda kalmadan.

lean-ctx denetim kanıtı, deterministik, Ed25519-imzalı bir ZIP dışa aktarır: dönem için değiştirilemez denetim segmenti, yürürlükteki çözümlenmiş politika paketi ve kapsam raporları. Aynı girdiler, bayt düzeyinde özdeş paket — yeniden oluşturun ve karşılaştırın.

Karşılığı olan, leanctx-verify, motor kodu olmayan ve dört bağımlılığa sahip bağımsız bir araçtır — açık evidence-bundle-v1 sözleşmesinin bağımsız ikinci uygulamasıdır. Çevrimdışı çalışır, denetçinin makinesinde, dakikadan çok daha kısa sürede:

1

Arşiv + manifest

iyi biçimlendirilmiş, desteklenen sürüm paketlemesi

2

Dosya envanteri

her dosya SHA-256'sına eşleşir, hiçbir şey eklenmez veya çıkarılmaz

3

Zincir yeniden oynatma

denetim hash zinciri çapadan başa kadar yeniden hesaplanır

4

Manifest imzası

Ed25519 geçerli — bir tane varsa harici bir anahtara karşı

5

Giriş imzaları

her bir log satırı ayrı ayrı imzalanır ve doğrulanır

Mutasyon testinden geçti: tek bir çevrilmiş bayt, atlanmış bir satır, yanlış bir anahtar — GEÇERSİZ. denetçi rehberi, kanıtın neyi ispatladığını ve neyi ispatlayamadığını sade bir dille açıklar (olaylar kaydedildiği andan itibaren korunur — öncesinde değil; dürüst bir tehdit modeli formatın bir parçasıdır). Doğrulayıcı kaynağı: packages/leanctx-verify.

FAQ

Uyumluluk ekiplerinin sordukları.

LeanCTX bizi AB Yapay Zeka Yasası / ISO 42001 / SOC 2 uyumlu yapar mı?

Hiçbir araç bunu iddia edemez ve biz de etmiyoruz. LeanCTX, bağlam hattında bulunan kontrolleri teknik olarak zorunlu kılar — ve bu zorunluluğu CI testleri ve çalışma zamanı kanıtlarıyla kanıtlar. Eşleştirme matrisleri, her kontrol için kapsamın tam (zorunlu kılınmış + test edilmiş), kısmi (kalıntı boşluk tanımlanmıştır) veya hiç olmadığını belirtir (kurumsal görev). Uyumluluk, insanların yaptığı bir değerlendirmedir; LeanCTX onlara uygulanabilir kontroller ve doğrulanabilir kanıtlar sunar.

Eşleştirme matrislerinde tam olarak ne var?

Her çerçeve için, yarı yıllık inceleme döngüsüne sahip kesin bir çerçeve sürümüne sabitlenmiş makine tarafından okunabilen TOML dosyaları. Her kontrol, maddeyi, tek cümlelik gereksinimi, LeanCTX mekanizmasını (paket kuralı, denetim olayı, kanıt ihracatı), değerlendiricinin aldığı kanıtı, kapsam iddiasını — ve her tam iddia için zorunluluğu kanıtlayan CI testinin adını taşır. Bir sapma testi, bir iddianın var olmayan bir teste işaret etmesi durumunda derlemeyi başarısız kılar.

Kendi kurulumumuzu bir çerçeveye karşı nasıl kontrol ederim?

lean-ctx policy coverage --framework eu-ai-act (veya iso42001, soc2) denetim konuşması eserini oluşturur: her kontrol ENFORCED (çözümlenmiş politika paketinizle canlı doğrulanmış), ENGINE (CI ile kanıtlanmış motor garantisi), NOT-ENFORCED (paketiniz kuralı içermiyor — çıkış kodu 1, CI-geçilebilir) veya GAP (belgelenmiş kurumsal görev). Makineler için --json ekleyin.

Kanıt paketi nedir?

lean-ctx denetim kanıtı tarafından üretilen deterministik, Ed25519 imzalı bir ZIP: bir dönem için değiştirilemez denetim zinciri segmenti, yürürlükte olan çözümlenmiş politika paketi ve CGB + çerçeve kapsam raporları. Aynı girdiler bayt düzeyinde özdeş paketler üretir, böylece iki taraf da yeniden oluşturup karşılaştırabilir. Format açık bir sözleşmedir (evidence-bundle-v1).

Bir denetçi bize güvenmeden bir paketi nasıl doğrular?

leanctx-verify ile — motorla kod paylaşmayan ve yayınlanmış sözleşmeyi bağımsız olarak uygulayan bağımsız bir araçtır. Hash zincirini yeniden oynatır ve tüm imzaları dakikadan çok daha kısa sürede beş PASS/FAIL adımında çevrimdışı kontrol eder. Mutasyon testleri, tek bir çevrilmiş baytın, atlanmış bir log satırının veya yanlış bir anahtarın kararı GEÇERSİZ hale getirdiğini kanıtlar. Sade dilli bir denetçi rehberi, kanıtın neyi ispatladığını — ve tıpkı onun kadar açıkça, neyi ispatlayamadığını açıklar.

Kanıtları bir sonraki denetim konuşmanıza taşıyın.

Kapsam raporunu kendi paketlerinize karşı bugün çalıştırın — yerel olarak, ücretsiz. Veya uyumluluk ekibinizle birlikte bir pilot hakkında bizimle konuşun.