Enterprise · Комплаєнс та докази

Робота з комплаєнсом,
макінатизована.

Фреймворки ставлять запитання; шар, який вирішує, що бачать ваші агенти, повинен відповідати на них примусовими контролями та перевіреними доказами. LeanCTX зіставляє EU AI Act, ISO/IEC 42001 та SOC 2 з механізмами, які він насправді забезпечує — і чітко вказує на все, чого не може.

Чесність понад усе: LeanCTX — це інструментальна підтримка для роботи з комплаєнсом, а не юридична консультація. «Узгоджений» — це технічне твердження про примусові контролі, а не сертифікація. Кожне зіставлення має цей відмову від відповідальності, і кожен виявлений обов'язок є документованою прогалиною.

Зіставлення

Три фреймворки, по одній чесній матриці.

Машинозчитувані матриці зіставлень, прив'язані до точних редакцій фреймворків із напіврічним циклом перегляду. Кожен постачається з пакетом політик фреймворку, що реалізує примусовий зріз — успадкуйте його, розширте або проаудитуйте власний пакет проти нього.

Regulation (EU) 2024/1689

EU AI Act

11 із 14 зіставлених контролів технічно забезпечено

Перспектива деплоєра на контекстний потік: Art. 12 логування (захищене від маніпуляцій, завжди активне), Art. 26(6) зберігання логів протягом шести місяців, Art. 10(5) редагування ідентифікаторів, Art. 14(4) нагляд та втручання за допомогою жорстких лімітів бюджету, Art. 15(5) контроль доступу. Управління навчальними даними та організаційні обов'язки є документованими прогалинами — не прихованими.

pack: eu-ai-act-deployer

ISO/IEC 42001:2023, Annex A

ISO/IEC 42001

Примусово забезпечені зрізи Annex A, задокументовано прогалини

A.6.2.6 логування операцій, A.9.2 процес відповідального використання — пакет політик є машино-забезпеченим визначенням процесу — A.9.4 забезпечення цільового використання з записаними порушеннями, A.7.4 контроль даних перед використанням. Самі AIMS є організаційними за визначенням; зіставлення це говорить.

pack: iso42001-aligned

AICPA TSC 2017 (2022 points of focus)

SOC 2

Зріз контекст-пайлайну TSC, включно з доказами

CC6.1 логічний доступ (за замовчуванням відхиленою функцією ворота), CC6.6 захист меж (відмова виходу + PathJail), CC7.2 моніторинг аномалій (типові безпекові події), C1.1 конфіденційність (редагування облікових даних та ідентифікаторів). Критерії рівня сутності залишаються з вашою організацією — зіставлення малює межу.

pack: soc2-context

Джерело правди: матриці зіставлень у репозиторії — TOML, доступні для перегляду та відмінностей. Кожен твердження про повне покриття називає тест CI, який доводить забезпечення; тест дрейфу призводить до збою збірки, коли твердження та тести розходяться.

Звіти про покриття

Дискусія щодо аудиту, як команда.

Одна команда відображає те, що насправді потрібно бачити оцінювачам: вердиктами за кожним контролем щодо вашого реального, розв'язаного пакету політик — а не щодо брошури.

$ lean-ctx policy coverage --framework eu-ai-act

AIA-12.1      Art. 12(1)    ENGINE        hash-chained audit trail, always-on
AIA-26.6      Art. 26(6)    ENFORCED      audit_retention_days = 365 (≥ 180 d)
AIA-10.5      Art. 10(5)    ENFORCED      4/4 regulated-identifier classes redacted
AIA-14.4e     Art. 14(4)(e) ENFORCED      max_context_tokens = 12000 bounds every assembly
AIA-10.2      Art. 10(2)    GAP           training-data governance is outside the pipeline

11 of 14 controls technically enforced (5 pack-verified, 6 engine guarantees) · 3 documented gaps

ENFORCED перевіряється в режимі реального часу на основі вашого розв'язаного пакету — слабкий пакет понижується до NOT-ENFORCED з кодом виходу 1, тому звіт можна інтегрувати у CI. ENGINE гарантує цитування тесту, який це доводить. Рядки GAP вказують на те, що залишається організаційним обов'язком. Для вашого GRC-інструменту використовуйте --json.

Підписаний звіт CISO

Одна підписана звітність, за весь період.

Згрупуйте діапазон дат в один виконавчий артефакт: відповідність OWASP-Top-10-for-Agents, покриття фреймворком, що саме було заблоковано та відредаговано при виконанні, а також стан утримання — підписаний Ed25519 і перевірюваний офлайн.

$ lean-ctx compliance report --from 2026-05-01 --to 2026-06-01 --framework eu-ai-act --format pdf

period         2026-05-01 → 2026-06-01   ·   audit chain: VALID
owasp-agents   9 / 10 aligned · 1 documented gap
eu-ai-act      11 / 14 controls enforced · 3 documented gaps
enforcement    142 tool calls blocked (ToolDenied) · 87 secrets redacted
retention      audit_retention_days = 365

Signed compliance report written to ~/.local/share/lean-ctx/compliance/report-v1_2026-06.json
Verify offline (no LeanCTX needed):  lean-ctx compliance verify report-v1_2026-06.json

Чесний за конструкцією: період бездіяльності звітує про нуль блокувань, а зламана ланка повідомляється, ніколи не прихована. Підписаний JSON завжди записується; --format pdf додає PDF 1.7, незалежний від залежностей, для ради директорів. Будь-хто може перевірити його за допомогою lean-ctx compliance verify <report.json> — не потрібен аудитний слід, не потрібна установка LeanCTX.

Пакети доказів

Аудитори перевіряють — без довіри нам.

lean-ctx експортує аудитні докази у детермінований, підписаний Ed25519 ZIP: сегмент аудиту, захищений від маніпуляцій за період, розв'язаний пакет політик, чинний на моменті, та звіти про покриття. Ті самі вхідні дані, бінарно ідентичний пакет — згенеруйте та порівняйте.

Контрагент, leanctx-verify, є автономним інструментом без движкового коду та чотирьох залежностей — незалежна друга реалізація відкритого контракту evidence-bundle-v1. Він працює офлайн, на машині аудитора, менш ніж за хвилину:

1

Архів + манифест

пакет добре сформований, версія підтримується

2

Інвентаризація файлів

кожен файл відповідає своєму SHA-256, нічого не додано і не видалено

3

Повторний відтворення ланцюга

аудитний ланцюг хешів перераховується від якоря до голови

4

Підпис манифесту

Ed25519 дійсний — щодо ключа, що не є частиною потоку, якщо ви його маєте

5

Сигнатури вхідних даних

кожна рядок журналу індивідуально підписаний та верифікований

Перевірено мутаціями: один перевернутий байт, одна пропущена строка, один неправильний ключ — НЕВАЛІДНО. посібник аудитора пояснює простою мовою, що доводить доказами і чого не може (події захищені з моменту їх запису — а не раніше; чесна модель загроз є частиною формату). Джерело верифікатора: packages/leanctx-verify.

FAQ

Що питають команди з комплаєнсу.

Чи робить LeanCTX нас відповідними вимогам EU AI Act / ISO 42001 / SOC 2?

Жоден інструмент не може цього стверджувати, і ми також ні. LeanCTX технічно забезпечує виконання контролів, які містяться в конвеєрі контексту — і доводить це виконанням за допомогою CI-тестів та даних про роботу. Матриці відображення вказують для кожного контролю, чи є покриття повним (забезпечено + протестовано), частковим (описана залишковий розрив) або відсутнім (організаційний обов'язок). Комплаєнс — це оцінка, яку проводять люди; LeanCTX надає їм контролі, що підлягають виконанню, та перевірені докази.

Що саме міститься в матрицях відображення?

Файли TOML, доступні для машинного читання, по одному на кожен фреймворк, закріплені на точну редакцію фреймворку з піврічним циклом перегляду. Кожен контроль містить пункт, однореченкову вимогу, механізм LeanCTX (правило пакування, аудиторська подія, експорт доказів), докази, які отримує оцінювач, заявку про покриття — і для кожної повної заявки — назву CI-тесту, який підтверджує виконання. Тест на дрейф не дозволяє зібрати білд, якщо заявка вказує на тест, якого не існує.

Як мені перевірити нашу власну конфігурацію щодо фреймворку?

lean-ctx policy coverage --framework eu-ai-act (або iso42001, soc2) рендерить артефакт аудиторської розмови: кожен контроль як ENFORCED (перевірено в реальному часі щодо вашого вирішеного пакету політик), ENGINE (гарантія двигуна, підтверджена CI), NOT-ENFORCED (ваш пакет не містить правило — код виходу 1, доступний для CI-ворота) або GAP (документований організаційний обов'язок). Додайте --json для машин.

Що таке пучок доказів?

Детермінований ZIP, підписаний Ed25519, створений аудиторськими доказами lean-ctx: сегмент аудиторської ланцюга, захищений від маніпуляцій, для певного періоду, вирішений пакет політик, який був чинним, та звіти про покриття CGB + фреймворку. Ідентичні входи створюють ідентичні за байтами пучки, тому дві сторони можуть регенерувати та порівнювати їх. Формат — це відкритивний контракт (evidence-bundle-v1).

Як аудитор може перевірити пучок, не довіряючи нам?

За допомогою leanctx-verify — автономного інструменту, який не має жодного коду з двигуном і незалежно реалізує опублікований контракт. Він відтворює ланцюг хешів та перевіряє всі підписи офлайн у п'яти кроках PASS/FAIL, менш ніж за хвилину. Мутаційні тести доводять, що один перевернутий байт, пропущена строка журналу або неправильний ключ робить вердикт INVALID. Посібник аудитора простою мовою пояснює, що доводять докази — і, так само чітко, чого вони не можуть довести.

Надайте докази для вашої наступної аудиторської розмови.

Запустіть звіт про покриття щодо власних пакетів вже сьогодні — локально, безкоштовно. Або поговоримо про пілотний проект із командою комплаєнсу.