Regulatory Evidence
Evidence support für Control Workflows
Attesto bietet evidence support für compliance controls. Attesto zertifiziert rechtliche Compliance nicht eigenständig. Customers bleiben verantwortlich für legal interpretation, control design, source-system quality und organizational procedures.
Control mapping methodology
Attesto mappt evidence packs auf compliance-support areas, nicht auf legal conclusions. Jede mapping muss beschreiben, was evidence beweist, was sie nicht beweist und was der customer weiterhin tun muss.
| Evidence pack | Was es unterstützt | Limitation |
|---|---|---|
| Lifecycle readiness | Event -> receipt -> window -> checkpoint -> witness -> anchor -> bundle -> offline verify. | Beweist keine source decision correctness. |
| Fork defense | Conflicting history detection und verifier rejection of ambiguity. | Benötigt witness visibility über den affected stream. |
| Connector assurance | Echte connector auth, replay handling, source reference und revoke behavior. | Zertifiziert den external provider account oder source process nicht. |
| Local Vault assurance | Outbound relay, encrypted spool, source attestation, optional customer witness. | Customer muss die edge environment betreiben und absichern. |
EU AI Act support
Attesto evidence streams können logging, traceability, technical documentation, post-market monitoring und incident evidence für AI systems unterstützen. Customers müssen entscheiden, welche events für ihre AI system category und legal obligations erforderlich sind.
EU AI Act Article 12 Logging
Article 12 verlangt, dass high-risk AI-Systeme technisch automatische Event-Protokollierung über die Lebensdauer des Systems ermöglichen, mit Traceability für Risikosituationen, Post-market Monitoring und Operation Monitoring. Attesto unterstützt diesen Workflow mit geordneten Events, signed receipts, stream heads, verifier bundles und deterministischen Article 12 evidence reports.
Der Satz "Voldoe aan Artikel 13 met 1 regel code" ist Product Shorthand für eine Attesto-Integrationszeile, die verifier-ready Evidence Capture für Transparenzarbeit startet. Der deterministische CLI-Report bleibt attesto report article12, weil er den technischen Logging Trail auf Article-12-artige Logging Evidence abbildet. Er ist keine rechtliche Schlussfolgerung. Kunden entscheiden weiterhin, ob ihr System high-risk ist, welche Events relevant sind, wie lange Logs aufzubewahren sind, wer sie prüft, wie Transparenzmaterialien formuliert werden und wie die Organisation auf Incidents reagiert.
Die konkrete one-line Gateway-Integration lautet:
export OPENAI_BASE_URL=http://localhost:8765/v1
Ersetzen Sie localhost in Produktion durch den
bereitgestellten Attesto Gateway Host und bewahren Sie Provider Keys
sowie Attesto System Keys in serverseitigem Secret Storage auf.
| Article-12-Thema | Attesto Evidence Support | Kundenverantwortung |
|---|---|---|
| Automatische Logs ueber die Lebensdauer | SDK-, Gateway-, MCP-, Connector- und Local-Vault-Events mit Receipts und Source Timestamps. | Passende Source Events und Retention Period waehlen. |
| Traceability fuer Risikosituationen | Incident-, Override-, Policy-, Decision- und Failure-Events, verbunden durch Stream Sequence. | Risikoszenarien und Eskalationsworkflows definieren. |
| Post-market Monitoring | Verifier Bundles, Truth Packages, Anchors und Article-12-Reports. | Reports pruefen und auf Findings reagieren. |
| Operation Monitoring | Latency, Status, Actor/Source References, Payload Commitments und Completeness Checks. | Sicherstellen, dass Source-System-Fakten korrekt und proportional sind. |
Offizielle Quelle: Regulation (EU) 2024/1689, Article 12.
EU AI Act Article 13 Transparenzunterstützung
Article 13 betrifft Transparenz und Informationen, mit denen Deployer die Fähigkeiten, Grenzen, Funktionsweise und Oversight-Kontext eines high-risk AI Systems verstehen können. Attesto erzeugt keine rechtlichen Instructions for use eigenständig. Es liefert verifizierbare Evidence, auf die Teams verweisen können: was geloggt wurde, welcher Model- oder Policy-Pfad verwendet wurde, welcher Source Timestamp erhalten blieb, was sich über Zeit änderte und welche Receipts oder Bundles eine dritte Partei verifizieren kann.
Der Adoptionssatz "Voldoe aan Artikel 13 met 1 regel code" ist eine praktische Implementierungsabkürzung, keine rechtliche Schlussfolgerung. Die eine Zeile startet Evidence Capture; der Kunde bleibt verantwortlich für Inhalt, Eignung, Vollständigkeit, Sprache und rechtliche Prüfung der Article-13-Materialien.
| Article-13-Thema | Attesto Evidence Support | Kundenverantwortung |
|---|---|---|
| Erklärung des Systemverhaltens | Model decision events, policy references, source timestamps, payload commitments und receipt IDs. | Akkurate user-facing explanations und instructions schreiben. |
| Operationelle Transparenz | Verifier bundles, truth packages, Status-/Reliability-Evidence und Audit-Portal-Reports. | Entscheiden, welche Evidence in Produktmaterialien, Verträge oder Assurance Packs gehört. |
| Änderungshistorie | Proofstream sequence, windows, checkpoints, witness statements, anchors und Proof of Evolution, sofern enabled. | Changes, Einschränkungen, Oversight und menschliche Eskalation erklären. |
NIS2 support
Attesto kann cybersecurity risk management evidence, supply-chain assurance, auditability und incident evidence unterstützen, indem ordered events und connector observations aufgezeichnet werden. Customers bleiben für die tatsächlichen security controls und governance verantwortlich.
Cyber Resilience Act support
Attesto kann product security evidence, vulnerability handling evidence, secure update evidence und support-process traceability unterstützen. Es entscheidet nicht, ob ein product jede CRA obligation erfüllt.
ISO/IEC 27001 alignment
Attesto baut ISO/IEC 27001 audit-readiness von Anfang an in sein operating model ein. Das alignment pack mappt release evidence auf ISMS governance, risk assessment, asset inventory, access control, cryptography, logging, supplier assurance, secure development, vulnerability management, incident management, backup and restore, business continuity und continual improvement themes.
Dies ist nur preparation evidence. Es sagt nicht, dass Attesto ein accredited certification audit bestanden hat. Management besitzt weiterhin ISMS scope, risk register, policies, internal audit, corrective actions, supplier review und certification engagement.
Referenz: ISO/IEC 27001:2022 information security management systems.
Attestos öffentliche Erklärung dieses operating model ist in Security Management dokumentiert. Sie umfasst ISMS scope, risk register, asset register, supplier register, incident register, internal audit plan, management review und evidence boundaries.
Der breitere Certification Readiness Guide erklärt Attestos preparation path für ISO/IEC 27001, SOC 2 Type II, ISO/IEC 27701, Cyber Essentials Plus, NEN 7510, ENSIA/BIO und eIDAS 2.0 alignment. Er ist nur preparation evidence und enthält keine certification oder legal-compliance outcomes.
ISO 27001, SOC 2, and eIDAS/evidence support
- ISO 27001: ISMS preparation evidence, logging, access-control evidence, supplier assurance, incident management, integrity evidence.
- SOC 2 Type II: period-based evidence support für security, availability, processing integrity, confidentiality und privacy where scoped.
- ISO 27701: später privacy-management evidence support für PII roles, data-flow inventory und privacy-risk processes.
- Cyber Essentials Plus: spätere UK baseline security preparation, wenn procurement dies verlangt.
- NEN 7510: spätere niederländische healthcare security preparation, falls healthcare active market scope wird.
- ENSIA/BIO: niederländischer public-sector evidence support ohne certification language.
- eIDAS 2.0/evidence: timestamps, electronic ledgers, integrity, non-repudiation support und verifier-first evidence alignment ohne qualified trust-service claims.
In all diesen Bereichen unterstützt Attesto evidence einen audit trail. Es ersetzt keine legal counsel, auditor judgment oder customer control ownership.