Regulatory Evidence
Evidence support para control workflows
Attesto proporciona evidence support para compliance controls. Attesto no certifica legal compliance por sí mismo. Customers siguen siendo responsables de legal interpretation, control design, source-system quality y organizational procedures.
Control mapping methodology
Attesto mapea evidence packs a compliance-support areas, no a legal conclusions. Cada mapping debe describir qué prueba evidence, qué no prueba y qué debe seguir haciendo el customer.
| Evidence pack | Qué soporta | Limitation |
|---|---|---|
| Lifecycle readiness | Event -> receipt -> window -> checkpoint -> witness -> anchor -> bundle -> offline verify. | No prueba source decision correctness. |
| Fork defense | Conflicting history detection y verifier rejection of ambiguity. | Requiere witness visibility sobre el affected stream. |
| Connector assurance | Real connector auth, replay handling, source reference y revoke behavior. | No certifica la external provider account ni source process. |
| Local Vault assurance | Outbound relay, encrypted spool, source attestation, optional customer witness. | Customer debe operar y asegurar el edge environment. |
EU AI Act support
Attesto evidence streams puede soportar logging, traceability, technical documentation, post-market monitoring e incident evidence para AI systems. Customers deben decidir qué events son necesarios para su AI system category y legal obligations.
Logging EU AI Act Article 12
Article 12 exige que los sistemas AI high-risk permitan técnicamente el registro automático de eventos durante la vida del sistema, con trazabilidad para situaciones de riesgo, post-market monitoring y monitoring operativo. Attesto apoya ese flujo con eventos ordenados, signed receipts, stream heads, verifier bundles y Article 12 evidence reports deterministas.
La frase "Voldoe aan Artikel 13 met 1 regel code" es shorthand de producto para una línea de integración de Attesto que inicia captura de evidencia verifier-ready para trabajo de transparencia. El report CLI determinista sigue siendo attesto report article12, porque mapea la traza técnica de logging a evidencia de logging estilo Article 12. No es una conclusión legal. Los clientes siguen decidiendo si su sistema es high-risk, qué eventos son relevantes, cuánto tiempo conservar logs, quién los revisa, cómo se redactan materiales de transparencia y cómo responde la organización ante incidentes.
La integración Gateway concreta de una línea es:
export OPENAI_BASE_URL=http://localhost:8765/v1
En producción, sustituya localhost por el host Attesto
Gateway desplegado y guarde las claves del provider y las Attesto
system keys en almacenamiento de secretos del lado servidor.
| Tema del Article 12 | Soporte de evidencia Attesto | Responsabilidad del cliente |
|---|---|---|
| Logs automaticos durante el ciclo de vida | Events de SDK, gateway, MCP, connector y Local Vault con receipts y source timestamps. | Elegir los eventos fuente correctos y el periodo de retencion. |
| Trazabilidad para situaciones de riesgo | Events de incident, override, policy, decision y failure vinculados por stream sequence. | Definir escenarios de riesgo y workflows de escalado. |
| Post-market monitoring | Verifier bundles, truth packages, anchors y reports de Article 12. | Revisar reports y actuar sobre hallazgos. |
| Monitorizacion operativa | Latency, status, actor/source references, payload commitments y completeness checks. | Asegurar que los hechos del sistema fuente sean exactos y proporcionales. |
Fuente oficial: Regulation (EU) 2024/1689, Article 12.
Soporte de transparencia EU AI Act Article 13
Article 13 trata sobre transparencia e información que permite a deployers entender capacidades, limitaciones, funcionamiento y contexto de oversight de un high-risk AI system. Attesto no genera por sí mismo instrucciones de uso legales. Proporciona evidencia verificable que los equipos pueden citar: qué se registró, qué camino de modelo o policy se usó, qué source timestamp se preservó, qué cambió con el tiempo y qué receipts o bundles puede verificar un tercero.
La frase de adopción "Voldoe aan Artikel 13 met 1 regel code" es un atajo práctico de implementación, no una conclusión legal. La línea inicia captura de evidencia; el cliente sigue siendo responsable de contenido, idoneidad, completitud, idioma y revisión legal de materiales Article 13.
| Tema Article 13 | Soporte de evidencia Attesto | Responsabilidad del cliente |
|---|---|---|
| Explicación del comportamiento del sistema | Model decision events, policy references, source timestamps, payload commitments y receipt IDs. | Escribir explanations e instructions exactas para usuarios. |
| Transparencia operativa | Verifier bundles, truth packages, status/reliability evidence y reports del audit portal. | Decidir qué evidencia pertenece a materiales de producto, contratos o assurance packs. |
| Historial de cambios | Proofstream sequence, windows, checkpoints, witness statements, anchors y Proof of Evolution cuando está enabled. | Explicar changes, limitaciones, oversight y escalado humano. |
NIS2 support
Attesto puede soportar cybersecurity risk management evidence, supply-chain assurance, auditability e incident evidence registrando ordered events y connector observations. Customers siguen siendo responsables de los security controls y governance reales.
Cyber Resilience Act support
Attesto puede soportar product security evidence, vulnerability handling evidence, secure update evidence y support-process traceability. No decide si un product satisface cada CRA obligation.
ISO/IEC 27001 alignment
Attesto está incorporando ISO/IEC 27001 audit-readiness en su operating model desde el inicio. El alignment pack mapea release evidence a ISMS governance, risk assessment, asset inventory, access control, cryptography, logging, supplier assurance, secure development, vulnerability management, incident management, backup and restore, business continuity y continual improvement themes.
Esto es solo preparation evidence. No afirma que Attesto haya aprobado un accredited certification audit. Management sigue siendo owner de ISMS scope, risk register, policies, internal audit, corrective actions, supplier review y certification engagement.
Referencia: ISO/IEC 27001:2022 information security management systems.
La explicación pública de Attesto de este operating model está documentada en Security Management. Cubre ISMS scope, risk register, asset register, supplier register, incident register, internal audit plan, management review y evidence boundaries.
La guía más amplia Certification Readiness explica el preparation path de Attesto para ISO/IEC 27001, SOC 2 Type II, ISO/IEC 27701, Cyber Essentials Plus, NEN 7510, ENSIA/BIO y eIDAS 2.0 alignment. Es solo preparation evidence y no afirma certification ni legal-compliance outcomes.
ISO 27001, SOC 2, and eIDAS/evidence support
- ISO 27001: ISMS preparation evidence, logging, access-control evidence, supplier assurance, incident management, integrity evidence.
- SOC 2 Type II: period-based evidence support para security, availability, processing integrity, confidentiality y privacy where scoped.
- ISO 27701: posterior privacy-management evidence support para PII roles, data-flow inventory y privacy-risk processes.
- Cyber Essentials Plus: posterior UK baseline security preparation cuando procurement lo requiera.
- NEN 7510: posterior Dutch healthcare security preparation si healthcare se vuelve active market scope.
- ENSIA/BIO: Dutch public-sector evidence support sin certification language.
- eIDAS 2.0/evidence: timestamps, electronic ledgers, integrity, non-repudiation support y verifier-first evidence alignment sin qualified trust-service claims.
En todas estas áreas, Attesto evidence soporta un audit trail. No reemplaza legal counsel, auditor judgment ni customer control ownership.