Regulatory Evidence
Evidence support pour les control workflows
Attesto fournit evidence support pour compliance controls. Attesto ne certifie pas la conformité juridique par lui-même. Customers restent responsables de legal interpretation, control design, source-system quality et organizational procedures.
Control mapping methodology
Attesto mappe evidence packs à des compliance-support areas, pas à des legal conclusions. Chaque mapping doit décrire ce que evidence prouve, ce qu'elle ne prouve pas et ce que le customer doit encore faire.
| Evidence pack | Ce qu'il soutient | Limitation |
|---|---|---|
| Lifecycle readiness | Event -> receipt -> window -> checkpoint -> witness -> anchor -> bundle -> offline verify. | Ne prouve pas source decision correctness. |
| Fork defense | Conflicting history detection et verifier rejection of ambiguity. | Nécessite witness visibility sur le affected stream. |
| Connector assurance | Real connector auth, replay handling, source reference et revoke behavior. | Ne certifie pas l'external provider account ou source process. |
| Local Vault assurance | Outbound relay, encrypted spool, source attestation, optional customer witness. | Customer doit opérer et sécuriser l'edge environment. |
EU AI Act support
Attesto evidence streams peuvent soutenir logging, traceability, technical documentation, post-market monitoring et incident evidence pour AI systems. Customers doivent décider quels events sont requis pour leur AI system category et legal obligations.
Journalisation EU AI Act Article 12
L’Article 12 exige que les systèmes AI high-risk permettent techniquement l’enregistrement automatique d’événements pendant toute la durée de vie du système, avec traçabilité pour les situations de risque, le post-market monitoring et le suivi opérationnel. Attesto soutient ce workflow avec des événements ordonnés, signed receipts, stream heads, verifier bundles et rapports Article 12 déterministes.
La phrase "Voldoe aan Artikel 13 met 1 regel code" est un raccourci produit pour une ligne d'intégration Attesto qui démarre une capture de preuve verifier-ready pour le travail de transparence. Le rapport CLI déterministe reste attesto report article12, car il mappe la trace technique de journalisation à une preuve de logging de type Article 12. Ce n'est pas une conclusion juridique. Les clients déterminent toujours si leur système est high-risk, quels événements sont pertinents, combien de temps les logs doivent être conservés, qui les révise, comment les matériaux de transparence sont rédigés et comment l'organisation répond aux incidents.
La ligne concrète d'intégration Gateway est :
export OPENAI_BASE_URL=http://localhost:8765/v1
En production, remplacez localhost par l'hôte Attesto
Gateway déployé et conservez les clés provider ainsi que les clés
système Attesto dans un stockage de secrets côté serveur.
| Theme Article 12 | Support de preuve Attesto | Responsabilite client |
|---|---|---|
| Logs automatiques sur tout le cycle de vie | Events SDK, gateway, MCP, connector et Local Vault avec receipts et timestamps source. | Choisir les bons events source et la duree de conservation. |
| Traceabilite des situations de risque | Events incident, override, policy, decision et failure lies par sequence de stream. | Definir les scenarios de risque et les workflows d'escalade. |
| Post-market monitoring | Verifier bundles, truth packages, anchors et rapports Article 12. | Examiner les rapports et agir sur les constats. |
| Monitoring operationnel | Latency, status, actor/source references, payload commitments et completeness checks. | Garantir que les faits du systeme source sont exacts et proportionnes. |
Source officielle: Regulation (EU) 2024/1689, Article 12.
Support de transparence EU AI Act Article 13
L'Article 13 concerne la transparence et les informations qui permettent aux deployers de comprendre les capacités, limites, fonctionnement et contexte d'oversight d'un high-risk AI system. Attesto ne génère pas à lui seul des instructions for use juridiques. Il fournit une preuve vérifiable que les équipes peuvent citer: ce qui a été journalisé, quel chemin modèle ou policy a été utilisé, quel source timestamp a été conservé, ce qui a changé dans le temps et quels receipts ou bundles une partie tierce peut vérifier.
La phrase d'adoption "Voldoe aan Artikel 13 met 1 regel code" est un raccourci pratique d'implémentation, pas une conclusion juridique. La ligne démarre la capture de preuve; le client reste responsable du contenu, de l'adéquation, de l'exhaustivité, de la langue et de la revue juridique des matériaux Article 13.
| Thème Article 13 | Support de preuve Attesto | Responsabilité client |
|---|---|---|
| Explication du comportement système | Model decision events, policy references, source timestamps, payload commitments et receipt IDs. | Rédiger des explanations et instructions exactes pour les utilisateurs. |
| Transparence opérationnelle | Verifier bundles, truth packages, status/reliability evidence et rapports du portail d'audit. | Décider quelles preuves appartiennent aux matériaux produit, contrats ou assurance packs. |
| Historique des changements | Proofstream sequence, windows, checkpoints, witness statements, anchors et Proof of Evolution lorsque enabled. | Expliquer les changes, limites, oversight et escalade humaine. |
NIS2 support
Attesto peut soutenir cybersecurity risk management evidence, supply-chain assurance, auditability et incident evidence en enregistrant ordered events et connector observations. Customers restent responsables des security controls et de la governance réels.
Cyber Resilience Act support
Attesto peut soutenir product security evidence, vulnerability handling evidence, secure update evidence et support-process traceability. Il ne décide pas si un product satisfait chaque CRA obligation.
ISO/IEC 27001 alignment
Attesto intègre ISO/IEC 27001 audit-readiness dans son operating model dès le départ. L'alignment pack mappe release evidence à ISMS governance, risk assessment, asset inventory, access control, cryptography, logging, supplier assurance, secure development, vulnerability management, incident management, backup and restore, business continuity et continual improvement themes.
Ce n'est que de la preparation evidence. Cela ne dit pas qu'Attesto a réussi un accredited certification audit. Management conserve ISMS scope, risk register, policies, internal audit, corrective actions, supplier review et certification engagement.
Référence: ISO/IEC 27001:2022 information security management systems.
L'explication publique d'Attesto pour cet operating model est documentée dans Security Management. Elle couvre ISMS scope, risk register, asset register, supplier register, incident register, internal audit plan, management review et evidence boundaries.
Le guide plus large Certification Readiness explique le preparation path d'Attesto pour ISO/IEC 27001, SOC 2 Type II, ISO/IEC 27701, Cyber Essentials Plus, NEN 7510, ENSIA/BIO et eIDAS 2.0 alignment. Il s'agit uniquement de preparation evidence et ne déclare pas certification ou legal-compliance outcomes.
ISO 27001, SOC 2, and eIDAS/evidence support
- ISO 27001: ISMS preparation evidence, logging, access-control evidence, supplier assurance, incident management, integrity evidence.
- SOC 2 Type II: period-based evidence support pour security, availability, processing integrity, confidentiality et privacy where scoped.
- ISO 27701: futur privacy-management evidence support pour PII roles, data-flow inventory et privacy-risk processes.
- Cyber Essentials Plus: future UK baseline security preparation quand procurement l'exige.
- NEN 7510: future Dutch healthcare security preparation si healthcare devient active market scope.
- ENSIA/BIO: Dutch public-sector evidence support sans certification language.
- eIDAS 2.0/evidence: timestamps, electronic ledgers, integrity, non-repudiation support et verifier-first evidence alignment sans qualified trust-service claims.
Pour tous ces domaines, Attesto evidence soutient un audit trail. Il ne remplace pas legal counsel, auditor judgment ou customer control ownership.