Regulatory Evidence
Evidence support dla control workflows
Attesto zapewnia evidence support dla compliance controls. Attesto samo nie certyfikuje legal compliance. Customers pozostają odpowiedzialni za legal interpretation, control design, source-system quality i organizational procedures.
Control mapping methodology
Attesto mapuje evidence packs do compliance-support areas, nie do legal conclusions. Każda mapping musi opisać, co evidence dowodzi, czego nie dowodzi i co customer nadal musi zrobić.
| Evidence pack | Co wspiera | Limitation |
|---|---|---|
| Lifecycle readiness | Event -> receipt -> window -> checkpoint -> witness -> anchor -> bundle -> offline verify. | Nie dowodzi source decision correctness. |
| Fork defense | Conflicting history detection i verifier rejection of ambiguity. | Wymaga witness visibility nad affected stream. |
| Connector assurance | Real connector auth, replay handling, source reference i revoke behavior. | Nie certyfikuje external provider account ani source process. |
| Local Vault assurance | Outbound relay, encrypted spool, source attestation, optional customer witness. | Customer musi obsługiwać i zabezpieczać edge environment. |
EU AI Act support
Attesto evidence streams mogą wspierać logging, traceability, technical documentation, post-market monitoring i incident evidence dla AI systems. Customers muszą zdecydować, które events są wymagane dla ich AI system category i legal obligations.
EU AI Act Article 12 logging
Article 12 wymaga, aby systemy AI high-risk technicznie umożliwiały automatyczne rejestrowanie zdarzeń przez cały cykl życia systemu, z traceability dla sytuacji ryzyka, post-market monitoring i monitorowania operacji. Attesto wspiera ten workflow przez uporządkowane events, signed receipts, stream heads, verifier bundles i deterministyczne Article 12 evidence reports.
Zwrot "Voldoe aan Artikel 13 met 1 regel code" to produktowy skrót dla jednej linii integracji Attesto, która uruchamia verifier-ready zbieranie evidence dla pracy nad transparentnością. Deterministyczny CLI report pozostaje attesto report article12, ponieważ mapuje techniczny logging trail na evidence w stylu Article 12. To nie jest wniosek prawny. Klienci nadal decydują, czy ich system jest high-risk, które events są istotne, jak długo przechowywać logs, kto je przegląda, jak powstają materiały transparentności i jak organizacja reaguje na incydenty.
Konkretna jednoliniowa integracja Gateway to:
export OPENAI_BASE_URL=http://localhost:8765/v1
W produkcji zastąp localhost wdrożonym hostem Attesto
Gateway i przechowuj klucze providera oraz Attesto system keys w
server-side secret storage.
| Temat Article 12 | Wsparcie dowodowe Attesto | Odpowiedzialnosc klienta |
|---|---|---|
| Automatyczne logi przez cykl zycia | Events z SDK, gateway, MCP, connector i Local Vault z receipts oraz source timestamps. | Wybrac wlasciwe events zrodlowe i okres retencji. |
| Traceability dla sytuacji ryzyka | Events incident, override, policy, decision i failure polaczone przez stream sequence. | Zdefiniowac scenariusze ryzyka i workflows eskalacji. |
| Post-market monitoring | Verifier bundles, truth packages, anchors i Article 12 reports. | Przegladac reports i reagowac na findings. |
| Monitoring operacyjny | Latency, status, actor/source references, payload commitments i completeness checks. | Zapewnic, ze fakty systemu zrodlowego sa dokladne i proporcjonalne. |
Oficjalne zrodlo: Regulation (EU) 2024/1689, Article 12.
Wsparcie transparentności EU AI Act Article 13
Article 13 dotyczy transparentności i informacji, które pozwalają deployers zrozumieć możliwości, ograniczenia, działanie i kontekst oversight systemu high-risk AI. Attesto nie generuje samodzielnie prawnych instructions for use. Dostarcza weryfikowalną evidence, którą zespoły mogą cytować: co zostało zalogowane, jaki model lub policy path został użyty, jaki source timestamp zachowano, co zmieniło się w czasie oraz które receipts lub bundles może zweryfikować strona trzecia.
Zdanie adopcyjne "Voldoe aan Artikel 13 met 1 regel code" jest praktycznym skrótem wdrożeniowym, nie wnioskiem prawnym. Jedna linia uruchamia capture evidence; klient pozostaje odpowiedzialny za treść, adekwatność, kompletność, język i przegląd prawny materiałów Article 13.
| Temat Article 13 | Wsparcie dowodowe Attesto | Odpowiedzialność klienta |
|---|---|---|
| Wyjaśnienie zachowania systemu | Model decision events, policy references, source timestamps, payload commitments i receipt IDs. | Napisać dokładne explanations i instructions dla użytkowników. |
| Transparentność operacyjna | Verifier bundles, truth packages, status/reliability evidence i raporty audit portal. | Zdecydować, która evidence należy do materiałów produktu, umów lub assurance packs. |
| Historia zmian | Proofstream sequence, windows, checkpoints, witness statements, anchors i Proof of Evolution, gdy enabled. | Wyjaśnić changes, ograniczenia, oversight i eskalację ludzką. |
NIS2 support
Attesto może wspierać cybersecurity risk management evidence, supply-chain assurance, auditability i incident evidence przez rejestrowanie ordered events oraz connector observations. Customers pozostają odpowiedzialni za rzeczywiste security controls i governance.
Cyber Resilience Act support
Attesto może wspierać product security evidence, vulnerability handling evidence, secure update evidence i support-process traceability. Nie decyduje, czy product spełnia każdą CRA obligation.
ISO/IEC 27001 alignment
Attesto buduje ISO/IEC 27001 audit-readiness w swoim operating model od początku. Alignment pack mapuje release evidence do ISMS governance, risk assessment, asset inventory, access control, cryptography, logging, supplier assurance, secure development, vulnerability management, incident management, backup and restore, business continuity i continual improvement themes.
To wyłącznie preparation evidence. Nie stwierdza, że Attesto zdało accredited certification audit. Management nadal posiada ISMS scope, risk register, policies, internal audit, corrective actions, supplier review i certification engagement.
Referencja: ISO/IEC 27001:2022 information security management systems.
Publiczne wyjaśnienie tego operating model przez Attesto jest udokumentowane w Security Management. Obejmuje ISMS scope, risk register, asset register, supplier register, incident register, internal audit plan, management review i evidence boundaries.
Szerszy przewodnik Certification Readiness wyjaśnia Attesto preparation path dla ISO/IEC 27001, SOC 2 Type II, ISO/IEC 27701, Cyber Essentials Plus, NEN 7510, ENSIA/BIO i eIDAS 2.0 alignment. To wyłącznie preparation evidence i nie stwierdza certification ani legal-compliance outcomes.
ISO 27001, SOC 2, and eIDAS/evidence support
- ISO 27001: ISMS preparation evidence, logging, access-control evidence, supplier assurance, incident management, integrity evidence.
- SOC 2 Type II: period-based evidence support dla security, availability, processing integrity, confidentiality i privacy where scoped.
- ISO 27701: późniejszy privacy-management evidence support dla PII roles, data-flow inventory i privacy-risk processes.
- Cyber Essentials Plus: późniejsza UK baseline security preparation, gdy procurement tego wymaga.
- NEN 7510: późniejsza Dutch healthcare security preparation, jeśli healthcare stanie się active market scope.
- ENSIA/BIO: Dutch public-sector evidence support bez certification language.
- eIDAS 2.0/evidence: timestamps, electronic ledgers, integrity, non-repudiation support i verifier-first evidence alignment bez qualified trust-service claims.
We wszystkich tych obszarach Attesto evidence wspiera audit trail. Nie zastępuje legal counsel, auditor judgment ani customer control ownership.