Cert-Ready by Design

Não 'temos ISO'. Não 'não precisamos de ISO'. Sim: cada agente está tecnicamente construído para ser certificável e auditável a qualquer momento.

Sem documentação posterior. Sem coleta manual de evidências.

Discutir compliance

O Princípio

Em abordagens tradicionais de conformidade, os controles são descritos em documentos, as evidências são coletadas manualmente e as auditorias são realizadas como projetos periódicos. Cert-Ready by Design inverte isso: os controles são objetos de dados técnicos no sistema. As evidências são geradas automaticamente. O auditor vê o status em tempo real.

Quando certificação é necessária, nosso sistema está estruturalmente preparado.

Três Diferenciadores

Os Controles Vivem no Sistema

Não no Confluence. Não em um documento Word. São objetos de dados no banco de dados – em tempo real, versionados, testáveis.

As Evidências São Geradas Automaticamente

Nenhuma pessoa coleta evidências. Se um controle não pode gerar sua evidência, isso é um achado.

Drill-Down Completo

Do semáforo no dashboard até a política RLS concreta com o SQL de teste que verifica sua efetividade.

Controles como Objetos de Dados de Primeira Classe

Cada controle na arquitetura da Gosign é um objeto de dados com quatro propriedades:

1. Implementação Técnica

O controle não está apenas documentado – está implementado. A implementação é a verdade – não um documento que afirma que a implementação existe.

2. Gerador Automático de Evidências

Cada controle tem um gerador de evidências atribuído que se executa periodicamente ou por eventos. Nenhuma pessoa coleta capturas de tela. O sistema gera suas próprias evidências.

3. Histórico de Evidências

Cada registro de evidência é armazenado com: timestamp, status (aprovado, falho, aviso), versão do controle, versão da lógica de teste e dados brutos para drill-down. O histórico é imutável.

4. Visão de Auditor com Drill-Down

O auditor vê no Portal de Auditor: status semáforo por controle, último timestamp de evidência, tendência no tempo, drill-down desde o indicador até a política RLS concreta e o SQL de teste. 

{
  "control_id": "GOV-RBAC-001",
  "name": "Row-Level Security on HR Data",
  "category": "Access Control",
  "framework_mapping": ["ISO 27001 A.9.4", "SOC2 CC6.1", "EU AI Act Art. 14"],
  "technical_implementation": {
    "type": "Supabase RLS Policy",
    "policy_name": "hr_data_department_isolation",
    "applied_to": ["employees", "salary_records", "absence_records"],
    "test_sql": "SELECT * FROM employees WHERE department != current_user_dept; -- must return 0 rows"
  },
  "evidence_generator": {
    "type": "automated_test",
    "frequency": "daily",
    "last_run": "2026-02-20T03:00:00Z",
    "result": "PASS",
    "evidence_hash": "sha256:a3f2..."
  },
  "evidence_history": [
    {"date": "2026-02-20", "result": "PASS", "hash": "sha256:a3f2..."},
    {"date": "2026-02-19", "result": "PASS", "hash": "sha256:b4e1..."},
    {"date": "2026-02-18", "result": "FAIL", "hash": "sha256:c5d0...", "remediation": "Policy updated, re-tested PASS"}
  ],
  "status": "GREEN",
  "owner": "security-team"
}

Portal de Auditor

Auditores externos recebem acesso direto a todos os dados de governança pelo Portal de Auditor. Sem apresentações preparadas, sem exportações filtradas. O auditor vê o estado real e atual do sistema.

Dashboard

Visão geral de todos os controles com status semáforo.

Detalhe do Controle

Descrição, implementação técnica, histórico de evidências.

Drill-Down

Da visão geral até o resultado concreto do teste.

Exportação

Pacotes de evidência em JSON ou PDF.

Histórico de Alterações

Quando, por quem, por quê.

Histórico de Overrides

Quando um override humano anulou uma decisão do agente.

Mapeamento de Frameworks

Estruturalmente preparado para qualquer framework.

ISO 27001: Controles mapeados para medidas do Anexo A. Evidências geradas automaticamente.

SOC2: Trust Service Criteria (CC6, CC7, CC8) como categorias de controle.

PS 951: Padrão de auditoria para provedores de TI. Controles e evidências preparados para auditores.

EU AI Act: Artigos 9, 12, 13, 14, 15 e 51 implementados como controles no sistema.

O mapeamento muda. A estrutura permanece idêntica.

O Que Cert-Ready by Design Não É

Não é uma promessa de certificação. Significa que a arquitetura está estruturalmente preparada para ser auditada e certificada a qualquer momento.

Não é uma ferramenta GRC. Complementa plataformas GRC existentes.

Não é uma auditoria única. É contínuo. O sistema está sempre em modo de auditoria.

Perguntas frequentes sobre Cert-Ready by Design

O que significa Cert-Ready by Design?

Cada AI Agent está tecnicamente construído para ser certificável e auditável a qualquer momento. Os controles são objetos de dados no sistema com implementação técnica, geração automática de evidências e histórico completo.

A Gosign possui certificação ISO 27001?

Cert-Ready by Design significa: quando certificação é necessária, nosso sistema está estruturalmente preparado. Os controles vivem no sistema, as evidências são geradas automaticamente.

Quais frameworks são suportados?

A arquitetura é agnóstica em relação a frameworks. Os controles podem ser mapeados para ISO 27001, SOC2, PS 951, EU AI Act e outros.

Fale conosco sobre seus requisitos de compliance.

Cert-Ready by Design. Auditável. Pronto para auditoria. A qualquer momento.

Agendar reunião