Controls leben im System
Nicht in Confluence. Nicht in einem Word-Dokument. Nicht in einer GRC-Software die einmal im Jahr aktualisiert wird. Controls sind Datenobjekte in der Datenbank – live, versioniert, testbar.
Cert-Ready by Design
Nicht „wir haben ISO“. Nicht „wir brauchen kein ISO“. Sondern: Jeder Agent ist technisch so gebaut, dass er jederzeit zertifizierbar und prüfbar ist.
Das Prinzip
In traditionellen Compliance-Ansätzen werden Controls in Dokumenten beschrieben, Evidence manuell gesammelt und Audits als periodische Projekte durchgeführt. Ein Prüfer fragt nach einem Nachweis, ein Mitarbeiter sucht einen Screenshot, jemand erstellt ein Excel.
Cert-Ready by Design kehrt das um: Controls sind technische Datenobjekte im System. Evidence wird automatisch erzeugt. Der Prüfer sieht den Live-Status – nicht einen Snapshot von letzter Woche.
Controls als First-Class-Datenobjekte
Jeder Control in der Gosign-Architektur ist ein Datenobjekt mit vier Eigenschaften:
1. Technische Implementierung
Der Control ist nicht nur dokumentiert, er ist implementiert. Beispiele: Eine RLS Policy die Mandantentrennung auf Datenbankebene erzwingt. Ein API-Check der vor jeder Agenten-Entscheidung die Regelversion validiert. Ein Trigger der bei Konfigurationsänderungen automatisch einen Audit-Eintrag schreibt.
Die Implementierung ist die Wahrheit – nicht ein Dokument das behauptet, die Implementierung existiere.
2. Automatischer Evidence-Generator
Jeder Control hat einen zugeordneten Evidence-Generator. Der läuft periodisch oder event-basiert und erzeugt Nachweise automatisch. Kein Mensch sammelt Screenshots. Kein Mensch kopiert Logfiles in ein Excel. Das System erzeugt seine eigenen Nachweise.
3. Evidence-History
Jeder Evidence-Datensatz wird gespeichert mit Zeitstempel, Status (bestanden, fehlgeschlagen, Warnung), Versionsnummer des Controls, Versionsnummer der Prüflogik und Rohdaten für Drill-Down. Die History ist unveränderlich.
4. Auditor-View mit Drill-Down
Der Prüfer sieht im Auditor Portal: Ampel-Status pro Control, letzter Evidence-Zeitstempel, Trend über Zeit, Drill-Down von der Ampel bis zur konkreten RLS Policy, zum Test-SQL, zum Testergebnis.
Drei Differenzierungsmerkmale
Evidence wird automatisch erzeugt
Kein Mensch sammelt Nachweise. Der Evidence-Generator läuft automatisch – periodisch oder bei Änderung. Wenn ein Control seine Evidence nicht erzeugen kann, ist das selbst ein Finding.
Vollständiger Drill-Down
Von der Ampel im Dashboard bis zur konkreten RLS Policy mit ihrem Namen und dem Test-SQL das ihre Wirksamkeit prüft. Kein „fragen Sie den Entwickler“. Alles in einem Pfad.
Auditor Portal
Das Auditor Portal ist die Schnittstelle zwischen dem technischen System und dem Prüfer. Es bietet:
Dashboard: Übersicht aller Controls mit Ampel-Status, gruppiert nach Framework-Kategorie.
Control-Detail: Beschreibung, technische Implementierung, Evidence-History, letzte Änderung, zuständiger Owner.
Drill-Down: Von der Übersicht bis zum konkreten Test-Ergebnis, inklusive Prüflogik und Rohdaten.
Export: Evidence-Pakete für externe Prüfer, maschinenlesbar (JSON) oder als PDF-Report.
Change-History: Wann wurde ein Control geändert, von wem, warum. Jede Änderung dokumentiert.
Override-History: Wenn ein Human Override eine Agenten-Entscheidung überstimmt hat – dokumentiert mit Begründung, Person, Zeitstempel.
Cert-Ready Control Object – Struktur
Control Object {
id: "ctrl-rbac-001"
name: "Mandantentrennung auf Datenbankebene"
category: "Zugriffskontrolle"
implementation: {
type: "RLS Policy"
reference: "policies/tenant_isolation.sql"
deployed: true
last_verified: "2026-02-20T09:14:00Z"
}
evidence_generator: {
type: "automated_test"
schedule: "every_6h"
test_reference: "tests/tenant_isolation_test.sql"
}
evidence_history: [
{
timestamp: "2026-02-20T09:14:00Z"
status: "passed"
control_version: "1.3"
test_version: "2.1"
raw_data: { "rows_tested": 42 }
}
]
framework_mapping: {
iso_27001: "A.9.4.1"
soc2: "CC6.1"
eu_ai_act: "Art. 12"
}
owner: "security-team"
last_change: "2026-02-18T14:22:00Z"
change_reason: "Policy update for new entity"
}Framework-Mapping
Die Control-Struktur ist framework-agnostisch. Jeder Control kann auf mehrere Frameworks gemappt werden.
ISO 27001: Annex A Controls
SOC2: Trust Service Criteria
PS 951 / ISAE 3402: Prüfungsstandards für IT-Dienstleister
EU AI Act: Transparenz-, Aufzeichnungs- und Aufsichtspflichten
IDW PS 880: Softwareprüfung
GoB / GoBD: Grundsätze ordnungsmäßiger Buchführung
Was Cert-Ready by Design nicht ist
Kein Zertifizierungsversprechen. Cert-Ready by Design bedeutet nicht, dass das System zertifiziert ist. Es bedeutet, dass die Architektur strukturell darauf vorbereitet ist, jederzeit geprüft und zertifiziert zu werden.
Keine GRC-Software. Cert-Ready by Design ersetzt keine GRC-Plattform. Es ergänzt sie – durch technische Controls die live im System existieren, nicht nur in einer separaten Compliance-Datenbank.
Kein einmaliges Audit. Cert-Ready by Design ist kontinuierlich. Evidence wird laufend erzeugt, Controls werden laufend geprüft. Es gibt keinen „Audit-Modus“ – das System ist immer im Audit-Modus.
Häufige Fragen zu Cert-Ready by Design
Was bedeutet Cert-Ready by Design?
Jeder AI-Agent ist technisch so gebaut, dass er jederzeit zertifizierbar und prüfbar ist. Controls sind Datenobjekte im System mit technischer Implementierung, automatischer Evidence-Generierung und vollständiger History.
Ist Gosign ISO 27001 zertifiziert?
Cert-Ready by Design bedeutet: Wenn eine Zertifizierung erforderlich ist, ist unser System strukturell darauf vorbereitet. Controls leben im System, Evidence wird automatisch erzeugt, Prüfer sehen den Live-Status.
Welche Frameworks werden unterstützt?
Die Architektur ist framework-agnostisch. Controls können auf ISO 27001, SOC2, PS 951, EU AI Act und andere Frameworks gemappt werden. Die Struktur ist identisch - nur das Mapping ändert sich.
Was sieht ein Prüfer im Auditor Portal?
Live-Dashboard mit Ampel-Status pro Control, Drill-Down von der Ampel bis zur konkreten RLS Policy oder dem Test-SQL, Change-History, Override-History, Evidence-Export.
Sprechen Sie mit uns über Ihre Compliance-Anforderungen.
Cert-Ready by Design. Auditierbar. Prüfbar. Jederzeit.
Gespräch vereinbaren