Los Controles Viven en el Sistema
No en Confluence. No en un documento Word. No en una herramienta GRC que se actualiza una vez al año. Los controles son objetos de datos en la base de datos – en vivo, versionados, testeables.
Cert-Ready by Design
No 'tenemos ISO'. No 'no necesitamos ISO'. Sino: cada agente está técnicamente construido para ser certificable y auditable en cualquier momento.
El Principio
En los enfoques tradicionales de cumplimiento, los controles se describen en documentos, las evidencias se recopilan manualmente y las auditorías se realizan como proyectos periódicos. Un auditor pide una prueba, un empleado busca una captura de pantalla, alguien crea una hoja de cálculo.
Cert-Ready by Design invierte esto: los controles son objetos de datos técnicos en el sistema. Las evidencias se generan automáticamente. El auditor ve el estado en vivo – no una instantánea de la semana pasada.
Tres Diferenciadores
Las Evidencias Se Generan Automáticamente
Ninguna persona recopila evidencias. El generador de evidencias se ejecuta automáticamente. Si un control no puede generar su evidencia, eso mismo es un hallazgo.
Drill-Down Completo
Desde el semáforo en el dashboard hasta la política RLS concreta con su nombre y el SQL de prueba que verifica su efectividad. Sin 'pregunte al desarrollador'. Todo en una ruta.
Controles como Objetos de Datos de Primera Clase
Cada control en la arquitectura de Gosign es un objeto de datos con cuatro propiedades:
1. Implementación Técnica
El control no solo está documentado – está implementado. Una política RLS que impone aislamiento de inquilinos a nivel de base de datos. Un chequeo de API que valida la versión de la regla antes de cada decisión del agente. Un trigger que escribe automáticamente una entrada de auditoría ante cambios de configuración.
2. Generador Automático de Evidencias
Cada control tiene un generador de evidencias asignado. Se ejecuta periódicamente o por eventos y produce evidencias automáticamente. Ninguna persona recopila capturas de pantalla. El sistema genera sus propias evidencias.
3. Historial de Evidencias
Cada registro de evidencia se almacena con: marca temporal, estado (aprobado, fallido, advertencia), versión del control, versión de la lógica de prueba y datos brutos para drill-down. El historial es inmutable.
4. Vista de Auditor con Drill-Down
El auditor ve en el Portal de Auditor: estado semáforo por control, última marca temporal de evidencia, tendencia en el tiempo y drill-down desde el indicador de estado hasta la política RLS concreta, el SQL de prueba y el resultado.
{
"control_id": "GOV-RBAC-001",
"name": "Row-Level Security on HR Data",
"category": "Access Control",
"framework_mapping": ["ISO 27001 A.9.4", "SOC2 CC6.1", "EU AI Act Art. 14"],
"technical_implementation": {
"type": "Supabase RLS Policy",
"policy_name": "hr_data_department_isolation",
"applied_to": ["employees", "salary_records", "absence_records"],
"test_sql": "SELECT * FROM employees WHERE department != current_user_dept; -- must return 0 rows"
},
"evidence_generator": {
"type": "automated_test",
"frequency": "daily",
"last_run": "2026-02-20T03:00:00Z",
"result": "PASS",
"evidence_hash": "sha256:a3f2..."
},
"evidence_history": [
{"date": "2026-02-20", "result": "PASS", "hash": "sha256:a3f2..."},
{"date": "2026-02-19", "result": "PASS", "hash": "sha256:b4e1..."},
{"date": "2026-02-18", "result": "FAIL", "hash": "sha256:c5d0...", "remediation": "Policy updated, re-tested PASS"}
],
"audit_view": {
"dashboard_url": "/auditor/controls/GOV-RBAC-001",
"drill_down_available": true,
"export_formats": ["JSON", "PDF", "CSV"]
},
"status": "GREEN",
"owner": "security-team"
}Portal de Auditor
Los auditores externos obtienen acceso directo a todos los datos de gobernanza. Sin presentaciones preparadas, sin exportaciones filtradas. El auditor ve el estado real y actual del sistema.
Dashboard
Visión general de todos los controles con estado semáforo, agrupados por categoría de framework.
Detalle del Control
Descripción, implementación técnica, historial de evidencias, último cambio, propietario asignado.
Drill-Down
Desde la visión general hasta el resultado concreto de la prueba, incluyendo la lógica de prueba y datos brutos.
Exportación
Paquetes de evidencia para auditores externos, legibles por máquinas (JSON) o como informe PDF.
Historial de Cambios
Cuándo se cambió un control, por quién, por qué.
Historial de Overrides
Cuando un override humano anuló una decisión del agente – documentado con razón, persona y marca temporal.
Mapeo de Frameworks
Estructuralmente preparado para cualquier framework.
ISO 27001: Controles del Anexo A mapeados. Evidencia generada automáticamente.
SOC2: Criterios de Servicios de Confianza (CC6, CC7, CC8) como categorías de control.
PS 951 / ISAE 3402: Estándares de auditoría para proveedores de servicios TI. Controles y evidencia preparados para auditores.
EU AI Act: Obligaciones de transparencia, registro y supervisión implementadas como controles en el sistema.
IDW PS 880: Estándares de auditoría de software.
El mapeo cambia. La estructura de controles permanece idéntica. Cuando un nuevo framework se vuelve relevante, se mapea – los controles ya existen.
Lo Que Cert-Ready by Design No Es
No es una promesa de certificación. Significa que la arquitectura está estructuralmente preparada para ser auditada y certificada en cualquier momento.
No es una herramienta GRC. Complementa plataformas GRC existentes – mediante controles técnicos que viven en el sistema.
No es una auditoría única. Es continuo. Las evidencias se generan continuamente, los controles se prueban continuamente. No hay "modo auditoría" – el sistema siempre está en modo auditoría.
Preguntas frecuentes sobre Cert-Ready by Design
¿Qué significa Cert-Ready by Design?
Cada AI Agent está técnicamente construido para ser certificable y auditable en cualquier momento. Los controles son objetos de datos en el sistema con implementación técnica, generación automática de evidencias e historial completo.
¿Está Gosign certificado ISO 27001?
Cert-Ready by Design significa: cuando se requiere certificación, nuestro sistema está estructuralmente preparado. Los controles viven en el sistema, las evidencias se generan automáticamente, los auditores ven el estado en vivo.
¿Qué frameworks se soportan?
La arquitectura es agnóstica respecto a frameworks. Los controles pueden mapearse a ISO 27001, SOC2, PS 951, EU AI Act y otros. La estructura es idéntica – solo cambia el mapeo.
Hablemos sobre sus requisitos de compliance.
Cert-Ready by Design. Auditable. En cualquier momento.
Agendar reunión