Cert-Ready by Design
No 'tenemos ISO'. No 'no necesitamos ISO'. Sino: cada agente está técnicamente construido para ser certificable y auditable en cualquier momento.
Una selección de más de 5.000 proyectos en 25 años de desarrollo de software
El Principio
En los enfoques tradicionales de cumplimiento, los controles se describen en documentos, las evidencias se recopilan manualmente y las auditorías se realizan como proyectos periódicos. Un auditor pide una prueba, un empleado busca una captura de pantalla, alguien crea una hoja de cálculo.
Cert-Ready by Design invierte esto: los controles son objetos de datos técnicos en el sistema. Las evidencias se generan automáticamente. El auditor ve el estado en vivo - no una instantánea de la semana pasada.
Tres Diferenciadores
Los Controles Viven en el Sistema
No en Confluence. No en un documento Word. No en una herramienta GRC que se actualiza una vez al año. Los controles son objetos de datos en la base de datos - en vivo, versionados, testeables.
Las Evidencias Se Generan Automáticamente
Ninguna persona recopila evidencias. El generador de evidencias se ejecuta automáticamente. Si un control no puede generar su evidencia, eso mismo es un hallazgo.
Drill-Down Completo
Desde el semáforo en el dashboard hasta la política RLS concreta con su nombre y el SQL de prueba que verifica su efectividad. Sin 'pregunte al desarrollador'. Todo en una ruta.
Controles como Objetos de Datos de Primera Clase
Cada control en la arquitectura de Gosign es un objeto de datos con cuatro propiedades:
1. Implementación Técnica
El control no solo está documentado - está implementado. Una política RLS que impone aislamiento de inquilinos a nivel de base de datos. Un chequeo de API que valida la versión de la regla antes de cada decisión del agente. Un trigger que escribe automáticamente una entrada de auditoría ante cambios de configuración.
2. Generador Automático de Evidencias
Cada control tiene un generador de evidencias asignado. Se ejecuta periódicamente o por eventos y produce evidencias automáticamente. Ninguna persona recopila capturas de pantalla. El sistema genera sus propias evidencias.
La unidad de evidencia más pequeña es el acta de decisión por microdecisión: una prueba inmutable con input, regla de negocio aplicada con su versión, confianza, versión del modelo, resultado, marca de tiempo y vía de impugnación - la base sobre la que se asientan los controles.
3. Historial de Evidencias
Cada registro de evidencia se almacena con: marca temporal, estado (aprobado, fallido, advertencia), versión del control, versión de la lógica de prueba y datos brutos para drill-down. El historial es inmutable.
4. Vista de Auditor con Drill-Down
El auditor ve en el Portal de Auditor: estado semáforo por control, última marca temporal de evidencia, tendencia en el tiempo y drill-down desde el indicador de estado hasta la política RLS concreta, el SQL de prueba y el resultado.
Cert-Ready Control Object - Estructura
Cada control es un objeto de datos estructurado con mapeo de frameworks, implementación técnica, generador automático de evidencias y vista de auditor.
Control Object { id: "ctrl-rbac-001" name: "Tenant isolation at database level" category: "Access Control"implementation: { type: “RLS Policy” reference: “policies/tenant_isolation.sql” deployed: true last_verified: “2026-02-20T09:14:00Z” }
evidence_generator: { type: “automated_test” schedule: “every_6h” test_reference: “tests/tenant_isolation_test.sql” }
evidence_history: [ { timestamp: “2026-02-20T09:14:00Z” status: “passed” control_version: “1.3” test_version: “2.1” raw_data: { … } }, … ]
framework_mapping: { iso_27001: “A.9.4.1” soc2: “CC6.1” eu_ai_act: “Art. 12” }
owner: “security-team” last_change: “2026-02-18T14:22:00Z” change_reason: “Policy update for new entity” }
Portal de Auditor
Los auditores externos obtienen acceso directo a todos los datos de gobernanza. Sin presentaciones preparadas, sin exportaciones filtradas. El auditor ve el estado real y actual del sistema.
Dashboard
Visión general de todos los controles con estado semáforo, agrupados por categoría de framework.
Detalle del Control
Descripción, implementación técnica, historial de evidencias, último cambio, propietario asignado.
Drill-Down
Desde la visión general hasta el resultado concreto de la prueba, incluyendo la lógica de prueba y datos brutos.
Exportación
Paquetes de evidencia para auditores externos, legibles por máquinas (JSON) o como informe PDF.
Historial de Cambios
Cuando se cambió un control, por quién, por qué.
Historial de Overrides
Cuando un override humano anuló una decisión del agente - documentado con razón, persona y marca temporal.
Mapeo de Frameworks
Estructuralmente preparado para cualquier framework.
- ISO 27001: Controles del Anexo A mapeados. Evidencia generada automáticamente.
- SOC2: Criterios de Servicios de Confianza (CC6, CC7, CC8) como categorías de control.
- PS 951 / ISAE 3402: Estándares de auditoría para proveedores de servicios TI. Controles y evidencia preparados para auditores.
- EU AI Act: Obligaciones de transparencia, registro y supervisión implementadas como controles en el sistema.
- IDW PS 880: Estándares de auditoría de software.
- El mapeo cambia. La estructura de controles permanece idéntica. Cuando un nuevo framework se vuelve relevante, se mapea - los controles ya existen.
Lo Que Cert-Ready by Design No Es
No es una promesa de certificación. Significa que la arquitectura está estructuralmente preparada para ser auditada y certificada en cualquier momento.
No es una herramienta GRC. Complementa plataformas GRC existentes - mediante controles técnicos que viven en el sistema.
No es una auditoría única. Es continuo. Las evidencias se generan continuamente, los controles se prueban continuamente. No hay "modo auditoría" - el sistema siempre está en modo auditoría.
Profundizacion en el Agent Briefing
Nuestra serie de artículos para ejecutivos que implementan agentes de IA en la empresa.
Preguntas frecuentes sobre Cert-Ready by Design
¿Que significa Cert-Ready by Design?
¿Está Gosign certificado ISO 27001?
¿Que frameworks se soportan?
¿Que ve un auditor en el Portal de Auditor?
Hablemos sobre sus requisitos de compliance.
Cert-Ready by Design. Auditable. En cualquier momento.
Agendar reunión