Cert-Ready by Design

No 'tenemos ISO'. No 'no necesitamos ISO'. Sino: cada agente esta tecnicamente construido para ser certificable y auditable en cualquier momento.

Discutir compliance

El Principio

En los enfoques tradicionales de cumplimiento, los controles se describen en documentos, las evidencias se recopilan manualmente y las auditorias se realizan como proyectos periodicos. Un auditor pide una prueba, un empleado busca una captura de pantalla, alguien crea una hoja de calculo.

Cert-Ready by Design invierte esto: los controles son objetos de datos tecnicos en el sistema. Las evidencias se generan automaticamente. El auditor ve el estado en vivo - no una instantanea de la semana pasada.

Tres Diferenciadores

Los Controles Viven en el Sistema

No en Confluence. No en un documento Word. No en una herramienta GRC que se actualiza una vez al ano. Los controles son objetos de datos en la base de datos - en vivo, versionados, testeables.

Las Evidencias Se Generan Automaticamente

Ninguna persona recopila evidencias. El generador de evidencias se ejecuta automaticamente. Si un control no puede generar su evidencia, eso mismo es un hallazgo.

Drill-Down Completo

Desde el semaforo en el dashboard hasta la politica RLS concreta con su nombre y el SQL de prueba que verifica su efectividad. Sin 'pregunte al desarrollador'. Todo en una ruta.

Controles como Objetos de Datos de Primera Clase

Cada control en la arquitectura de Gosign es un objeto de datos con cuatro propiedades:

1. Implementacion Tecnica

El control no solo esta documentado - esta implementado. Una politica RLS que impone aislamiento de inquilinos a nivel de base de datos. Un chequeo de API que valida la version de la regla antes de cada decision del agente. Un trigger que escribe automaticamente una entrada de auditoria ante cambios de configuracion.

2. Generador Automatico de Evidencias

Cada control tiene un generador de evidencias asignado. Se ejecuta periodicamente o por eventos y produce evidencias automaticamente. Ninguna persona recopila capturas de pantalla. El sistema genera sus propias evidencias.

3. Historial de Evidencias

Cada registro de evidencia se almacena con: marca temporal, estado (aprobado, fallido, advertencia), version del control, version de la logica de prueba y datos brutos para drill-down. El historial es inmutable.

4. Vista de Auditor con Drill-Down

El auditor ve en el Portal de Auditor: estado semaforo por control, ultima marca temporal de evidencia, tendencia en el tiempo y drill-down desde el indicador de estado hasta la politica RLS concreta, el SQL de prueba y el resultado.

Cert-Ready Control Object - Estructura

Cada control es un objeto de datos estructurado con mapeo de frameworks, implementacion tecnica, generador automatico de evidencias y vista de auditor. 

Control Object {
id:                 "ctrl-rbac-001"
name:               "Tenant isolation at database level"
category:           "Access Control"

implementation: {
type:             “RLS Policy”
reference:        “policies/tenant_isolation.sql”
deployed:         true
last_verified:    “2026-02-20T09:14:00Z”
}


evidence_generator: {
type:             “automated_test”
schedule:         “every_6h”
test_reference:   “tests/tenant_isolation_test.sql”
}


evidence_history: [
{
timestamp:      “2026-02-20T09:14:00Z”
status:         “passed”
control_version: “1.3”
test_version:   “2.1”
raw_data:       { … }
},
…
]


framework_mapping: {
iso_27001:        “A.9.4.1”
soc2:             “CC6.1”
eu_ai_act:        “Art. 12”
}


owner:              “security-team”
last_change:        “2026-02-18T14:22:00Z”
change_reason:      “Policy update for new entity”
}

Portal de Auditor

Los auditores externos obtienen acceso directo a todos los datos de gobernanza. Sin presentaciones preparadas, sin exportaciones filtradas. El auditor ve el estado real y actual del sistema.

Dashboard

Vision general de todos los controles con estado semaforo, agrupados por categoria de framework.

Detalle del Control

Descripcion, implementacion tecnica, historial de evidencias, ultimo cambio, propietario asignado.

Drill-Down

Desde la vision general hasta el resultado concreto de la prueba, incluyendo la logica de prueba y datos brutos.

Exportacion

Paquetes de evidencia para auditores externos, legibles por maquinas (JSON) o como informe PDF.

Historial de Cambios

Cuando se cambio un control, por quien, por que.

Historial de Overrides

Cuando un override humano anulo una decision del agente - documentado con razon, persona y marca temporal.

Mapeo de Frameworks

Estructuralmente preparado para cualquier framework.

  • ISO 27001: Controles del Anexo A mapeados. Evidencia generada automaticamente.
  • SOC2: Criterios de Servicios de Confianza (CC6, CC7, CC8) como categorias de control.
  • PS 951 / ISAE 3402: Estandares de auditoria para proveedores de servicios TI. Controles y evidencia preparados para auditores.
  • EU AI Act: Obligaciones de transparencia, registro y supervision implementadas como controles en el sistema.
  • IDW PS 880: Estandares de auditoria de software.
  • El mapeo cambia. La estructura de controles permanece identica. Cuando un nuevo framework se vuelve relevante, se mapea - los controles ya existen.

Lo Que Cert-Ready by Design No Es

No es una promesa de certificacion. Significa que la arquitectura esta estructuralmente preparada para ser auditada y certificada en cualquier momento.

No es una herramienta GRC. Complementa plataformas GRC existentes - mediante controles tecnicos que viven en el sistema.

No es una auditoria unica. Es continuo. Las evidencias se generan continuamente, los controles se prueban continuamente. No hay "modo auditoria" - el sistema siempre esta en modo auditoria.

Profundizacion en el Agent Briefing

Nuestra serie de articulos para ejecutivos que implementan agentes de IA en la empresa.

Auditoria

Cert-Ready by Design: IA preparada para auditoria

Regulacion

EU AI Act y RRHH: lo que ahora es obligatorio

Dashboard

IA Governance Dashboard: monitorizacion de agentes

Preguntas frecuentes sobre Cert-Ready by Design

¿Que significa Cert-Ready by Design?

Cada AI Agent esta tecnicamente construido para ser certificable y auditable en cualquier momento. Los controles son objetos de datos en el sistema con implementacion tecnica, generacion automatica de evidencias e historial completo.

¿Esta Gosign certificado ISO 27001?

Cert-Ready by Design significa: cuando se requiere certificacion, nuestro sistema esta estructuralmente preparado. Los controles viven en el sistema, las evidencias se generan automaticamente, los auditores ven el estado en vivo.

¿Que frameworks se soportan?

La arquitectura es agnostica respecto a frameworks. Los controles pueden mapearse a ISO 27001, SOC2, PS 951, EU AI Act y otros. La estructura es identica - solo cambia el mapeo.

¿Que ve un auditor en el Portal de Auditor?

Dashboard en vivo con estado semaforo por control, drill-down desde el semaforo hasta la politica RLS concreta o el SQL de prueba, historial de cambios, historial de overrides, exportacion de evidencias.

Hablemos sobre sus requisitos de compliance.

Cert-Ready by Design. Auditable. En cualquier momento.

Agendar reunion