Skip to content
Compliance · et katalog over ti frameworks

Compliance, erklæret ærligt.

Hvert framework kører på det samme ærlige mønster. Et værktøj kan modbevise en kontrol — et udløst tjek er en reel fejl — men det kan aldrig bevise overensstemmelse. Så Watchdog gør den beviselige del grundigt: det dokumenterer den automatiserbare del, forhindrer dig i at bestå en kontrol, det fangede fejle, uden en registreret begrundelse, og lader resten blive, hvor det hører hjemme — hos en navngivet person, der selverklærer. Vi måler; du erklærer. Vi certificerer aldrig.

Et rent automatiseret resultat er nødvendigt, ikke tilstrækkeligt — en grøn Watchdog-score er aldrig i sig selv en compliance-påstand.

Tillid og gennemsigtighed

Den ærlige sandhed, de fleste compliance-værktøjer ikke vil fortælle dig.

Slangeolien
  • Et "compliant"-mærke fra en scanner, der kun nogensinde så markuppen eller manifestet
  • Dashboards, der i det stille forvandler "intet automatiseret fund" til "bestået"
  • De fleste af disse regimer er organisatoriske; værktøjer berører kun en del
  • Intet værktøj accepteres som bevis på overensstemmelse under nogen af disse love — ingen
Hvad der faktisk er sandt
  • Et værktøj kan bevise en fejl (en aktiv CVE, en lækket hemmelighed, et manglende label), men aldrig fraværet af alle fejl
  • Den automatiserbare dokumentation, det KAN frembringe, er konkret: SCA på tværs af NuGet & npm, en CycloneDX SBOM ved hvert eftersyn og sikkerhedsfund mærket med deres MITRE CWE-id — det forsyningskæde-spor, CRA / DORA / NIS2 efterspørger
  • Overensstemmelse hviler på menneskelig dømmekraft + processer, som analysatoren ikke kan se
  • Disse regimer pålægger organisationen at erklære og blive ført tilsyn med — ansvaret ligger hos ledelsen
  • Så det eneste ærlige værktøj gør den beviselige del og er åbenhjertigt om resten
Evaluering

Sådan evalueres en kontrol — hvad et værktøj kan gøre, og hvor et menneske må træde til.

Værktøjsautomatiseret

Kontroller med en automatiserbar overflade (en aktiv CVE, en committet hemmelighed, et manglende label). En fejl her er reel, forudindstillet til Fejl og spærrer for godkendelse.

Dokumentationsassisteret

Kræver en renderet runtime, hjælpeteknologi eller driftsmæssig dokumentation (kontrast, fokusrækkefølge, adgangskontrol, backups). Du evaluerer den; vi registrerer grundlaget.

Menneskelig dømmekraft

Processer og betydning, som intet værktøj afgør — governance, hændelseshåndtering, modstandsdygtighedstest-programmet, om en alt-tekst er ligeværdig. Du vurderer det.

Integritet

Integritetens hjørnesten: vi lader dig ikke bestå det, vi fangede fejle.

Fejl-spærren

Når statisk analyse fanger en reel fejl på en kontrol, forudindstiller selvvurderingen den til Fejl og låser den. For alligevel at markere den Bestået skal du registrere en skriftlig begrundelse — gengivet i sin helhed i en Integritets-sektion af artefakten. Et termometer, du kan skjule aflæsninger fra, er manipuleret; dette kan ikke.

Proveniens på hver linje

Hver kontrols verdikt fortæller, hvordan det blev nået — værktøjsverificeret, dokumentationsassisteret, AI-udarbejdet-og-gennemgået eller menneskelig attestering — så en køber, en revisor eller en kompetent myndighed kan se præcis, hvilke påstande en maskine står inde for, og hvilke en person gør.

Livscyklussen

Arbejdsgangen — identisk for hvert framework.

Scan & aktivér.

Watchdog vurderer den automatiserbare overflade. Hvert framework er Automatisk / Til / Fra pr. repository; Automatisk slår ét til (og beder dig beholde det), når din kodebase er moden til det.

Selvvurdér & dokumentér.

Et indlogget medlem arbejder sig gennem hver kontrol — spærren håndhæver ærlighed undervejs — tilføjer noter og referencelinks og vedhæfter understøttende dokumenter (en pentest, en manuel testrapport), som hver kontrol kan henvise til. Hver upload hashes.

Signér.

En navngivet erklærende signerer; erklæringen fryses til uforanderlige, manipulationssikre bytes (en SHA-256, du kan genverificere). Den kan ærligt konkludere "er ikke fuldt ud i overensstemmelse" — at signere attesterer, at evalueringen er fuldstændig og korrekt, ikke at alt bestod.

Eksportér & kræv.

Download én artefakt — erklæringen med dens dokumentation rejsende indeni (indlejret eller refereret med sin hash i et dokumentationsregister) — og bind valgfrit en kontraktprofil til at kræve en aktuel signeret erklæring, før en leverance består.

Hold den aktuel.

Hver erklæring er forankret til ét eftersyn. Forlæng genudsteder den for det seneste eftersyn med ét klik — den medbringer dine svar, kører spærren igen, så enhver regression træder frem, og afløser den foregående. Et arkiv bevarer hele den revisionsklare slægtskab.

Ærlighedsværn

Hvad Watchdog aldrig vil påstå.

  • Vi certificerer ikke og er hverken et bemyndiget organ eller en kompetent myndighed
  • En Watchdog-score er ikke en compliance-påstand
  • "Værktøj rent" betyder ingen automatiseret fejl — nødvendigt, ikke tilstrækkeligt
  • Vi lader aldrig en kontrol bestå automatisk på dine vegne — intet signeres uden et menneske
  • Organisatoriske kontroller registreres som menneskelig attestering, aldrig pyntet op som værktøjsdokumenteret
Hvorfor åbenheden er produktet

En compliance-påstand er kun værd, hvad dens ærlighed kan overleve. Ved at gøre den beviselige del grundigt og nægte at forfalske resten giver Watchdog dig en erklæring, der holder over for en revisor, en regulator og en domstol — ikke bare en marketingside.

Erklær det ærligt.

Eller tal med os