Mapeamento de compliance
Cada descoberta deriva automaticamente para qual framework regulatório serve de evidência. Hoje: EU AI Act, NIST AI RMF (com GenAI Profile), SOC 2, ISO 27001:2022, PCI-DSS v4.0, HIPAA Security Rule, LGPD/GDPR. Sem tagueamento manual: o mapeamento é determinístico e mora em apps/shared.
Pontos-chave
- Filtro por framework em /findings: puxa só as descobertas que servem de evidência pra uma regra.
- SARIF segmentado por framework no evidence pack: um .sarif por framework cobertado.
- compliance/coverage.json: sumário auditor-grade com hits por controle + IDs de descoberta.
- Runbook de manutenção em docs/COMPLIANCE_MAPPING.md pra evoluir o mapeamento junto com novas versões dos frameworks.
01
Frameworks cobertos
- EU AI Act Art.10/13/14/15; NIST AI RMF GOVERN-1.5 + MAP-2.3 + MEASURE-2.6/2.7 + MANAGE-4.1 + GAI-1.1.
- SOC 2 CC6.1/CC6.6/CC7.1/CC7.2/CC8.1; ISO 27001 A.5.7/A.8.2/A.8.16/A.8.26/A.8.28.
- PCI-DSS Req.6.2/6.3/7/10; HIPAA §164.308/§164.312; LGPD Art.46 + GDPR Art.32/Art.25/Art.33-34.
02
Como o mapping é derivado
- Cada descoberta carrega um owasp_category (LLM01–LLM10) + attack_technique (MITRE ATT&CK).
- deriveComplianceFrameworks() em apps/shared percorre um catálogo curado de controles por framework.
- Match é determinístico e puro: sem LLM no loop, regenerável sob demanda.