Evidencia como subproducto
El compliance no debería ser una pila aparte de documentos que tu equipo mantiene a posteriori. StrayMark mapea tus artefactos existentes — Charters, AILOGs, AIDECs, ETH, DPIA, MCARDs — directamente a controles de EU AI Act, ISO 42001, NIST AI RMF, GDPR y región China (TC260, PIPL, GB45438, CAC, CSL). Los artefactos son la evidencia.
Por qué importa
- Ya estás escribiendo los inputs. Los auditores piden risk registers, decision logs, model cards, planes de respuesta a incidentes. Eso se mapea sobre las secciones
Risksdel Charter, AILOGs, AIDECs, MCARDs, documentos SEC — artefactos que el equipo produce durante el trabajo normal, no en un sprint de compliance a fin de año. - Reportes de gap en segundos.
straymark compliance --standard EuAiActrecorre el repo, parsea el frontmatter (tags, risk_level, regional_scope) y produce un reporte de gaps. Sin hoja de cálculo, sin espacio de Confluence, sin herramienta GRC externa. - Los estándares evolucionan; el motor llega con cada release. Cuando un regulador publica una aclaración, el motor de mapeo se actualiza en la siguiente release del framework. No reentrenas a tu equipo — corres
straymark update-framework.
Qué se escanea
$ straymark compliance --standard EuAiAct
[OK] Risk management 8/8 covered by R1-R8 across 12 Charters
[OK] Data governance 4/4 covered by 3 DPIA documents
[GAP] Model cards 0/2 high-risk models in scope are missing MCARD
[GAP] Incident response 0/1 ETH-RESPONSE not declared
Estándares soportados out of the box:
| Región | Estándares |
|---|---|
| UE | EU AI Act, GDPR |
| Internacional | ISO/IEC 42001, NIST AI RMF |
| China | TC260, PIPL, GB45438, CAC, CSL |
El campo regional_scope en .straymark/config.yml determina qué escaneos se corren por defecto.