Vosj › Approach

The approach

Make migration & replatforming repeatable, safe, and AI-accelerated — without ever betting the business on an unverified cutover.

Migration is usually a one-off, manual, risky project. Vosj turns it into a repeatable engine: discover what you have, plan the move, migrate piece by piece with old and new running side by side, then cut over only after automated checks pass. AI accelerates the work everywhere it safely can; humans stay accountable for every irreversible decision. This page explains what we are trying to do and how.

The problem — the migration tax

Every estate carries a migration tax: the recurring cost of moving workloads between data centres, private virtualization estates and public clouds — paid again on every reorg, acquisition, cost-optimisation or end-of-support event. The work is re-learned each time, the risk is re-taken each time, and the audit trail is reconstructed each time from chat logs and email. A workload "moved to the cloud" without a delivery pipeline isn't modernized — it's just relocated.

🔁

Re-learned every time

Methodology lives in consultants' heads and slide decks, not in a reusable engine.

⚠️

Risk re-taken every time

Big-bang cutovers, unrehearsed rollbacks, and "we think it reconciled" sign-offs.

📑

Audit rebuilt every time

Evidence is assembled after the fact for the auditor, not produced as a by-product.

Why now — the AI inflection

Migration is unusually well-suited to AI assistance: it is bounded, pattern-heavy, and verifiable. Discovery, dependency mapping, disposition reasoning, runbook drafting, connector glue, and reconciliation analysis are exactly the tasks a capable agent fleet does well — and they are tasks whose output can be checked by machine before anyone trusts it. The opportunity is not "let AI do the migration"; it is let an AI fleet do the labour while the engine enforces that nothing ships unverified or unsigned.

The pipeline — V·O·S·J

Every workload travels Vault → Orchestrate → Shift → Jump, and Jump is fail-closed.

Stage	What happens
Vault	Discover & assess the source: inventory, dependency graph, a disposition per the 7 R's, TCO, and a CI/CD maturity score.
Orchestrate	Plan the wave: target platform & landing zone, the methodology framework to apply, the cutover sequence.
Shift	Migrate incrementally (Strangler-Fig): source and target run in parallel; connectors replicate; each unit goes `legacy → dual-running → migrated`.
Jump	Verified cutover: checksums, row-counts and smoke tests must pass. Fail-closed — no verified state, no cutover. Record the deploy; retire the legacy.

The seven-phase gated reference framework

The four stations expand into a seven-phase reference framework, each phase ending in a gate that a competent human authority signs. Gates exist so accountability is explicit and so a wave cannot drift forward on optimism: the gate criteria are machine-checkable, the signer is human, and the decision is recorded.

Phase	Gate	Decision
P1	Envision	Is this worth doing? Sponsor + director assess value, risk, readiness.
P2	Disposition	Every in-scope workload has a 7-R disposition before kickoff clears.
P3	Design & rollback	Transition architecture set; an independent rollback authored and rehearsed.
P4	Readiness	Landing zone built & frozen; baseline fresh; drift guard clear.
P5	Go / No-Go	Full-panel CAB convened as a gate; replication lag zero; in-flight rows resolved.
P6	Verify & accept	Reconciliation passes; a revocable acceptance window opens (two-key margin).
P7	Operate & retire	Confirmed BAU + retention before the source is decommissioned; evidence exported.

The 7-R disposition engine

Before planning clears, every in-scope workload is assigned a disposition as a typed contract. The disposition is more than a label — it is the change classifier that decides which path and which gate panel apply, and it can force the safe path.

Disposition decides the path — and the engine can force the incremental, reversible path for risky moves.

Verified-before-cutover

This is the safety property the whole engine exists to guarantee: the source keeps serving until an equivalence proof holds. Reconciliation runs across categories — row counts, checksums, constraint re-validation, smoke results — and the proof is hashed to the cutover gate. The cutover transition is engine-injected and non-removable; a template author cannot delete it, and no agent can sign it. If the proof does not hold, the wave reverts to dual-running and the rehearsed rollback stands ready.

No verified state, no cutover. "Audit-ready" is the default end-state of every wave — not a separate project bolted on after an incident.

Closing the CI/CD & DevOps 365° loop

Vosj assesses and stands up the whole delivery loop, because a relocated workload without a pipeline isn't modernized. The CI/CD 365° assessment fingerprints the delivery system (plan → code → build → test → secure → release → deploy → operate → observe) and feeds a maturity score into the Vault stage; the gaps it finds become work in the plan, with quality & security gates that block, not just warn.

Where AI adds value — and where it does not get the keys

⚡

AI does the labour

Discovery & dependency mapping at estate scale.
Disposition reasoning, runbook and rollback drafting.
Connector glue, replication wiring, reconciliation analysis.
Round-the-clock execution across the devstation fleet.

✋

Humans keep accountability

Agents are minted without any sign-as capability.
Irreversible steps (cutover, decommission, rotation) escalate to a human.
Every gate is signed by a named human; every action is attributable.
The fleet supervisor is accountable — but cannot self-assure the fleet's work.

The economics

The value model is straightforward: an AI fleet collapses the labour cost of the repeatable parts of a migration, while the engine collapses the risk cost (failed cutovers, unrehearsed rollbacks) and the audit cost (evidence produced continuously rather than reconstructed). The migration tax is paid once into a reusable engine instead of repeatedly into one-off projects — and each engagement leaves the customer with a control environment, not just a moved workload.

From POC to production

Vosj is designed to be proven on a small, low-risk wave and then scaled with the safety invariants on from day one. The POC narrows scope, not safety: a POC proves the evidence package is genuinely auditable against the customer's own control catalogue — it does not prove controls can be skipped.

A staged path: prove the evidence is auditable on a small wave, then scale behind named gates.

The full POC scope, environment prerequisites, gates, success metrics, bridge controls and scale-to-production path are in the white paper (Appendix I).

NEXTHow it's built — Architecture › NEXTGovernance & safety invariants ›

Vosj › Approche

L'approche

Rendre la migration et le replatforming reproductibles, sûrs et accélérés par l'IA — sans jamais mettre l'entreprise en jeu sur une bascule non vérifiée.

La migration est généralement un projet unique, manuel et risqué. Vosj le transforme en un moteur reproductible : découvrez ce que vous possédez, planifiez le transfert, migrez pièce par pièce avec l'ancien et le nouveau qui fonctionnent en parallèle, puis basculez seulement après la réussite des contrôles automatisés. L'IA accélère le travail partout où elle peut le faire en toute sécurité ; les humains restent responsables de chaque décision irréversible. Cette page explique ce que nous cherchons à accomplir et comment.

Le problème — la taxe migration

Chaque patrimoine applicatif supporte une taxe migration : le coût récurrent de déplacement des charges de travail entre centres de données, parcs de virtualisation privés et clouds publics — payée à chaque réorganisation, acquisition, optimisation des coûts ou fin de support. La méthode est réapprise à chaque fois, le risque est repris à chaque fois, et la piste d'audit est reconstituée à chaque fois à partir de journaux de discussion et d'e-mails. Une charge de travail « migrée vers le cloud » sans pipeline de livraison n'est pas modernisée — elle est simplement déplacée.

🔁

Réapprise à chaque fois

La méthodologie vit dans la tête des consultants et dans des présentations, pas dans un moteur réutilisable.

⚠️

Risque repris à chaque fois

Bascules en rupture totale, retours arrière non répétés et validations « on pense que ça a réconcilié ».

📑

Audit reconstruit à chaque fois

Les preuves sont assemblées après coup pour l'auditeur, et non produites en tant que sous-produit naturel.

Pourquoi maintenant — le tournant de l'IA

La migration est particulièrement bien adaptée à l'assistance de l'IA : elle est bornée, riche en motifs répétitifs et vérifiable. La découverte, la cartographie des dépendances, le raisonnement de disposition, la rédaction des runbooks, le câblage des connecteurs et l'analyse de réconciliation sont exactement les tâches qu'une flotte d'agents performants accomplit bien — et ce sont des tâches dont le résultat peut être contrôlé par la machine avant que quiconque lui fasse confiance. L'opportunité n'est pas « laisser l'IA faire la migration » ; c'est laisser une flotte IA faire le travail pendant que le moteur garantit qu'aucune livraison n'est non vérifiée ou non signée.

Le pipeline — V·O·S·J

Chaque charge de travail parcourt Vault → Orchestrate → Shift → Jump, et Jump est à fermeture forcée.

Étape	Ce qui se passe
Vault	Découvrir et évaluer la source : inventaire, graphe de dépendances, une disposition selon les 7 R, TCO et un score de maturité CI/CD.
Orchestrate	Planifier la vague : plateforme cible et zone d'atterrissage, le cadre méthodologique à appliquer, la séquence de bascule.
Shift	Migrer de façon incrémentale (Strangler-Fig) : la source et la cible fonctionnent en parallèle ; les connecteurs répliquent ; chaque unité passe par `legacy → dual-running → migrated`.
Jump	Bascule vérifiée : les sommes de contrôle, les comptes de lignes et les tests de fumée doivent réussir. Fermeture forcée — aucun état vérifié, aucune bascule. Enregistrer le déploiement ; mettre la source hors service.

Le cadre de référence en sept phases avec jalons

Les quatre stations se développent en un cadre de référence en sept phases, chaque phase se terminant par un jalon qu'une autorité humaine compétente signe. Les jalons existent pour que la responsabilité soit explicite et pour qu'une vague ne puisse pas avancer sur l'optimisme : les critères de jalon sont vérifiables par la machine, le signataire est humain et la décision est consignée.

Phase	Jalon	Décision
P1	Envision	Cela vaut-il la peine d'être fait ? Le sponsor et le directeur évaluent la valeur, le risque et la préparation.
P2	Disposition	Chaque charge de travail dans le périmètre dispose d'une disposition 7-R avant le lancement.
P3	Design & rollback	Architecture de transition définie ; un retour arrière indépendant rédigé et répété.
P4	Readiness	Zone d'atterrissage construite et figée ; référence fraîche ; garde de dérive au vert.
P5	Go / No-Go	CAB plénier convoqué comme jalon ; lag de réplication à zéro ; lignes en cours résolues.
P6	Verify & accept	La réconciliation passe ; une fenêtre d'acceptation révocable s'ouvre (marge à double clé).
P7	Operate & retire	BAU confirmé + conservation avant le décommissionnement de la source ; preuves exportées.

Le moteur de disposition 7-R

Avant que la planification ne soit validée, chaque charge de travail dans le périmètre reçoit une disposition en tant que contrat typé. La disposition est bien plus qu'une étiquette — c'est le classificateur de changement qui décide quel chemin et quel panel de jalon s'appliquent, et peut imposer le chemin sûr.

La disposition décide du chemin — et le moteur peut imposer le chemin incrémental et réversible pour les migrations à risque élevé.

Vérifié avant bascule

Il s'agit de la propriété de sécurité que l'ensemble du moteur existe pour garantir : la source continue à servir jusqu'à ce qu'une preuve d'équivalence soit établie. La réconciliation s'exécute par catégories — comptes de lignes, sommes de contrôle, revalidation des contraintes, résultats des tests de fumée — et la preuve est hachée vers le jalon de bascule. La transition de bascule est injectée par le moteur et non supprimable ; un auteur de modèle ne peut pas la supprimer, et aucun agent ne peut la signer. Si la preuve n'est pas établie, la vague revient en double fonctionnement et le retour arrière répété est prêt.

Aucun état vérifié, aucune bascule. « Prêt pour l'audit » est l'état final par défaut de chaque vague — pas un projet distinct ajouté après un incident.

Fermer la boucle CI/CD & DevOps 365°

Vosj évalue et met en place toute la boucle de livraison, car une charge de travail déplacée sans pipeline n'est pas modernisée. L'évaluation CI/CD 365° prend l'empreinte du système de livraison (planifier → coder → construire → tester → sécuriser → livrer → déployer → opérer → observer) et alimente un score de maturité dans l'étape Vault ; les lacunes identifiées deviennent des travaux dans le plan, avec des jalons de qualité et de sécurité qui bloquent, pas seulement qui avertissent.

Là où l'IA apporte de la valeur — et là où elle n'a pas les clés

⚡

L'IA fait le travail

Découverte et cartographie des dépendances à l'échelle du patrimoine.
Raisonnement de disposition, rédaction des runbooks et des retours arrière.
Câblage des connecteurs, configuration de la réplication, analyse de réconciliation.
Exécution en continu sur la flotte de devstations.

✋

Les humains gardent la responsabilité

Les agents sont créés sans aucune capacité sign-as.
Les étapes irréversibles (bascule, décommissionnement, rotation) sont escaladées à un humain.
Chaque jalon est signé par un humain nommé ; chaque action est attribuable.
Le superviseur de flotte est responsable — mais ne peut pas auto-certifier le travail de la flotte.

L'économie

Le modèle de valeur est simple : une flotte IA réduit drastiquement le coût en main-d'œuvre des parties répétitives d'une migration, tandis que le moteur réduit le coût du risque (bascules ratées, retours arrière non répétés) et le coût de l'audit (preuves produites en continu plutôt que reconstituées). La taxe migration est payée une fois dans un moteur réutilisable au lieu d'être payée à répétition dans des projets ponctuels — et chaque engagement laisse au client un environnement de contrôle, pas seulement une charge de travail déplacée.

Du POC à la production

Vosj est conçu pour être éprouvé sur une petite vague à faible risque, puis mis à l'échelle avec les invariants de sécurité activés dès le premier jour. Le POC réduit le périmètre, pas la sécurité : un POC prouve que le dossier de preuves est réellement auditable par rapport au catalogue de contrôles propre au client — il ne prouve pas que les contrôles peuvent être contournés.

Un parcours par étapes : prouver que les preuves sont auditables sur une petite vague, puis mettre à l'échelle derrière des jalons nommés.

Le périmètre complet du POC, les prérequis d'environnement, les jalons, les critères de succès, les contrôles de transition et le chemin de mise à l'échelle vers la production sont dans le livre blanc (Annexe I).

SUIVANTComment c'est construit — Architecture › SUIVANTGouvernance & invariants de sécurité ›

Vosj › Vorgehensweise

Die Vorgehensweise

Migration und Replatforming wiederholbar, sicher und KI-beschleunigt gestalten — ohne das Unternehmen jemals auf eine ungeprüfte Umstellung zu setzen.

Migration ist in der Regel ein einmaliges, manuelles und risikoreiches Projekt. Vosj verwandelt es in eine wiederholbare Engine: Ermitteln Sie, was Sie besitzen, planen Sie den Umzug, migrieren Sie schrittweise, während Alt und Neu parallel betrieben werden, und vollziehen Sie die Umstellung erst nach bestandenen automatisierten Prüfungen. KI beschleunigt die Arbeit überall dort, wo dies sicher möglich ist; Menschen bleiben für jede unumkehrbare Entscheidung verantwortlich. Diese Seite erläutert, was wir anstreben und wie wir dabei vorgehen.

Das Problem — die Migrationssteuer

Jeder IT-Bestand trägt eine Migrationssteuer: die wiederkehrenden Kosten für die Verlagerung von Workloads zwischen Rechenzentren, privaten Virtualisierungsumgebungen und öffentlichen Clouds — fällig bei jeder Restrukturierung, Akquisition, Kostenoptimierung oder Ende-des-Supports-Ereignis. Die Methodik wird jedes Mal neu erlernt, das Risiko jedes Mal neu eingegangen und der Prüfpfad jedes Mal nachträglich aus Chat-Protokollen und E-Mails rekonstruiert. Ein Workload, der „in die Cloud verschoben" wurde, ohne eine Delivery-Pipeline zu besitzen, ist nicht modernisiert — er ist lediglich verlagert.

🔁

Jedes Mal neu erlernt

Die Methodik lebt in den Köpfen von Beratern und in Präsentationen, nicht in einer wiederverwendbaren Engine.

⚠️

Risiko jedes Mal neu eingegangen

Big-Bang-Umstellungen, nicht eingeübte Rollbacks und „Wir glauben, es hat abgeglichen"-Freigaben.

📑

Audit jedes Mal neu aufgebaut

Nachweise werden nachträglich für den Prüfer zusammengestellt, statt als natürliches Nebenprodukt zu entstehen.

Warum jetzt — der KI-Wendepunkt

Migration eignet sich ungewöhnlich gut für KI-Unterstützung: Sie ist klar abgegrenzt, mustergeprägt und verifizierbar. Bestandsaufnahme, Abhängigkeitsanalyse, Dispositionsbewertung, Runbook-Erstellung, Connector-Verdrahtung und Abgleichsanalyse sind genau die Aufgaben, die eine leistungsfähige Agenten-Flotte gut erledigt — und es sind Aufgaben, deren Ergebnisse maschinell geprüft werden können, bevor ihnen jemand vertraut. Die Chance liegt nicht darin, „die KI die Migration machen zu lassen", sondern darin, eine KI-Flotte die Arbeit erledigen zu lassen, während die Engine sicherstellt, dass nichts ungeprüft oder unsigniert ausgeliefert wird.

Die Pipeline — V·O·S·J

Jeder Workload durchläuft Vault → Orchestrate → Shift → Jump, und Jump ist ausfallsicher geschlossen.

Station	Was passiert
Vault	Quelle entdecken und bewerten: Inventar, Abhängigkeitsgraph, eine Disposition gemäß den 7 R, TCO und ein CI/CD-Reifegrad-Score.
Orchestrate	Die Welle planen: Zielplattform und Landing Zone, das anzuwendende Methodenrahmenwerk, die Umstellungsreihenfolge.
Shift	Inkrementell migrieren (Strangler-Fig): Quelle und Ziel laufen parallel; Connectoren replizieren; jede Einheit durchläuft `legacy → dual-running → migrated`.
Jump	Verifizierte Umstellung: Prüfsummen, Zeilenzählungen und Smoke-Tests müssen bestehen. Ausfallsicher geschlossen — kein verifizierter Zustand, keine Umstellung. Deployment dokumentieren; Legacy außer Betrieb nehmen.

Das siebenphasige Gate-Referenzframework

Die vier Stationen entfalten sich zu einem siebenphasigen Referenzframework, wobei jede Phase in einem Gate endet, das eine fachlich zuständige menschliche Instanz unterzeichnet. Gates existieren, damit Verantwortlichkeit explizit ist und eine Welle nicht auf der Grundlage von Optimismus voranschreiten kann: Die Gate-Kriterien sind maschinell prüfbar, der Unterzeichner ist ein Mensch und die Entscheidung wird dokumentiert.

Phase	Gate	Entscheidung
P1	Envision	Lohnt sich das? Sponsor und Direktor bewerten Nutzen, Risiko und Bereitschaft.
P2	Disposition	Jeder im Scope befindliche Workload hat vor dem Freigabe-Kickoff eine 7-R-Disposition.
P3	Design & rollback	Übergangsarchitektur festgelegt; ein unabhängiger Rollback erstellt und eingeübt.
P4	Readiness	Landing Zone aufgebaut und eingefroren; Basismessung aktuell; Drift-Wächter unauffällig.
P5	Go / No-Go	Vollständiges CAB als Gate einberufen; Replikationsverzögerung null; laufende Zeilen aufgelöst.
P6	Verify & accept	Abgleich bestanden; ein widerrufliches Abnahmefenster öffnet sich (Zwei-Schlüssel-Marge).
P7	Operate & retire	BAU bestätigt und Aufbewahrung gesichert, bevor die Quelle stillgelegt wird; Nachweise exportiert.

Die 7-R-Dispositions-Engine

Bevor die Planung freigegeben wird, erhält jeder im Scope befindliche Workload eine Disposition als typisierter Vertrag. Die Disposition ist mehr als ein Label — sie ist der Änderungsklassifikator, der entscheidet, welcher Pfad und welches Gate-Gremium gelten, und der den sicheren Pfad erzwingen kann.

Die Disposition bestimmt den Pfad — und die Engine kann für riskante Migrationen den inkrementellen, umkehrbaren Pfad erzwingen.

Verifiziert vor der Umstellung

Dies ist die Sicherheitseigenschaft, für die die gesamte Engine existiert: Die Quelle bleibt in Betrieb, bis ein Äquivalenznachweis vorliegt. Der Abgleich läuft kategorienübergreifend — Zeilenzählungen, Prüfsummen, erneute Constraint-Validierung, Smoke-Test-Ergebnisse — und der Nachweis wird mit dem Umstellungs-Gate verknüpft. Die Umstellungstransaktion ist engine-injiziert und nicht entfernbar; ein Template-Autor kann sie nicht löschen, und kein Agent kann sie unterzeichnen. Liegt der Nachweis nicht vor, kehrt die Welle in den Parallelbetrieb zurück und der eingeübte Rollback steht bereit.

Kein verifizierter Zustand, keine Umstellung. „Audit-bereit" ist der Standard-Endzustand jeder Welle — kein gesondertes Projekt, das nach einem Vorfall angehängt wird.

Den CI/CD & DevOps 365°-Kreislauf schließen

Vosj bewertet und etabliert den gesamten Delivery-Kreislauf, denn ein verlagerter Workload ohne Pipeline ist nicht modernisiert. Die CI/CD 365°-Bewertung erstellt einen Fingerabdruck des Delivery-Systems (planen → entwickeln → bauen → testen → absichern → freigeben → bereitstellen → betreiben → beobachten) und speist einen Reifegrad-Score in die Vault-Station ein; die identifizierten Lücken werden zu Arbeitspaketen im Plan, mit Qualitäts- und Sicherheitsgates, die blockieren und nicht nur warnen.

Wo KI Mehrwert schafft — und wo sie keinen Schlüssel bekommt

⚡

KI erledigt die Arbeit

Bestandsaufnahme und Abhängigkeitsanalyse auf Bestandsebene.
Dispositionsbewertung, Runbook- und Rollback-Erstellung.
Connector-Verdrahtung, Replikationskonfiguration, Abgleichsanalyse.
Rund-um-die-Uhr-Ausführung über die gesamte Devstation-Flotte.

✋

Menschen behalten die Verantwortung

Agenten werden ohne jegliche sign-as-Berechtigung erstellt.
Unumkehrbare Schritte (Umstellung, Stilllegung, Rotation) werden an einen Menschen eskaliert.
Jedes Gate wird von einem namentlich genannten Menschen unterzeichnet; jede Aktion ist zurückverfolgbar.
Der Flottensupervisor ist verantwortlich — kann die Arbeit der Flotte aber nicht selbst bestätigen.

Die Wirtschaftlichkeit

Das Wertmodell ist unkompliziert: Eine KI-Flotte senkt die Personalkosten der wiederholbaren Teile einer Migration drastisch, während die Engine die Risikokosten (fehlgeschlagene Umstellungen, nicht eingeübte Rollbacks) und die Auditkosten (laufend produzierte statt nachträglich rekonstruierte Nachweise) senkt. Die Migrationssteuer wird einmalig in eine wiederverwendbare Engine investiert, statt wiederholt in Einzelprojekte zu fließen — und jedes Engagement hinterlässt beim Kunden eine Kontrollumgebung, nicht nur einen verlagerten Workload.

Vom POC in die Produktion

Vosj ist darauf ausgelegt, zunächst anhand einer kleinen, risikoarmen Welle erprobt und dann mit von Anfang an aktivierten Sicherheitsinvarianten skaliert zu werden. Der POC reduziert den Umfang, nicht die Sicherheit: Ein POC beweist, dass das Nachweispaket gegenüber dem eigenen Kontrollkatalog des Kunden tatsächlich prüffähig ist — er beweist nicht, dass Kontrollen übersprungen werden können.

Ein stufenweiser Pfad: den Nachweis der Prüffähigkeit anhand einer kleinen Welle erbringen, dann hinter benannten Gates skalieren.

Der vollständige POC-Umfang, Umgebungsvoraussetzungen, Gates, Erfolgskriterien, Übergangskontrollen und der Skalierungspfad in die Produktion sind im Whitepaper (Anhang I) beschrieben.

WEITERTechnischer Aufbau — Architektur › WEITERGovernance & Sicherheitsinvarianten ›

Vosj › Enfoque

El enfoque

Hacer que la migración y el replatforming sean repetibles, seguros y acelerados por IA — sin apostar nunca el negocio en una transición no verificada.

La migración suele ser un proyecto puntual, manual y arriesgado. Vosj lo convierte en un motor repetible: descubra lo que tiene, planifique el traslado, migre pieza por pieza con el sistema antiguo y el nuevo funcionando en paralelo, y realice la transición solo después de que las comprobaciones automatizadas sean superadas. La IA acelera el trabajo en todos los puntos donde puede hacerlo con seguridad; los humanos siguen siendo responsables de cada decisión irreversible. Esta página explica qué pretendemos lograr y cómo.

El problema — el impuesto de la migración

Todo parque tecnológico carga con un impuesto de migración: el coste recurrente de mover cargas de trabajo entre centros de datos, entornos de virtualización privados y nubes públicas — pagado de nuevo en cada reorganización, adquisición, optimización de costes o evento de fin de soporte. La metodología se reapprende cada vez, el riesgo se asume de nuevo cada vez, y la pista de auditoría se reconstruye cada vez a partir de registros de chat y correos electrónicos. Una carga de trabajo «trasladada a la nube» sin un pipeline de entrega no está modernizada — simplemente se ha reubicado.

🔁

Reaprendida cada vez

La metodología vive en la cabeza de los consultores y en presentaciones, no en un motor reutilizable.

⚠️

Riesgo asumido cada vez

Transiciones big-bang, rollbacks sin ensayar y aprobaciones de «creemos que reconcilió».

📑

Auditoría reconstruida cada vez

Las evidencias se recopilan a posteriori para el auditor, en lugar de producirse como subproducto natural.

Por qué ahora — el punto de inflexión de la IA

La migración es especialmente adecuada para la asistencia de IA: está acotada, es rica en patrones y verificable. La découverte, el mapeo de dependencias, el razonamiento de disposición, la redacción de runbooks, el cableado de conectores y el análisis de reconciliación son exactamente las tareas que una flota de agentes capaz realiza bien — y son tareas cuyo resultado puede ser comprobado por la máquina antes de que alguien confíe en él. La oportunidad no es «dejar que la IA haga la migración»; es dejar que una flota de IA realice el trabajo mientras el motor garantiza que nada se entrega sin verificar ni firmar.

El pipeline — V·O·S·J

Cada carga de trabajo recorre Vault → Orchestrate → Shift → Jump, y Jump es fail-closed.

Estación	Qué ocurre
Vault	Descubrir y evaluar el origen: inventario, grafo de dependencias, una disposición según las 7 R, TCO y una puntuación de madurez CI/CD.
Orchestrate	Planificar la oleada: plataforma destino y zona de aterrizaje, el marco metodológico a aplicar, la secuencia de transición.
Shift	Migrar de forma incremental (Strangler-Fig): el origen y el destino funcionan en paralelo; los conectores replican; cada unidad pasa de `legacy → dual-running → migrated`.
Jump	Transición verificada: las sumas de comprobación, los conteos de filas y las pruebas de humo deben superarse. Fail-closed — sin estado verificado, sin transición. Registrar el despliegue; retirar el sistema heredado.

El marco de referencia de siete fases con puertas de control

Las cuatro estaciones se expanden en un marco de referencia de siete fases, en el que cada fase termina con una puerta de control que firma una autoridad humana competente. Las puertas de control existen para que la responsabilidad sea explícita y para que una oleada no pueda avanzar movida por el optimismo: los criterios de la puerta son verificables por máquina, el firmante es humano y la decisión queda registrada.

Fase	Puerta	Decisión
P1	Visionar	¿Vale la pena hacerlo? El patrocinador y el director evalúan el valor, el riesgo y la preparación.
P2	Disposición	Cada carga de trabajo en el ámbito tiene una disposición 7-R antes de que se apruebe el inicio.
P3	Diseño y rollback	Arquitectura de transición definida; un rollback independiente redactado y ensayado.
P4	Preparación	Zona de aterrizaje construida y congelada; línea base actualizada; guardia de deriva despejada.
P5	Go / No-Go	CAB en pleno convocado como puerta; retraso de replicación en cero; filas en curso resueltas.
P6	Verificar y aceptar	La reconciliación pasa; se abre una ventana de aceptación revocable (margen de doble clave).
P7	Operar y retirar	BAU confirmado y retención asegurada antes de desactivar el origen; evidencias exportadas.

El motor de disposición 7-R

Antes de que se apruebe la planificación, a cada carga de trabajo en el ámbito se le asigna una disposición como contrato tipado. La disposición es más que una etiqueta — es el clasificador de cambio que decide qué ruta y qué panel de puerta se aplican, y puede forzar la ruta segura.

La disposición decide la ruta — y el motor puede forzar la ruta incremental y reversible para movimientos de alto riesgo.

Verificado antes de la transición

Esta es la propiedad de seguridad que justifica la existencia de todo el motor: el origen sigue sirviendo hasta que se sostiene una prueba de equivalencia. La reconciliación se ejecuta por categorías — conteos de filas, sumas de comprobación, revalidación de restricciones, resultados de pruebas de humo — y la prueba queda vinculada a la puerta de transición mediante un hash. La transición de cambio está inyectada por el motor y no puede eliminarse; un autor de plantilla no puede borrarla, y ningún agente puede firmarla. Si la prueba no se sostiene, la oleada vuelve al modo de ejecución dual y el rollback ensayado permanece listo.

Sin estado verificado, sin transición. «Listo para auditoría» es el estado final por defecto de cada oleada — no un proyecto separado añadido tras un incidente.

Cerrar el bucle CI/CD & DevOps 365°

Vosj evalúa y pone en marcha el bucle de entrega completo, porque una carga de trabajo reubicada sin pipeline no está modernizada. La evaluación CI/CD 365° toma la huella del sistema de entrega (planificar → codificar → construir → probar → asegurar → publicar → desplegar → operar → observar) y alimenta una puntuación de madurez en la estación Vault; las deficiencias que identifica se convierten en trabajo en el plan, con puertas de calidad y seguridad que bloquean, no solo advierten.

Dónde la IA aporta valor — y dónde no tiene las llaves

⚡

La IA realiza el trabajo

Descubrimiento y mapeo de dependencias a escala de todo el parque.
Razonamiento de disposición, redacción de runbooks y rollbacks.
Cableado de conectores, configuración de replicación, análisis de reconciliación.
Ejecución ininterrumpida en toda la flota de devstations.

✋

Los humanos mantienen la responsabilidad

Los agentes se crean sin ninguna capacidad sign-as.
Los pasos irreversibles (transición, baja, rotación) escalan a un humano.
Cada puerta de control la firma un humano identificado; cada acción es atribuible.
El supervisor de la flota es responsable — pero no puede auto-certificar el trabajo de la flota.

La economía

El modelo de valor es sencillo: una flota de IA reduce drásticamente el coste de mano de obra de las partes repetibles de una migración, mientras que el motor reduce el coste del riesgo (transiciones fallidas, rollbacks sin ensayar) y el coste de auditoría (evidencias producidas de forma continua en lugar de reconstruidas). El impuesto de migración se paga una vez en un motor reutilizable en lugar de pagarse repetidamente en proyectos puntuales — y cada compromiso deja al cliente un entorno de control, no solo una carga de trabajo reubicada.

Del POC a la producción

Vosj está diseñado para probarse en una oleada pequeña y de bajo riesgo y luego escalarse con los invariantes de seguridad activos desde el primer día. El POC reduce el alcance, no la seguridad: un POC demuestra que el paquete de evidencias es genuinamente auditable frente al catálogo de controles propio del cliente — no demuestra que los controles puedan omitirse.

Un camino por etapas: demostrar que las evidencias son auditables en una oleada pequeña y luego escalar detrás de puertas de control con nombre.

El alcance completo del POC, los prerrequisitos del entorno, las puertas de control, las métricas de éxito, los controles puente y la ruta de escalado a producción se encuentran en el white paper (Apéndice I).

SIGUIENTECómo está construido — Arquitectura › SIGUIENTEGobernanza e invariantes de seguridad ›

Vosj › Abordagem

A abordagem

Tornar a migração e o replatforming repetíveis, seguros e acelerados por IA — sem nunca arriscar o negócio numa transição não verificada.

A migração é geralmente um projeto pontual, manual e arriscado. O Vosj transforma-o num motor repetível: descubra o que tem, planeie a mudança, migre peça a peça com o antigo e o novo a funcionar em paralelo, e faça a transição apenas depois de as verificações automatizadas passarem. A IA acelera o trabalho em todos os pontos onde o pode fazer com segurança; os humanos mantêm a responsabilidade por cada decisão irreversível. Esta página explica o que pretendemos fazer e como.

O problema — o imposto da migração

Todo o parque tecnológico suporta um imposto de migração: o custo recorrente de mover cargas de trabalho entre centros de dados, ambientes de virtualização privados e nuvens públicas — pago novamente em cada reorganização, aquisição, otimização de custos ou evento de fim de suporte. A metodologia é reaprendida de cada vez, o risco é assumido de novo de cada vez, e a pista de auditoria é reconstruída de cada vez a partir de registos de conversas e e-mails. Uma carga de trabalho «movida para a nuvem» sem um pipeline de entrega não está modernizada — está simplesmente reposicionada.

🔁

Reaprendida de cada vez

A metodologia vive na cabeça dos consultores e em apresentações, não num motor reutilizável.

⚠️

Risco assumido de cada vez

Transições big-bang, rollbacks não ensaiados e aprovações de «achamos que reconciliou».

📑

Auditoria reconstruída de cada vez

As evidências são reunidas após o facto para o auditor, em vez de serem produzidas como subproduto natural.

Porquê agora — o ponto de inflexão da IA

A migração é particularmente adequada para a assistência de IA: é delimitada, rica em padrões e verificável. A descoberta, o mapeamento de dependências, o raciocínio de disposição, a redação de runbooks, a ligação de conectores e a análise de reconciliação são exatamente as tarefas que uma frota de agentes capaz executa bem — e são tarefas cujo resultado pode ser verificado pela máquina antes de alguém nele confiar. A oportunidade não é «deixar a IA fazer a migração»; é deixar uma frota de IA realizar o trabalho enquanto o motor garante que nada é entregue sem verificação ou assinatura.

O pipeline — V·O·S·J

Cada carga de trabalho percorre Vault → Orchestrate → Shift → Jump, e o Jump é fail-closed.

Estação	O que acontece
Vault	Descobrir e avaliar a origem: inventário, grafo de dependências, uma disposição segundo as 7 R, TCO e uma pontuação de maturidade CI/CD.
Orchestrate	Planear a vaga: plataforma de destino e zona de aterragem, o quadro metodológico a aplicar, a sequência de transição.
Shift	Migrar de forma incremental (Strangler-Fig): a origem e o destino funcionam em paralelo; os conectores replicam; cada unidade avança de `legacy → dual-running → migrated`.
Jump	Transição verificada: as somas de verificação, as contagens de linhas e os testes de fumo têm de passar. Fail-closed — sem estado verificado, sem transição. Registar o deployment; retirar o sistema legado.

O quadro de referência de sete fases com portas de controlo

As quatro estações expandem-se num quadro de referência de sete fases, em que cada fase termina com uma porta de controlo assinada por uma autoridade humana competente. As portas de controlo existem para que a responsabilidade seja explícita e para que uma vaga não avance impulsionada pelo otimismo: os critérios da porta são verificáveis por máquina, o signatário é humano e a decisão fica registada.

Fase	Porta	Decisão
P1	Visionar	Vale a pena fazer isto? O patrocinador e o diretor avaliam o valor, o risco e a prontidão.
P2	Disposição	Cada carga de trabalho no âmbito tem uma disposição 7-R antes de o arranque ser autorizado.
P3	Design e rollback	Arquitetura de transição definida; um rollback independente redigido e ensaiado.
P4	Preparação	Zona de aterragem construída e congelada; linha de base atualizada; guarda de desvio limpa.
P5	Go / No-Go	CAB em plenário convocado como porta; latência de replicação em zero; linhas em curso resolvidas.
P6	Verificar e aceitar	A reconciliação passa; uma janela de aceitação revogável é aberta (margem de dupla chave).
P7	Operar e retirar	BAU confirmado e retenção assegurada antes de desativar a origem; evidências exportadas.

O motor de disposição 7-R

Antes de o planeamento ser aprovado, a cada carga de trabalho no âmbito é atribuída uma disposição como contrato tipado. A disposição é mais do que uma etiqueta — é o classificador de mudança que decide qual o caminho e qual o painel de porta a aplicar, podendo forçar o caminho seguro.

A disposição decide o caminho — e o motor pode forçar o caminho incremental e reversível para movimentos de alto risco.

Verificado antes da transição

Esta é a propriedade de segurança que justifica a existência de todo o motor: a origem continua a servir até que uma prova de equivalência seja estabelecida. A reconciliação corre por categorias — contagens de linhas, somas de verificação, revalidação de restrições, resultados de testes de fumo — e a prova é encadeada em hash à porta de transição. A transição está injetada pelo motor e não é removível; um autor de modelo não a pode eliminar, e nenhum agente a pode assinar. Se a prova não se sustentar, a vaga regressa ao modo de execução dupla e o rollback ensaiado permanece disponível.

Sem estado verificado, sem transição. «Pronto para auditoria» é o estado final por omissão de cada vaga — não um projeto separado acrescentado após um incidente.

Fechar o ciclo CI/CD & DevOps 365°

O Vosj avalia e estabelece todo o ciclo de entrega, porque uma carga de trabalho reposicionada sem pipeline não está modernizada. A avaliação CI/CD 365° tira a impressão digital do sistema de entrega (planear → codificar → construir → testar → proteger → publicar → implementar → operar → observar) e alimenta uma pontuação de maturidade na estação Vault; as lacunas identificadas tornam-se trabalho no plano, com portas de qualidade e segurança que bloqueiam, não apenas avisam.

Onde a IA acrescenta valor — e onde não tem as chaves

⚡

A IA realiza o trabalho

Descoberta e mapeamento de dependências à escala de todo o parque.
Raciocínio de disposição, redação de runbooks e rollbacks.
Ligação de conectores, configuração de replicação, análise de reconciliação.
Execução ininterrupta em toda a frota de devstations.

✋

Os humanos mantêm a responsabilidade

Os agentes são criados sem qualquer capacidade sign-as.
Os passos irreversíveis (transição, desativação, rotação) são escalados para um humano.
Cada porta de controlo é assinada por um humano identificado; cada ação é atribuível.
O supervisor da frota é responsável — mas não pode auto-certificar o trabalho da frota.

A economia

O modelo de valor é simples: uma frota de IA reduz drasticamente o custo de mão de obra das partes repetíveis de uma migração, enquanto o motor reduz o custo do risco (transições falhadas, rollbacks não ensaiados) e o custo de auditoria (evidências produzidas continuamente em vez de reconstruídas). O imposto de migração é pago uma vez num motor reutilizável em vez de ser pago repetidamente em projetos pontuais — e cada compromisso deixa ao cliente um ambiente de controlo, não apenas uma carga de trabalho reposicionada.

Do POC à produção

O Vosj foi concebido para ser validado numa vaga pequena e de baixo risco e depois escalado com os invariantes de segurança ativos desde o primeiro dia. O POC reduz o âmbito, não a segurança: um POC demonstra que o pacote de evidências é genuinamente auditável face ao catálogo de controlos do próprio cliente — não demonstra que os controlos podem ser omitidos.

Um caminho faseado: demonstrar que as evidências são auditáveis numa vaga pequena e depois escalar por detrás de portas de controlo identificadas.

O âmbito completo do POC, os pré-requisitos do ambiente, as portas de controlo, as métricas de sucesso, os controlos de transição e o caminho de escalonamento para produção constam do white paper (Apêndice I).

SEGUINTEComo está construído — Arquitetura › SEGUINTEGovernação e invariantes de segurança ›