Vosj › Governance

Governance & safety invariants

An auditable control environment a board and an external auditor already recognise.

Vosj does not ask a customer to adopt a new governance regime. Its station map is COBIT's governance/management split; its gates are ITIL change-enablement decisions with a real change authority; its role separation is the IIA Three Lines Model; its ledger is the SOC 2 / ITGC change-management evidence. The autonomous fleet runs inside a control frame the customer's auditors already accept — and the evidence is produced as a by-product of operation, not assembled afterwards.

ISO/IEC 38500COBIT 2019ITIL 4 — Change EnablementIIA Three Lines (2020)SOC 2 CC8.1SOX ITGC

Mapping the gate machine to recognised frameworks

Vosj's invariants and gate machine are not a private control language; they are an implementation of established governance frameworks, expressed in code. The table binds each Vosj mechanism to the framework objective it satisfies, by the framework's real name and current structure.

Framework	What it requires	How the Vosj gate machine implements it
ISO/IEC 38500 Corporate governance of IT — Evaluate–Direct–Monitor by the governing body.	The board directs the use of IT, evaluates proposals against strategy and risk, and monitors conformance — without becoming the executor.	Evaluate = the Envision / Go-No-Go gates. Direct = the bound framework template that fixes mandatory gates and signer roles. Monitor = the tamper-evident ledger and live per-migration board.
COBIT 2019 40 objectives across EDM / APO / BAI / DSS / MEA.	Separate governance (EDM — set direction, monitor) from management (plan, build, run, measure), each with roles, evidence and assurance.	EDM ↔ gate sign-off authority + the no-self-sign invariant. APO/BAI ↔ the Orchestrate station (planning, landing-zone build). DSS ↔ the Shift station (controlled execution). MEA ↔ the Verify station + reconciliation + audit ledger.
ITIL 4 — Change Enablement Standard / normal / emergency changes; a defined change authority (CAB / ECAB).	Every change to a production service is classified, risk-assessed, authorised by a competent authority, and reviewed after the fact.	The 7-R disposition is the change-type classifier: Rehost → near-standard; Replatform/Refactor → normal under the full gate panel; in-flight reversal → emergency (a stronger three-way ECAB). The P5 Go/No-Go is a CAB convened as a gate; the P6 window + P7 post-mortem are the post-implementation review.
IIA Three Lines (2020) First-line delivery; second-line risk/control; independent third-line assurance.	Risk is owned in the first line, overseen by a distinct second line, and independently assured by a third line that does not report to those it audits.	First line = builder/migrator/deployer stations + the human engineers. Second line = the reviewer station, four-eyes validator, baseline-drift guard, fail-closed vault. Third line = the exportable, tamper-evident ledger an auditor reads independently.
SOC 2 CC8.1 & SOX ITGC Authorise, design, test, approve, implement change; SoD; logical access.	A change must be authorised, tested, approved by someone other than the implementer, and traceable deployment → approver → requester, with continuous evidence.	The signed gate row is the CC8.1 control record: it binds requester (actor), independent approver (signerRole, minted only to a human), evidence hashes and timestamp into one tamper-evident object.

The Three Lines Model, rendered in the fleet

The consistent pattern across Vosj is simple: the fleet is Responsible; a human is Accountable. The no-self-sign invariant is the Three Lines Model expressed as code.

Authority is withheld from agents, not delegated: the human signer is the load-bearing oversight boundary, by construction.

The Gate Council

Each engagement convenes a Gate Council — the standing change authority for that migration, and the human embodiment of ITIL's CAB and COBIT's EDM domain. Small, named, quorate by role:

Chair — the migration director (accountable owner, second line); holds the no-go authority and signs director-gated transitions.
Customer sponsor — the business owner; co-signs P1 and (for high-risk waves) P5; the link to the customer's governing body.
Risk & control reviewer — the second-line voice (security/compliance); owns the threat posture, waiver register and control-test sign-off.
Technical authorities — DBA (data fidelity / reconciliation) and InfoSec (freeze, access), each the named signer for their gates.
AI fleet supervisor — a human accountable for the fleet's behaviour; explicitly not a signer for work the fleet performed — the no-self-sign invariant extends to the operator of the autonomy itself.

The governing observation. The Council accepts accountability for a verified fact set rather than re-deriving it line by line — which is exactly why the gate criteria are machine-checkable.

No-self-sign, made structural

Agents can produce a complete evidence package; they cannot accept accountability for it.

Exceptions & waivers — time-boxed, never silent

Governance is judged by how exceptions are handled. A waiver is a first-class, signed, expiring object — never a verbal override:

Form — a signed ledger row citing the criterion waived, the residual risk, the compensating control and the remediation plan; subject to no-self-sign (the requester cannot grant it).
Authority by risk — LOW: chair + risk reviewer; MEDIUM: + sponsor; HIGH: + the customer's governing body counter-signs. Invariants 1, 5 and 6 are non-waivable — no waiver can permit a self-signed gate, a fail-open vault, or an unverified cutover.
Time-box — every waiver expires (default ≤30 days); on expiry the criterion re-arms and the dependent state blocks. There is no perpetual waiver.
Visibility — open waivers appear on the live board and in the 8-hourly digest; an aging waiver is a tracked risk, not a buried one.

Accountability — RACI for the key controls

R = Responsible, A = Accountable (signs), C = Consulted, I = Informed. Note the pattern: where the fleet is Responsible, a named human is Accountable. (FS = AI fleet supervisor; Risk = risk & control reviewer; IA = internal audit.)

Control activity	Fleet	FS	Dir	Sponsor	DBA	InfoSec	Risk	IA
Discovery / 7-R disposition	R	R	A	C	C	I	C	I
Runbook authoring	R	A	C	I	C	I	I	I
Independent rollback authoring	R	A	C	I	C	I	I	I
Four-eyes change validation	R	I	I	I	C	C	A	I
Landing-zone build & freeze	R	A	C	I	C	A	I	I
P5 Go/No-Go authorisation	R	C	A	C	C	C	C	I
Cutover execution	R	C	A	I	A	I	I	I
Reconciliation / verified-before-cutover	R	I	C	I	A	I	C	I
Contingency reversal (3-way)	R	C	A	C	A	C	C	I
Exception / waiver grant	I	C	A	C	C	C	A	I
Credential rotation / vault custody	I	R	C	I	I	A	C	I
Independent assurance / ledger re-derivation	I	I	C	I	I	I	C	A
Board / governing-body reporting	R	C	A	C	I	I	C	C

Each activity has exactly one Accountable owner (two on cutover/reversal by design — the "two-key" control). No row makes the entity that performs the work also accountable for approving it.

The Governance Control Catalog (VG-01 … VG-26)

A control library a customer can lift directly into a SOX / SOC 2 / ISO programme. Engine denotes a structurally-enforced, non-waivable control; all 26 emit evidence into the same tamper-evident ledger, so the catalog doubles as the control-test plan and the index of the evidence package (VG-26).

ID	Control	Owner	Gate	Framework
VG-01	No agent self-signs a gate (authority withheld from non-human actors).	Engine / Dir	All	COBIT EDM; IIA 3-Lines; SOX SoD
VG-02	Separation of authoring and authorising (builder ≠ approver).	Dir	O,S,J	IIA 3-Lines; SOC 2 CC8.1
VG-03	Four-eyes change validation before a dependent gate clears.	Risk	O	ITIL; SOC 2 CC8.1
VG-04	7-R disposition assigned to every in-scope workload before kickoff.	Dir	V	ITIL; COBIT APO
VG-05	High-risk dispositions forced onto incremental Strangler-Fig path.	Engine	S	COBIT BAI; ISO 38500
VG-06	Independent rollback authored separately and rehearsed before execution.	FS / DBA	O	ITIL; COBIT BAI
VG-07	Baseline-drift guard blocks readiness when the baseline is stale.	Engine / DBA	O	COBIT MEA; ISO 38500
VG-08	Execution freeze authorised before the cutover window.	InfoSec / DBA	O	ITIL; SOX ITGC
VG-09	Full-panel Go/No-Go (CAB convened as a gate).	Dir	S	ITIL CAB; COBIT EDM
VG-10	Verified-before-cutover — source serves until equivalence holds (engine-injected, non-removable).	Engine / DBA	J	COBIT MEA; SOC 2 CC8.1
VG-11	Replication-lag / in-flight-rows hard pre-switchover gate.	DBA	S	COBIT MEA
VG-12	Revocable acceptance window (two-key safety margin).	DBA	J	ISO 38500; ITIL PIR
VG-13	Contingency reversal requires three-way authorisation.	Dir + DBA	S	ITIL ECAB; SOX SoD
VG-14	Tamper-evident transition ledger (HMAC-SHA256, hash-chained, key custodied externally).	Engine / IA	All	COBIT MEA; SOC 2; SOX ITGC
VG-15	Fail-closed credential vault (no master key → refuse).	InfoSec	V–J	ISO 38500; SOX ITGC
VG-16	Least-privilege RBAC; agents minted without sign capability.	InfoSec	All	COBIT DSS; IIA 3-Lines; SOX
VG-17	Per-tool MCP authorisation; signed-server allow-lists; untrusted-response handling.	FS / Risk	V–J	OWASP LLM Top 10; COBIT DSS
VG-18	One station = one identity = one clone (attributable execution).	FS	V–J	IIA 3-Lines; SOX SoD
VG-19	Hardened runtime + brokered short-lived credentials for code-executing stations.	InfoSec / FS	S	CIS; COBIT DSS
VG-20	Time-boxed exception/waiver with risk-graded authority; invariants non-waivable.	Dir + Risk	Any	COBIT EDM; ITIL
VG-21	Cross-platform access via scoped, revocable patterns; withdrawn at Jump.	InfoSec	V–J	ISO 38500; SOX ITGC
VG-22	Data-protection controls for cross-border movement (DPA, SCCs, legal sign-off).	Risk	O–J	ISO 38500; SOC 2 privacy
VG-23	Continuous + per-wave control testing; 8-hourly governance digest.	Risk	All	SOC 2; COBIT MEA
VG-24	Independent third-line assurance — ledger re-derived outside the operating team.	IA	All	IIA 3-Lines; SOX
VG-25	Decommission source only after confirmed BAU + retention.	Dir	J	ITIL; COBIT DSS
VG-26	Exportable governance evidence package with control-mapping manifest.	Dir / IA	J	SOC 2; SOX; ISO 38500

Engine-enforced and non-waivable: VG-01, VG-05, VG-07, VG-10, VG-14, VG-15. Full catalog (with the evidence each control produces) is in the white paper, Appendix G.

Governance as exportable, audit-grade evidence

For a customer POC heading to production, the deliverable is a self-contained, verifiable governance evidence package per migration: the signed gate ledger; the waiver register; the reconciliation proofs; the tool-call & order log; and the pinned framework binding.

Mapped, not just stored. The package exports with a control-mapping manifest cross-referencing each artefact to the objective it satisfies (ISO/IEC 38500 principle, COBIT objective, ITIL change record, SOC 2 CC8.1 element, SOX ITGC control). The customer's auditor receives evidence already indexed to their own control catalogue — the audit-prep effort that normally dominates a regulated migration becomes a file export.

NEXTSecurity & compliance architecture › NEXTThe approach & AI value ›

Vosj › Gouvernance

Gouvernance & invariants de sécurité

Un environnement de contrôle auditable qu'un conseil d'administration et un auditeur externe reconnaissent d'emblée.

Vosj n'impose pas à ses clients l'adoption d'un nouveau régime de gouvernance. Sa cartographie des stations correspond à la séparation gouvernance/management de COBIT ; ses portails correspondent aux décisions d'activation des changements ITIL avec une véritable autorité de changement ; la séparation de ses rôles est le Modèle des Trois Lignes de l'IIA ; son registre constitue les preuves de gestion des changements SOC 2 / ITGC. La flotte autonome opère dans un cadre de contrôle que les auditeurs du client reconnaissent déjà — et les preuves sont produites en sous-produit de l'exploitation, non assemblées après coup.

ISO/IEC 38500COBIT 2019ITIL 4 — Change EnablementIIA Three Lines (2020)SOC 2 CC8.1SOX ITGC

Correspondance entre la machine de portails et les référentiels reconnus

Les invariants et la machine de portails de Vosj ne constituent pas un langage de contrôle propriétaire ; ils représentent une mise en œuvre de référentiels de gouvernance établis, exprimée sous forme de code. Le tableau fait correspondre chaque mécanisme Vosj à l'objectif du référentiel qu'il satisfait, selon le nom réel et la structure actuelle dudit référentiel.

Référentiel	Ce qu'il exige	Comment la machine de portails Vosj le met en œuvre
ISO/IEC 38500 Gouvernance d'entreprise des technologies de l'information — Évaluer–Diriger–Surveiller par l'organe directeur.	Le conseil d'administration dirige l'utilisation de l'informatique, évalue les propositions au regard de la stratégie et des risques, et surveille la conformité — sans devenir l'exécutant.	Évaluer = les portails Envision / Go-No-Go. Diriger = le modèle de référence contraignant qui fixe les portails obligatoires et les rôles de signataire. Surveiller = le registre inviolable et le tableau de bord par migration en temps réel.
COBIT 2019 40 objectifs répartis entre EDM / APO / BAI / DSS / MEA.	Séparer la gouvernance (EDM — fixer le cap, surveiller) du management (planifier, construire, exploiter, mesurer), chacun avec des rôles, des preuves et une assurance.	EDM ↔ autorité de signature des portails + l'invariant d'interdiction d'auto-signature. APO/BAI ↔ la station Orchestrate (planification, construction de la zone d'atterrissage). DSS ↔ la station Shift (exécution contrôlée). MEA ↔ la station Verify + réconciliation + registre d'audit.
ITIL 4 — Change Enablement Changements standard / normaux / d'urgence ; une autorité de changement définie (CAB / ECAB).	Tout changement apporté à un service de production est classifié, évalué selon les risques, autorisé par une autorité compétente et revu a posteriori.	La disposition 7-R est le classificateur de type de changement : Rehost → quasi-standard ; Replatform/Refactor → normal sous le panneau de portails complet ; annulation en cours d'exécution → urgence (un ECAB tripartite renforcé). Le Go/No-Go P5 est un CAB réuni en tant que portail ; la fenêtre P6 + la rétrospective P7 constituent la revue post-implémentation.
IIA Three Lines (2020) Première ligne : exécution ; deuxième ligne : risque/contrôle ; troisième ligne : assurance indépendante.	Le risque est détenu en première ligne, supervisé par une deuxième ligne distincte, et contrôlé de façon indépendante par une troisième ligne qui ne relève pas des entités qu'elle audite.	Première ligne = stations builder/migrator/deployer + les ingénieurs humains. Deuxième ligne = la station reviewer, le validateur à quatre yeux, le garde contre la dérive de la référence, le coffre à fermeture sécurisée. Troisième ligne = le registre exportable et inviolable qu'un auditeur lit de manière indépendante.
SOC 2 CC8.1 & SOX ITGC Autoriser, concevoir, tester, approuver, mettre en œuvre les changements ; SoD ; accès logique.	Un changement doit être autorisé, testé, approuvé par quelqu'un autre que l'implémenteur, et traçable de bout en bout — déploiement → approbateur → demandeur — avec des preuves continues.	La ligne de portail signée est l'enregistrement de contrôle CC8.1 : elle relie le demandeur (actor), l'approbateur indépendant (signerRole, attribué uniquement à un humain), les hachages de preuves et l'horodatage dans un objet unique inviolable.

Le Modèle des Trois Lignes, rendu dans la flotte

Le schéma constant dans Vosj est simple : la flotte est Responsable ; un humain est Imputable. L'invariant d'interdiction d'auto-signature est le Modèle des Trois Lignes exprimé sous forme de code.

L'autorité est retenue aux agents, non déléguée : le signataire humain est la frontière de supervision structurellement indispensable, par construction.

Le Gate Council

Chaque mission convoque un Gate Council — l'autorité de changement permanente pour cette migration, et l'incarnation humaine du CAB d'ITIL et du domaine EDM de COBIT. Restreint, nominatif, avec quorum par rôle :

Président — le directeur de migration (propriétaire imputable, deuxième ligne) ; détient l'autorité de veto et signe les transitions soumises à la validation du directeur.
Sponsor client — le responsable métier ; co-signe P1 et (pour les vagues à risque élevé) P5 ; le lien avec l'organe directeur du client.
Responsable risque & contrôle — la voix de la deuxième ligne (sécurité/conformité) ; est propriétaire de la posture de menace, du registre des dérogations et de la validation des tests de contrôle.
Autorités techniques — DBA (fidélité des données / réconciliation) et InfoSec (gel, accès), chacun signataire nominatif pour ses portails.
Superviseur de la flotte IA — un humain imputable du comportement de la flotte ; explicitement non signataire des travaux effectués par la flotte — l'invariant d'interdiction d'auto-signature s'étend à l'opérateur de l'autonomie elle-même.

L'observation de gouvernance. Le Conseil accepte l'imputabilité d'un ensemble de faits vérifiés plutôt que de les dériver ligne par ligne — ce qui explique précisément pourquoi les critères de portail sont vérifiables par la machine.

L'interdiction d'auto-signature, rendue structurelle

Les agents peuvent produire un dossier de preuves complet ; ils ne peuvent pas en accepter la responsabilité.

Exceptions & dérogations — limitées dans le temps, jamais silencieuses

La gouvernance se juge à la manière dont les exceptions sont traitées. Une dérogation est un objet signé, de premier rang, à expiration — jamais une autorisation verbale :

Forme — une ligne de registre signée citant le critère dérogé, le risque résiduel, le contrôle compensatoire et le plan de remédiation ; soumise à l'interdiction d'auto-signature (le demandeur ne peut l'accorder).
Autorité selon le risque — FAIBLE : président + responsable risque ; MOYEN : + sponsor ; ÉLEVÉ : + contre-signature de l'organe directeur du client. Les invariants 1, 5 et 6 ne sont pas dérogeables — aucune dérogation ne peut autoriser un portail auto-signé, un coffre à ouverture non sécurisée, ou une bascule non vérifiée.
Limite de temps — toute dérogation expire (par défaut ≤ 30 jours) ; à l'expiration, le critère se réarme et l'état dépendant est bloqué. Il n'existe pas de dérogation perpétuelle.
Visibilité — les dérogations en cours apparaissent sur le tableau de bord en temps réel et dans le condensé toutes les 8 heures ; une dérogation vieillissante est un risque suivi, non enfoui.

Imputabilité — RACI des contrôles clés

R = Responsable, A = Imputable (signe), C = Consulté, I = Informé. Notez le schéma : là où la flotte est Responsable, un humain nominatif est Imputable. (FS = superviseur de la flotte IA ; Risk = responsable risque & contrôle ; IA = audit interne.)

Activité de contrôle	Fleet	FS	Dir	Sponsor	DBA	InfoSec	Risk	IA
Découverte / disposition 7-R	R	R	A	C	C	I	C	I
Rédaction du runbook	R	A	C	I	C	I	I	I
Rédaction indépendante du rollback	R	A	C	I	C	I	I	I
Validation de changement à quatre yeux	R	I	I	I	C	C	A	I
Construction & gel de la zone d'atterrissage	R	A	C	I	C	A	I	I
Autorisation Go/No-Go P5	R	C	A	C	C	C	C	I
Exécution de la bascule	R	C	A	I	A	I	I	I
Réconciliation / vérification avant bascule	R	I	C	I	A	I	C	I
Annulation de contingence (3 voies)	R	C	A	C	A	C	C	I
Octroi d'exception / dérogation	I	C	A	C	C	C	A	I
Rotation des identifiants / garde du coffre	I	R	C	I	I	A	C	I
Assurance indépendante / re-dérivation du registre	I	I	C	I	I	I	C	A
Reporting au conseil / organe directeur	R	C	A	C	I	I	C	C

Chaque activité a exactement un propriétaire Imputable (deux sur la bascule/annulation par conception — le contrôle « two-key »). Aucune ligne ne rend l'entité qui exécute le travail également imputable de son approbation.

Le Catalogue de Contrôles de Gouvernance (VG-01 … VG-26)

Une bibliothèque de contrôles qu'un client peut intégrer directement dans un programme SOX / SOC 2 / ISO. Engine désigne un contrôle structurellement imposé et non dérogeable ; les 26 produisent des preuves dans le même registre inviolable, de sorte que le catalogue fait également office de plan de test des contrôles et d'index du dossier de preuves (VG-26).

ID	Contrôle	Owner	Gate	Framework
VG-01	Aucun agent ne signe lui-même un portail (autorité retenue aux acteurs non humains).	Engine / Dir	All	COBIT EDM; IIA 3-Lines; SOX SoD
VG-02	Séparation de la rédaction et de l'autorisation (builder ≠ approbateur).	Dir	O,S,J	IIA 3-Lines; SOC 2 CC8.1
VG-03	Validation de changement à quatre yeux avant la libération d'un portail dépendant.	Risk	O	ITIL; SOC 2 CC8.1
VG-04	Disposition 7-R affectée à chaque charge de travail concernée avant le démarrage.	Dir	V	ITIL; COBIT APO
VG-05	Les dispositions à risque élevé sont forcées sur le chemin Strangler-Fig incrémental.	Engine	S	COBIT BAI; ISO 38500
VG-06	Rollback indépendant rédigé séparément et répété avant exécution.	FS / DBA	O	ITIL; COBIT BAI
VG-07	Le garde contre la dérive de la référence bloque la préparation lorsque la référence est obsolète.	Engine / DBA	O	COBIT MEA; ISO 38500
VG-08	Gel d'exécution autorisé avant la fenêtre de bascule.	InfoSec / DBA	O	ITIL; SOX ITGC
VG-09	Go/No-Go panel complet (CAB réuni en tant que portail).	Dir	S	ITIL CAB; COBIT EDM
VG-10	Vérification avant bascule — la source reste active jusqu'à l'équivalence (injecté par le moteur, non supprimable).	Engine / DBA	J	COBIT MEA; SOC 2 CC8.1
VG-11	Portail préalable strict sur le délai de réplication / lignes en cours de traitement avant basculement.	DBA	S	COBIT MEA
VG-12	Fenêtre d'acceptation révocable (marge de sécurité two-key).	DBA	J	ISO 38500; ITIL PIR
VG-13	L'annulation de contingence requiert une autorisation tripartite.	Dir + DBA	S	ITIL ECAB; SOX SoD
VG-14	Registre de transitions inviolable (HMAC-SHA256, chaîné par hachage, clé sous garde externe).	Engine / IA	All	COBIT MEA; SOC 2; SOX ITGC
VG-15	Coffre d'identifiants à fermeture sécurisée (absence de clé maître → refus).	InfoSec	V–J	ISO 38500; SOX ITGC
VG-16	RBAC à moindre privilège ; agents provisionnés sans capacité de signature.	InfoSec	All	COBIT DSS; IIA 3-Lines; SOX
VG-17	Autorisation MCP par outil ; listes blanches de serveurs signés ; gestion des réponses non fiables.	FS / Risk	V–J	OWASP LLM Top 10; COBIT DSS
VG-18	Une station = une identité = un clone (exécution attribuable).	FS	V–J	IIA 3-Lines; SOX SoD
VG-19	Environnement d'exécution durci + identifiants de courte durée négociés pour les stations exécutant du code.	InfoSec / FS	S	CIS; COBIT DSS
VG-20	Exception/dérogation limitée dans le temps avec autorité graduée par risque ; invariants non dérogeables.	Dir + Risk	Any	COBIT EDM; ITIL
VG-21	Accès multiplateforme via des schémas délimités et révocables ; retrait à Jump.	InfoSec	V–J	ISO 38500; SOX ITGC
VG-22	Contrôles de protection des données pour les transferts transfrontaliers (DPA, CCT, validation juridique).	Risk	O–J	ISO 38500; SOC 2 privacy
VG-23	Tests de contrôle continus et par vague ; condensé de gouvernance toutes les 8 heures.	Risk	All	SOC 2; COBIT MEA
VG-24	Assurance tierce indépendante — registre re-dérivé en dehors de l'équipe opérationnelle.	IA	All	IIA 3-Lines; SOX
VG-25	Décommissionnement de la source uniquement après confirmation du BAU + rétention.	Dir	J	ITIL; COBIT DSS
VG-26	Dossier de preuves de gouvernance exportable avec manifeste de correspondance des contrôles.	Dir / IA	J	SOC 2; SOX; ISO 38500

Imposés par le moteur et non dérogeables : VG-01, VG-05, VG-07, VG-10, VG-14, VG-15. Le catalogue complet (avec les preuves produites par chaque contrôle) figure dans le livre blanc, Annexe G.

La gouvernance comme preuve exportable de qualité audit

Pour un POC client destiné à la production, le livrable est un dossier de preuves de gouvernance autonome et vérifiable par migration : le registre de portails signé ; le registre des dérogations ; les preuves de réconciliation ; le journal des appels d'outils & l'ordre d'exécution ; et la correspondance de référentiel épinglée.

Indexé, pas seulement stocké. Le dossier est exporté avec un manifeste de correspondance des contrôles qui croise chaque artefact avec l'objectif qu'il satisfait (principe ISO/IEC 38500, objectif COBIT, enregistrement de changement ITIL, élément SOC 2 CC8.1, contrôle SOX ITGC). L'auditeur du client reçoit des preuves déjà indexées sur son propre catalogue de contrôles — l'effort de préparation d'audit qui domine habituellement une migration réglementée se réduit à un export de fichier.

SUIVANTSécurité & architecture de conformité › SUIVANTL'approche & la valeur de l'IA ›

Vosj › Governance

Governance & Sicherheitsinvarianten

Eine prüffähige Kontrollumgebung, die ein Aufsichtsrat und ein externer Prüfer auf Anhieb erkennen.

Vosj verlangt von seinen Kunden nicht, ein neues Governance-Regime einzuführen. Die Stationskarte entspricht der Governance/Management-Trennung von COBIT; die Portale sind ITIL-Change-Enablement-Entscheidungen mit einer echten Change Authority; die Rollentrennung entspricht dem IIA-Drei-Linien-Modell; das Ledger ist der SOC 2 / ITGC-Change-Management-Nachweis. Die autonome Flotte operiert innerhalb eines Kontrollrahmens, den die Prüfer des Kunden bereits akzeptieren — und die Nachweise entstehen als Nebenprodukt des Betriebs, nicht nachträglich zusammengestellt.

ISO/IEC 38500COBIT 2019ITIL 4 — Change EnablementIIA Three Lines (2020)SOC 2 CC8.1SOX ITGC

Zuordnung des Portalmechanismus zu anerkannten Rahmenwerken

Die Invarianten und der Portalmechanismus von Vosj sind keine proprietäre Kontrollsprache; sie stellen eine Implementierung etablierter Governance-Rahmenwerke dar, ausgedrückt in Code. Die Tabelle ordnet jeden Vosj-Mechanismus dem Rahmenwerk-Ziel zu, das er erfüllt — unter dem tatsächlichen Namen und der aktuellen Struktur des jeweiligen Rahmenwerks.

Rahmenwerk	Was es verlangt	Wie der Vosj-Portalmechanismus es umsetzt
ISO/IEC 38500 Unternehmenssteuerung der Informationstechnologie — Bewerten–Lenken–Überwachen durch das Leitungsorgan.	Der Aufsichtsrat lenkt den IT-Einsatz, bewertet Vorhaben gegen Strategie und Risiko und überwacht die Einhaltung — ohne selbst zum Ausführenden zu werden.	Bewerten = die Envision- / Go-No-Go-Portale. Lenken = die verbindliche Rahmenvorlage, die Pflichtportale und Unterzeichnerrollen festlegt. Überwachen = das manipulationssichere Ledger und das Live-Dashboard je Migration.
COBIT 2019 40 Ziele über EDM / APO / BAI / DSS / MEA.	Governance (EDM — Richtung vorgeben, überwachen) vom Management (planen, aufbauen, betreiben, messen) trennen, jeweils mit Rollen, Nachweisen und Assurance.	EDM ↔ Portal-Unterzeichnungsbefugnis + die Invariante gegen Eigensignatur. APO/BAI ↔ die Orchestrate-Station (Planung, Aufbau der Landing Zone). DSS ↔ die Shift-Station (kontrollierte Ausführung). MEA ↔ die Verify-Station + Abstimmung + Audit-Ledger.
ITIL 4 — Change Enablement Standard-/Normal-/Notfalländerungen; eine definierte Change Authority (CAB / ECAB).	Jede Änderung an einem Produktivdienst wird klassifiziert, risikobeurteilt, von einer zuständigen Autorität genehmigt und im Nachgang überprüft.	Die 7-R-Disposition ist der Change-Typ-Klassifikator: Rehost → nahezu Standard; Replatform/Refactor → normal unter dem vollständigen Portalgremium; Umkehrung während der Ausführung → Notfall (ein verstärktes dreigliedriges ECAB). Das P5 Go/No-Go ist ein als Portal einberufenes CAB; das P6-Fenster + die P7-Retrospektive sind die Post-Implementation Review.
IIA Three Lines (2020) Erste Linie: Ausführung; zweite Linie: Risiko/Kontrolle; unabhängige dritte Linie: Assurance.	Risiken werden in der ersten Linie verantwortet, von einer eigenständigen zweiten Linie beaufsichtigt und von einer dritten Linie, die nicht den geprüften Einheiten berichtet, unabhängig abgesichert.	Erste Linie = builder/migrator/deployer-Stationen + die menschlichen Ingenieure. Zweite Linie = die reviewer-Station, Vier-Augen-Validierer, Drift-Wächter der Baseline, sicherheitsgeschlossenes Vault. Dritte Linie = das exportierbare, manipulationssichere Ledger, das ein Prüfer unabhängig liest.
SOC 2 CC8.1 & SOX ITGC Änderungen autorisieren, entwerfen, testen, genehmigen, implementieren; SoD; logischer Zugriff.	Eine Änderung muss autorisiert, getestet, von einer anderen Person als dem Implementierer genehmigt und lückenlos nachverfolgbar sein — Deployment → Genehmiger → Antragsteller — mit fortlaufenden Nachweisen.	Die signierte Portal-Zeile ist der CC8.1-Kontrollnachweis: sie verknüpft Antragsteller (actor), unabhängigen Genehmiger (signerRole, nur an einen Menschen vergeben), Nachweishashes und Zeitstempel in einem manipulationssicheren Objekt.

Das Drei-Linien-Modell, in der Flotte umgesetzt

Das durchgängige Muster bei Vosj ist einfach: Die Flotte ist verantwortlich; ein Mensch trägt die Rechenschaftspflicht. Die Invariante gegen Eigensignatur ist das Drei-Linien-Modell, ausgedrückt als Code.

Autorität wird Agenten vorenthalten, nicht delegiert: Der menschliche Unterzeichner ist die strukturell tragende Aufsichtsgrenze — konstruktionsbedingt.

Der Gate Council

Für jede Beauftragung wird ein Gate Council einberufen — die ständige Change Authority für diese Migration und die menschliche Verkörperung des CAB von ITIL sowie der EDM-Domäne von COBIT. Klein, namentlich besetzt, rollenbasiert beschlussfähig:

Vorsitzender — der Migrationsleiter (rechenschaftspflichtiger Eigentümer, zweite Linie); besitzt die Veto-Befugnis und unterzeichnet Übergänge, die der Leitungsebene vorbehalten sind.
Kundensponsor — der fachliche Eigentümer; co-signiert P1 und (bei risikoreichen Wellen) P5; das Bindeglied zum Leitungsorgan des Kunden.
Risiko- und Kontrollbeauftragter — die Stimme der zweiten Linie (Sicherheit/Compliance); verantwortet die Bedrohungslage, das Abweichungsregister und die Abnahme der Kontrolltests.
Technische Fachverantwortliche — DBA (Datenintegrität / Abgleich) und InfoSec (Freeze, Zugang), jeweils als namentlicher Unterzeichner für ihre Portale.
KI-Flottenaufsicht — ein Mensch, der für das Verhalten der Flotte rechenschaftspflichtig ist; ausdrücklich kein Unterzeichner für Arbeiten, die die Flotte ausgeführt hat — die Invariante gegen Eigensignatur gilt auch für den Betreiber der Autonomie selbst.

Die Governance-Kernbeobachtung. Der Council übernimmt Rechenschaft für eine verifizierten Sachverhalt, anstatt ihn Zeile für Zeile neu herzuleiten — was genau der Grund ist, warum die Portalkriterien maschinell prüfbar sind.

Keine Eigensignatur — strukturell verankert

Agenten können ein vollständiges Nachweispaket erstellen; die Rechenschaftspflicht dafür können sie nicht übernehmen.

Ausnahmen & Abweichungen — zeitlich begrenzt, niemals stillschweigend

Governance wird daran gemessen, wie Ausnahmen behandelt werden. Eine Abweichung ist ein erstklassiges, signiertes, befristetes Objekt — niemals eine mündliche Übersteuerung:

Form — eine signierte Ledger-Zeile, die das abgewichene Kriterium, das Restrisiko, die Kompensationsmaßnahme und den Sanierungsplan nennt; unterliegt der Invariante gegen Eigensignatur (der Antragsteller darf sie nicht selbst erteilen).
Befugnis nach Risiko — NIEDRIG: Vorsitzender + Risikoverantwortlicher; MITTEL: + Sponsor; HOCH: + Gegenzeichnung durch das Leitungsorgan des Kunden. Die Invarianten 1, 5 und 6 sind nicht abweichungsfähig — keine Abweichung darf ein eigensigniertes Portal, ein offen versagendes Vault oder eine ungeprüfte Umschaltung gestatten.
Befristung — jede Abweichung läuft ab (Standard ≤ 30 Tage); bei Ablauf reaktiviert sich das Kriterium, und der abhängige Zustand wird gesperrt. Es gibt keine unbefristete Abweichung.
Transparenz — offene Abweichungen erscheinen im Live-Dashboard und im 8-stündlichen Digest; eine alternde Abweichung ist ein verfolgtes Risiko, kein verborgenes.

Rechenschaftspflicht — RACI für die Schlüsselkontrollen

R = Responsible (verantwortlich), A = Accountable (unterzeichnet), C = Consulted (konsultiert), I = Informed (informiert). Das Muster ist zu beachten: Wo die Flotte verantwortlich ist, trägt ein namentlicher Mensch die Rechenschaftspflicht. (FS = KI-Flottenaufsicht; Risk = Risiko- und Kontrollbeauftragter; IA = Interne Revision.)

Kontrollaktivität	Fleet	FS	Dir	Sponsor	DBA	InfoSec	Risk	IA
Discovery / 7-R-Disposition	R	R	A	C	C	I	C	I
Runbook-Erstellung	R	A	C	I	C	I	I	I
Unabhängige Rollback-Erstellung	R	A	C	I	C	I	I	I
Vier-Augen-Änderungsvalidierung	R	I	I	I	C	C	A	I
Aufbau & Einfrieren der Landing Zone	R	A	C	I	C	A	I	I
P5 Go/No-Go-Freigabe	R	C	A	C	C	C	C	I
Umschaltungsausführung	R	C	A	I	A	I	I	I
Abgleich / Verifizierung vor Umschaltung	R	I	C	I	A	I	C	I
Notfall-Umkehrung (3-seitig)	R	C	A	C	A	C	C	I
Ausnahme- / Abweichungserteilung	I	C	A	C	C	C	A	I
Rotierung von Zugangsdaten / Vault-Verwahrung	I	R	C	I	I	A	C	I
Unabhängige Assurance / Ledger-Neuableitung	I	I	C	I	I	I	C	A
Berichterstattung an Aufsichtsrat / Leitungsorgan	R	C	A	C	I	I	C	C

Jede Aktivität hat genau einen rechenschaftspflichtigen Eigentümer (bei Umschaltung/Umkehrung konstruktionsbedingt zwei — die «two-key»-Kontrolle). Keine Zeile macht die ausführende Einheit auch für die Genehmigung ihrer Arbeit verantwortlich.

Der Governance-Kontrollkatalog (VG-01 … VG-26)

Eine Kontrollbibliothek, die ein Kunde direkt in ein SOX-/SOC 2-/ISO-Programm übernehmen kann. Engine bezeichnet einen strukturell erzwungenen, nicht abweichungsfähigen Kontrollmechanismus; alle 26 erzeugen Nachweise in dasselbe manipulationssichere Ledger, sodass der Katalog zugleich als Kontrolltestplan und als Index des Nachweispakets dient (VG-26).

ID	Kontrolle	Owner	Gate	Framework
VG-01	Kein Agent signiert ein Portal eigenständig (Befugnis wird nicht-menschlichen Akteuren vorenthalten).	Engine / Dir	All	COBIT EDM; IIA 3-Lines; SOX SoD
VG-02	Trennung von Erstellung und Freigabe (builder ≠ Genehmiger).	Dir	O,S,J	IIA 3-Lines; SOC 2 CC8.1
VG-03	Vier-Augen-Änderungsvalidierung, bevor ein abhängiges Portal freigegeben wird.	Risk	O	ITIL; SOC 2 CC8.1
VG-04	7-R-Disposition allen betroffenen Workloads vor Projektstart zugewiesen.	Dir	V	ITIL; COBIT APO
VG-05	Hochrisikoklassifizierungen werden zwingend auf den inkrementellen Strangler-Fig-Pfad geleitet.	Engine	S	COBIT BAI; ISO 38500
VG-06	Unabhängiges Rollback separat erstellt und vor der Ausführung geprobt.	FS / DBA	O	ITIL; COBIT BAI
VG-07	Der Baseline-Drift-Wächter blockiert die Bereitschaft, wenn die Baseline veraltet ist.	Engine / DBA	O	COBIT MEA; ISO 38500
VG-08	Ausführungseinfrierung vor dem Umschaltungsfenster genehmigt.	InfoSec / DBA	O	ITIL; SOX ITGC
VG-09	Go/No-Go mit vollständigem Gremium (CAB als Portal einberufen).	Dir	S	ITIL CAB; COBIT EDM
VG-10	Verifizierung vor Umschaltung — die Quelle bleibt aktiv bis zur Gleichwertigkeit (durch die Engine injiziert, nicht entfernbar).	Engine / DBA	J	COBIT MEA; SOC 2 CC8.1
VG-11	Hartes Vor-Umschaltungsportal für Replikationsverzögerung / laufende Transaktionen.	DBA	S	COBIT MEA
VG-12	Widerrufliches Akzeptanzfenster (two-key-Sicherheitsmarge).	DBA	J	ISO 38500; ITIL PIR
VG-13	Notfall-Umkehrung erfordert dreigliedrige Genehmigung.	Dir + DBA	S	ITIL ECAB; SOX SoD
VG-14	Manipulationssicheres Übergangsledger (HMAC-SHA256, hash-verkettet, Schlüssel extern verwahrt).	Engine / IA	All	COBIT MEA; SOC 2; SOX ITGC
VG-15	Sicherheitsgeschlossenes Zugangsdaten-Vault (kein Hauptschlüssel → Ablehnung).	InfoSec	V–J	ISO 38500; SOX ITGC
VG-16	RBAC nach dem Least-Privilege-Prinzip; Agenten ohne Unterzeichnungsbefugnis bereitgestellt.	InfoSec	All	COBIT DSS; IIA 3-Lines; SOX
VG-17	MCP-Autorisierung pro Tool; signierte Server-Positivlisten; Behandlung nicht vertrauenswürdiger Antworten.	FS / Risk	V–J	OWASP LLM Top 10; COBIT DSS
VG-18	Eine Station = eine Identität = ein Klon (zurechenbare Ausführung).	FS	V–J	IIA 3-Lines; SOX SoD
VG-19	Gehärtete Laufzeitumgebung + vermittelte kurzlebige Zugangsdaten für Code-ausführende Stationen.	InfoSec / FS	S	CIS; COBIT DSS
VG-20	Zeitlich begrenzte Ausnahme/Abweichung mit risikogestufter Befugnis; Invarianten nicht abweichungsfähig.	Dir + Risk	Any	COBIT EDM; ITIL
VG-21	Plattformübergreifender Zugriff über begrenzte, widerrufliche Muster; Entzug bei Jump.	InfoSec	V–J	ISO 38500; SOX ITGC
VG-22	Datenschutzkontrollen für grenzüberschreitende Übertragungen (DPA, SCCs, rechtliche Freigabe).	Risk	O–J	ISO 38500; SOC 2 privacy
VG-23	Kontinuierliche und wellenweise Kontrolltests; 8-stündlicher Governance-Digest.	Risk	All	SOC 2; COBIT MEA
VG-24	Unabhängige Assurance durch die dritte Linie — Ledger außerhalb des operativen Teams neu abgeleitet.	IA	All	IIA 3-Lines; SOX
VG-25	Außerbetriebnahme der Quelle erst nach bestätigtem BAU + Aufbewahrung.	Dir	J	ITIL; COBIT DSS
VG-26	Exportierbares Governance-Nachweispaket mit Kontrollzuordnungs-Manifest.	Dir / IA	J	SOC 2; SOX; ISO 38500

Engine-erzwungen und nicht abweichungsfähig: VG-01, VG-05, VG-07, VG-10, VG-14, VG-15. Der vollständige Katalog (mit den von jeder Kontrolle erzeugten Nachweisen) befindet sich im White Paper, Anhang G.

Governance als exportierbarer, prüftauglicher Nachweis

Für einen Kunden-POC auf dem Weg in die Produktion ist das Lieferergebnis je Migration ein eigenständiges, verifizierbares Governance-Nachweispaket: das signierte Portal-Ledger; das Abweichungsregister; die Abgleichnachweise; das Tool-Aufruf- & Reihenfolgeprotokoll; sowie die verankerte Rahmenwerk-Zuordnung.

Zugeordnet, nicht nur gespeichert. Das Paket wird mit einem Kontrollzuordnungs-Manifest exportiert, das jedes Artefakt dem Ziel zuordnet, das es erfüllt (ISO/IEC 38500-Grundsatz, COBIT-Ziel, ITIL-Änderungsnachweis, SOC 2 CC8.1-Element, SOX ITGC-Kontrolle). Der Prüfer des Kunden erhält Nachweise, die bereits auf seinen eigenen Kontrollkatalog indiziert sind — der Prüfungsvorbereitungsaufwand, der bei regulierten Migrationen normalerweise dominiert, wird zu einem Dateiexport.

WEITERSicherheit & Compliance-Architektur › WEITERDer Ansatz & KI-Mehrwert ›

Vosj › Gobernanza

Gobernanza e invariantes de seguridad

Un entorno de control auditable que un consejo de administración y un auditor externo ya reconocen.

Vosj no exige al cliente adoptar un nuevo régimen de gobernanza. Su mapa de estaciones corresponde a la separación gobernanza/gestión de COBIT; sus portales son decisiones de habilitación de cambios de ITIL con una autoridad de cambio real; su separación de roles es el Modelo de Tres Líneas de la IIA; su registro es la evidencia de gestión de cambios de SOC 2 / ITGC. La flota autónoma opera dentro de un marco de control que los auditores del cliente ya aceptan — y la evidencia se produce como subproducto de la operación, no se ensambla a posteriori.

ISO/IEC 38500COBIT 2019ITIL 4 — Change EnablementIIA Three Lines (2020)SOC 2 CC8.1SOX ITGC

Correspondencia entre la máquina de portales y los marcos reconocidos

Los invariantes y la máquina de portales de Vosj no constituyen un lenguaje de control privado; son una implementación de marcos de gobernanza consolidados, expresada en código. La tabla vincula cada mecanismo de Vosj con el objetivo del marco que satisface, usando el nombre real y la estructura vigente del marco.

Marco	Qué exige	Cómo lo implementa la máquina de portales de Vosj
ISO/IEC 38500 Gobernanza corporativa de las TI — Evaluar–Dirigir–Monitorizar por parte del órgano de gobierno.	El consejo dirige el uso de las TI, evalúa las propuestas frente a la estrategia y el riesgo, y monitoriza la conformidad — sin convertirse en el ejecutor.	Evaluar = los portales Envision / Go-No-Go. Dirigir = la plantilla de marco vinculante que fija los portales obligatorios y los roles de firmante. Monitorizar = el registro a prueba de manipulaciones y el panel en vivo por migración.
COBIT 2019 40 objetivos distribuidos entre EDM / APO / BAI / DSS / MEA.	Separar la gobernanza (EDM — fijar la dirección, monitorizar) de la gestión (planificar, construir, operar, medir), cada una con roles, evidencia y aseguramiento.	EDM ↔ autoridad de firma de portales + el invariante de prohibición de autofirma. APO/BAI ↔ la estación Orchestrate (planificación, construcción de la zona de aterrizaje). DSS ↔ la estación Shift (ejecución controlada). MEA ↔ la estación Verify + conciliación + registro de auditoría.
ITIL 4 — Change Enablement Cambios estándar / normales / de emergencia; una autoridad de cambio definida (CAB / ECAB).	Todo cambio en un servicio de producción se clasifica, se evalúa según el riesgo, es autorizado por una autoridad competente y se revisa a posteriori.	La disposición 7-R es el clasificador de tipo de cambio: Rehost → casi estándar; Replatform/Refactor → normal bajo el panel completo de portales; reversión en curso → emergencia (un ECAB tripartito reforzado). El Go/No-Go P5 es un CAB convocado como portal; la ventana P6 + la revisión retrospectiva P7 constituyen la revisión post-implantación.
IIA Three Lines (2020) Primera línea: ejecución; segunda línea: riesgo/control; tercera línea: aseguramiento independiente.	El riesgo es propiedad de la primera línea, supervisado por una segunda línea diferenciada y asegurado de forma independiente por una tercera línea que no depende de las entidades que audita.	Primera línea = estaciones builder/migrator/deployer + los ingenieros humanos. Segunda línea = la estación reviewer, el validador de cuatro ojos, el guardián de deriva de referencia, la bóveda de cierre seguro. Tercera línea = el registro exportable a prueba de manipulaciones que un auditor lee de forma independiente.
SOC 2 CC8.1 & SOX ITGC Autorizar, diseñar, probar, aprobar, implementar cambios; SoD; acceso lógico.	Un cambio debe ser autorizado, probado, aprobado por alguien distinto del implementador y trazable de despliegue → aprobador → solicitante, con evidencia continua.	La fila de portal firmada es el registro de control CC8.1: vincula al solicitante (actor), el aprobador independiente (signerRole, asignado solo a un humano), los hashes de evidencia y la marca de tiempo en un único objeto a prueba de manipulaciones.

El Modelo de Tres Líneas, materializado en la flota

El patrón constante en Vosj es sencillo: la flota es Responsable; un humano es Responsable Último. El invariante de prohibición de autofirma es el Modelo de Tres Líneas expresado como código.

La autoridad se retiene a los agentes, no se delega: el firmante humano es el límite de supervisión estructural de carga, por construcción.

El Gate Council

Cada compromiso convoca un Gate Council — la autoridad de cambio permanente para esa migración, y la encarnación humana del CAB de ITIL y del dominio EDM de COBIT. Reducido, nominativo, con quórum por rol:

Presidente — el director de migración (propietario responsable último, segunda línea); ostenta la autoridad de veto y firma las transiciones condicionadas a la dirección.
Patrocinador del cliente — el propietario de negocio; co-firma P1 y (en oleadas de alto riesgo) P5; el nexo con el órgano de gobierno del cliente.
Revisor de riesgos y control — la voz de la segunda línea (seguridad/cumplimiento); es propietario de la postura de amenazas, el registro de exenciones y la firma de las pruebas de control.
Autoridades técnicas — DBA (fidelidad de datos / conciliación) e InfoSec (congelación, acceso), cada uno firmante nominativo para sus portales.
Supervisor de la flota de IA — un humano responsable último del comportamiento de la flota; explícitamente no firmante del trabajo realizado por la flota — el invariante de prohibición de autofirma se extiende al operador de la autonomía misma.

La observación de gobernanza. El Consejo acepta la responsabilidad última sobre un conjunto de hechos verificados en lugar de derivarlos línea a línea — que es exactamente por qué los criterios de portal son comprobables por máquina.

La prohibición de autofirma, convertida en estructura

Los agentes pueden producir un paquete de evidencia completo; no pueden asumir la responsabilidad última de él.

Excepciones y exenciones — con límite de tiempo, nunca silenciosas

La gobernanza se juzga por cómo se gestionan las excepciones. Una exención es un objeto de primer orden, firmado y con vencimiento — nunca una anulación verbal:

Forma — una fila de registro firmada que cita el criterio eximido, el riesgo residual, el control compensatorio y el plan de remediación; sujeta a la prohibición de autofirma (el solicitante no puede concedérsela a sí mismo).
Autoridad según el riesgo — BAJO: presidente + revisor de riesgos; MEDIO: + patrocinador; ALTO: + contrafirma del órgano de gobierno del cliente. Los invariantes 1, 5 y 6 no son eximibles — ninguna exención puede permitir un portal autofirmado, una bóveda de apertura insegura o una transición no verificada.
Límite de tiempo — toda exención vence (por defecto ≤ 30 días); al vencer, el criterio se rearma y el estado dependiente queda bloqueado. No existe exención perpetua.
Visibilidad — las exenciones abiertas aparecen en el panel en vivo y en el resumen cada 8 horas; una exención que envejece es un riesgo rastreado, no enterrado.

Responsabilidad — RACI para los controles clave

R = Responsable, A = Responsable Último (firma), C = Consultado, I = Informado. Obsérvese el patrón: donde la flota es Responsable, un humano nominativo es Responsable Último. (FS = supervisor de la flota de IA; Risk = revisor de riesgos y control; IA = auditoría interna.)

Actividad de control	Fleet	FS	Dir	Sponsor	DBA	InfoSec	Risk	IA
Descubrimiento / disposición 7-R	R	R	A	C	C	I	C	I
Elaboración del runbook	R	A	C	I	C	I	I	I
Elaboración independiente del rollback	R	A	C	I	C	I	I	I
Validación de cambio de cuatro ojos	R	I	I	I	C	C	A	I
Construcción y congelación de la zona de aterrizaje	R	A	C	I	C	A	I	I
Autorización Go/No-Go P5	R	C	A	C	C	C	C	I
Ejecución de la transición	R	C	A	I	A	I	I	I
Conciliación / verificación previa a la transición	R	I	C	I	A	I	C	I
Reversión de contingencia (3 vías)	R	C	A	C	A	C	C	I
Concesión de excepción / exención	I	C	A	C	C	C	A	I
Rotación de credenciales / custodia de la bóveda	I	R	C	I	I	A	C	I
Aseguramiento independiente / rederivación del registro	I	I	C	I	I	I	C	A
Reporte al consejo / órgano de gobierno	R	C	A	C	I	I	C	C

Cada actividad tiene exactamente un propietario Responsable Último (dos en la transición/reversión por diseño — el control "two-key"). Ninguna fila convierte a la entidad que ejecuta el trabajo en responsable última de su aprobación.

El Catálogo de Controles de Gobernanza (VG-01 … VG-26)

Una biblioteca de controles que un cliente puede integrar directamente en un programa SOX / SOC 2 / ISO. Engine denota un control estructuralmente impuesto y no eximible; los 26 emiten evidencia al mismo registro a prueba de manipulaciones, por lo que el catálogo cumple también como plan de prueba de controles e índice del paquete de evidencia (VG-26).

ID	Control	Owner	Gate	Framework
VG-01	Ningún agente autofirma un portal (autoridad retenida a actores no humanos).	Engine / Dir	All	COBIT EDM; IIA 3-Lines; SOX SoD
VG-02	Separación de elaboración y autorización (builder ≠ aprobador).	Dir	O,S,J	IIA 3-Lines; SOC 2 CC8.1
VG-03	Validación de cambio de cuatro ojos antes de que se libere un portal dependiente.	Risk	O	ITIL; SOC 2 CC8.1
VG-04	Disposición 7-R asignada a cada carga de trabajo en alcance antes del inicio.	Dir	V	ITIL; COBIT APO
VG-05	Las disposiciones de alto riesgo son forzadas a la ruta incremental Strangler-Fig.	Engine	S	COBIT BAI; ISO 38500
VG-06	Rollback independiente elaborado por separado y ensayado antes de la ejecución.	FS / DBA	O	ITIL; COBIT BAI
VG-07	El guardián de deriva de referencia bloquea la preparación cuando la referencia está desactualizada.	Engine / DBA	O	COBIT MEA; ISO 38500
VG-08	Congelación de ejecución autorizada antes de la ventana de transición.	InfoSec / DBA	O	ITIL; SOX ITGC
VG-09	Go/No-Go de panel completo (CAB convocado como portal).	Dir	S	ITIL CAB; COBIT EDM
VG-10	Verificación previa a la transición — la fuente sirve hasta que se alcanza la equivalencia (inyectado por la máquina, no eliminable).	Engine / DBA	J	COBIT MEA; SOC 2 CC8.1
VG-11	Portal previo estricto de retraso de replicación / filas en vuelo antes del cambio de fuente.	DBA	S	COBIT MEA
VG-12	Ventana de aceptación revocable (margen de seguridad two-key).	DBA	J	ISO 38500; ITIL PIR
VG-13	La reversión de contingencia requiere autorización tripartita.	Dir + DBA	S	ITIL ECAB; SOX SoD
VG-14	Registro de transiciones a prueba de manipulaciones (HMAC-SHA256, encadenado por hash, clave custodiada externamente).	Engine / IA	All	COBIT MEA; SOC 2; SOX ITGC
VG-15	Bóveda de credenciales de cierre seguro (sin clave maestra → rechazar).	InfoSec	V–J	ISO 38500; SOX ITGC
VG-16	RBAC de mínimo privilegio; agentes aprovisionados sin capacidad de firma.	InfoSec	All	COBIT DSS; IIA 3-Lines; SOX
VG-17	Autorización MCP por herramienta; listas de permitidos de servidores firmados; manejo de respuestas no confiables.	FS / Risk	V–J	OWASP LLM Top 10; COBIT DSS
VG-18	Una estación = una identidad = un clon (ejecución atribuible).	FS	V–J	IIA 3-Lines; SOX SoD
VG-19	Entorno de ejecución reforzado + credenciales de corta duración intermediadas para estaciones que ejecutan código.	InfoSec / FS	S	CIS; COBIT DSS
VG-20	Excepción/exención con límite de tiempo y autoridad graduada por riesgo; invariantes no eximibles.	Dir + Risk	Any	COBIT EDM; ITIL
VG-21	Acceso multiplataforma mediante patrones delimitados y revocables; retirado en Jump.	InfoSec	V–J	ISO 38500; SOX ITGC
VG-22	Controles de protección de datos para movimientos transfronterizos (DPA, CCE, firma legal).	Risk	O–J	ISO 38500; SOC 2 privacy
VG-23	Prueba de controles continua y por oleada; resumen de gobernanza cada 8 horas.	Risk	All	SOC 2; COBIT MEA
VG-24	Aseguramiento independiente de tercera línea — registro rederivado fuera del equipo operativo.	IA	All	IIA 3-Lines; SOX
VG-25	Descomisionamiento de la fuente solo tras confirmación de BAU + retención.	Dir	J	ITIL; COBIT DSS
VG-26	Paquete de evidencia de gobernanza exportable con manifiesto de correspondencia de controles.	Dir / IA	J	SOC 2; SOX; ISO 38500

Impuestos por la máquina y no eximibles: VG-01, VG-05, VG-07, VG-10, VG-14, VG-15. El catálogo completo (con la evidencia que produce cada control) se encuentra en el white paper, Apéndice G.

La gobernanza como evidencia exportable de grado auditor

Para un POC de cliente que se dirige a producción, el entregable es un paquete de evidencia de gobernanza autónomo y verificable por migración: el registro de portales firmado; el registro de exenciones; las pruebas de conciliación; el registro de llamadas a herramientas y orden de ejecución; y la vinculación de marco anclada.

Mapeado, no solo almacenado. El paquete se exporta con un manifiesto de correspondencia de controles que cruza cada artefacto con el objetivo que satisface (principio ISO/IEC 38500, objetivo COBIT, registro de cambio ITIL, elemento SOC 2 CC8.1, control SOX ITGC). El auditor del cliente recibe evidencia ya indexada a su propio catálogo de controles — el esfuerzo de preparación de auditoría que normalmente domina una migración regulada se convierte en una exportación de archivo.

SIGUIENTESeguridad & arquitectura de cumplimiento › SIGUIENTEEl enfoque & el valor de la IA ›

Vosj › Governação

Governação e invariantes de segurança

Um ambiente de controlo auditável que um conselho de administração e um auditor externo já reconhecem.

Vosj não exige ao cliente a adopção de um novo regime de governação. O seu mapa de estações corresponde à separação governação/gestão do COBIT; os seus portais são decisões de habilitação de mudanças do ITIL com uma autoridade de mudança real; a separação de papéis é o Modelo das Três Linhas da IIA; o seu registo constitui a evidência de gestão de mudanças SOC 2 / ITGC. A frota autónoma opera dentro de um enquadramento de controlo que os auditores do cliente já aceitam — e a evidência é produzida como subproduto da operação, não compilada a posteriori.

ISO/IEC 38500COBIT 2019ITIL 4 — Change EnablementIIA Three Lines (2020)SOC 2 CC8.1SOX ITGC

Mapeamento da máquina de portais para enquadramentos reconhecidos

Os invariantes e a máquina de portais do Vosj não constituem uma linguagem de controlo privada; são uma implementação de enquadramentos de governação estabelecidos, expressa em código. A tabela liga cada mecanismo do Vosj ao objectivo do enquadramento que satisfaz, pelo nome real e estrutura actual do enquadramento.

Enquadramento	O que exige	Como a máquina de portais do Vosj o implementa
ISO/IEC 38500 Governação corporativa das TI — Avaliar–Dirigir–Monitorizar pelo órgão de governo.	O conselho dirige a utilização das TI, avalia propostas face à estratégia e ao risco, e monitoriza a conformidade — sem se tornar executor.	Avaliar = os portais Envision / Go-No-Go. Dirigir = o modelo de enquadramento vinculativo que fixa os portais obrigatórios e os papéis de signatário. Monitorizar = o registo à prova de adulteração e o painel em directo por migração.
COBIT 2019 40 objectivos distribuídos entre EDM / APO / BAI / DSS / MEA.	Separar a governação (EDM — definir a direcção, monitorizar) da gestão (planear, construir, operar, medir), cada uma com papéis, evidência e garantia.	EDM ↔ autoridade de assinatura de portais + o invariante de proibição de auto-assinatura. APO/BAI ↔ a estação Orchestrate (planeamento, construção da zona de aterragem). DSS ↔ a estação Shift (execução controlada). MEA ↔ a estação Verify + reconciliação + registo de auditoria.
ITIL 4 — Change Enablement Mudanças padrão / normais / de emergência; uma autoridade de mudança definida (CAB / ECAB).	Cada mudança a um serviço de produção é classificada, avaliada quanto ao risco, autorizada por uma autoridade competente e revista a posteriori.	A disposição 7-R é o classificador de tipo de mudança: Rehost → quase padrão; Replatform/Refactor → normal sob o painel completo de portais; reversão em curso → emergência (um ECAB tripartido reforçado). O Go/No-Go P5 é um CAB convocado como portal; a janela P6 + a revisão retrospectiva P7 constituem a revisão pós-implementação.
IIA Three Lines (2020) Primeira linha: entrega; segunda linha: risco/controlo; terceira linha: garantia independente.	O risco é propriedade da primeira linha, supervisionado por uma segunda linha distinta, e garantido de forma independente por uma terceira linha que não reporta às entidades que audita.	Primeira linha = estações builder/migrator/deployer + os engenheiros humanos. Segunda linha = a estação reviewer, o validador de quatro olhos, o guardião de desvio de referência, o cofre de fecho seguro. Terceira linha = o registo exportável à prova de adulteração que um auditor lê de forma independente.
SOC 2 CC8.1 & SOX ITGC Autorizar, conceber, testar, aprovar, implementar mudanças; SoD; acesso lógico.	Uma mudança deve ser autorizada, testada, aprovada por alguém diferente do implementador e rastreável de implantação → aprovador → requerente, com evidência contínua.	A linha de portal assinada é o registo de controlo CC8.1: vincula o requerente (actor), o aprovador independente (signerRole, atribuído apenas a um humano), os hashes de evidência e o carimbo de data/hora num único objecto à prova de adulteração.

O Modelo das Três Linhas, materializado na frota

O padrão consistente no Vosj é simples: a frota é Responsável; um humano é Responsável Último. O invariante de proibição de auto-assinatura é o Modelo das Três Linhas expresso como código.

A autoridade é retida aos agentes, não delegada: o signatário humano é a fronteira de supervisão estruturalmente indispensável, por construção.

O Gate Council

Cada compromisso convoca um Gate Council — a autoridade de mudança permanente para essa migração, e a encarnação humana do CAB do ITIL e do domínio EDM do COBIT. Reduzido, nominativo, com quórum por papel:

Presidente — o director de migração (proprietário responsável último, segunda linha); detém a autoridade de veto e assina as transições condicionadas à direcção.
Patrocinador do cliente — o proprietário de negócio; co-assina P1 e (em vagas de alto risco) P5; o elo com o órgão de governo do cliente.
Revisor de riscos e controlo — a voz da segunda linha (segurança/conformidade); é proprietário da postura de ameaças, do registo de isenções e da assinatura dos testes de controlo.
Autoridades técnicas — DBA (fidelidade de dados / reconciliação) e InfoSec (congelamento, acesso), cada um signatário nominativo para os seus portais.
Supervisor da frota de IA — um humano responsável último pelo comportamento da frota; explicitamente não signatário do trabalho realizado pela frota — o invariante de proibição de auto-assinatura estende-se ao operador da própria autonomia.

A observação de governação. O Conselho aceita a responsabilidade última por um conjunto de factos verificados em vez de os derivar linha a linha — o que é exactamente a razão pela qual os critérios de portal são verificáveis por máquina.

A proibição de auto-assinatura, tornada estrutural

Os agentes podem produzir um pacote de evidência completo; não podem aceitar a responsabilidade última por ele.

Excepções e isenções — com limite de tempo, nunca silenciosas

A governação é julgada pela forma como as excepções são tratadas. Uma isenção é um objecto de primeira classe, assinado e com prazo de validade — nunca uma anulação verbal:

Forma — uma linha de registo assinada que cita o critério isento, o risco residual, o controlo compensatório e o plano de remediação; sujeita à proibição de auto-assinatura (o requerente não pode concedê-la a si próprio).
Autoridade por risco — BAIXO: presidente + revisor de riscos; MÉDIO: + patrocinador; ALTO: + contra-assinatura do órgão de governo do cliente. Os invariantes 1, 5 e 6 não são isentáveis — nenhuma isenção pode permitir um portal auto-assinado, um cofre de abertura insegura ou uma transição não verificada.
Limite de tempo — toda a isenção expira (por defeito ≤ 30 dias); na expiração, o critério rearma-se e o estado dependente fica bloqueado. Não existe isenção perpétua.
Visibilidade — as isenções abertas aparecem no painel em directo e no resumo de 8 em 8 horas; uma isenção que envelhece é um risco rastreado, não enterrado.

Responsabilidade — RACI para os controlos-chave

R = Responsável, A = Responsável Último (assina), C = Consultado, I = Informado. Note-se o padrão: onde a frota é Responsável, um humano nominativo é Responsável Último. (FS = supervisor da frota de IA; Risk = revisor de riscos e controlo; IA = auditoria interna.)

Actividade de controlo	Fleet	FS	Dir	Sponsor	DBA	InfoSec	Risk	IA
Descoberta / disposição 7-R	R	R	A	C	C	I	C	I
Elaboração do runbook	R	A	C	I	C	I	I	I
Elaboração independente do rollback	R	A	C	I	C	I	I	I
Validação de mudança de quatro olhos	R	I	I	I	C	C	A	I
Construção e congelamento da zona de aterragem	R	A	C	I	C	A	I	I
Autorização Go/No-Go P5	R	C	A	C	C	C	C	I
Execução da transição	R	C	A	I	A	I	I	I
Reconciliação / verificação prévia à transição	R	I	C	I	A	I	C	I
Reversão de contingência (3 vias)	R	C	A	C	A	C	C	I
Concessão de excepção / isenção	I	C	A	C	C	C	A	I
Rotação de credenciais / custódia do cofre	I	R	C	I	I	A	C	I
Garantia independente / rederivação do registo	I	I	C	I	I	I	C	A
Reporte ao conselho / órgão de governo	R	C	A	C	I	I	C	C

Cada actividade tem exactamente um proprietário Responsável Último (dois na transição/reversão por concepção — o controlo "two-key"). Nenhuma linha torna a entidade que executa o trabalho também responsável última pela sua aprovação.

O Catálogo de Controlos de Governação (VG-01 … VG-26)

Uma biblioteca de controlos que um cliente pode integrar directamente num programa SOX / SOC 2 / ISO. Engine designa um controlo estruturalmente imposto e não isentável; os 26 emitem evidência para o mesmo registo à prova de adulteração, pelo que o catálogo serve também como plano de teste de controlos e índice do pacote de evidência (VG-26).

ID	Controlo	Owner	Gate	Framework
VG-01	Nenhum agente auto-assina um portal (autoridade retida a actores não humanos).	Engine / Dir	All	COBIT EDM; IIA 3-Lines; SOX SoD
VG-02	Separação de elaboração e autorização (builder ≠ aprovador).	Dir	O,S,J	IIA 3-Lines; SOC 2 CC8.1
VG-03	Validação de mudança de quatro olhos antes de um portal dependente ser libertado.	Risk	O	ITIL; SOC 2 CC8.1
VG-04	Disposição 7-R atribuída a cada carga de trabalho em âmbito antes do arranque.	Dir	V	ITIL; COBIT APO
VG-05	Disposições de alto risco forçadas para o caminho incremental Strangler-Fig.	Engine	S	COBIT BAI; ISO 38500
VG-06	Rollback independente elaborado separadamente e ensaiado antes da execução.	FS / DBA	O	ITIL; COBIT BAI
VG-07	O guardião de desvio de referência bloqueia a prontidão quando a referência está desactualizada.	Engine / DBA	O	COBIT MEA; ISO 38500
VG-08	Congelamento de execução autorizado antes da janela de transição.	InfoSec / DBA	O	ITIL; SOX ITGC
VG-09	Go/No-Go de painel completo (CAB convocado como portal).	Dir	S	ITIL CAB; COBIT EDM
VG-10	Verificação prévia à transição — a fonte serve até que a equivalência seja estabelecida (injectado pela máquina, não removível).	Engine / DBA	J	COBIT MEA; SOC 2 CC8.1
VG-11	Portal prévio estrito de atraso de replicação / linhas em curso antes da comutação.	DBA	S	COBIT MEA
VG-12	Janela de aceitação revogável (margem de segurança two-key).	DBA	J	ISO 38500; ITIL PIR
VG-13	A reversão de contingência requer autorização tripartida.	Dir + DBA	S	ITIL ECAB; SOX SoD
VG-14	Registo de transições à prova de adulteração (HMAC-SHA256, encadeado por hash, chave custodiada externamente).	Engine / IA	All	COBIT MEA; SOC 2; SOX ITGC
VG-15	Cofre de credenciais de fecho seguro (sem chave mestra → recusar).	InfoSec	V–J	ISO 38500; SOX ITGC
VG-16	RBAC de menor privilégio; agentes provisionados sem capacidade de assinatura.	InfoSec	All	COBIT DSS; IIA 3-Lines; SOX
VG-17	Autorização MCP por ferramenta; listas de permitidos de servidores assinados; tratamento de respostas não confiáveis.	FS / Risk	V–J	OWASP LLM Top 10; COBIT DSS
VG-18	Uma estação = uma identidade = um clone (execução atribuível).	FS	V–J	IIA 3-Lines; SOX SoD
VG-19	Ambiente de execução reforçado + credenciais de curta duração intermediadas para estações que executam código.	InfoSec / FS	S	CIS; COBIT DSS
VG-20	Excepção/isenção com limite de tempo e autoridade graduada por risco; invariantes não isentáveis.	Dir + Risk	Any	COBIT EDM; ITIL
VG-21	Acesso multiplataforma através de padrões delimitados e revogáveis; retirado em Jump.	InfoSec	V–J	ISO 38500; SOX ITGC
VG-22	Controlos de protecção de dados para movimentos transfronteiriços (DPA, CCE, aprovação legal).	Risk	O–J	ISO 38500; SOC 2 privacy
VG-23	Teste de controlos contínuo e por vaga; resumo de governação de 8 em 8 horas.	Risk	All	SOC 2; COBIT MEA
VG-24	Garantia independente de terceira linha — registo rederivado fora da equipa operacional.	IA	All	IIA 3-Lines; SOX
VG-25	Descomissionamento da fonte apenas após confirmação de BAU + retenção.	Dir	J	ITIL; COBIT DSS
VG-26	Pacote de evidência de governação exportável com manifesto de correspondência de controlos.	Dir / IA	J	SOC 2; SOX; ISO 38500

Impostos pela máquina e não isentáveis: VG-01, VG-05, VG-07, VG-10, VG-14, VG-15. O catálogo completo (com a evidência que cada controlo produz) consta do white paper, Apêndice G.

A governação como evidência exportável de grau auditor

Para um POC de cliente a caminho da produção, o entregável é um pacote de evidência de governação autónomo e verificável por migração: o registo de portais assinado; o registo de isenções; as provas de reconciliação; o registo de chamadas a ferramentas e ordem de execução; e a vinculação de enquadramento ancorada.

Mapeado, não apenas armazenado. O pacote é exportado com um manifesto de correspondência de controlos que cruza cada artefacto com o objectivo que satisfaz (princípio ISO/IEC 38500, objectivo COBIT, registo de mudança ITIL, elemento SOC 2 CC8.1, controlo SOX ITGC). O auditor do cliente recebe evidência já indexada ao seu próprio catálogo de controlos — o esforço de preparação de auditoria que normalmente domina uma migração regulada torna-se uma exportação de ficheiro.

SEGUINTESegurança & arquitectura de conformidade › SEGUINTEA abordagem & o valor da IA ›