Crosswalk de estándares
🟡 Parcial — Crosswalk parcial; dos estándares con catálogo de cláusulas, pero el registro de autoridades reconoce más fuentes (legislación nacional, Croissant-RAI). La cobertura crece.
Venturalítica gestiona la conformidad mediante proyección: un único sei.yaml (con su sección risk) + bundle de evidencia firmado se proyecta a cada estándar aplicable. La correspondencia entre estándares (crosswalk) está codificada en los catálogos de cláusulas vendorizados en el motor (crates/seigarrena-core/resources/standards/).
Estándares con catálogo
Sección titulada «Estándares con catálogo»El motor conoce actualmente dos estándares con catálogo de cláusulas:
| Id canónico | Estándar | Rol en Venturalítica |
|---|---|---|
eu/pren-18228@2026 | prEN 18228 — gestión de riesgos de IA para el EU AI Act | Prioritario: product-safety, hazard→harm |
iso/23894@2023 | ISO/IEC 23894 — gestión de riesgos de IA | Proceso: ciclo de identificación/análisis/evaluación/tratamiento |
El EU AI Act (Reglamento 2024/1689) y DORA (Reg. UE 2022/2554) no tienen catálogo de cláusulas propio en el motor: sus artículos se citan en las medidas vía article: y frameworks: en la sección risk de sei.yaml.
Además del catálogo de cláusulas, el motor mantiene un registro de autoridades tipadas (resources/standards/registry.yaml) que reconoce más fuentes normativas con su nivel de autoridad: estándares internacionales (familia ISO/IEC), borradores armonizados (prEN), legislación nacional (p. ej. el Estatuto de los Trabajadores y la LOPDGDD españolas, autoridad national_legislation, PR#54) y estándares de facto como Croissant-RAI de MLCommons (mlcommons/croissant-rai@1.0, autoridad de_facto, PR#88). Estas fuentes alimentan la deriva de presunción de conformidad aunque todavía no tengan catálogo de cláusulas completo.
Tabla de correspondencia
Sección titulada «Tabla de correspondencia»La tabla siguiente muestra la alineación entre los requisitos del Anexo IV (Art. 11 EU AI Act), las cláusulas de prEN 18228, y las cláusulas de ISO 23894. Se indica dónde encajan los controles de ISO/IEC 42001 (gestión de sistemas de IA) cuando son pertinentes.
Las celdas describen el objeto de cada cláusula por paráfrasis (nunca texto íntegro de los estándares con copyright).
| EU AI Act (Annex IV / Art.) | prEN 18228 | ISO 23894 | ISO 42001 | Qué cubre en Venturalítica |
|---|---|---|---|---|
| Annex IV §1 — descripción del sistema, finalidad prevista, versión | cl. 6.2.1 — finalidad prevista | — | 6.1.1 — contexto de la organización | sei.yaml (system.intended_purpose); el Anexo IV lo ensambla la nube desde el bundle.json firmado |
| Art. 9(2)(b) — mal uso razonablemente previsible | cl. 6.2.2 — mal uso previsible | — | 6.1.4 — evaluación de impacto del sistema | system.potential_misuses en sei.yaml; sei impact señala el mal uso sin atender |
| Art. 9(2)(b) — estimación de riesgos | cl. 6.3 — estimación del riesgo | §6.4.3 — análisis (matriz likelihood×impacto) | 6.1.2 — valoración del riesgo | impact/likelihood por riesgo; matriz 5×5 en el bundle |
| Art. 9(2)(b) — evaluación de riesgos | cl. 7 — evaluación del riesgo | §6.4.4 — evaluación vs apetito | 6.1.2e — decidir si requiere tratamiento | Evaluación inherent_level vs appetite por riesgo; sei reconstruct lo narra |
| Art. 9(5-a) — jerarquía de controles | cl. 9.1.2 — aplicar la jerarquía de controles | — | — | control_tier por medida; sei conformance verifica la jerarquía |
| Art. 9(5) — implantación y verificación de controles | cl. 9.2 — implantación/verificación | §6.5 — tratamiento del riesgo | 6.1.3 — opciones de tratamiento | Measures con enforcement: gate/audit; sei run las ejecuta y firma |
| Art. 9(5) — riesgo residual por control | cl. 9.3 — evaluación del riesgo residual | §6.5 — tratamiento (residual objetivo) | — | residual_likelihood por riesgo; confirmado por el control bloqueante |
| Art. 9(5) — riesgo residual global aceptable | cl. 10 — evaluación del riesgo residual GLOBAL | — | — | bundle.overall_residual_acceptable(); gap si no se alcanza |
| Art. 9(6) — pruebas con criterios de aceptación | cl. 8.1 — pruebas + evidencia objetiva + power-stats | — | — | constraint por measure + power (IC bootstrap) en ControlResult |
| Art. 9 — revisión y aprobación del plan | cl. 11 — revisión del sistema de gestión de riesgos | §6.6 — seguimiento y revisión | 6.1.3 — aprobación por dirección | sei approve --by <persona> — commit atribuible; sei reconstruct lo registra |
| Art. 11 + Annex IV — documentación técnica | cl. 4.6 — fichero de gestión de riesgos | §6.7 — registro e informe | — | .sei/bundle.json firmado (ECDSA-P256+DSSE+in-toto); la nube ensambla el Anexo IV a partir del bundle |
| Art. 10 — gobernanza de datos | — | §6.4.2 — identificación (datos como fuente de riesgo) | 6.2 — recursos / datos | Measures lifecycle: data_preparation; riesgo risk.data-governance |
Cómo sei conformance materializa el crosswalk
Sección titulada «Cómo sei conformance materializa el crosswalk»El crosswalk no es una hoja de cálculo externa: está codificado en los catálogos de cláusulas vendorizados del motor (pren-18228-clauses.yaml, iso-23894-clauses.yaml). Cada cláusula del catálogo declara cómo se satisface:
clauses: - id: "9.2" title: "Implementation and verification of risk control measures" cycle_phase: risk_control annex_za: ["art-9-5"] satisfied_by: measures_citing: true # se cubre si ≥1 measure cita eu/pren-18228@2026#9.2 y pasa
- id: "9.1.2" title: "Applying the hierarchy of risk control" cycle_phase: risk_control satisfied_by: criterion: control_hierarchy # se cubre si el AP tiene controles por nivel jerárquico
- id: "10" title: "Evaluation of overall residual risk" cycle_phase: overall_residual satisfied_by: criterion: overall_residual # se cubre si bundle.overall_residual_acceptable() = true
- id: "4.6" title: "Risk management file" cycle_phase: file satisfied_by: evidence: signed_bundle # se cubre si hay un bundle firmadoclauses: - id: "6.4.2" title: "Risk identification" cycle_phase: identification satisfied_by: measures_citing: true
- id: "6.5" title: "Risk treatment" cycle_phase: treatment satisfied_by: measures_citing: trueMecanismo de proyección
Sección titulada «Mecanismo de proyección»sei conformance ejecuta derive_conformance(ap, control_results, bundle, standard_id):
- Carga el catálogo del estándar pedido.
- Por cada cláusula evalúa, en orden de prioridad:
criterionbuilt-in →measures_citing(measures del AP que citan la cláusula enstandard_clausesy pasan) →evidence(artefacto del bundle presente). - Emite
CUBIERTA/PARCIAL/HUECOpor cláusula, agrupado por fase de ciclo. - El mismo
sei.yaml(secciónrisk) + bundle produce informes independientes paraeu/pren-18228@2026eiso/23894@2023sin re-anotar (dedup).
# Conformidad prEN 18228 (prioritario)sei conformance --repo . --standard eu/pren-18228@2026
# Conformidad ISO 23894sei conformance --repo . --standard iso/23894@2023
# Todos los estándares con catálogo declarados en applicable_standardssei conformance --repo .
# Evolución iteración a iteración (RDD)sei conformance --repo . --standard eu/pren-18228@2026 --history
# Escribir artefacto firmado (.sei/conformance/<slug>.json + .sig)sei conformance --repo . --outEl resultado de --out se deposita en .sei/conformance/eu_pren-18228_2026.json y .sei/conformance/iso_23894_2023.json (firmados), listos para que la nube los renderice sin recalcular.
Correspondencia Annex ZA (prEN 18228 ↔ EU AI Act)
Sección titulada «Correspondencia Annex ZA (prEN 18228 ↔ EU AI Act)»El catálogo pren-18228-clauses.yaml incluye los ids de artículos del EU AI Act que cada cláusula aborda (annex_za), según la tabla de correspondencia normativa (Annex ZA del estándar). Esta correspondencia se usa sólo como documentación; sei conformance no la evalúa directamente.
| Cláusula prEN 18228 | Artículo(s) EU AI Act (Annex ZA) |
|---|---|
| 6.2.1 — finalidad prevista | Art. 9(2) |
| 6.2.2 — mal uso previsible | Art. 9(2)(a) |
| 6.3 — estimación | Art. 9(2)(b) |
| 7 — evaluación | Art. 9(2)(b) |
| 8.1 — pruebas | Art. 9(6) |
| 9.1.2 — jerarquía | Art. 9(5)(a) |
| 9.2 — implantación | Art. 9(5) |
| 9.3 — residual por control | Art. 9(5) |
| 10 — residual global | Art. 9(5) |
| 11 — revisión | Art. 9 |
| 4.6 — fichero de riesgos | Art. 9(2) |
Referencias
Sección titulada «Referencias»- Para el flujo completo de conformidad dual: guias/conformidad-dual
- Descripción del estándar prEN 18228 en contexto: conceptos/pren-18228
- Descripción de ISO 23894 en contexto: conceptos/iso-23894
- Artículos relevantes del EU AI Act: conceptos/eu-ai-act