26 COMPLIANCE Desarrollo y operaciones Critico

Compliance as Code — SOC 2 / ISO 27001

licit como herramienta central de compliance: provenance, changelog, FRIA, Annex IV, y evidence bundle mensual.

◻ intake ★☆☆

△ architect ☆☆☆

◇ vigil ★★★

⬡ licit ★★★

Diagrama de arquitectura

Contexto

licit es la herramienta central de compliance. Genera evidence bundles mensuales para auditorias SOC 2 e ISO 27001 combinando provenance, seguridad, y documentacion regulatoria.

Flujo con 4 herramientas

⬡ Fase 01 — licit

Compliance completo

Flujo completo de compliance: trace, changelog, FRIA, Annex IV, report, gaps, verify.

⬡ licit

licit init
licit trace
licit changelog
licit fria
licit annex-iv
licit connect vigil --sarif vigil.sarif
licit report --format html
licit gaps
licit verify --min-score 80

◇ Fase 02 — vigil

Evidencia de seguridad

SARIF como evidencia para auditorias.

◇ vigil

vigil scan src/ --format sarif --output vigil.sarif

Por que licit es critico aqui

Para auditoria SOC 2: provenance responde quien escribio este codigo, vigil SARIF documenta vulnerabilidades, changelog muestra controles de agentes, y FRIA/Annex IV cumplen requisitos legales.