Trust Package (Pacote de Garantia)
Esta página agrupa os materiais mínimos que auditores, jurídico e segurança de TI precisam para avaliar prontidão de adoção. É apenas um hub; TOC de Evidências detalhado e tabelas de Cobertura são mantidos em suas respectivas seções.
Download
Baixar Trust Package PDF (Release Mais Recente)
O Trust Package PDF consolida materiais prontos para auditoria em um único documento. Cada Release do GitHub inclui:
trust_package.pdf— Trust Package em Inglêstrust_package.ja.pdf— Trust Package em Japonêsaimo-standard-artifacts.zip— Schemas, templates, exemplos, regras do validadorSHA256SUMS.txt— Checksums para verificação
O que você recebe
- Conformidade: como reivindicar conformidade e o que os níveis significam — Conformidade
- Mapa de Cobertura: mapeamento para padrões externos — Índice Mapa de Cobertura, Metodologia do Mapa de Cobertura
- Padrão: requisitos e definições normativas — Padrão (Atual)
- Taxonomia: sistema de classificação de 8 dimensões para governança de IA — Taxonomia, Códigos, Dicionário
- Pacote de Evidências: estrutura, TOC, rastreabilidade — Pacote de Evidências
- Requisitos Mínimos de Evidências: checklist de nível DEVE por ciclo de vida — Requisitos Mínimos de Evidências
- Validador: regras e verificações de referência — Validador
- Exemplos: pacotes de amostra prontos para auditoria — Exemplos
- Releases: histórico de mudanças e distribuição — Releases
- Governança: políticas, segurança, licenciamento — Governança
Conjunto mínimo para prontidão de auditoria
| Item | Onde encontrar | Resultado / o que prova |
|---|---|---|
| Níveis de conformidade | Conformidade | Como reivindicar conformidade e o escopo de evidências necessárias |
| Mapeamento de cobertura | Índice Mapa de Cobertura, Metodologia do Mapa de Cobertura | Explicabilidade contra regulamentações e padrões externos |
| Taxonomia e Dicionário | Taxonomia, Códigos, Dicionário | Sistema de classificação para sistemas de IA (8 dimensões, 91 códigos) |
| Artefatos de evidências | Pacote de Evidências, Requisitos Mínimos de Evidências, Template EV | Quais dados devem existir para suportar rastreabilidade |
| Verificações do validador | Validador | Como verificar consistência e completude interna |
| Pacote exemplo | Exemplos | Como um pacote pronto para auditoria se parece na prática |
| Controle de mudanças | Releases, Governança | Como atualizações são gerenciadas e comunicadas |
| Segurança / Licença / Marcas | Governança | Postura jurídica e de segurança para decisões de adoção |
Como citar
Use o README do repositório para orientação e contexto de citação; links de governança para as políticas autoritativas. Veja README.md e Governança.
Conteúdo do zip de artefatos
O aimo-standard-artifacts.zip inclui:
- Taxonomia (SSOT):
source_pack/03_taxonomy/— CSV do Dicionário (91 códigos), YAML, sistema de códigos - JSON Schemas:
schemas/jsonschema/— Schemas de validação legíveis por máquina - Templates:
templates/ev/— Templates de registro de evidências (JSON + Markdown) - Exemplos:
examples/— Pacotes de amostra mínimos para adoção rápida - Mapa de Cobertura:
coverage_map/coverage_map.yaml— Mapeamento para padrões externos - Regras do Validador:
validator/rules/— Definições de regras de validação - Docs de governança:
VERSIONING.md,GOVERNANCE.md,SECURITY.md,LICENSE.txt, etc.
Limite de responsabilidade
O AIMO Standard fornece um formato de evidências estruturado e framework de explicabilidade. Ele não fornece aconselhamento jurídico, certificação de conformidade, avaliação de riscos ou execução de auditoria.
Para a definição completa de escopo, suposições e responsabilidades do adotante, veja Limite de Responsabilidade.
Como preparar um pacote de submissão
Siga estes passos para preparar uma submissão pronta para auditoria:
- Gerar Pacote de Evidências: Crie registros EV, Dicionário, Resumo e Log de Alterações conforme Pacote de Evidências e Requisitos Mínimos de Evidências.
- Executar Validador: Execute
python validator/src/validate.py bundle/root.jsonpara verificar consistência estrutural. Corrija quaisquer erros antes de prosseguir. -
Criar Checksums: Gere checksums SHA-256 para todos os arquivos de submissão:
=== "Linux"
```bash sha256sum *.json *.pdf > SHA256SUMS.txt ```=== "macOS"
```bash shasum -a 256 *.json *.pdf > SHA256SUMS.txt ```=== "Windows (PowerShell)"
```powershell Get-ChildItem *.json, *.pdf | ForEach-Object { $hash = (Get-FileHash $_.FullName -Algorithm SHA256).Hash.ToLower() "$hash $($_.Name)" } | Out-File SHA256SUMS.txt -Encoding UTF8 ```- Empacotar Artefatos: Crie um arquivo zip do seu pacote de evidências:
bash zip -r evidence_bundle.zip bundle_directory/ - Referenciar Versão do Release: Note qual versão do AIMO Standard (ex:
v1.0.0) seu pacote está alinhado. - Entregar: Forneça o zip, checksums e referência de versão para seu auditor ou função de conformidade.
- Empacotar Artefatos: Crie um arquivo zip do seu pacote de evidências:
Para ativos de release e verificação, veja Releases.
Declaração de não-sobrereivindicação
!!! warning "Importante" O AIMO Standard suporta explicabilidade e prontidão de evidências. Ele não fornece aconselhamento jurídico, garante conformidade, nem certifica conformidade com qualquer regulamentação ou framework. Adotantes devem verificar reivindicações contra textos autoritativos e obter aconselhamento profissional conforme apropriado.
Veja Limite de Responsabilidade para detalhes sobre escopo, suposições e responsabilidades do adotante.
Para auditores: Procedimento de verificação
Ao receber uma submissão de evidências, auditores devem verificar integridade e estrutura usando os seguintes passos:
!!! success "Proveniência de Build Disponível" Todos os ativos de release incluem atestações de proveniência de build assinadas criptograficamente. Veja Procedimento de Verificação para passos de verificação de atestação.
Passo 1: Verificar checksums (SHA-256)
=== "Linux"
```bash
# Baixe ou receba SHA256SUMS.txt com a submissão
# Verifique que todos os arquivos correspondem aos checksums registrados
sha256sum -c SHA256SUMS.txt
# Ou verifique arquivos individuais manualmente:
sha256sum evidence_bundle.zip
# Compare saída com o valor em SHA256SUMS.txt
```
=== "macOS"
```bash
# Verifique que todos os arquivos correspondem aos checksums registrados
shasum -a 256 -c SHA256SUMS.txt
# Ou verifique arquivos individuais manualmente:
shasum -a 256 evidence_bundle.zip
# Compare saída com o valor em SHA256SUMS.txt
```
=== "Windows (PowerShell)"
```powershell
# Verifique arquivos individuais
Get-FileHash .\evidence_bundle.zip -Algorithm SHA256
# Compare saída de Hash com SHA256SUMS.txt
Get-Content .\SHA256SUMS.txt
```
Se qualquer checksum falhar, a submissão deve ser rejeitada ou re-solicitada.
Passo 2: Verificar estrutura do pacote (Validador)
Pré-requisitos (configuração única):
# Clone o release oficial do AIMO Standard
git clone https://github.com/billyrise/aimo-standard.git
cd aimo-standard
# IMPORTANTE: Use a versão exata declarada na submissão
# Substitua VERSION pela versão declarada do submissor (ex: v0.0.1)
VERSION=v0.0.1 # ← Corresponda à versão na submissão
git checkout "$VERSION"
# Configure ambiente Python
python -m venv .venv
source .venv/bin/activate # Windows: .venv\Scripts\activate
pip install -r requirements.txt
!!! warning "Correspondência de Versão" Sempre use a versão exata do AIMO Standard declarada na submissão. Usar versão diferente pode causar incompatibilidades de validação devido a mudanças de schema ou regras entre versões.
Execute validação:
# Extraia o pacote submetido
unzip evidence_bundle.zip -d bundle/
# Execute validador contra o root.json do pacote
python validator/src/validate.py bundle/root.json
# Saída esperada: "validation OK" ou lista de erros
Exemplo (usando amostra embutida):
python validator/src/validate.py examples/evidence_bundle_minimal/root.json
O validador verifica:
- Arquivos obrigatórios existem (registros EV, Dicionário)
- Arquivos JSON conformam ao schema
- Referências cruzadas (request_id, review_id, etc.) são válidas
- Timestamps estão presentes e formatados corretamente
Passo 3: Verificar alinhamento de versão
Verifique que a submissão referencia um release oficial do AIMO Standard:
- Confirme que a versão declarada (ex:
v0.0.1) existe em GitHub Releases - Compare schemas submetidos contra os artefatos do release
- Note quaisquer desvios do release oficial
O que procurar
| Verificação | Critério de Aprovação | Ação de Falha |
|---|---|---|
| Checksums correspondem | Todas verificações sha256sum -c passam |
Rejeitar ou re-solicitar |
| Validador passa | Sem erros de validate.py |
Solicitar correções antes de aceitar |
| Versão existe | Tag de release existe no GitHub | Esclarecer alinhamento de versão |
| Campos obrigatórios presentes | Registros EV têm id, timestamp, source, summary | Solicitar completude |
| Rastreabilidade intacta | Referências cruzadas resolvem corretamente | Solicitar correções de vinculação |
!!! info "Independência do auditor" Auditores devem obter o validador e schemas diretamente do release oficial do AIMO Standard, não da parte submissora, para garantir independência de verificação.
Jornada de auditoria
A partir desta página, a jornada de auditoria recomendada é:
- Sistema de classificação: Taxonomia + Dicionário — entenda o sistema de códigos de 8 dimensões
- Estrutura de evidências: Pacote de Evidências — entenda TOC do pacote e rastreabilidade
- Evidências necessárias: Requisitos Mínimos de Evidências — checklist de nível DEVE por ciclo de vida
- Alinhamento de framework: Mapa de Cobertura + Metodologia — veja como AIMO mapeia para frameworks externos
- Validação: Validador — execute verificações de consistência estrutural
- Download: Releases — obtenha ativos de release e verifique checksums