Zgodność wpisana w architekturę i proces wydania.
Brillnet Automation jest projektowany dla środowisk regulowanych. Zgodność nie pojawia się po fakcie jako dokumentacja pomocnicza. Jest mechanizmem, który blokuje wdrożenie, jeśli zabraknie kontroli albo dowodów.
Compliance w Brillnecie to release gate. Produkcja nie rusza, jeśli wymagania regulacyjne nie mają przypisanych kontroli, właścicieli i aktualnych evidence packs.
coverage.rules
- Wymaganie bez właściciela i dowodu nie przechodzi przez release gate.
- Zmiana prawa uruchamia delta-backlog zamiast ręcznego „sprawdźmy kiedyś”.
- Audyt nie zaczyna się od zbierania plików, tylko od gotowego rejestru i evidence packs.
Formalny rejestr wymagań prawnych
Brillnet buduje pełny Compliance RTM — każde wymaganie regulacyjne ma przypisaną kontrolę, właściciela, link do dowodów i termin przeglądu. Nic nie gubi się w arkuszach.
ma przypisaną kontrolę i dowód.
8 regulacji europejskich — wszystkie jako release gate
Każda regulacja jest zmapowana na mechanizmy techniczne. Brak spełnienia blokuje wdrożenie produkcyjne.
GDPR / RODO
Rozporządzenie (UE) 2016/679- Rejestr Czynności Przetwarzania (Art. 30) — automatycznie zasilany
- DSAR workflow E2E (Art. 12–22) — od żądania do eksportu/usunięcia, pełny log terminów
- Polityka retencji per klasa danych (PUBLIC / INTERNAL / CONFIDENTIAL / PII / SPECIAL)
- Runbook naruszeń (Art. 33–34) z timerami 72h i auto escalation
- Redakcja PII w logach — masking/tokenization
- Decommissioning tenanta — 90-dniowy retention + certyfikat niszczenia
"DSAR nie jest już ćwiczeniem manualnym — Brillnet prowadzi każde żądanie przez workflow z automatycznym trackingiem terminów."
DPA i subprocesorzy
Data Processing Agreements · SCC · TIA- Rejestr subprocesorów z DPA, regionem przetwarzania i statusem transferu
- Checklist DPA/SCC — automatyczna weryfikacja kompletności umów
- Status Data Privacy Framework — monitoring + alert przy utracie certyfikacji
- Notyfikacja zmian dostawcy z obsługą sprzeciwu klienta
- TIA (Transfer Impact Assessment) dla transferów high-risk poza EOG
"Każdy dostawca w łańcuchu przetwarzania jest zarejestrowany, zweryfikowany umownie i monitorowany."
EU AI Act
Deadline: 2026-08-02- AI Literacy — moduły edukacyjne dla operatorów systemów AI
- Blokada praktyk zakazanych — guardrails na Model Gateway i Policy Engine
- Transparentność interakcji AI (Art. 50) — oznaczenie treści generowanych przez AI
- Klasyfikacja high-risk use-cases z impact assessment
- Human oversight enforcement — HITL jako hard requirement w pipeline
- Release gate AI — blokada bez zatwierdzonego AI Impact Assessment
"Brillnet nie pozwoli na wdrożenie AI, który nie spełnia wymogów EU AI Act — blokada jest techniczna, nie proceduralna."
NIS2 / KSC
Dyrektywa (UE) 2022/2555 · Krajowy System Cyberbezpieczeństwa- Kontrolki Art. 21 zmapowane na mechanizmy security platformy
- Raportowanie incydentów 24h / 72h / 1m (Art. 23) z timerami i approval path
- Incident freeze — zatrzymanie wdrożeń + snapshot dowodów
- Tabletop i testy incydentowe jako element Definition of Done
- Akceptacja kierownictwa — formalne zatwierdzenie środków bezpieczeństwa
- Roczny przegląd gotowości — kwartalny legal watch dla NIS2
"Kiedy przychodzi regulator, Brillnet dostarcza pełny evidence pack — nie rekonstrukcję z notatek."
EU Data Act
Rozporządzenie (UE) 2023/2854 · Przenoszalność danych- Standardowy eksport danych w każdym momencie lifecycle tenanta
- Runbook migracyjny tenant→tenant i tenant→własna infrastruktura
- Test "clean exit" — migracja bez utraty integralności i bez barier technicznych
- Jawne SLA i koszty switchingu — brak ukrytych barier wyjścia
- Interoperacyjność — shared schema cross-product dla integracji zewnętrznych
"Brillnet nie więzi danych klienta — możliwość wyjścia jest testowana i udokumentowana."
SOC 2 / ISO 27001
Trust Services Criteria · Annex A Controls- Mapowanie TSC + Annex A na konkretne kontrolki techniczne platformy
- CCM — automatyczne testowanie skuteczności kontrolek w trybie ciągłym
- Miesięczny raport compliance — coverage, wyjątki, CAPA
- Evidence packs — deterministyczne: ten sam zakres = ten sam hash weryfikowalny
- Offline verifier (tel-verify) — weryfikacja dowodów bez dostępu do systemu
"Przygotowanie do audytu SOC 2 trwa godziny, nie tygodnie."
ePrivacy / PKE
Dyrektywa 2002/58/WE · Prawo Komunikacji Elektronicznej- Klasyfikacja trackerów (essential / non-essential) z enforcement na poziomie architektury
- Consent manager z immutable audit trail — każda zmiana zgody zalogowana
- Rejestr zgód marketingowych z pełnym dowodem dla każdego odbiorcy
- Rozdział telemetryki operacyjnej od marketingowej — separacja na poziomie architektury
"Telemetria operacyjna i marketing nigdy nie mieszają się w tej samej bazie — separacja jest architektoniczna."
EAA / WCAG 2.2 AA
European Accessibility Act · EN 301 549- Audyt WCAG 2.2 AA / EN 301 549 dla krytycznych ścieżek UI
- Evidence pack dostępności — testy automatyczne + manualne, pełna dokumentacja
- Plan remediacji z priorytetami i terminami — kategoryzacja P0/P1/P2
- Cykliczne przeglądy dostępności — nie jednorazowy audyt, ciągłe monitorowanie
- Release gate WCAG — brak AA w P0 flows blokuje merge i release produkcyjny
"EAA to nie tylko wymóg UX — to obowiązek prawny. Brillnet traktuje go jak bramkę wdrożeniową."
Compliance to proces, nie projekt z datą końcową
Prawo się zmienia. Brillnet monitoruje zmiany regulacyjne i automatycznie tworzy delta-backlog działań dostosowawczych.
Bramka CI/CD
Release PROD jest technicznie blokowany przy braku krytycznych dowodów compliance. Wdrożenie bez zgody jest niemożliwe.
Kwartalny Legal Watch
Systematyczny przegląd zmian w prawie europejskim z automatycznie generowanym delta-backlogiem wymaganych działań.
Zatwierdzony plan zmian
Lista działań dostosowawczych z terminami, właścicielami i statusem. Formalnie zatwierdzona przez kierownictwo.
Compliance nie jest jednorazowym projektem z datą zakończenia.
To ciągły proces wbudowany w każdy release Brillnet Automation.
Porozmawiaj o wdrożeniu