Compliance
Compliance-Posture lesen, Annex-IV-Berichte generieren und Flare-Attestierungen verifizieren.
Diese Endpoints stellen die Compliance-Engine bereit: Framework-für-Framework-Readiness, exportierbare Evidenz und öffentliche Attestierungs-Verifikation.
Palveron ist selbst nicht nach SOC 2, ISO 27001, ISO 42001 oder HIPAA zertifiziert. Die Plattform liefert Controls, Evidenz und Reporting, damit Ihr Projekt diese Zertifizierungen anstreben und halten kann — die Framework-Listen beschreiben, was Palveron unterstützt, nicht Zertifizierungen, die Palveron hält.
GET /api/v1/compliance/dashboard
Liefert den aktuellen Readiness-Stand für jedes Framework, das auf dem Projekt aktivierbar ist — Palveron unterstützt Controls für EU AI Act, DORA, NIST AI RMF, GDPR, HIPAA, SOC 2, ISO 27001, ISO 42001, OWASP Agentic, Singapore PDPA und Colorado AI.
{
"frameworks": [
{
"id": "eu_ai_act",
"name": "EU AI Act",
"readiness_pct": 0.87,
"missing_controls": 2,
"implemented_controls": 18,
"enforced_controls": 14
}
],
"controls": [
{
"id": "ctrl.shadow_ai.asset_inventory",
"status": "enforced",
"frameworks": ["eu_ai_act", "dora", "nist_ai_rmf"]
}
]
}Status-Werte: missing, documented, partial, implemented, enforced. Nutzen Sie enforced für Ihre „Audit-ready"-Anzeige.
GET /api/v1/compliance/report
GET /api/v1/compliance/report?from=2026-01-01&to=2026-03-31| Query | Default | Werte |
|---|---|---|
from | — (optional) | ISO-8601-Datum (z. B. 2026-01-01) — Beginn des Trace-Zeitraums |
to | — (optional) | ISO-8601-Datum — Ende des Trace-Zeitraums |
Generiert den vollständigen Compliance-Evidenz-Bericht als PDF (application/pdf, Download-Attachment). Der Bericht deckt immer alle auf dem Projekt aktiven Frameworks ab und enthält: Projekt-Metadaten, den Compliance-Score mit Dimensions-Aufschlüsselung (dieselbe Berechnung wie das Dashboard), Trace-Statistiken, Agent-Inventar, Policy-Katalog, jüngste Traces, Flare-Anchoring-Konfiguration, die aufgelöste Datenaufbewahrungs-Posture des Projekts und die NGE-Analyse-Architektur. from/to begrenzen die Trace-Statistiken; ohne beide entsteht ein All-Time-Bericht.
Ungültige from/to-Werte liefern 400 mit {"error": "Invalid date filter", "detail": "..."} — Datumsfilter werden nie still verworfen.
Erfordert das Entitlement compliance_report_pdf; nicht berechtigte Tiers erhalten 403 mit {"error": "feature_not_entitled"}.
POST /api/v1/verify-proof
Öffentlicher Endpoint — keine Authentifizierung erforderlich. Liefert zu einer Trace-ID oder einem Integritäts-Hash den Flare-Anchor-Beweis und das Verifikationsergebnis.
{
"trace_id": "cktrace...",
"integrity_hash": "sha256:...",
"flare_tx_hash": "0x...",
"merkle_proof": ["0x...", "0x..."],
"verified": true,
"network": "flare_mainnet"
}Damit können externe Auditoren eine Governance-Entscheidung unabhängig gegen die Blockchain bestätigen — ohne Account auf Ihrem Projekt.
POST /api/v1/compliance/incidents
Compliance-Vorfall melden (EU-KI-Verordnung Art. 73 — Meldung schwerwiegender Vorfälle).
{
"title": "Verzerrte Ausgabe im HR-Screening",
"description": "Agent produzierte verzerrte Ausgabe im HR-Screening.",
"severity": "HIGH",
"incident_type": "fundamental_rights",
"agent_id": "ckagent...",
"affected_users": 12,
"immediate_action": "Agent bis zur Prüfung pausiert."
}| Feld | Erforderlich | Beschreibung |
|---|---|---|
title | ✅ | Kurzer Vorfalls-Titel |
description | ✅ | Was passiert ist |
severity | — | z. B. HIGH |
incident_type | — | Freiform-Kategorie (z. B. fundamental_rights) |
ai_system_id | — | Zugehöriges registriertes KI-System |
agent_id | — | Zugehöriger Agent |
affected_users | — | Anzahl betroffener Personen |
immediate_action | — | Bereits ergriffene Sofortmaßnahme |
Der Endpoint erzeugt einen Vorfalls-Record; Vorfälle gehören zu den verpflichtenden Flare-Attestierungs-Events. Vorfälle auflisten über GET /api/v1/compliance/incidents (Filter: status, severity, limit, offset).