COMPLIANCE · CERTIFICATIONS

合規不是勾選框
它是架構本身。

TrustAI 將合規義務編碼為可執行的技術控制。當監理機關問「你怎麼知道?」,您的答案是一份直接從稽核儲存導出的證據報表——不是一份 PDF 承諾。

最後更新:2026 年 1 月

GOVERNANCE IN PRODUCTION

已落地的治理能力

這些不是路線圖——是現在就在治理閘道層運作的控制。

EU AI Act 政策引擎

已上線
OPA

以 OPA/Rego 即時評估每次推論:Annex III 高風險分級、Art.14 人為監督強制(高風險且無人審核則暫停)、Art.13 決策透明(每筆決策附帶理由)。

AI 風險登錄

已上線
RISK REGISTRY

為每個 AI 使用情境登錄風險分級、EU AI Act 附件對應、所用資料類型、是否需人為監督與審查頻率,並以結構化評估追蹤威脅、可能性、衝擊、緩解措施與殘餘風險。

AI 事件管理

已上線
INCIDENT LOG

從觸發來源、嚴重度、證據留存、指派處理人到結案備註的完整事件工作流,依組織嚴格隔離。

模型治理註冊表

已上線
MODEL REGISTRY

記錄每個模型的預期用途、已知限制、通過的安全基準、核准人與核准時間——對應 EU AI Act Annex IV 技術文件精神。

自動 PII 洩漏評估

已上線
RED-TEAM

主動對模型執行 PII 洩漏紅隊測試,輸出通過率與失敗案例,作為上線前與定期治理的客觀證據。

即時 PII 遮罩

已上線
PRESIDIO

治理閘道前置與後置遮罩個人資料,對話全程留痕並追蹤成本,依角色限制稽核存取範圍。

REGULATORY COVERAGE

監理覆蓋

EU AI Act 已內建於政策引擎;其餘全球主要 AI 與資料保護框架的控制對應,依下列狀態逐步交付。

EU AI Act

EU · AI 法規
已對應

已以 OPA/Rego 政策引擎實作風險分級與使用情境登錄,閘道層即時評估每次推論。

風險分級Annex 對應人為監督
EUR-Lex 原文

NIST AI RMF 1.0

美國 · 國家標準
進行中

AI 風險管理框架對應設計與實作進行中,逐步映射至 TrustAI 治理控制。

GOVERNMAPMEASUREMANAGE
NIST AI RMF 官網

GDPR

EU · REGULATION
進行中

PII 遮罩與推論留痕已具備;自動化決策反對權、DPIA 模板等完整對應持續強化中。

Art. 22Art. 25Art. 32Art. 35
EUR-Lex 原文

台灣個人資料保護法

TW · 法遵
規劃中

個資存取軌跡與告知義務文件自動產出之對應為規劃中項目。

第 27 條第 28 條施行細則
全國法規資料庫

金管會 金融業 AI 應用指引

TW · 主管機關
規劃中

七大核心原則映射為可稽核技術與流程控制,為規劃中項目。

治理風險透明公平
金管會官網

ISO/IEC 42001:2023

ISO · AI 管理系統
規劃中

預設控制清單與自動化證據生成器為規劃中項目。

Clause 4-10Annex A
ISO 42001 官方頁面

SOC 2 Type II

AICPA · 信任服務
規劃中

持續性證據收集與觀察期稽核軌跡為規劃中項目。

SecurityAvailabilityConfidentiality
EVIDENCE CHAIN

可稽核的證據鏈

從請求到稽核報表,每一步都在治理閘道留下結構化證據。

STEP 01
請求進入
使用者身分驗證 (JWT) + 時間戳
STEP 02
政策評估
OPA 政策命中 + 風險分級
STEP 03
模型推論
模型版本記錄 + PII 遮罩
STEP 04
結果落盤
集中式稽核儲存 + 成本記錄
STEP 05
稽核可查
角色化存取 + 證據導出

規劃中:防竄改密碼學稽核鏈(WORM 儲存、鏈式雜湊與可第三方驗證的 Merkle root)。

DATA SOVEREIGNTY

資料主權地圖

您的資料從未離開您選定的邊界。對比傳統雲端 AI 服務。

雲端 AI 服務Typical SaaS
Prompt 跨境傳輸
模型權重由供應商控制
稽核需向供應商索取
遙測數據持續回傳
授權心跳經網際網路
供應商中止即服務終止
TrustAI 地端Your Datacenter
Prompt 永不出機房
模型權重由您託管與簽署
稽核資料您完全擁有
零遙測 · 架構層面確保
授權於本地驗證(硬體 TPM 綁定規劃中)
斷網、供應商消失皆持續運作