Benjamin_Boenisch/breakpilot-compliance
1
0
Fork 0
Code Issues 24 Pull Requests Actions Packages Projects Releases Wiki Activity
Files
a2205abea19e262339a68de2c66e7048c992663c
breakpilot-compliance/admin-compliance/app/sdk/sdk-flow/steps-betrieb.ts
Benjamin Admin a2205abea1 docs: update Architecture + SDK Flow with Control Pipeline + Dependency Engine 
Architecture (architecture-data.ts):
- Replace document-crawler with control-pipeline (Port 8098)
- Add 9 DB tables, 5 RAG collections, 10 API endpoints
- Add edges: control-pipeline → PostgreSQL, Qdrant, Ollama

SDK Flow (steps-betrieb.ts):
- Add 4 new steps (seq 5200-5500):
  - Canonical Control Library (7-stage generation pipeline)
  - Pass 0a: Obligation Extraction (181k obligations)
  - Pass 0b: Atomic Composition (MCP-taugliche controls)
  - Dependency Engine + Evaluation (5 types, auto-generation)

Co-Authored-By: Claude Opus 4.6 (1M context) <noreply@anthropic.com>
2026-04-26 21:04:11 +02:00

345 lines
18 KiB
TypeScript
Raw Blame History

/**
* SDK Flow Steps — Paket 5: Betrieb (seq 4000+)
*/
import type { SDKFlowStep } from './types'
export const STEPS_BETRIEB: SDKFlowStep[] = [
{
id: 'dsr',
name: 'DSR Portal',
nameShort: 'DSR',
package: 'betrieb',
seq: 4000,
checkpointId: 'CP-DSR',
checkpointType: 'REQUIRED',
checkpointReviewer: 'NONE',
description: 'Einrichtung des Portals fuer Betroffenenrechte (Auskunft, Loeschung, Widerspruch).',
descriptionLong: 'Das DSR-Portal (Data Subject Rights) ermoeglicht es betroffenen Personen, ihre Rechte nach Art. 15-22 DSGVO auszuueben: Auskunftsrecht, Berichtigungsrecht, Loeschungsrecht ("Recht auf Vergessenwerden"), Einschraenkung der Verarbeitung, Datenportabilitaet und Widerspruchsrecht. Das Portal generiert automatisch Formulare, verwaltet Fristen (30 Tage) und dokumentiert die Bearbeitung jeder Anfrage fuer die Nachweispflicht.',
legalBasis: 'Art. 15-22 DSGVO (Betroffenenrechte)',
inputs: ['vvt', 'consents'],
outputs: ['dsrConfig'],
prerequisiteSteps: ['workflow'],
dbTables: [],
dbMode: 'none',
ragCollections: ['bp_compliance_recht'],
ragPurpose: 'Art. 15-21 DSGVO Betroffenenrechte',
isOptional: false,
url: '/sdk/dsr',
completion: 100,
},
{
id: 'escalations',
name: 'Escalations',
nameShort: 'Eskalationen',
package: 'betrieb',
seq: 4100,
checkpointId: 'CP-ESC',
checkpointType: 'REQUIRED',
checkpointReviewer: 'NONE',
description: 'Definition von Eskalationspfaden bei Compliance-Verstoessen und Datenpannen — vollstaendig backend-persistent.',
descriptionLong: 'Das Eskalationsmanagement definiert klare Eskalationspfade fuer verschiedene Szenarien: Datenschutzverletzungen (Art. 33/34 DSGVO), Compliance-Verstoesse, Betroffenen-Beschwerden und Aufsichtsbehoerden-Anfragen. Fuer jedes Szenario werden Verantwortliche, Fristen (72h bei Datenpannen), Kommunikationswege und Massnahmen festgelegt. Eskalationen koennen aus DSR, Incidents und Whistleblower-Modulen heraus erstellt werden. Alle Daten werden in compliance_escalations gespeichert.',
legalBasis: 'Art. 33, 34 DSGVO (Meldepflichten bei Datenpannen)',
inputs: ['risks', 'controls'],
outputs: ['escalationWorkflows'],
prerequisiteSteps: ['dsr'],
dbTables: ['compliance_escalations'],
dbMode: 'read/write',
ragCollections: [],
isOptional: false,
url: '/sdk/escalations',
completion: 100,
},
{
id: 'consent-management',
name: 'Consent Verwaltung',
nameShort: 'Consent Mgmt',
package: 'betrieb',
seq: 4300,
checkpointId: 'CP-CMGMT',
checkpointType: 'REQUIRED',
checkpointReviewer: 'NONE',
description: 'Laufende Verwaltung aller erteilten und widerrufenen Einwilligungen — E-Mail-Templates + DSGVO-Prozesse aus DB.',
descriptionLong: 'Das Consent Management System verwaltet im laufenden Betrieb alle erteilten Einwilligungen. E-Mail-Templates (Bestaetigungen, DSR-Antworten, etc.) und DSGVO-Prozesse (Art. 15-21) werden in der Datenbank gespeichert und koennen inline bearbeitet werden. Das System stellt sicher, dass Einwilligungen nachweisbar sind (Art. 7 Abs. 1 DSGVO), Widerrufe sofort wirksam werden und bei geaenderten Zwecken neue Einwilligungen eingeholt werden.',
legalBasis: 'Art. 7 DSGVO (Bedingungen fuer die Einwilligung)',
inputs: ['consents', 'documents'],
outputs: ['consentManagement'],
prerequisiteSteps: ['vendor-compliance'],
dbTables: ['compliance_consent_email_templates', 'compliance_consent_gdpr_processes'],
dbMode: 'read/write',
ragCollections: [],
isOptional: false,
url: '/sdk/consent-management',
completion: 100,
},
{
id: 'notfallplan',
name: 'Notfallplan & Breach Response',
nameShort: 'Notfallplan',
package: 'betrieb',
seq: 4400,
checkpointId: 'CP-NOTF',
checkpointType: 'REQUIRED',
checkpointReviewer: 'NONE',
description: 'Erstellung eines Notfallplans fuer Datenpannen und Sicherheitsvorfaelle — vollstaendig backend-persistent.',
descriptionLong: 'Der Notfallplan definiert das Vorgehen bei Datenschutzverletzungen (Data Breaches). Er enthaelt: Sofortmassnahmen zur Schadensbegrenzung, Meldeprozess an die Aufsichtsbehoerde (innerhalb 72h nach Art. 33 DSGVO), Benachrichtigung betroffener Personen (Art. 34 DSGVO), Dokumentation des Vorfalls und Massnahmen zur Verhinderung kuenftiger Vorfaelle. Alle Szenarien, Notfallkontakte, Checklisten und Uebungen werden in der Datenbank gespeichert — kein Mock-Data mehr.',
legalBasis: 'Art. 33, 34 DSGVO (Meldung von Datenpannen)',
inputs: ['risks', 'controls'],
outputs: ['incidentResponsePlan'],
prerequisiteSteps: ['consent-management'],
dbTables: ['compliance_notfallplan_scenarios', 'compliance_notfallplan_contacts', 'compliance_notfallplan_checklists', 'compliance_notfallplan_exercises'],
dbMode: 'read/write',
ragCollections: [],
generates: ['Notfallplan (PDF)'],
isOptional: false,
url: '/sdk/notfallplan',
completion: 100,
},
{
id: 'incidents',
name: 'Incident Management',
nameShort: 'Incidents',
package: 'betrieb',
seq: 4500,
checkpointId: 'CP-INC',
checkpointType: 'REQUIRED',
checkpointReviewer: 'NONE',
description: 'Verwaltung und Dokumentation von Datenschutz-Vorfaellen und Sicherheitsereignissen.',
descriptionLong: 'Das Incident Management System ermoeglicht die strukturierte Erfassung, Bewertung und Bearbeitung von Datenschutzvorfaellen. Jeder Vorfall wird klassifiziert (Schweregrad, betroffene Daten, Anzahl Betroffener), der Notfallplan wird aktiviert und alle Massnahmen werden protokolliert. Das System berechnet automatisch, ob eine Meldepflicht an die Aufsichtsbehoerde oder eine Benachrichtigung der Betroffenen erforderlich ist. Historische Vorfaelle werden im Incident Registry archiviert.',
legalBasis: 'Art. 33 DSGVO (Meldung an Aufsichtsbehoerde)',
inputs: ['incidentResponsePlan'],
outputs: ['incidentRegistry'],
prerequisiteSteps: ['notfallplan'],
dbTables: [],
dbMode: 'none',
ragCollections: [],
isOptional: false,
url: '/sdk/incidents',
completion: 100,
},
{
id: 'whistleblower',
name: 'Hinweisgebersystem',
nameShort: 'Whistleblower',
package: 'betrieb',
seq: 4600,
checkpointId: 'CP-WB',
checkpointType: 'REQUIRED',
checkpointReviewer: 'NONE',
description: 'Einrichtung eines anonymen Meldekanals nach HinSchG.',
descriptionLong: 'Das Hinweisgebersystem erfuellt die Anforderungen des Hinweisgeberschutzgesetzes (HinSchG). Es bietet Mitarbeitern und externen Personen einen sicheren, anonymen Kanal zur Meldung von Verstoessen gegen Compliance-Regeln, Datenschutzrecht oder andere Vorschriften. Das System schuetzt die Identitaet des Hinweisgebers, dokumentiert den Bearbeitungsprozess und stellt die Einhaltung der gesetzlichen Fristen (7 Tage Eingangsbestaetigung, 3 Monate Rueckmeldung) sicher.',
legalBasis: 'HinSchG (Hinweisgeberschutzgesetz)',
inputs: ['companyProfile'],
outputs: ['whistleblowerConfig'],
prerequisiteSteps: ['incidents'],
dbTables: [],
dbMode: 'none',
ragCollections: [],
isOptional: false,
url: '/sdk/whistleblower',
completion: 100,
},
{
id: 'academy',
name: 'Compliance Academy',
nameShort: 'Academy',
package: 'betrieb',
seq: 4700,
checkpointId: 'CP-ACAD',
checkpointType: 'REQUIRED',
checkpointReviewer: 'NONE',
description: 'Erstellung eines Schulungsplans fuer Mitarbeiter zu Datenschutz und Compliance.',
descriptionLong: 'Die Compliance Academy erstellt basierend auf dem Unternehmensprofil und den aktivierten Modulen einen massgeschneiderten Schulungsplan. Verschiedene Mitarbeitergruppen erhalten unterschiedliche Schulungsinhalte: Grundlagen-Datenschutz fuer alle, vertiefte DSGVO-Schulung fuer die IT, AI-Act-Schulung fuer KI-Entwickler, Fuehrungskraefte-Schulung fuer das Management. Der Plan definiert Schulungsintervalle, Pflicht- und Wahlmodule und Erfolgskontrolle.',
inputs: ['companyProfile', 'modules'],
outputs: ['trainingPlan'],
prerequisiteSteps: ['whistleblower'],
dbTables: [],
dbMode: 'none',
ragCollections: [],
isOptional: false,
url: '/sdk/academy',
},
{
id: 'training',
name: 'Training Engine',
nameShort: 'Training',
package: 'betrieb',
seq: 4800,
checkpointId: 'CP-TRAIN',
checkpointType: 'REQUIRED',
checkpointReviewer: 'NONE',
description: 'Durchfuehrung und Tracking von Compliance-Schulungen mit Quizzes und Zertifikaten — vollstaendig backend-persistent.',
descriptionLong: 'Die Training Engine setzt den Schulungsplan der Academy um. Sie bietet interaktive Schulungsmodule (DSGVO, AI Act, ISO 27001 etc.) mit Quizzes, automatisch generierten Inhalten und Zertifikaten. 28 vordefinierte Schulungsmodule sind hinterlegt. Jede abgeschlossene Schulung wird dokumentiert (Teilnehmer, Datum, Ergebnis, Quiz-Versuch) und dient als Evidence fuer Audits. Die Engine ueberwacht Faelligkeiten, sendet Erinnerungen bei ausstehenden Pflichtschulungen und generiert Compliance-Reports ueber den Schulungsstand aller Mitarbeiter. Backend: ai-compliance-sdk (Go, Port 8093) via /sdk/v1/training/*. Schulungsmatrix ordnet Rollen Pflichtmodulen zu.',
inputs: ['trainingPlan', 'modules'],
outputs: ['trainingContent'],
prerequisiteSteps: ['academy'],
dbTables: ['training_modules', 'training_assignments', 'training_quiz_questions', 'training_quiz_attempts', 'training_matrix_entries', 'training_audit_log'],
dbMode: 'read/write',
ragCollections: [],
isOptional: false,
url: '/sdk/training',
},
{
id: 'security-backlog',
name: 'Security Backlog',
nameShort: 'Sec-Backlog',
package: 'betrieb',
seq: 4900,
checkpointId: 'CP-SEC',
checkpointType: 'RECOMMENDED',
checkpointReviewer: 'NONE',
description: 'Verwaltung offener Sicherheits-Findings: Schwachstellen, Fehlkonfigurationen und Haertungsmassnahmen.',
descriptionLong: 'Der Security Backlog erfasst alle identifizierten IT-Sicherheitsprobleme: CVE-Schwachstellen, Fehlkonfigurationen, Compliance-Luecken und Haertungsmassnahmen. Jeder Befund wird nach Schweregrad (critical/high/medium/low) klassifiziert, CVSS-Scores und betroffene Assets werden dokumentiert.',
legalBasis: 'Art. 32 DSGVO (Sicherheit der Verarbeitung), BSIG / IT-SiG 2.0',
inputs: ['risks', 'controls'],
outputs: ['securityBacklog'],
prerequisiteSteps: ['training'],
dbTables: ['compliance_security_backlog'],
dbMode: 'read/write',
ragCollections: [],
isOptional: true,
url: '/sdk/security-backlog',
completion: 100,
},
{
id: 'quality',
name: 'KI-Qualitaetsmanagement',
nameShort: 'Quality',
package: 'betrieb',
seq: 5000,
checkpointId: 'CP-QUAL',
checkpointType: 'RECOMMENDED',
checkpointReviewer: 'NONE',
description: 'Kontinuierliches Monitoring von KI-Qualitaetsmetriken: Genauigkeit, Fairness, Erklaerbarkeit und Tests.',
descriptionLong: 'Das KI-Qualitaetsmanagement ueberwacht alle KI-Systeme auf Qualitaetsmetriken. Fuer jede Metrik wird ein Schwellenwert definiert; Ueberschreitungen loesen Warnungen aus. Qualitaetstests werden dokumentiert. Liefert Evidence fuer AI-Act High-Risk Anforderungen (Art. 9, Art. 15).',
legalBasis: 'Art. 9 AI Act (Risikomanagementsystem), Art. 15 AI Act (Genauigkeit)',
inputs: ['aiActClassification'],
outputs: ['qualityMetrics'],
prerequisiteSteps: ['security-backlog'],
dbTables: ['compliance_quality_metrics', 'compliance_quality_tests'],
dbMode: 'read/write',
ragCollections: [],
isOptional: true,
url: '/sdk/quality',
completion: 100,
},
{
id: 'isms',
name: 'ISMS (ISO 27001)',
nameShort: 'ISMS',
package: 'betrieb',
seq: 5100,
checkpointId: 'CP-ISMS',
checkpointType: 'RECOMMENDED',
checkpointReviewer: 'DSB',
description: 'Informationssicherheits-Managementsystem: Scope, Policies, SoA, Audits, CAPA, Management-Reviews und Readiness-Check.',
descriptionLong: 'ISO 27001 Zertifizierungsvorbereitung. Verwaltet den ISMS-Scope (Kap. 4.3), Kontextanalyse (4.1/4.2), Sicherheitspolicies (5.2), Security Objectives mit SMART-KPIs (6.2), Statement of Applicability fuer alle 93 Annex-A-Controls, interne Audits (9.2), Management-Reviews (9.3), Audit-Findings mit CAPA-Workflow und einen automatischen Readiness-Check der potenzielle Major/Minor-Findings vor der externen Zertifizierung identifiziert.',
legalBasis: 'ISO/IEC 27001:2022, Art. 32 DSGVO (Sicherheit der Verarbeitung)',
inputs: ['risks', 'controls', 'requirements'],
outputs: ['ismsReadiness'],
prerequisiteSteps: ['quality'],
dbTables: [
'compliance_isms_scope', 'compliance_isms_context', 'compliance_isms_policy',
'compliance_security_objectives', 'compliance_soa',
'compliance_audit_findings', 'compliance_corrective_actions',
'compliance_management_reviews', 'compliance_internal_audits',
'compliance_audit_trail', 'compliance_isms_readiness_checks',
],
dbMode: 'read/write',
ragCollections: [],
isOptional: true,
url: '/sdk/isms',
completion: 100,
},
// ── Control Pipeline ─────────────────────────────────────────────────────
{
id: 'control-library',
name: 'Canonical Control Library',
nameShort: 'Control Library',
package: 'betrieb',
seq: 5200,
checkpointId: 'CP-CLIB',
checkpointType: 'REQUIRED',
checkpointReviewer: 'NONE',
description: 'Verwaltung der ~33.000 Rich Controls aus dem RAG-Korpus. 7-Stufen-Pipeline mit Lizenz-Gate.',
descriptionLong: 'Die Canonical Control Library ist das zentrale Verzeichnis aller aus Regulierungstexten generierten Compliance Controls. Die 7-Stufen-Pipeline verarbeitet ~105.000 RAG-Chunks: (1) RAG Scan, (2) Lizenz-Klassifikation (Rule 1/2/3), (3a) Strukturierung (Rule 1+2) oder (3b) Reformulierung (Rule 3), (4) Harmonisierung (Embedding-Dedup), (5) Anchor Search (Open-Source-Referenzen), (6) Speicherung, (7) Chunk-Tracking. Domains: AUTH, CRYP, NET, DATA, SEC, AI, COMP, GOV, LAB, FIN u.a.',
legalBasis: 'UrhG §44b (Text & Data Mining), UrhG §23 (Hinreichender Abstand)',
inputs: ['ragChunks'],
outputs: ['canonicalControls'],
prerequisiteSteps: [],
dbTables: ['canonical_controls', 'canonical_processed_chunks', 'canonical_generation_jobs'],
dbMode: 'read/write',
ragCollections: ['bp_compliance_gesetze', 'bp_compliance_datenschutz', 'bp_compliance_ce', 'bp_dsfa_corpus', 'bp_legal_templates'],
ragPurpose: 'Quelldokumente fuer Control-Generierung (Gesetze, Verordnungen, Standards)',
isOptional: false,
url: '/sdk/control-library',
completion: 100,
},
{
id: 'obligation-extraction',
name: 'Pass 0a: Obligation Extraction',
nameShort: 'Pass 0a',
package: 'betrieb',
seq: 5300,
checkpointId: 'CP-P0A',
checkpointType: 'REQUIRED',
checkpointReviewer: 'NONE',
description: 'Extraktion von ~181.000 normativen Pflichten aus Rich Controls via Claude Haiku (Batch API).',
descriptionLong: 'Pass 0a zerlegt jeden Rich Control in einzelne normative Obligations via Claude Haiku (Anthropic Batch API, 50% Kostenreduktion). Jede Obligation wird klassifiziert: Pflicht/Empfehlung/Kann, Test-Obligation ja/nein, Reporting-Obligation ja/nein. Quality Gate mit 6 Regeln: nur normative Aussagen, ein Hauptverb, Test/Reporting separat, kein Evidence-Level-Split. Ergebnis: ~181.000 validierte Obligations mit action, object, condition, normative_strength.',
legalBasis: 'Pipeline-intern (Normative Obligation Extraction)',
inputs: ['canonicalControls'],
outputs: ['obligationCandidates'],
prerequisiteSteps: ['control-library'],
dbTables: ['obligation_candidates'],
dbMode: 'read/write',
ragCollections: [],
isOptional: false,
url: '/sdk/control-library',
completion: 90,
},
{
id: 'atomic-composition',
name: 'Pass 0b: Atomic Composition',
nameShort: 'Pass 0b',
package: 'betrieb',
seq: 5400,
checkpointId: 'CP-P0B',
checkpointType: 'REQUIRED',
checkpointReviewer: 'NONE',
description: 'Komposition atomarer MCP-tauglicher Controls aus Obligations via Claude Sonnet + Pre-LLM Ontology-Filter.',
descriptionLong: 'Pass 0b verwandelt jede validierte Obligation in ein eigenstaendiges atomares Control via Claude Sonnet (Anthropic Batch API). Vor dem LLM-Call klassifiziert die Control Ontology (26 Action Types) jede Obligation: atomic (an LLM senden), composite (ueberspringen), evidence (ueberspringen), framework_container (ueberspringen). MCP-taugliche Output-Felder: assertion (pruefbare Aussage), pass_criteria, fail_criteria, check_type (technical_config_check, document_clause_check, code_pattern_check), dependency_hints, lifecycle_phase_order (1-13). Canonical Key Format: action_type:normalized_object:control_phase.',
legalBasis: 'Pipeline-intern (Atomic Control Composition)',
inputs: ['obligationCandidates'],
outputs: ['atomicControls'],
prerequisiteSteps: ['obligation-extraction'],
dbTables: ['canonical_controls', 'control_parent_links'],
dbMode: 'read/write',
ragCollections: [],
isOptional: false,
url: '/sdk/control-library',
completion: 80,
},
{
id: 'dependency-engine',
name: 'Dependency Engine + Evaluation',
nameShort: 'Dependencies',
package: 'betrieb',
seq: 5500,
checkpointId: 'CP-DEP',
checkpointType: 'REQUIRED',
checkpointReviewer: 'NONE',
description: '5 Dependency-Typen, generische Condition Language, automatische Generierung via Ontology + Domain Packs.',
descriptionLong: 'Die Dependency Engine modelliert logische Abhaengigkeiten zwischen Controls: supersedes (A ersetzt B), prerequisite (A muss vor B), compensating_control (A kompensiert B-Failure), scope_exclusion (A schliesst B aus), conditional_requirement (B nur unter Bedingung). Generische Condition Language (AND/OR/NOT + Feldoperatoren). Priority-basierte Konfliktloesung. Zykluserkennung (DFS). Automatische Generierung via: (1) Ontology (Phase-Sequenz), (2) Pattern-Regeln, (3) Domain Packs (DSGVO, AI Act, CRA, Security, Arbeitsrecht). MCP-Output mit dependency_resolution Trace.',
legalBasis: 'Pipeline-intern (Control Dependency Resolution)',
inputs: ['atomicControls'],
outputs: ['evaluatedControls', 'dependencyGraph'],
prerequisiteSteps: ['atomic-composition'],
dbTables: ['control_dependencies', 'control_evaluation_results'],
dbMode: 'read/write',
ragCollections: [],
isOptional: false,
url: '/sdk/control-library',
completion: 100,
},
]
Reference in New Issue View Git Blame Copy Permalink