Did your AI controls actually operate? Prove it.
Operational Evidence checks what you declared against what was observed — from your technical and operational artifacts, not your source code.
Operational Evidence confronte ce que vous déclarez à ce qui a été observé — depuis vos artefacts techniques et opérationnels, pas votre code source.
CONFIRMED · CONTRADICTED · NOT ASSESSABLE
No source code required
Aucun code source requis
Your code is your crown jewels. Operational Evidence never touches it. It reads what your running system and surrounding operational tools already emit — and it runs deterministically (no LLM in the evidence path), so the same artifacts always produce the same sealed dossier, with the same hash. Re-verifiable by anyone, runs fully air-gapped.
Votre code, ce sont vos joyaux. Operational Evidence n'y touche jamais. Il lit ce que votre système en fonctionnement et vos outils opérationnels émettent déjà — et il tourne de façon déterministe (aucun LLM dans le chemin de preuve), donc les mêmes artefacts produisent toujours le même dossier scellé, avec le même hash. Re-vérifiable par n'importe qui, fonctionne entièrement hors-ligne (air-gap).
Evidence, not authority
La preuve, pas l'autorité
FactNotebook does not issue a verdict in your place. You hold the authority — the auditor, the consultant, the governance body. We produce the evidence substrate beneath your assessment: the observations, the provenance, the contradictions and the limits of observability that make your conclusion demonstrated rather than declared. When a client asks "how do you justify this?", you have something better than a methodology — you have the record. Evidence vs authority validation →
FactNotebook n'émet pas un verdict à votre place. C'est vous qui portez l'autorité — l'auditeur, le consultant, l'organisme de gouvernance. Nous produisons le substrat de preuve sous votre évaluation : les observations, la provenance, les contradictions et les limites d'observabilité qui rendent votre conclusion démontrée plutôt que déclarée. Quand un client demande « comment le justifiez-vous ? », vous avez mieux qu'une méthodologie — vous avez la trace. Validation par la preuve vs par l'autorité →
Three questions it answers
Trois questions auxquelles il répond
Did the control operate?
Le contrôle a-t-il opéré ?
Effectiveness, not existence. Observed operation on real sessions — not a claim the system wrote about itself.
L'efficacité, pas l'existence. L'opération observée sur de vraies sessions — pas une affirmation que le système a écrite sur lui-même.
Who owned the decision?
Qui détenait la décision ?
The Accountability Gap: named decision-maker against observed runtime outcome. A regulator does not prosecute a file.
L'Accountability Gap : décideur nommé confronté au résultat runtime observé. Un régulateur ne poursuit pas un fichier.
What can't be assessed — and why
Ce qui ne peut être évalué — et pourquoi
NOT ASSESSABLE marks where the observation channel was missing. Absence of evidence, not evidence of absence — and a precise map of what to instrument next.
NOT ASSESSABLE marque où le canal d'observation manquait. Absence de preuve, pas preuve d'absence — et une carte précise de ce qu'il reste à instrumenter.
How it works
Comment ça marche
- 1. Connect your evidence. Technical and operational artifacts — decision traces, ITSM, CI/CD, observability — via connectors or file config. No repo access. Connectez votre preuve. Artefacts techniques et opérationnels — traces de décision, ITSM, CI/CD, observabilité — via connecteurs ou config de fichiers. Aucun accès au repo.
- 2. Declared vs observed. The engine derives observable attributes and compares them against your declared governance — by explicit, auditable rules. Déclaré vs observé. Le moteur dérive des attributs observables et les confronte à votre gouvernance déclarée — par des règles explicites et auditables.
- 3. A sealed dossier. CONFIRMED / CONTRADICTED / NOT ASSESSABLE — each citable, traceable, and re-verifiable. Un dossier scellé. CONFIRMED / CONTRADICTED / NOT ASSESSABLE — chacun citable, traçable et re-vérifiable.
What's in the operational dossier
Ce que contient le dossier opérationnel
Six sealed reports. Access follows the policy in place — request it below.
Six rapports scellés. L'accès suit la politique en place — demandez-le ci-dessous.
Bring your artifacts. Keep your code.
Apportez vos artefacts. Gardez votre code.
Self-hosted container — your evidence never leaves your perimeter.
Container self-hosted — votre preuve ne quitte jamais votre périmètre.
Book a walkthrough →Réserver une démo →Need the code-level audit too — declared vs implemented vs observed? See the Full Audit.
Besoin aussi de l'audit au niveau du code — déclaré vs implémenté vs observé ? Voir l'audit complet.
The three ideas behind it
Les trois idées derrière
The thinking behind it: La pensée derrière : How do you prove a control ran? · Glossary · GFI paper
© FactNotebook · factnotebook.com