v10.13 · Baseline + GlassPlane · built in LATAM

El sistema operativo para tu fabrica de software con IA.

Baseline es el governance harness multi-runtime para coding agents — funciona sobre Claude Code, Cursor, Copilot, Junie, Codex, Aider y 8+ runtimes mas. GlassPlane es el control plane que mide 18 dimensiones de compliance en tiempo real.

Lo usamos nosotros para nuestra factory. Lo licenciamos para que lo uses tu.

Agendar demo (30 min) → Ver como funciona
14+
Runtimes soportados
10
Fases ADLC
18
Dim GlassPlane
93%
NIST coverage
60
Scripts enforcement
El problema

El mercado tiene herramientas para generar codigo con IA.

Nadie tiene un sistema para gobernarlo.

1.7×
mas defectos en codigo generado con IA vs codigo humano (CodeRabbit, 8.1M PRs analizados en 2026)
91%
aumento en tiempos de code review desde la adopcion de IA (LinearB Benchmarks 2026)
€35M
penalidad maxima EU AI Act, vigente agosto 2026. Solo 6% de organizaciones tiene estrategia formal de AI governance (Gartner)

Las dev shops tradicionales no saben construir con agentes autonomos.
Los vendors de AI governance (Credo AI, Holistic AI, Fiddler) cobran USD 50K+/ano solo por el dashboard — y tu sigues necesitando quien te construya el software.

Nosotros hacemos las dos cosas.

Nuestro metodo

ADLC — Agentic Development Life Cycle

10 fases, 3 macro-etapas, gates formales con enforcement automatizado. Reemplaza al SDLC tradicional para desarrollo con agentes autonomos.

Macro 1

🧠 Pensar

Estrategia, dominio, conocimiento, arquitectura. Decidir que construir y bajo que restricciones regulatorias.

F01 Strategy F02 Domain F03 Knowledge F04 Architecture
Gates: A B C
Macro 2

🔨 Construir

Contratos, build asistido por IA, TEVV (test + eval + verify + validate), security & compliance.

F05 Contracts F06 AI Build F07 TEVV F08 Security
Gates: D E
Macro 3

🚀 Operar

Deploy, operacion continua con GenOps, metricas, y evolucion basada en telemetria real.

F09 Deploy & Ops F10 Evolve
Gate: F

Que hace OSSFIA diferente

Lifecycle completo — 10 fases vs 3 de Kiro/AWS, 0 de Cursor/Devin
6 gates formales con 60 scripts Python de enforcement automatizado
Compliance multi-regulatorio — 6 marcos simultaneos (EU AI Act, ISO 42001, NIST, OWASP, SOC 2, Ley 1581)
19 modulos de Inteligencia Invisible evaluables contra cada dominio de negocio
10 categorias DLP con BLOCK/REDACT/WARN automatico (PII, PHI, CDI, JDI, SEC, BIO...)
Kill switch con drills verificados — parada de emergencia auditable
Brownfield adoption (Strangler Fig AI) — adoptable sobre codigo existente
Regulacion LATAM nativa — unico framework AI governance escrito desde Colombia
Como trabajamos contigo

Dos modelos de engagement, un mismo harness

Tu eliges el grado de autonomia. Nosotros te damos el mismo Baseline + GlassPlane debajo. Sin tier ni feature gating en compliance — la evidencia regulatoria es la misma sin importar como nos contrates.

🤝
Modelo A

Co-creacion / Adopcion

Tu equipo construye, nosotros somos el harness y el sparring partner. Instalamos Baseline en tu repo, configuramos GlassPlane para tu portafolio, entrenamos a tus devs con los 17 subagentes especializados, y vamos retirando el andamiaje conforme tu equipo madura.

Brownfield adoption aditivo — instalamos baseline/ como subtree sin tocar tu codigo existente
17 subagentes + 50 skills + 19 rules always-on que se auto-invocan por fase del ADLC
Multi-runtime — funciona con la herramienta que ya usas (Claude Code, Cursor, Copilot, Junie, Codex...)
Pair programming con OSSFIA architects sesiones semanales para revisar ADRs, gates y compliance scorecard
Auto-sync diario — tu repo recibe updates del baseline automaticamente via GitHub Action
Exit ramp claro — el harness es tuyo. Puedes seguir solo cuando quieras
Ideal para
CTOs con equipo propio que necesitan governance, no developers extra. Empresas con CISO interno que quieren evidencia auditable sin reescribir su SDLC.
Discutir adopcion →
Mas comun
🏭
Modelo B

Software Factory turnkey

Nosotros construimos, tu recibes producto + evidencia. Tu pasas un intent (problema de negocio + restricciones), nuestros FABs (FullStack Agent Builders) ejecutan el ADLC F01-F10 autonomamente, y entregamos release + GlassPlane scorecard + AIBOM/SBOM firmados cada mes.

Intent → Release en un ciclo cerrado. Tu no gestionas tickets, gestionas resultados
FABs autonomos con kill switch — cost guard, circuit breakers, drills trimestrales verificados
Continuous Conformity Monitoring — tu sistema en produccion ejecuta cada 6h con session recordings auditables
Evidencia regulatoria mensual — EU AI Act, ISO 42001, NIST, SOC 2 listos para tu auditor
DORA + SPACE + DX-AI metrics — sabemos cuanto codigo aporta IA vs humano y como se compara con benchmarks
Branded reports para tu junta, tu regulador, tu aseguradora cyber
Ideal para
Empresas que quieren lanzar producto sin contratar 15 ingenieros. Sectores regulados (salud, fintech, gobierno, educacion publica) donde el compliance es condicion de licenciamiento.
Iniciar factory →
En ambos modelos

Mismo Baseline harness. Mismo GlassPlane. Mismas 18 dimensiones de compliance. Misma evidencia regulatoria. La diferencia es quien escribe el codigo — tu equipo o el nuestro — no que tan riguroso es el governance.

Prueba viva

Cada entrega viene con evidencia medible

GlassPlane es el dashboard privado que damos a cada cliente. Escanea tu proyecto contra 16 dimensiones de compliance en tiempo real. Tu equipo ve el score, tus auditores ven la evidencia.

GP
GlassPlane
Portafolio del cliente
Repos monitoreados
5
Score promedio
79
Plata → Oro
Requieren atencion
0
3 saludables
Area mas debil
Gates
Avg: 48
Promedios por dimension
EU AI Act
96
Specs
94
FinOps
94
DORA+DX
90
NIST Agent
87
Task-Flow
81
Gov IA
77
Datos
75
Seguridad
73
Framework
71
SAST/SCA
66
OWASP
55
Gates
48
* Datos ilustrativos del portafolio de un cliente real, anonimizados.

Eres libre de ver hasta nuestras debilidades. Este portafolio muestra scores reales — EU AI Act 96, pero Gates 48. Asi trabajamos: sin cajas negras. Tus auditores pueden validar la evidencia directamente.

Nuevo — Cloudflare Browser Run GA abril 2026

Continuous Conformity Monitoring

No solo medimos tu software. Lo ejecutamos cada 6 horas con agentes AI que navegan los flujos criticos como usuarios reales, y archivamos las grabaciones como evidencia auditable para tus reguladores.

Proyeccion tier Growth
840
ejecuciones monitoreadas al mes
7 flows criticos × cada 6h × 30 dias · DOM replay completo disponible para tu auditor
🎬

Session Recordings auditables

DOM + mouse + keyboard + network de cada ejecucion, cifrados en R2 con retention 365 dias. Cumple ISO 42001 Annex B y EU AI Act Art. 72.

🧠

Semantic Evaluation de LLMs

Validamos que tu chat IA (AURA u otros) responde correcto contra golden datasets — no por string match, por significado.

👥

Persona-Based Usability

Simulamos doctor_senior, paciente_65+, admin_compliance, contador — y reportamos fricciones reales por persona.

Alert SLA 30 minutos

Flows critical con fallas alertan al webhook de tu equipo en max 30 min. Escalacion automatica a 3 niveles si no hay ack.

Por que esto es el unico moat defensible en LATAM

Credo AI / Holistic AI / Fiddler

Dashboards de compliance estaticos. Miden artefactos, no comportamiento vivo. $40-200K/ano.

Dev shops tradicionales

Construyen software, pero sin evidencia regulatoria auditable. Cuando llega el regulador, tu tienes que armar el reporte.

OSSFIA (nosotros)

Ambas cosas — construimos + monitoreamos + te damos la evidencia firmada cada mes. Incluido en retainer.

Implementado sobre Cloudflare Browser Run (GA 2026-04-15). Disponible automatico para clientes tier Growth y Enterprise. Sin cargo adicional al retainer mensual.

Compliance multi-marco

9 marcos regulatorios. Una sola entrega.

Cuando entregamos un sprint, viene con scoring contra los 9 marcos al mismo tiempo. Sin servicios separados de "consultoria de compliance", sin re-trabajo, sin sorpresas para tu auditor.

NIST coverage v10.13

Verificable contra CSWP 29, AI 100-1, AI 600-1, SP 800-218, SP 800-53r5

Auditable contra 6 publicaciones NIST
CSF 2.0
93%
6 funciones · GV/ID/PR/DE/RS/RC
AI RMF 1.0
93%
GV / MAP / MEASURE / MANAGE
SSDF v1.1
95%
SP 800-218 + 218A AI augmentations
GenAI Profile
80%
AI 600-1 · 12 risk categories
SP 800-53r5
75%
Controles federales
OSCAL emit
30%
Phase 2 scaffolding
Roadmap 99%
v11.5
12-18 meses · publico en GitHub

Mas alla de NIST — packs nativos LATAM + globales

🇪🇺
EU AI Act
Vigente desde Aug 2 2026

Article 14 (human oversight), Annex IV technical doc, conformity assessment procedure. Pack v10.4 + battlecard.

📋
ISO/IEC 42001
AIMS certification ready

Annex A controls, evidence collector script automatizado, mapping a SOC 2 CC + auditoria asistida.

🛡️
SOC 2 Type II
Pack en v10.14 (Q3 2026)

Trust Service Criteria CC1-CC9, evidence collector existente, mapping cruzado con ISO 42001.

🇨🇴
Salud IPS Colombia
Res 1995, 1438, 1888

RIPS JSON, FHIR-ready, CUPS+CIE-10, habilitacion sectorial. DLP-PHI scrubber automatico.

💰
Fintech Coop / SFC
Circulares 007, 008

Superfinanciera reporting, riesgo operacional, AML/KYC, ciberseguridad sectorial. DLP-PFI enforcement.

🎓
IES Publica + MinEdu
SNIES, SPADIES, SACES

Reportes academicos, registro calificado, datos personales art. 24 Ley 1581. Pack publico LATAM.

10 categorias DLP — enforcement runtime

Cada prompt a un LLM externo se filtra contra estas 10 categorias. BLOCK absoluto, REDACT automatico, WARN auditable.

CDI
Menores
BLOCK
JDI
Judicial
BLOCK
SEC
Secrets
BLOCK
BIO
Biometric
BLOCK
PII
Personal
REDACT
PHI
Salud
REDACT
PFI
Financial
REDACT
HRI
RR.HH
REDACT
AUD
Audit
WARN
IPR
IP source
WARN

Habeas Data Ley 1581 nativo · GDPR Art. 9 · HIPAA Safe Harbor · ADR-FRAMEWORK-010 dogfooded

Factory as a Service

Tres niveles de engagement, un solo metodo

Un equipo dedicado (humanos + agentes) construyendo tu software bajo OSSFIA. Ajustamos el alcance, el track del ADLC y el compliance gate al tamano y regulacion de tu proyecto.

Starter

Para MVPs y startups que necesitan validar producto con compliance minimo.

  • Equipo mixto humanos + FABs (escala pequena)
  • 1 sprint de 2 semanas por mes
  • GlassPlane gate ≥ Plata contractual
  • Track Lean (4 fases activas)
  • Soporte por email, SLA 24h
  • Dashboard GlassPlane privado incluido
Hablemos
Mas comun
Growth

Para scaleups que necesitan velocidad y compliance serio, sin contratar un CISO interno.

  • Equipo dedicado humanos + FABs
  • 2 sprints de 2 semanas por mes
  • GlassPlane gate ≥ Oro contractual
  • Track Full (10 fases activas)
  • Email + Slack compartido, SLA 8h
  • AIBOM + SBOM firmados digitalmente
  • Evidence collector ISO 42001 + SOC 2
  • EU AI Act readiness report mensual
Agendar call
Enterprise

Para sectores regulados: salud, gobierno, fintech, educacion publica. Compliance es condicion necesaria.

  • Equipo ampliado humanos + FABs ilimitados
  • Continuous delivery (no sprints fijos)
  • GlassPlane gate ≥ Oro, drills semanales
  • Track Full + compliance custom
  • Slack dedicado + on-call engineer 24/7
  • Kill switch drills verificados trimestrales
  • Auditoria externa ISO 42001 / SOC 2 asistida
  • Branded reports para regulador / junta
Hablemos
Cada engagement se cotiza por su alcance real. Tambien hacemos fixed-price por fase ADLC y outcome-based con GlassPlane score gates. Agendemos una call y cuentanos tu caso →
Por que no Cursor + Copilot

Las herramientas generan.
OSSFIA gobierna.

No competimos con Cursor, Copilot o Codex. Nos sentamos encima de ellos. Una org seria con AI coding agents necesita ambas capas.

Capacidad Cursor GitHub Copilot MS AI Toolkit Devin / Factory OSSFIA
Code generation ✓ via 14+ runtimes
Multi-runtime governance parcial ✗ lock-in ✓ 14+ runtimes
ADLC / Lifecycle 10 fases 3 fases ✓ F00-F10
EU AI Act evidence auto templates ✓ Article 14 + Annex IV
NIST coverage ~40% 93% CSF + AI RMF
DLP scrubber 10 categorias PII basico PII basico ✓ CDI/JDI/PHI/PFI/BIO+
LATAM regulatorio nativo ✓ 1581/1995/SFC/SNIES
Compliance dashboard live excel exports ✓ GlassPlane 18-dim
Continuous Conformity (6h) ✓ unico en LATAM
Kill switch + drills manual manual ✓ trimestrales auto
AIBOM + SBOM firmados SBOM solo ✓ cosign + SLSA
On-prem soberano (LATAM) ✗ SaaS only ✗ SaaS only Azure only ✗ SaaS only ✓ deploy donde quieras
Costo enterprise / ano $20-40/dev $19-39/dev $30+/dev $500+/dev retainer LATAM
🛠️

Cursor / Copilot / Codex

Excelentes generadores de codigo. Tu equipo los seguira usando bajo OSSFIA — somos el harness, no el competidor.

📊

Credo AI / Holistic AI / Fiddler

Dashboards de governance estaticos a $40-200K/ano. No tocan codigo, no construyen software, no integran con tu pipeline.

OSSFIA Baseline + GlassPlane

Las dos capas integradas. Generacion, governance, evidencia, monitoring continuo. Una sola fuente de verdad para tu CISO y tu CTO.

Casos en produccion

Software real con evidencia auditable

GlassPlane es nuestro propio control plane — lo construimos para nosotros mismos antes de licenciarlo. Si no lo aplicaramos a Baseline, no podriamos venderlo.

GP
Caso destacado · Dogfooding

GlassPlane control plane

El mismo dashboard que entregamos a clientes lo aplicamos a nuestro propio repo Baseline (github.com/aforero22/baseline). 18 dimensiones de compliance, fingerprint dedup, 9 marcos regulatorios scoreados al mismo tiempo.

18 dimensiones compliance live
122/122 tests framework verde
19/0/0 canonical-check
10 consumers auto-sync diario
v10.13 stable, 2026-05-08
~157K LOC auto-inventoried
Stack: Python 3.10 · Bash · Cloudflare Workers · Wrangler · MCP servers · GitHub Actions
GlassPlane score
87
Oro · Healthy
EU AI Act 96 · Specs 94 · FinOps 94 · DORA 90
NIST Agent 87 · Task-Flow 81 · Datos 75
github.com/aforero22/baseline
Clientes en produccion · bajo NDA
Salud · IPS Colombia

HIS — Historia Clinica Electronica

90
Oro
  • • RIPS JSON + CUPS + CIE-10 compliance
  • • Res.1888 FHIR-ready
  • • DLP-PHI enforcement runtime
  • • 11 de 14 II aplicables (79%)
Stack: Hono + Astro + PostgreSQL + Workers AI
Educacion publica · IES

Nomina universitaria + PILA

88
Oro
  • • PILA 2000-char + DIAN e-nomina
  • • Ley 1581 habeas data full
  • • SNIES + SACES reporting auto
  • • AURA validation 85%
Stack: Astro + Hono + Workers AI + Supabase
ERP hospitalario

ERP + HCE longitudinal

81
Oro
  • • NIIF PYMES §4-§8 + DIAN pipeline
  • • 104 tablas, 360+ endpoints
  • • AURA 15 tools + 9 workflows
  • • 1,070 tests automatizados
Stack: Hono JSX + Cloudflare + D1 + R2

Nombres comerciales bajo NDA. Firmamos MSA antes de compartir arquitectura detallada y referidos directos.

Hablemos

Tu caso de uso, una conversacion

30 minutos. Sin costo. Sin pitch deck. Te llevas un GlassPlane scorecard preliminar de tu proyecto.

🤝
CIO / CTO

Quiero adoptar OSSFIA

Tengo equipo propio de devs. Necesito governance + compliance evidence sin reescribir mi SDLC.

Discutir adopcion →
🏭
Empresa

Quiero que construyan

Necesito producto en produccion + evidencia regulatoria. No quiero contratar 15 ingenieros.

Iniciar factory →
🛡️
CISO / Compliance

Auditare en X meses

Llega EU AI Act, ISO 42001, SOC 2 o auditoria del regulador. Necesito evidencia auditable, no excels.

Gap assessment →
💼
Investor / Partner

Quiero entender el mercado

Investor, partner, aseguradora cyber, auditor, regulador. Quiero deck completo + demo en vivo.

Demo + deck →
Email directo
hola@ossfia.ai
Operacion
XCloud Solutions
Colombia → LATAM
Horario
Lun-Vie 08:00–18:00
COT (UTC-5)
GitHub: aforero22/baseline → Panel cliente → hola@ossfia.ai