source_path: /opt/nexifyai/workspace/gdok-core-rules.md
ingested: 2026-07-13
sha256: ba5af292739259a338b3d5e9606477d462488905c200734718506462e610c772

GDOK Core Rules — Extrakt aus Governance-Docs

Stand: 2026-07-13 06:22 UTC

Quelle: /opt/nexifyai/repos/nexify-agentur-plattform/docs/governance/

P0-Verbote (aus REGELWERK_MASTER.md + VERBOTE_UND_PFLICHTREGELN_V2.md)

  1. Fake Done — Nie Task "fertig" melden ohne Verify, Evidence, agentmemory-Update
  2. Secrets in Code — Nie in Code/Logs/Git/Chat/Brain. Nur env (mode 600) oder Vault
  3. Deployment ohne Gate — Nie in Prod ohne 7 Quality Gates + Rollback-Plan
  4. ECC (Excessive Cost) — Keine unkontrollierten LLM-Kosten
  5. Tenant-Vermischung — Kundendaten strikt getrennt
  6. Kein Merge in main — Ohne PR-Review + Tests
  7. Keine Abschlussmeldung ohne Evidence — Dateien/Diffs/Tests/Quellen
  8. Kein Dashboard ohne /health — ISO 20000-1
  9. Keine autonome Aktion auf Production/Secrets/Delete
  10. Keine KI-Inhalte als menschlich — EU AI Act Art. 50

Pre-Task 6 Gates (REGELWERK_MASTER.md)

  1. Zielverständnis — Task klar, Akzeptanzkriterien definiert
  2. Kontextprüfung — agentmemory-Query, Regelwerke, existierende Lösungen
  3. Qualifikationsprüfung — Rolle, Skills, Tools, MCP-Endpunkte
  4. Risikoprüfung — Sicherheit, Datenschutz, Tenant, Kosten
  5. Abhängigkeitsprüfung — Kanban, blockierte Tasks, Ressourcen
  6. Zuständigkeitsklärung — RACI, Escalation-Pfad

4-Phasen State Machine (SOP V5)

PRE_FLIGHT (12 Quellen) → PLAN (CAP V4) → EXEC → POST_FLIGHT (Quality Gates) Self-Healing max 5 Iterationen.

12-Quellen Pre-Flight (SOP V5, aktualisiert 2026-07-13)

Q01 AGENTS.md → Q02 agentmemory → Q03 Hermes Memory → Q04 GDOK → Q05 Factory Q06 Taps → Q07 9Router → Q08 Config → Q09 Cron → Q10 Docker → Q11 Systemd → Q12 LightRAG

Subagenten-Pflicht (DOS_AGENT_GOVERNANCE.md)

12 Rollen bei systemweiten Aufgaben: Intent Analyst, Requirements, Concept, Copywriter, Designer, Platform Architect, Resource Reuse, Network/Cloud, Fullstack, Security, QA/Evidence, Documentation/Governance

Fertigmeldung (DOS_AGENT_GOVERNANCE.md)

Nicht ohne: Brain-Nachweis, Repo-Nachweis, Runtime-Nachweis, Test/Security-Nachweis

agentmemory = Source of Truth (DOS_AI_GOVERNANCE.md)

3 Enforcement Gates (BOUNDARY_ENFORCEMENT_GATES_V1.md)

  1. Pre-Commit: Kundendaten-Check
  2. Pre-Push: Tenant-Isolation-Check
  3. Pre-Deploy: Boundary-Check

28 Pflichtregeln (VERBOTE_UND_PFLICHTREGELN_V2.md)

ISO 27001, 27701, 42001, 25010, 12207, 20000-1, 22301 + WCAG 2.2 + OWASP + EU AI Act + DSGVO Monatlich: Asset-Inventar, AI-Inventar, Human-Oversight, Löschkonzept, Prompt-Injection, Agent-Tools Quartalsweise: Zugriffsmatrix, Incident-Runbook, Bias-Test, BCM-Übung Pro PR: Code-Review, Tests >80% Pro Release: WCAG, HCD, Artefakt-Verpflichtungen

AGENTS.md Auto-Update-Regel

Bei Architektur- oder Workflow-Änderungen: AGENTS.md im Workspace anpassen.