K0NSULT // ai-truth/ipIII
k0nsult.cloud / ai-truth / ipIII / orchestrator / access-review

Access Review — specyfikacja docelowa (SPEC/ROADMAP)

To jest specyfikacja docelowa (SPEC) cyklicznego przeglądu dostępów dla ipIII: kto ma jaką rolę, dlaczego, od kiedy i czy nadal powinien. Obejmuje break-glass (dostęp awaryjny), deprovisioning (odbieranie uprawnień) i eksport logu dostępu. Egzekwowanie (enforce) nie jest wdrożone na prod — dziś działa RBAC lokalny i audit log zapisu zdarzeń; cały mechanizm cyklicznego przeglądu i automatycznego odbierania dostępu poniżej jest oznaczony jako ROADMAP, zgodnie z doktryną claim ≤ proof.

Status w jednym zdaniu. Access Review to dziś szkielet specyfikacji, nie działający moduł. Egzekwowanie (automatyczne odbieranie dostępu, wymuszony przegląd co N dni, blokada konta bez potwierdzenia) jest ROADMAP. Element działający na żywo to audit log (zapis zdarzeń dostępowych w PostgreSQL) — oznaczony LIVE na roadmapie dev. Federacja tożsamości (OIDC) jest w fazie F1, na staging — nie na prod. To narzędzie GRC/decision-support, nie porada prawna ani gwarancja zgodności.
4 elementy specyfikacji. Zero udawania, że działają.

Access review odpowiada na cztery pytania, które bank SIFI, regulator lub audytor zada jako pierwsze: kto ma dostęp i dlaczego (przegląd), co się dzieje w sytuacji awaryjnej (break-glass), jak szybko cofamy uprawnienia po odejściu/zmianie roli (deprovisioning) i czy da się to udowodnić (eksport logu). Dziś mamy surowe dane w audit logu — mechanizm przeglądu, alertowania i wymuszania jest zaprojektowany, ale niewdrożony.

OŚ DOJRZAŁOŚCI: audit log zapisu (dziś, LIVE)OIDC / role z IdP (F1, staging)cykliczny access reviewbreak-glass + alertingautomatyczny deprovisioning (cel)

Rejestr elementów Access Review

Kolumna Status = priorytet domknięcia: P0 blokuje wdrożenie enterprise · P1 wymagane dla banku/partnera, nie blokuje pilota. Data weryfikacji: 2026-07-05.

ElementOpisZależnośćStatus dziśPriorytet
Cykliczny przegląd dostępów Okresowy (np. kwartalny) przegląd: kto ma jaką rolę, czy uprawnienie jest nadal zasadne, kto potwierdza (właściciel zasobu / manager). Wymaga listy ról z OIDC/IdP (mapowanie claims → role) jako źródła prawdy. ROADMAP — brak harmonogramu, brak UI przeglądu, brak workflow potwierdzeń. P0
Break-glass (dostęp awaryjny) Procedura tymczasowego podniesienia uprawnień w sytuacji incydentu, z obowiązkowym uzasadnieniem i automatycznym wygaśnięciem po czasie. Wymaga audit logu zdarzenia użycia (dziś LIVE na poziomie zapisu) + mechanizmu wygasania tokenu (dziś brak TTL na podniesione uprawnienia). ROADMAP — brak dedykowanej ścieżki break-glass; dziś podniesienie uprawnień to zwykła zmiana roli w RBAC, bez znacznika „awaryjne". P0
Deprovisioning Automatyczne odebranie dostępu po odejściu z organizacji, zmianie roli lub upływie terminu współpracy (np. konsultant zewnętrzny). Wymaga centralnego provisioningu z IdP (OIDC, faza F1, staging) — bez zewnętrznego źródła prawdy o statusie konta deprovisioning jest ręczny. ROADMAP — dziś odebranie dostępu to ręczna zmiana rekordu użytkownika przez admina, bez automatycznego triggera ani SLA. P1
Eksport logu dostępu Możliwość wyeksportowania pełnej historii zdarzeń dostępowych (logowania, zmiany ról, użycia break-glass) dla audytora lub regulatora. Zależy od kompletności audit logu (dziś LIVE — zapis zdarzeń w PostgreSQL) + formatu eksportu. ROADMAP — surowe dane są w bazie, ale nie ma dziś endpointu/eksportu w formacie gotowym dla audytora (CSV/JSON z podpisem integralności). P1

Co jest dziś na żywo (LIVE), a co jest planem

LIVE dziś

LIVE Audit log — zapis zdarzeń (logowanie, zmiana ról, żądania API) w PostgreSQL.

LIVE RBAC lokalny — role i uprawnienia sprawdzane przy każdym żądaniu.

LIVE JWT wystawiany lokalnie (bez zewnętrznego IdP) — patrz znane ograniczenia.

ROADMAP — w budowie (F1, staging)

ROADMAP OIDC / JWKS z zewnętrznym IdP (Keycloak) — faza F1, wyłącznie na staging, nie na prod.

ROADMAP Mapowanie ról z claims tokenu OIDC.

Szczegóły specyfikacji: /auth-enterprise.

ROADMAP — access review (ta strona)

ROADMAP Cykliczny przegląd, break-glass, deprovisioning, eksport logu — zero z tego nie jest wdrożone na prod ani staging. To jest wyłącznie specyfikacja (SPEC).

Skrót priorytetów

2
P0 — blokują enterprise
Cykliczny przegląd · Break-glass
2
P1 — wymagane dla banku
Deprovisioning · Eksport logu
2
Elementy LIVE dziś
Audit log zapisu · RBAC lokalny
0/4
Egzekwowanie wdrożone
cała strona = SPEC/ROADMAP

Czego ta strona NIE oznacza

To nie jest deklaracja gotowości ani działający moduł. Opisane cztery elementy (przegląd, break-glass, deprovisioning, eksport) to ROADMAP — świadomie odróżniony od funkcji już działających (audit log zapisu, RBAC), które są oznaczone LIVE na roadmapie dev.
„100%" u nas znaczy pokrycie dowodowe, nie egzekwowanie. Skoro nie mamy dowodu (kod + test + endpoint) na cykliczny przegląd czy automatyczny deprovisioning, mówimy o nich jako ROADMAP, a nie jako o funkcji gotowej do wdrożenia u partnera lub banku.
Granica etyczna i prawna. Access Review to element warstwy GRC/compliance ipIII — wsparcie decyzji (decision-support), nie porada prawna ani automatyczna zgodność z DORA/NIS2/RODO/AI Act. Ostateczną odpowiedzialność za nadanie, przegląd i odebranie dostępu ponosi organizacja wdrażająca; każdy proces przeglądu dostępów powinien być zweryfikowany przez zespół bezpieczeństwa i, w razie potrzeby, radcę prawnego przed uznaniem za spełniający wymogi regulacyjne.

Powiązane: specyfikacja tożsamości enterprise (OIDC/mTLS) → /auth-enterprise · pełny rejestr znanych ograniczeń → /known-limitations · macierz statusów wszystkich elementów → /status-matrix.