K0NSULT // ai-truth/ipIII
k0nsult.cloud / ai-truth / ipIII / bank

ipIII dla banku — od findingu do Board Pack

Czyste wejście dla CISO, zespołu bezpieczeństwa i zarządu instytucji finansowej. Bez warstwy badawczej, symulacji i wizualizacji — tylko to, co rozwiązuje realny problem po teście penetracyjnym: rozproszone dowody, ginący retest i raport, którego nie da się przedstawić zarządowi ani regulatorowi. Doktryna portalu: claim ≤ proof — każda deklaracja niżej ma pokrycie w kodzie, teście lub endpointcie.

Pentest kończy się PDF-em. Ryzyko zaczyna się dzień później.

Raport z testu trafia do skrzynki, ustalenia lądują w arkuszu, retest odbywa się „kiedyś", a zarząd i regulator mówią innym językiem niż zespół red-team. ipIII zamyka tę lukę: bierze finding, wiąże go z dowodem i właścicielem, mapuje na obowiązek regulacyjny z zegarem, wymusza retest z dowodem naprawy i składa z tego pakiet dla zarządu.

ŚCIEŻKA: findingdowód (sha256)właścicielobowiązek DORA/NIS2/RODO/AI ActretestBoard Pack

Problem, który znasz po każdym teście

Dowody się rozjeżdżają

Zrzuty, logi, załączniki i ustalenia żyją w mailach, arkuszach i ticketach. Nikt nie ma jednego, spójnego, niezmienialnego rejestru dowodowego z chain-of-custody i sumą kontrolną.

Retest ginie

„Naprawione" bywa deklaracją, nie faktem. Bez wymuszonej reguły close-with-evidence podatność zamyka się bez dowodu regresji — i wraca przy kolejnym audycie.

Zarząd mówi innym językiem

Zespół pisze o CVSS i TTP; zarząd i KNF pytają o ryzyko rezydualne, obowiązki i terminy. Tłumaczenie findingu na obowiązek DORA/NIS2/RODO robi się ręcznie, po nocach, pod deadline.

Co robi ipIII — jedna ścieżka, sześć kroków

1 · Finding — import raportu z Burp (XML) · OWASP ZAP (JSON/XML) · Nessus/Tenable (CSV) · Qualys (CSV/XML) · generic CSV/JSON. Normalizacja severity (P0–P3), enrichment offline KEV/CVSS/EPSS, mapowanie MITRE ATT&CK. Import to sygnał (MEDIA_SIGNAL), nie dowód naprawy. LIVE v1
2 · Dowód — każdy finding staje się incydentem z rejestrem dowodowym: sha256 + chain-of-custody + ślad audytowy w PostgreSQL. Dowód jest niezmienialny i weryfikowalny. LIVE v1
3 · Właściciel — incydent dostaje przypisanie i cykl życia. Kto, co, kiedy — zapisane w audit logu warstwy v1 (JWT + RBAC). LIVE v1 · pełny workflow SLA/zatwierdzeń = ROADMAP
4 · Obowiązek — Legal Trigger Engine mapuje zdarzenie na DORA art. 19 · NIS2 (24h/72h) · RODO art. 33–34 · AI Act art. 73 z zegarami (deadline ISO od utworzenia) i draftem powiadomienia. Doktryna DECISION-SUPPORT: to wsparcie decyzji, nie porada prawna; terminy orientacyjne. LIVE MVP
5 · Retest — reguła close-with-evidence egzekwowana w bazie: zamknięcie bez dowodu CONFIRMED = odmowa (422). Retest → CONFIRMED → close, a evidence-package odzwierciedla zmianę (inny package_sha256). LIVE v1
6 · Board Pack — evidence-package jako pobieralny PDF/JSON (manifest + package_sha256 + ślad audytowy + chain-of-custody) oraz report-package DORA/TIBER (engagement + timeline + evidence-register + final-report). LIVE MVP · podpis PAdES/PQC, branding KNF = ROADMAP

Statusy powyżej są kanoniczne w macierzy statusów; liczby testów — w Evidence Matrix /roadmap-dev. Ta strona nie duplikuje stanu, tylko do niego linkuje (jedno źródło prawdy).

Bezpieczeństwo pilotażu (PoC)

Zanim padnie pytanie „co z naszymi danymi" — oto twarde granice PoC. Zapisane, nie obiecane.

Dane syntetyczne / zanonimizowane

Demonstracja działa na danych wygenerowanych lub pozbawionych identyfikatorów. Bez odrębnej pisemnej zgody i umowy powierzenia nie przetwarzamy realnych danych produkcyjnych, danych osobowych klientów ani rzeczywistych sekretów.

Po RoE / NDA / DPA

Współpraca zaczyna się od pisemnych Rules of Engagement, NDA i (gdy dotyczy) umowy powierzenia. Zakres, dane, retencja i dostęp są ustalone na papierze przed startem.

Zero działań na realnej infrastrukturze

ipIII to narzędzie GRC/obrony (blue). Nie wykonuje nieautoryzowanych skanów, exploitacji ani hack-back. Żadnych payloadów, żadnych technik ofensywnych poza pisemnymi RoE.

Reguła danych. Jeśli chcesz przetestować import na własnym raporcie (Burp/ZAP/Nessus/CSV), rekomendujemy uprzednią anonimizację. PoC zakłada, że dane wprowadzone są nieprodukcyjne, chyba że strony ustaliły inaczej w NDA/DPA. Szczegóły: Trust Center.

Co dostaje bank

Evidence-package

Board pack PDF/JSON z manifestem, sumą package_sha256, śladem audytowym i chain-of-custody. Jeden artefakt, który spina finding, dowód i status naprawy — nadaje się do przedstawienia zarządowi i audytorowi.

DORA / TIBER

Cykl white-team: scope / crown-jewels / RoE → white-team-log → evidence-register → final-report jako realne rekordy DB (raport końcowy wymaga rejestru — claim ≤ proof). Szczegóły: DORA / TIBER.

Legal-triggers

Auto-mapowanie incydentu na obowiązki DORA/NIS2/RODO/AI Act z zegarami terminów i draftem powiadomienia. Wsparcie decyzji zgodnościowej, nie porada prawna.

Czym to NIE jest

Jawne zaprzeczenia — czytaj przed rozmową.
Kontrolowany PoC — na danych syntetycznych, po RoE/NDA.

Punkt wyjścia: bierzemy jeden Twój (zanonimizowany) raport z pentestu i pokazujemy pełną ścieżkę finding → dowód → właściciel → obowiązek → retest → Board Pack. Bez dostępu do realnej infrastruktury, bez technik ofensywnych.

Kontakt i kanał zgłaszania podatności: /.well-known/security.txt · zakres i granice: known-limitations.

Zasada nadrzędna. Nie sprzedajemy „gotowego systemu" ani „bezpieczeństwa w pudełku". Dostarczamy przyrost z dowodem: co jest LIVE — z linkiem i testem; co jest ROADMAP — nazwane wprost. Status ≤ dowód. Bez kodu + testu + endpointu = nie LIVE.