Czyste wejście dla CISO, zespołu bezpieczeństwa i zarządu instytucji finansowej. Bez warstwy badawczej, symulacji i wizualizacji — tylko to, co rozwiązuje realny problem po teście penetracyjnym: rozproszone dowody, ginący retest i raport, którego nie da się przedstawić zarządowi ani regulatorowi. Doktryna portalu: claim ≤ proof — każda deklaracja niżej ma pokrycie w kodzie, teście lub endpointcie.
Raport z testu trafia do skrzynki, ustalenia lądują w arkuszu, retest odbywa się „kiedyś", a zarząd i regulator mówią innym językiem niż zespół red-team. ipIII zamyka tę lukę: bierze finding, wiąże go z dowodem i właścicielem, mapuje na obowiązek regulacyjny z zegarem, wymusza retest z dowodem naprawy i składa z tego pakiet dla zarządu.
Zrzuty, logi, załączniki i ustalenia żyją w mailach, arkuszach i ticketach. Nikt nie ma jednego, spójnego, niezmienialnego rejestru dowodowego z chain-of-custody i sumą kontrolną.
„Naprawione" bywa deklaracją, nie faktem. Bez wymuszonej reguły close-with-evidence podatność zamyka się bez dowodu regresji — i wraca przy kolejnym audycie.
Zespół pisze o CVSS i TTP; zarząd i KNF pytają o ryzyko rezydualne, obowiązki i terminy. Tłumaczenie findingu na obowiązek DORA/NIS2/RODO robi się ręcznie, po nocach, pod deadline.
sha256 + chain-of-custody + ślad audytowy w PostgreSQL. Dowód jest niezmienialny i weryfikowalny. LIVE v1package_sha256). LIVE v1package_sha256 + ślad audytowy + chain-of-custody) oraz report-package DORA/TIBER (engagement + timeline + evidence-register + final-report). LIVE MVP · podpis PAdES/PQC, branding KNF = ROADMAPStatusy powyżej są kanoniczne w macierzy statusów; liczby testów — w Evidence Matrix /roadmap-dev. Ta strona nie duplikuje stanu, tylko do niego linkuje (jedno źródło prawdy).
Zanim padnie pytanie „co z naszymi danymi" — oto twarde granice PoC. Zapisane, nie obiecane.
Demonstracja działa na danych wygenerowanych lub pozbawionych identyfikatorów. Bez odrębnej pisemnej zgody i umowy powierzenia nie przetwarzamy realnych danych produkcyjnych, danych osobowych klientów ani rzeczywistych sekretów.
Współpraca zaczyna się od pisemnych Rules of Engagement, NDA i (gdy dotyczy) umowy powierzenia. Zakres, dane, retencja i dostęp są ustalone na papierze przed startem.
ipIII to narzędzie GRC/obrony (blue). Nie wykonuje nieautoryzowanych skanów, exploitacji ani hack-back. Żadnych payloadów, żadnych technik ofensywnych poza pisemnymi RoE.
Board pack PDF/JSON z manifestem, sumą package_sha256, śladem audytowym i chain-of-custody. Jeden
artefakt, który spina finding, dowód i status naprawy — nadaje się do przedstawienia zarządowi i audytorowi.
Cykl white-team: scope / crown-jewels / RoE → white-team-log → evidence-register → final-report jako realne rekordy DB (raport końcowy wymaga rejestru — claim ≤ proof). Szczegóły: DORA / TIBER.
Auto-mapowanie incydentu na obowiązki DORA/NIS2/RODO/AI Act z zegarami terminów i draftem powiadomienia. Wsparcie decyzji zgodnościowej, nie porada prawna.
Punkt wyjścia: bierzemy jeden Twój (zanonimizowany) raport z pentestu i pokazujemy pełną ścieżkę finding → dowód → właściciel → obowiązek → retest → Board Pack. Bez dostępu do realnej infrastruktury, bez technik ofensywnych.
Kontakt i kanał zgłaszania podatności: /.well-known/security.txt · zakres i granice: known-limitations.