K0NSULT // ai-truth/ipIII
k0nsult.cloud / ai-truth / ipIII / orchestrator / case-study-fintech
⚠ SCENARIUSZ DEMONSTRACYJNY — DANE SYNTETYCZNE — NIE REALNY KLIENT

Case study fintech (syntetyczny): incydent → evidence RODO/DORA → raport

Poniższy scenariusz jest w całości fikcyjny. Spółka „NovaPay Sp. z o.o.", jej incydent, dane, sygnatury i metryki nie istnieją i nie odnoszą się do żadnego rzeczywistego podmiotu ani zdarzenia. Case study ilustruje wyłącznie przepływ pracy w ipIII — od zgłoszenia incydentu, przez budowę evidence-package, po wyzwolenie obowiązków RODO/DORA i przygotowanie raportu decyzyjnego dla zarządu. To nie jest referencja klienta.

Dlaczego to jest fikcja, a nie referencja. ipIII buduje ewidencje dla realnych klientów, ale nie publikujemy ich danych ani wyników bez zgody. Ten case study zastępuje realną referencję ilustracją tego samego przepływu na w pełni wymyślonych danych — żeby pokazać mechanikę narzędzia bankowi, audytorowi czy regulatorowi bez naruszania poufności jakiejkolwiek strony trzeciej.

Scenariusz (fikcyjny)

NovaPay Sp. z o.o. — wymyślona krajowa instytucja płatnicza (PSD2), rzekomo obsługuje syntetyczny portfel 40 000 kont testowych. W scenariuszu: zespół SOC NovaPay wykrywa nietypowe zapytania do wewnętrznego API logów transakcyjnych z jednego z serwerów aplikacyjnych. Skaner DAST (fikcyjny wynik) zgłasza podatność klasy ujawnienia informacji. Zespół importuje wynik skanera do ipIII, gdzie zdarzenie zostaje przekształcone w incydent z przypisanym identyfikatorem, priorytetem i wstępną klasyfikacją ryzyka.

PRZEPŁYW (ilustracyjny): import findingsincydent w ipIIIocena RODO Art. 33/34klasyfikacja DORA (major ICT)evidence-packageraport dla zarządu / draft do regulatora

Krok po kroku — co dzieje się w ipIII

KrokCo ilustruje ten krokArtefakt dowodowy (przykładowy)Status w ipIII
1. Import findings Wynik skanera (fikcyjny plik DAST) trafia do parsera i zostaje znormalizowany do wspólnego formatu incydentu. Rekord incydentu z ID, timestamp, źródło LIVE (parser + import)
2. Ocena RODO Legal Trigger Engine ocenia, czy zdarzenie może wskazywać na naruszenie ochrony danych osobowych i sugeruje analizę Art. 33/34 RODO — patrz RODO Pack. Draft oceny + wskazane terminy (orientacyjne) LIVE (decision-support)
3. Klasyfikacja DORA Zdarzenie jest oceniane wg kryteriów istotności incydentu ICT (DORA) — w scenariuszu oznaczone jako potencjalnie „major", do weryfikacji przez człowieka. Karta klasyfikacji + odliczanie terminu — patrz Deadline Clock LIVE (silnik legal)
4. Evidence-package Wszystkie artefakty (import, oceny, notatki analityka) są pakowane w jeden pakiet z sumą kontrolną integralności i chain-of-custody. package_sha256 + manifest — patrz Regulatory Evidence Pack LIVE
5. Raport dla zarządu Board-pack streszcza incydent, ryzyko i status zgodności jednym dokumentem czytelnym dla zarządu i audytu. PDF board-pack (bez podpisu PAdES — patrz ograniczenia) LIVE
6. Draft do regulatora Projekt zgłoszenia jest przygotowany, ale zawsze wymaga przeglądu i akceptacji DPO/prawnika przed wysyłką. Draft dokumentu + lista otwartych pytań prawnych decision-support, human-in-the-loop

Metryki (przykładowe, ilustracyjne — nie pomiar realny)

Poniższe liczby ilustrują wyłącznie kolejność i względne proporcje kroków w demonstracyjnym scenariuszu. Nie pochodzą z żadnego wdrożenia produkcyjnego i nie stanowią obietnicy czasu reakcji ani SLA.

~12 min
import → incydent w ipIII
wartość przykładowa scenariusza
~35 min
incydent → evidence-package
wartość przykładowa scenariusza
72 h
orientacyjny termin RODO Art. 33
z ustawy, nie z pomiaru narzędzia
6
kroków przepływu w tym scenariuszu
ilustracja, nie SLA

Co jest realne, a co ilustracyjne

Realne (LIVE, z kodem/testem/endpointem): mechanika przepływu — import parserów skanerów, budowa incydentu, silnik wyzwalaczy prawnych (Legal Trigger Engine) dla RODO/DORA/NIS2/AI Act, budowa evidence-package z sumą kontrolną, generowanie board-packu. Te elementy działają dziś w środowisku demo na danych syntetycznych.
Ilustracyjne (nie realne): nazwa spółki „NovaPay", opisany incydent, wolumeny kont, wszystkie metryki czasowe i konkretna treść dokumentów w tym case study. Służą wyłącznie pokazaniu, jak wygląda wynik działania narzędzia — nie są dowodem wdrożenia u klienta.

Granice i przegląd człowieka

Decision-support, nie porada prawna. Klasyfikacja RODO/DORA generowana przez ipIII (w tym w tym scenariuszu) to wsparcie decyzji dla zespołu compliance — nie substytut opinii prawnej. Każdy projekt zgłoszenia do regulatora, każda ocena istotności incydentu i każdy dokument opuszczający organizację wymaga przeglądu i akceptacji DPO lub prawnika klienta przed wysyłką. Więcej o granicach systemu — rejestr znanych ograniczeń i Trust Center.

Powiązane: pełny pakiet dowodowy dla regulatora → /regulatory-evidence-pack · szablon oceny RODO → /rodo-pack · zegar terminów regulacyjnych → /deadline-clock · pillar zaufania dla CISO/procurement → /trust-center.