Poniższy scenariusz jest w całości fikcyjny. Spółka „NovaPay Sp. z o.o.", jej incydent, dane, sygnatury i metryki nie istnieją i nie odnoszą się do żadnego rzeczywistego podmiotu ani zdarzenia. Case study ilustruje wyłącznie przepływ pracy w ipIII — od zgłoszenia incydentu, przez budowę evidence-package, po wyzwolenie obowiązków RODO/DORA i przygotowanie raportu decyzyjnego dla zarządu. To nie jest referencja klienta.
NovaPay Sp. z o.o. — wymyślona krajowa instytucja płatnicza (PSD2), rzekomo obsługuje syntetyczny portfel 40 000 kont testowych. W scenariuszu: zespół SOC NovaPay wykrywa nietypowe zapytania do wewnętrznego API logów transakcyjnych z jednego z serwerów aplikacyjnych. Skaner DAST (fikcyjny wynik) zgłasza podatność klasy ujawnienia informacji. Zespół importuje wynik skanera do ipIII, gdzie zdarzenie zostaje przekształcone w incydent z przypisanym identyfikatorem, priorytetem i wstępną klasyfikacją ryzyka.
| Krok | Co ilustruje ten krok | Artefakt dowodowy (przykładowy) | Status w ipIII |
|---|---|---|---|
| 1. Import findings | Wynik skanera (fikcyjny plik DAST) trafia do parsera i zostaje znormalizowany do wspólnego formatu incydentu. | Rekord incydentu z ID, timestamp, źródło | LIVE (parser + import) |
| 2. Ocena RODO | Legal Trigger Engine ocenia, czy zdarzenie może wskazywać na naruszenie ochrony danych osobowych i sugeruje analizę Art. 33/34 RODO — patrz RODO Pack. | Draft oceny + wskazane terminy (orientacyjne) | LIVE (decision-support) |
| 3. Klasyfikacja DORA | Zdarzenie jest oceniane wg kryteriów istotności incydentu ICT (DORA) — w scenariuszu oznaczone jako potencjalnie „major", do weryfikacji przez człowieka. | Karta klasyfikacji + odliczanie terminu — patrz Deadline Clock | LIVE (silnik legal) |
| 4. Evidence-package | Wszystkie artefakty (import, oceny, notatki analityka) są pakowane w jeden pakiet z sumą kontrolną integralności i chain-of-custody. | package_sha256 + manifest — patrz Regulatory Evidence Pack |
LIVE |
| 5. Raport dla zarządu | Board-pack streszcza incydent, ryzyko i status zgodności jednym dokumentem czytelnym dla zarządu i audytu. | PDF board-pack (bez podpisu PAdES — patrz ograniczenia) | LIVE |
| 6. Draft do regulatora | Projekt zgłoszenia jest przygotowany, ale zawsze wymaga przeglądu i akceptacji DPO/prawnika przed wysyłką. | Draft dokumentu + lista otwartych pytań prawnych | decision-support, human-in-the-loop |
Poniższe liczby ilustrują wyłącznie kolejność i względne proporcje kroków w demonstracyjnym scenariuszu. Nie pochodzą z żadnego wdrożenia produkcyjnego i nie stanowią obietnicy czasu reakcji ani SLA.
Powiązane: pełny pakiet dowodowy dla regulatora → /regulatory-evidence-pack · szablon oceny RODO → /rodo-pack · zegar terminów regulacyjnych → /deadline-clock · pillar zaufania dla CISO/procurement → /trust-center.