Jedna strona, która ustala jak nazywamy ipIII i gdzie stoi na rynku. ipIII to warstwa dowodowo-regulacyjna (Evidence Operating Layer) — spina techniczne findingi pentestu / AppSec / SOC z językiem zarządu, audytu i regulatora. Nie zastępuje Burpa, SIEM-u ani platformy GRC; wypełnia lukę między nimi.
Łączymy techniczne findingi z dowodliwą odpowiedzialnością biznesową. Pentester i SOC produkują ustalenia techniczne (CVE, findingi, alerty). Zarząd, audyt i regulator potrzebują odpowiedzi na inne pytania: kto odpowiada, do kiedy, czy domknięte, jaki obowiązek prawny to uruchamia i gdzie jest na to dowód. ipIII to warstwa, która tłumaczy jedno na drugie — z zachowaniem łańcucha dowodowego.
Od surowego findingu do decyzji, którą można obronić dowodem. Kolumna statusu odróżnia to, co działa, od tego, co jest na roadmapie.
| # | Warstwa | Co robi | Wejście → wyjście | Status |
|---|---|---|---|---|
| 1 | Pentest / findings | Import ustaleń ze skanerów i raportów pentestowych; normalizacja i deduplikacja. | Raport Burp / ZAP / Nessus / CSV → znormalizowany finding | LIVE |
| 2 | Evidence | Budowa evidence-package z manifestem, sumą kontrolną i łańcuchem dowodowym (chain-of-custody). | Finding → incydent → evidence-package (sha256 + manifest) |
LIVE |
| 3 | Remediation | Przypisanie właściciela i terminu, retest, domknięcie z dowodem (close-with-evidence). | Incydent → ticket / właściciel / SLA → retest → close | LIVE |
| 4 | Regulatory | Mapowanie ustaleń na obowiązki (DORA / NIS2 / RODO / AI Act) jako wsparcie decyzji — nie porada prawna. | Incydent → orientacyjny wykaz obowiązków i terminów → draft do przeglądu prawnego | LIVE (decision-support) |
| 5 | AI-agent | Warstwa agentowa: skille roju emitują findingi/luki do API z kontraktem dowodowym (1 claim ≤ 1 proof). | Sygnał roju → claim + evidence → wpis w rejestrze / incydent GAP | MVP |
Pozycjonowanie przez negację jest tu ważniejsze niż lista cech. ipIII nie rywalizuje z narzędziami poniżej — konsumuje ich wyjścia i podaje je wyżej.
Nie wykrywamy podatności. Importujemy i normalizujemy to, co wykryły narzędzia pentestera. One znajdują — my nadajemy temu status, właściciela i dowód.
Nie zbieramy logów ani nie robimy detekcji w czasie rzeczywistym. Pracujemy na poziomie ustaleń i incydentów, nie strumienia zdarzeń. SIEM zostaje SIEM-em.
Nie prowadzimy pełnego rejestru ryzyka korporacyjnego ani polityk. Dostarczamy warstwę dowodową, którą GRC może konsumować — spinamy finding techniczny z obowiązkiem.
Mapowanie na DORA / NIS2 / RODO / AI Act to wsparcie decyzji. Każdy draft przed wysyłką do organu przechodzi przegląd prawny. Narzędzie nie zastępuje radcy.
Dalej: zestawienie względem narzędzi rynkowych → /porownanie · materiał dla zarządu → /exec-deck · scenariusz sektora bankowego → /bank.