K0NSULT // ai-truth/ipIII
k0nsult.cloud / ai-truth / ipIII / category

Kategoria i pozycjonowanie: Evidence Operating Layer

Jedna strona, która ustala jak nazywamy ipIII i gdzie stoi na rynku. ipIII to warstwa dowodowo-regulacyjna (Evidence Operating Layer) — spina techniczne findingi pentestu / AppSec / SOC z językiem zarządu, audytu i regulatora. Nie zastępuje Burpa, SIEM-u ani platformy GRC; wypełnia lukę między nimi.

Status strony. MVP — dokument pozycjonujący (positioning one-pager). Opisuje kategorię i granice, nie sprzedaje funkcji. Elementy realnie działające są oznaczone LIVE; elementy planowane — ROADMAP. Wszelkie liczby i przykłady na tej stronie mają charakter ilustracyjny / syntetyczny. Zgodnie z doktryną claim ≤ proof: deklarujemy tyle, ile potrafimy pokazać kodem, testem i endpointem.
We connect technical findings to provable business accountability.

Łączymy techniczne findingi z dowodliwą odpowiedzialnością biznesową. Pentester i SOC produkują ustalenia techniczne (CVE, findingi, alerty). Zarząd, audyt i regulator potrzebują odpowiedzi na inne pytania: kto odpowiada, do kiedy, czy domknięte, jaki obowiązek prawny to uruchamia i gdzie jest na to dowód. ipIII to warstwa, która tłumaczy jedno na drugie — z zachowaniem łańcucha dowodowego.

MIEJSCE W STOSIE: pentest / AppSec / SOCipIII — evidence operating layerzarząd / audyt / regulator

Pięć warstw ipIII

Od surowego findingu do decyzji, którą można obronić dowodem. Kolumna statusu odróżnia to, co działa, od tego, co jest na roadmapie.

#WarstwaCo robiWejście → wyjścieStatus
1 Pentest / findings Import ustaleń ze skanerów i raportów pentestowych; normalizacja i deduplikacja. Raport Burp / ZAP / Nessus / CSV → znormalizowany finding LIVE
2 Evidence Budowa evidence-package z manifestem, sumą kontrolną i łańcuchem dowodowym (chain-of-custody). Finding → incydent → evidence-package (sha256 + manifest) LIVE
3 Remediation Przypisanie właściciela i terminu, retest, domknięcie z dowodem (close-with-evidence). Incydent → ticket / właściciel / SLA → retest → close LIVE
4 Regulatory Mapowanie ustaleń na obowiązki (DORA / NIS2 / RODO / AI Act) jako wsparcie decyzji — nie porada prawna. Incydent → orientacyjny wykaz obowiązków i terminów → draft do przeglądu prawnego LIVE (decision-support)
5 AI-agent Warstwa agentowa: skille roju emitują findingi/luki do API z kontraktem dowodowym (1 claim ≤ 1 proof). Sygnał roju → claim + evidence → wpis w rejestrze / incydent GAP MVP

Czym ipIII NIE jest

Pozycjonowanie przez negację jest tu ważniejsze niż lista cech. ipIII nie rywalizuje z narzędziami poniżej — konsumuje ich wyjścia i podaje je wyżej.

Nie skaner ≠ Burp / ZAP / Nessus

Nie wykrywamy podatności. Importujemy i normalizujemy to, co wykryły narzędzia pentestera. One znajdują — my nadajemy temu status, właściciela i dowód.

Nie SIEM ≠ Splunk / Sentinel / QRadar

Nie zbieramy logów ani nie robimy detekcji w czasie rzeczywistym. Pracujemy na poziomie ustaleń i incydentów, nie strumienia zdarzeń. SIEM zostaje SIEM-em.

Nie platforma GRC ≠ Archer / ServiceNow GRC

Nie prowadzimy pełnego rejestru ryzyka korporacyjnego ani polityk. Dostarczamy warstwę dowodową, którą GRC może konsumować — spinamy finding techniczny z obowiązkiem.

Nie kancelaria ≠ porada prawna

Mapowanie na DORA / NIS2 / RODO / AI Act to wsparcie decyzji. Każdy draft przed wysyłką do organu przechodzi przegląd prawny. Narzędzie nie zastępuje radcy.

Dlaczego osobna warstwa

Luka jest realna i kosztowna. Findingi pentestu żyją w PDF-ach i arkuszach; obowiązki regulacyjne — w prawnikach; a rozliczalność (kto, do kiedy, czy domknięte) — nigdzie spójnie. ipIII to brakujące ogniwo: przenosi finding z warstwy technicznej do decyzji, którą można obronić dowodem przed audytem i regulatorem.
Dowód, nie deklaracja. Każdy element wyższej warstwy ma się odwoływać do konkretnego artefaktu z warstwy niższej: obowiązek → incydent → evidence-package → finding → import. To odróżnia wsparcie decyzji od marketingowej zgodności. Tam, gdzie nie mamy dowodu (np. formalny podpis PDF, mTLS), mówimy ROADMAP, nie LIVE — zob. znane ograniczenia.

Skrót pozycjonowania

5
warstw
pentest · evidence · remediation · regulatory · AI-agent
1
rola
warstwa dowodowo-regulacyjna między techniką a zarządem
4
czym NIE jest
nie skaner · nie SIEM · nie GRC · nie kancelaria
0
overclaim
claim ≤ proof · dane ilustracyjne / syntetyczne
Granica etyczna i prawna. ipIII jest narzędziem obrony i wsparcia zgodności (GRC / blue). Nie wykonuje nieautoryzowanych skanów ani ingerencji w cudze systemy. Mapowania obowiązków to wsparcie decyzji, nie porada prawna. Wszelkie testy bezpieczeństwa wyłącznie w granicach pisemnych Rules of Engagement.

Dalej: zestawienie względem narzędzi rynkowych → /porownanie · materiał dla zarządu → /exec-deck · scenariusz sektora bankowego → /bank.