K0NSULT // ai-truth/ipIII
k0nsult.cloud / ai-truth / ipIII / enterprise-trust

Enterprise Trust & Evidence Governance

Jedna strona zbierająca wszystko, czego potrzebuje CISO i zespół procurement, żeby ocenić ipIII przed pilotażem: zakres PoC, zasady pracy na danych, retencję, RBAC, audit-log, program CVD, dokumenty prawne (RoE/DPA/NDA), znane ograniczenia, tryby wdrożenia i model SLA. Doktryna claim ≤ proof: co działa jest oznaczone LIVE, co jest planowane — ROADMAP.

Po co ta strona. Zespoły bezpieczeństwa i zakupów w bankach, ubezpieczycielach czy administracji publicznej nie mają czasu przeglądać dziesięciu rozproszonych podstron przed pierwszą rozmową. Ten pillar zbiera je w jednym miejscu, z linkami do szczegółów, i mówi wprost, co jest dziś dowiedzione, a co dopiero planowane. Zero certyfikacji, których nie mamy. Zero gwarancji, których nie potrafimy dotrzymać.
Evidence-first governance: 8 filarów zaufania, jeden dokument wejściowy.

ipIII to warstwa evidence i orkiestracji nad istniejącymi skanerami i procesami bezpieczeństwa — dziś w fazie dowiedlnego MVP (import → incydent → evidence-package → retest → close, z JWT/RBAC/audit na żywej PostgreSQL). Ta strona prowadzi CISO i procurement przez osiem obszarów, z których każdy ma swoją dedykowaną podstronę ze szczegółami, dowodami i dokumentami do pobrania.

ŚCIEŻKA OCENY: 1. Zakres PoC2. Dane & retencja3. RBAC & audit4. CVD5. Prawne (RoE/DPA/NDA)6. Ograniczenia7. Tryb wdrożenia8. SLA

1. Zakres pilotażu (PoC) — co testujemy i czego dowodzimy

Każdy pilotaż ipIII zaczyna się od pisemnego uzgodnienia zakresu: które systemy (lub ich syntetyczne odpowiedniki) są objęte, jaki jest horyzont czasowy, kto po stronie klienta jest punktem kontaktowym i jakie kryteria sukcesu decydują o przejściu do fazy produkcyjnej. PoC nie jest testem penetracyjnym ofensywnym — to weryfikacja, czy warstwa evidence (import wyników skanerów, normalizacja incydentów, budowa evidence-package, generowanie board-packu) działa na danych klienta w jego środowisku integracyjnym.

Co wchodzi w zakres

Import z istniejących skanerów (Burp/ZAP/Nessus/CSV), normalizacja do incydentów, evidence-package z sumą kontrolną, board-pack PDF, ścieżka retest→close.

Co NIE wchodzi w zakres

ipIII nie wykonuje skanowania ofensywnego, nie generuje ani nie uruchamia payloadów, nie zastępuje testu penetracyjnego zlecanego zespołowi red-team.

Kryteria wyjścia z PoC

Uzgodnione wspólnie przed startem: liczba przetworzonych raportów, czas od importu do evidence-package, kompletność audit-logu. Wynik = raport z dowodami, nie deklaracja gotowości produkcyjnej.

Pełny opis zakresu, przykładowego harmonogramu i checklisty przygotowawczej dla zespołu klienta znajduje się w Procurement Pack — dokumencie przeznaczonym do przekazania zespołowi zakupowemu razem z ofertą.

2. Dane, syntetyka i retencja

W fazie pilotażu ipIII pracuje domyślnie na danych syntetycznych lub zanonimizowanych. Jeśli klient chce przetestować rzeczywiste raporty skanerów zawierające dane osobowe lub wrażliwe biznesowo, wymaga to odrębnej umowy powierzenia przetwarzania danych (DPA) i jawnego określenia podstawy prawnej. Zasady minimalizacji, retencji i usuwania danych po zakończeniu PoC są opisane szczegółowo na dedykowanej stronie.

ObszarZasada w PoCStatus
Typ danych wejściowychSyntetyczne / zanonimizowane raporty skanerów (domyślnie)LIVE
Dane osobowe / wrażliweWyłącznie po podpisaniu DPA i ustaleniu podstawy prawnejwarunkowe
Retencja evidence-packageZgodnie z harmonogramem uzgodnionym w RoE; usuwanie na żądanie po zakończeniu pilotażuLIVE
Lokalizacja przechowywaniaPostgreSQL zarządzana przez K0NSULT (region EU); szczegóły w Data ProcessingLIVE
Eksport / prawo do usunięciaKlient może zażądać eksportu evidence-package i usunięcia danych po zakończeniu współpracyprocedura ROADMAP

Pełny opis podstaw prawnych, ról administratora/procesora i mapy przepływu danych → Przetwarzanie danych.

3. RBAC i audit-log

Dostęp do ipIII jest kontrolowany rolami (RBAC) — każdy użytkownik ma przypisaną rolę (np. analityk, reviewer, administrator) ograniczającą, jakie akcje może wykonać: import, przegląd incydentu, generowanie evidence-package, zamknięcie z dowodem. Każda akcja zapisywana jest w audit-logu z znacznikiem czasu, identyfikatorem użytkownika i typem operacji — na żywej instancji PostgreSQL, nie w plikach tekstowych.

RBAC LIVE

Role i uprawnienia egzekwowane na poziomie API (JWT + middleware autoryzacji).

Audit-log LIVE

Każda operacja na incydencie i evidence-package zapisana z aktorem i czasem.

OIDC / SSO ROADMAP

Dziś JWT wystawiany lokalnie; federacja tożsamości (Keycloak/JWKS) w planie — patrz Znane ograniczenia.

Multi-tenant RLS ROADMAP

Dziś jedna organizacja per instancja; Row-Level Security dla wielu klientów na jednej instancji planowana.

4. Coordinated Vulnerability Disclosure (CVD)

ipIII prowadzi program odpowiedzialnego zgłaszania podatności. Badacze bezpieczeństwa i partnerzy mogą zgłosić znalezioną lukę przez formularz na stronie /zglos lub kanał opisany w Security Pack. Zasada: zero publikacji szczegółów exploitacyjnych przed uzgodnioną naprawą, komunikacja wyłącznie o tym, co zostało przetestowane i jaki dowód sukcesu naprawy został dostarczony — bez payloadów ani instrukcji ataku w treściach publicznych.

Szczegóły programu, kanału zgłoszeniowego i deklarowanego czasu reakcji → Security Pack.

5. Dokumenty prawne: RoE, DPA, NDA

Każde zaangażowanie z elementem testowym (PoC, pilotaż, warsztat) jest poprzedzone kompletem dokumentów:

To narzędzia decision-support dla stron umowy — nie zastępują przeglądu przez własnego radcę prawnego klienta ani K0NSULT. Kompletny zestaw szablonów i checklisty prawnej → Procurement Pack.

6. Znane ograniczenia — uczciwie

ipIII nie udaje systemu klasy bankowej. Rejestr siedmiu znanych ograniczeń (federacja tożsamości, mTLS, formalny podpis PAdES/TSA, multi-tenant, świeżość CVE online, konektor SIEM, granica Legal Trigger Engine) jest udokumentowany w całości, z nazwanym ryzykiem, mitygacją i priorytetem domknięcia (P0/P1) na osobnej stronie. Żadne z tych ograniczeń nie jest ukrywane ani przedstawiane jako gotowe.

Dlaczego to ważne dla procurement. Ocena dostawcy bezpieczeństwa, który jawnie wymienia własne luki z priorytetem naprawy, jest łatwiejsza niż ocena dostawcy milczącego. Pełny rejestr → Znane ograniczenia.

7. Tryby wdrożenia

ipIII może być uruchomiony w różnych topologiach w zależności od wymagań rezydencji danych i integracji klienta — od instancji współdzielonej (multi-tenant, ROADMAP) po dedykowaną instancję per klient (dziś domyślny model dla pilotaży bankowych/instytucjonalnych). Wybór trybu wpływa na SLA, koszt i harmonogram wdrożenia.

TrybOpisStatus
Dedykowana instancja (single-tenant)Osobna baza i środowisko per klient, izolacja fizyczna danychLIVE
Współdzielona instancja (multi-tenant + RLS)Jedna instancja, separacja logiczna przez Row-Level SecurityROADMAP
On-prem / VPC klientaWdrożenie w infrastrukturze klienta zamiast hostingu K0NSULTROADMAP

Pełne porównanie topologii, wymagań sieciowych i kosztowych → Tryby wdrożenia.

8. SLA i support

Model wsparcia opisuje kanały kontaktu, deklarowane czasy reakcji na zgłoszenia (w podziale na krytyczność) oraz zakres godzin wsparcia dostępny w fazie pilotażu i po jego zakończeniu. Szczegółowa macierz czasów reakcji, eskalacji i okien konserwacyjnych → SLA / Support.

Ocena ryzyka dostawcy (Vendor Risk)

Dla zespołów GRC i risk management, które muszą sklasyfikować ipIII jako dostawcę zewnętrznego (third-party risk assessment), przygotowany jest zestaw odpowiedzi na standardowe pytania kwestionariusza dostawcy: lokalizacja danych, podwykonawcy, ciągłość działania, plan reagowania na incydent. To materiał wejściowy do własnego procesu oceny ryzyka klienta, nie substytut tego procesu → Vendor Risk.

Skrót ośmiu filarów

8
obszarów zaufania
PoC, dane, RBAC, CVD, prawne, ograniczenia, wdrożenie, SLA
4
filary LIVE dziś
PoC evidence-flow, RBAC, audit-log, RoE/NDA/DPA jako proces
4
filary z elementami ROADMAP
multi-tenant RLS, OIDC/SSO, on-prem, eksport/usuwanie danych
7/7
ograniczeń jawnie opisanych
zero ukrytych luk — patrz known-limitations

Czego ta strona NIE oznacza

To nie jest certyfikat ani deklaracja zgodności. Enterprise Trust & Evidence Governance to mapa dokumentów i dowodów, po którą sięga CISO/procurement przed decyzją o pilotażu. Ocena, czy ipIII spełnia wymogi konkretnej instytucji (bank, ubezpieczyciel, urząd), pozostaje po stronie własnego procesu zarządzania ryzykiem dostawcy klienta — materiały tutaj są decision-support, nie jego zastępstwem.
„100%" u nas znaczy pokrycie dowodowe, nie nieprzenikalność. Każdy element oznaczony LIVE ma kod, test i endpoint do sprawdzenia. Element bez takiego dowodu jest oznaczony ROADMAP — nigdy przedstawiany jako gotowa funkcja.
Granica etyczna i prawna. ipIII jest narzędziem obrony i zgodności (GRC/blue), nie ofensywy. Wszelkie testy odbywają się wyłącznie na danych syntetycznych lub w granicach pisemnych Rules of Engagement. Legal Trigger Engine i materiały prawne to wsparcie decyzji, nie porada prawna — kwalifikacja każdego dokumentu przed wysyłką do organu należy do radcy prawnego lub kancelarii klienta.

Następny krok

Zobacz Trust Center

Pełny przegląd polityk zaufania, certyfikatów w toku i dowodów LIVE.

→ /ai-truth/ipIII/trust-center

Pobierz Procurement Pack

Zakres PoC, checklisty prawne, szablony RoE/DPA/NDA gotowe dla zespołu zakupowego.

→ /ai-truth/ipIII/procurement

Znane ograniczenia

Rejestr siedmiu ograniczeń z ryzykiem, mitygacją i priorytetem — zero ukrytych luk.

→ /ai-truth/ipIII/known-limitations

Powiązane: przetwarzanie danych i podstawy prawne → /data-processing · program bezpieczeństwa i CVD → /security-pack · tryby wdrożenia → /deployment-modes · SLA i support → /sla-support · ocena ryzyka dostawcy → /vendor-risk.