K0NSULT // ai-truth/ipIII
k0nsult.cloud / ai-truth / ipIII / landing-mssp

ipIII dla MSSP, firm pentestowych i partnerów: pilot klienta bez budowania własnej warstwy dowodowej

Prowadzisz testy bezpieczeństwa dla klientów końcowych i po każdym zleceniu tracisz czas na ręczne składanie raportu dla zarządu? ipIII to MVP warstwy evidence: import wyników skanera → incydent → evidence-package → retest → Board Pack, z audytowalnym śladem od pierwszego findingu do zamknięcia. Tu opisujemy dokładnie co działa dziś, a co jest ROADMAP — żebyś nie musiał się domyślać.

Z evidence testera do dowodu dla zarządu — jedna ewidencja, nie dwie tabelki.

Dziś większość MSSP i firm pentestowych ręcznie przepisuje wynik skanera do PowerPointa dla klienta. ipIII automatyzuje warstwę pośrednią: parsujesz surowy output (Burp/ZAP/Nessus/CSV), system tworzy incydent z priorytetem CVSS/EPSS/KEV, a po retest generuje evidence-package (JSON + PDF, sha256, chain-of-custody) gotowy do wklejenia w Board Pack klienta. To nie zastępuje Twojej ekspertyzy testera — zastępuje ręczne przepisywanie dowodu.

PRZEPŁYW: import parseraincydent z priorytetemretestevidence-packageBoard Pack klienta

Co zyskuje MSSP / firma pentestowa / partner

Board Pack bez ręcznej roboty MVP

Evidence-package z hashem integralności i chain-of-custody generujesz z importu, nie z ręcznego kopiowania do prezentacji. Format opisany na Partner Guide.

White-label dla klienta końcowego ROADMAP

Branding partnera (logo, kolorystyka, stopka kancelarii/MSSP) na Board Packu zamiast marki K0NSULT. Dziś: szkielet i specyfikacja na /white-label; podłączenie do generatora PDF jest w kolejce.

Program partnerski ze scorecardem F13

Onboarding, wspólny pilot, kryteria oceny partnera — jawnie opisane, nie „zaufaj nam na słowo". Zobacz Partner Program.

Program recenzenta otwarty

Jeśli chcesz recenzować metodykę zamiast od razu wdrażać u klienta — wejście przez Founding Reviewer Circle.

Jak to działa — od zlecenia klienta do dowodu

Cztery kroki, każdy z nazwanym stanem LIVE/ROADMAP — bez ukrywania, co jeszcze nie jest gotowe.

KrokCo się dziejeJaki dowód powstajeStatus
1. Import Wgrywasz surowy output skanera (Burp/ZAP/Nessus) lub CSV z ręcznego testu. Znormalizowana lista findingów w bazie, z priorytetem CVSS/EPSS/KEV (hint offline). LIVE
2. Incydent Finding staje się incydentem z RBAC/JWT i pełnym audit-logiem operacji. Ślad kto/kiedy/co zmienił — do wglądu przy sporze z klientem lub regulatorem. LIVE
3. Retest → close Po poprawce klienta wykonujesz retest, incydent zamyka się z dowodem naprawy. Evidence-package: JSON + PDF, package_sha256, chain-of-custody w PostgreSQL. LIVE
4. Board Pack Agregacja incydentów w pakiet dla zarządu klienta — z brandingiem partnera. Dziś: pakiet z marką K0NSULT. White-label branding partnera: ROADMAP. MVP

Wielu klientów z jednego panelu — uczciwie o dziś i o planie

Jeśli obsługujesz kilku klientów naraz, zanim zaczniesz pilota, przeczytaj MSSP Multi-Client Mode: to jest ROADMAP, nie funkcja gotowa dziś. ipIII działa dziś w trybie single-org — jeden pilot, jedna organizacja na instancję. Obsługa wielu klientów równolegle z separacją danych (tenant scoping + Row-Level Security) jest w planie, nie jest jeszcze podłączona do ścieżki zapytań. Dla pierwszego pilota to nie przeszkadza — dla portfela 10 klientów jednocześnie, poczekaj na tę funkcję albo uruchamiaj osobne instancje per klient.

Jak zacząć

1. Zgłoś się przez Partner intake — krótki formularz na /partner, opisujesz profil (MSSP / firma pentestowa / kancelaria/GRC) i skalę (ile klientów, jaki typ testów).
2. Przeczytaj Partner Guide/partner-guide opisuje krok po kroku onboarding, format danych wejściowych (parsery) i jak wygląda evidence-package na wyjściu.
3. Ustal formalności — NDA / Rules of Engagement / DPA, dane klienta zanonimizowane lub syntetyczne na etapie PoC. Zero testów bez pisemnej zgody.
4. Uruchom pilota 5-day albo 30-day — gotowe szablony na /pilot-ops: import realnego (zanonimizowanego) skanu klienta, pierwszy evidence-package, pierwszy Board Pack.
5. Feedback i decyzja o skali — po pilocie oceniasz, czy chcesz white-label (ROADMAP) i/lub Partner Program ze scorecardem (/partner-program).

FAQ

Czy ipIII zastępuje moich pentesterów albo automatyzuje sam test bezpieczeństwa?

Nie. ipIII nie wykonuje skanów ani exploitacji — to warstwa evidence po Twoim teście: import wyniku, priorytetyzacja, evidence-package, Board Pack. Test wykonuje Twój zespół, w granicach pisemnych Rules of Engagement (/engagement).

Czy mogę już dziś obsłużyć 10 klientów z jednego panelu (multi-tenant)?

Nie w pełni. Dziś działa tryb single-org (jeden pilot na instancję). Pełna izolacja wielu klientów (MSSP Multi-Client Mode, tenant scoping + Row-Level Security) jest ROADMAP — szczegóły i harmonogram na /mssp-mode. Dla pierwszego pilota z jednym klientem to nie jest blokerem.

Czy Board Pack może mieć moje logo zamiast K0NSULT (white-label)?

To jest w planie, nie działa jeszcze end-to-end. Specyfikacja white-label (branding partnera na Board Packu, niezmienność dowodu przy zmianie brandingu) jest opisana na /white-label ze statusem F13; podłączenie do generatora PDF jest kolejnym krokiem, nie ukrywamy tego jako gotowej funkcji.

Jak wygląda pierwszy kontakt i ile trwa pilot?

Zgłoszenie przez formularz na /partner, potem ustalenia formalne (NDA/RoE/DPA) i wybór szablonu: pilot 5-dniowy (szybki dowód na jednym typie skanera) albo 30-dniowy (pełny cykl import→retest→Board Pack na kilku findingach) — szablony na /pilot-ops.

Czy mogę dołączyć jako recenzent metodyki zamiast wdrażać u klienta?

Tak — Founding Reviewer Circle (/reviewer-program) to ścieżka dla osób, które chcą ocenić metodykę evidence-first (parsery, evidence-package, Legal Trigger Engine) i dać feedback, bez zobowiązania do prowadzenia pilota u klienta końcowego.

Czy legal/compliance mapping (DORA/NIS2/RODO/AI Act) jest poradą prawną?

Nie. Legal Trigger Engine to wsparcie decyzji (decision-support), nie porada prawna — terminy i mapowania wymagają przeglądu przez radcę/kancelarię klienta przed jakąkolwiek wysyłką do organu. Więcej: /known-limitations.

Następny krok

Zgłoś swój profil partnera — zobacz, czy pilot pasuje do Twojej skali.

Nie sprzedajemy dostępu „od ręki" do wszystkich funkcji — pilot startuje po ustaleniu formalności i doborze szablonu do Twojej sytuacji (jeden klient vs. portfel klientów, własny branding vs. marka K0NSULT).

Granica etyczna i prawna. ipIII jest narzędziem obrony i zgodności (GRC/blue) — wspiera dokumentowanie dowodów po teście, nie wykonuje nieautoryzowanych skanów, exploitacji ani hack-back. Legal Trigger Engine oraz wszelkie mapowania obowiązków to wsparcie decyzji, nie porada prawna. Wszystkie testy bezpieczeństwa prowadzone przez partnerów wyłącznie w granicach pisemnych Rules of Engagement, na danych zanonimizowanych lub syntetycznych na etapie PoC.

Powiązane: pełny rejestr ograniczeń (uczciwie, co jeszcze NIE działa) → /known-limitations · macierz statusów wszystkich elementów → /status-matrix.