K0NSULT // ai-truth/ipIII
k0nsult.cloud / ai-truth / ipIII / orchestrator / mssp-mode

MSSP Multi-Client Mode — spec (ROADMAP)

Szkielet trybu, w którym jeden operator MSSP (dostawca usług bezpieczeństwa zarządzanego) obsługuje wielu klientów końcowych z jednego panelu ipIII — z rozdzielonymi danymi, osobnym Board Packiem per klient i zbiorczym rozliczeniem. Status całej strony: ROADMAP. Ta funkcja wprost zależy od izolacji tenantowej (F3): warstwa 1 (kolumny/scoping) jest obecna w repozytorium, ale nie jest podłączona do ścieżki zapytań — nie działa, więc nie nazywamy jej LIVE; warstwa 2 (PostgreSQL Row-Level Security) jest dopiero w planie. Dopóki F3 nie jest domknięte, MSSP Mode nie może bezpiecznie wystartować.

Stan faktyczny na 2026-07-05. MSSP Multi-Client Mode nie istnieje jako działająca funkcja. ipIII działa dziś w trybie single-org (jedna organizacja, LIVE MVP warstwy evidence). Ta strona jest specyfikacją projektową — opisuje, co trzeba zbudować i w jakiej kolejności, żeby bezpiecznie uruchomić panel MSSP dla wielu klientów. Każdy element poniżej opisany jako docelowy jest oznaczony ROADMAP.
Jeden panel MSSP, wielu klientów, zero przecieku — pod warunkiem, że izolacja tenantowa realnie działa.

MSSP Mode ma sens tylko wtedy, gdy dane klienta A nigdy nie są widoczne dla klienta B na tej samej instancji. Ten warunek nie jest dziś spełniony: kod scopingu tenantowego (kolumna tenant_id, filtrowanie w query) jest częściowo obecny w repozytorium z prac nad F3, ale nie jest podłączony do żadnej ścieżki produkcyjnej — to martwy kod (dead code), nie działająca funkcja. PostgreSQL Row-Level Security, testy izolacji IDOR/BOLA i audit per tenant są dopiero specyfikacją na /tenant-model. MSSP Mode dziedziczy ten sam priorytet i tę samą blokadę.

ŁAŃCUCH ZALEŻNOŚCI: single-org (dziś)F3 w.1: scoping obecny, nieaktywnyF3 w.2: RLS ROADMAPtesty izolacjiMSSP Mode dopiero wtedy

Dlaczego MSSP Mode nie może wystartować przed F3

Bez działającej izolacji tenantowej panel MSSP byłby ryzykiem, nie funkcją — klient A mógłby teoretycznie zobaczyć dane klienta B. Dlatego kolejność jest twarda: najpierw izolacja, potem panel na niej zbudowany.

ZależnośćCo to jestStan dziśStatus
F3 warstwa 1 — scoping Kolumna tenant_id i logika filtrowania zapytań per tenant, opisana w modelu na /tenant-model. Fragmenty obecne w repozytorium (z prac przygotowawczych), ale niepodłączone do ścieżki API/DB — nie wykonują się w produkcji. To martwy kod, nie funkcja. obecny, nieaktywny
F3 warstwa 2 — RLS PostgreSQL Row-Level Security wymuszający separację na poziomie bazy, nawet gdy warstwa aplikacyjna zawiedzie. Wyłącznie szkic polityki (przykładowy SQL) na /tenant-model. Wymaga migracji schematu i ACK operatora. ROADMAP P1
Testy izolacji (IDOR/BOLA) Dowód, że tenant A nie widzi danych tenanta B — nie tylko że widzi swoje. Zestaw testów opisany jako spec, nie uruchomiony (brak środowiska multi-tenant do testowania). ROADMAP
White Label Board Pack (F13) Raport per klient z brandingiem MSSP, ale z niezmiennym K0NSULT evidence hash — opisane na /white-label. Warstwa dowodowa (hash, chain-of-custody, /verify) istnieje w ipIII; sam mechanizm nakładania brandingu — nie. ROADMAP
Billing per-tenant Zbiorcze i rozdzielne rozliczenie MSSP wobec K0NSULT oraz MSSP wobec swoich klientów końcowych. Wyłącznie specyfikacja poniżej. Brak licznika zużycia per tenant, brak integracji billingowej. ROADMAP
Twarda blokada, nie formalność. Uruchomienie MSSP Mode przed domknięciem F3 warstwy 2 (RLS) i testów izolacji byłoby sprzeczne z doktryną claim ≤ proof — oznaczałoby sprzedaż funkcji separacji danych, na którą nie ma dowodu. Ta strona świadomie nie proponuje żadnego terminu uruchomienia przed spełnieniem tego warunku.

Architektura docelowa (spec)

Model warstwowy: operator MSSP zarządza wieloma tenantami-klientami z jednego panelu; każdy klient końcowy widzi wyłącznie własne dane i własny Board Pack. Cały diagram = ROADMAP, ilustracja docelowej struktury.

SPEC / ROADMAP — nie wdrożone

MSSP operator (panel zbiorczy)
 ├─ Tenant: Klient A  (scoping: tenant_id + RLS)
 │    ├─ evidence / incydenty / findings  — widoczne TYLKO dla Klienta A i MSSP
 │    └─ Board Pack (white-label MSSP)    — branding MSSP, evidence_hash niezmienny
 ├─ Tenant: Klient B  (scoping: tenant_id + RLS)
 │    ├─ evidence / incydenty / findings  — widoczne TYLKO dla Klienta B i MSSP
 │    └─ Board Pack (white-label MSSP)
 └─ Tenant: Klient C  ...

Panel MSSP: widok zbiorczy (metryki, SLA, kolejka retestów) — bez mieszania danych dowodowych między tenantami.
Billing: zużycie liczone per tenant, agregowane do jednej faktury MSSP + rozbicie per klient (spec poniżej).

Billing per-tenant (spec)

Poniżej opis zamierzonego modelu rozliczeń MSSP. Warunki, stawki i poziomy ustalane są indywidualnie na piśmie — pełny cennik bazowy na /pricing. Liczby w tabeli to przykład formatu, nie oferta ani cennik obowiązujący.

ElementCo mierzy (docelowo)Komu trafia rozliczenieStatus
Licznik per tenant Zużycie (liczba engagementów, evidence-package, retestów) osobno dla każdego klienta końcowego. Wejście do faktury zbiorczej MSSP. ROADMAP
Faktura zbiorcza MSSP Jedna faktura od K0NSULT do operatora MSSP, z rozbiciem per tenant w załączniku. Operator MSSP. ROADMAP
Rozliczenie MSSP → klient końcowy To, jak MSSP fakturuje własnego klienta (marża, pakiet usług), pozostaje poza ipIII — narzędzie dostarcza dane zużycia, nie wystawia faktury klienta końcowego. Operator MSSP (poza zakresem ipIII). ROADMAP (poza zakresem)
Próg alertu / limit tenanta Opcjonalny limit zużycia per tenant z powiadomieniem przed przekroczeniem. Operator MSSP (widok panelu). ROADMAP
Billing nie jest funkcją odseparowaną od izolacji. Poprawne rozliczenie per tenant wymaga tego samego scopingu danych co bezpieczeństwo (F3) — licznik zużycia musi liczyć dokładnie to, co należy do danego tenanta, ani więcej, ani mniej. Dlatego billing per-tenant jest tu opisany jako zależny od tej samej migracji, nie jako osobny, łatwiejszy krok.

Co MSSP Mode odziedziczy z istniejących elementów

MSSP Mode nie startuje od zera — część fundamentu dowodowego już działa w trybie single-org i zostanie ponownie użyta, gdy izolacja tenantowa będzie gotowa.

Warstwa evidence

Import parserów, evidence-package, chain-of-custody, close-with-evidence — działa dziś w jednym kontekście organizacyjnym.

LIVE MVP (single-org)

JWT + RBAC + audit

Uwierzytelnianie i ślad audytowy istnieją; docelowo audit zostanie rozszerzony o kotwicę tenant_id per zdarzenie.

LIVE MVP / rozszerzenie per tenant ROADMAP

Board Pack (bazowy)

Generowanie raportu istnieje jako element; branding partnera (white-label) to osobna warstwa, opisana na /white-label.

ROADMAP (white-label)

Legal Trigger Engine

Mapowanie obowiązków (DORA/NIS2/RODO/AI Act) działa dziś dla jednego kontekstu; per-tenant różnicowanie jurysdykcji to rozszerzenie do zaplanowania.

LIVE MVP / per tenant ROADMAP

Skrót stanu

0
Elementów MSSP Mode działających
cała funkcja = ROADMAP
2
Warstwy F3 wymagane
w.1 obecna/nieaktywna · w.2 RLS ROADMAP
4
Zależności wypisane jawnie
scoping · RLS · testy izolacji · white-label
P1
Priorytet uzależniony od F3
nie startuje przed migracją DB + ACK

Czego ta strona NIE deklaruje

To nie jest ogłoszenie gotowego trybu MSSP. Panel wielo-klientowy, izolacja tenantowa, białoetykietowy Board Pack per klient i billing per tenant są tu opisane jako szkielet do zbudowania (ROADMAP), zależny od domknięcia F3. Nie jest to funkcja dostępna dziś ani w wersji ograniczonej — dopóki warstwa 2 (RLS) i testy izolacji nie mają dowodu, MSSP Mode pozostaje specyfikacją.
„Obecny w kodzie" ≠ „działający". Fragmenty scopingu tenantowego z prac nad F3 istnieją w repozytorium, ale nie są podłączone do ścieżki produkcyjnej — nie wykonują się, nie są testowane w tym trybie i nie chronią dziś żadnych danych. Zgodnie z doktryną claim ≤ proof nazywamy to wprost martwym kodem, nie funkcją LIVE. Pełny rejestr granic dojrzałości: /known-limitations; model tenantowy: /tenant-model.
Granica etyczna i prawna. ipIII jest narzędziem obrony i zgodności (GRC/blue). Wszelkie mapowania obowiązków (RODO/DORA/NIS2/AI Act) w kontekście MSSP to wsparcie decyzji, nie porada prawna — model rozliczeń MSSP wobec własnych klientów wymaga odrębnej umowy i przeglądu prawnika. Ewentualne testy izolacji (IDOR/BOLA) będą prowadzone wyłącznie defensywnie, na danych syntetycznych, w granicach pisemnych Rules of Engagement.

Powiązane: model tenantowy i RLS → /tenant-model · White Label Board Pack → /white-label · rejestr znanych ograniczeń → /known-limitations · macierz statusów → /status-matrix.