k0nsult.cloud / ai-truth / ipIII / partner & pilot mode
Partner & Pilot Mode — od rozmowy do kontrolowanego PoC MVP
Jedno wejście dla partnerów: banków/CISO, liderów pentestu, kancelarii/compliance i firm cyber. ipIII prowadzi wielu partnerów jednocześnie po tej samej, jawnej ścieżce — bez ręcznego tłumaczenia procesu od zera przy każdej nowej rozmowie. Ta strona to szkielet procesu (MVP): mapa kroków, ról i materiałów, a nie działający backend onboardingu.
Po co ta strona. Rozmowy pilotażowe z bankiem, zespołem pentesterów, kancelarią czy firmą cyber
mają zwykle te same kroki — a mimo to za każdym razem trzeba je tłumaczyć od nowa. Ten
tryb partnera (MVP)
porządkuje wejście: jedna ścieżka, jasne materiały wejściowe (NDA/RoE/DPA), zakres PoC na danych syntetycznych
lub zanonimizowanych i uzgodnione kryteria sukcesu. To
decision support dla obu stron, nie oferta wdrożenia.
Zgodnie z doktryną
claim ≤ proof: elementy realnie działające są oznaczone
LIVE
na
roadmapie dev; ten proces jako całość to
MVP.
Jedno wejście. Ten sam proces dla każdego partnera.
ipIII może prowadzić wiele rozmów pilotażowych równolegle bez chaosu, bo każda idzie po tej samej,
jawnej ścieżce: od pierwszego kontaktu, przez ustalenia formalne (NDA / RoE / DPA) i anonimizację danych,
do kontrolowanego PoC z uzgodnionymi kryteriami sukcesu i raportem końcowym. Nic nie zaczyna się od testów —
zaczyna się od zakresu i pisemnych zasad. To wsparcie procesu, nie automatyczne wdrożenie.
ŚCIEŻKA PARTNERA:
Kontakt→NDA / RoE / DPA→Zakres PoC→Anonimizacja danych→Pilot→Kryteria sukcesu→Feedback→Raport końcowy
1 · Ścieżka partnera — krok po kroku
Każdy krok jest jawny i ma właściciela po obu stronach. Kolejność jest twarda: bez pisemnych zasad (RoE) nie ruszają żadne działania o charakterze testu.
1. Kontakt — zgłoszenie zainteresowania (bank/CISO, pentest lead, kancelaria, firma cyber). Krótka kwalifikacja: kto, po co, jaki obszar. Wejście:
/pilot-intake.
2. NDA / RoE / DPA — dokumenty ramowe: NDA (poufność), Rules of Engagement (granice i zasady), DPA (przetwarzanie danych). Szablon RoE:
/roe-template. Bez podpisanego RoE PoC nie startuje.
3. Zakres PoC — wspólne ustalenie, co konkretnie sprawdzamy: które moduły ipIII, jakie dane wejściowe, jaki wynik ma być dowodem wartości. Zakres spisany, nie domyślny.
4. Anonimizacja danych — PoC działa na danych syntetycznych lub zanonimizowanych. Dane produkcyjne partnera nie opuszczają jego środowiska bez odrębnych ustaleń i DPA.
5. Pilot — kontrolowany przebieg w uzgodnionym zakresie: import → incydent → evidence-package → retest, w granicach RoE. Krótkie okno czasowe, jasny właściciel.
6. Kryteria sukcesu — mierzalne warunki „udało się", ustalone przed pilotem, nie po. Np. czas od zgłoszenia do pakietu dowodowego, kompletność łańcucha custody, czytelność board-packu.
7. Feedback — ustrukturyzowana informacja zwrotna partnera: co pomaga, czego brakuje, co jest ROADMAP. Wejście:
/feedback.
8. Raport końcowy — podsumowanie PoC: co zadziałało (z dowodami), gdzie były granice (odsyłamy do
znanych ograniczeń), rekomendacja dalszych kroków. Bez obietnic ponad to, co pokazano.
2 · Typy partnerów — co dostajesz, czego NIE, pierwszy krok
| Partner | Co dostaje | Czego NIE dostaje | Pierwszy krok |
| Bank / CISO |
Board Pack (evidence-package + streszczenie dla zarządu), mapowanie DORA/NIS2 jako decision support, demo warstwy evidence na danych syntetycznych. |
NIE: system klasy produkcyjnej bankowej, NIE porada prawna, NIE gotowa integracja z produkcyjnym SIEM (to ROADMAP). |
Zobacz /bank i /ciso-board-pack, potem /pilot-intake. |
| Pentest lead |
Parsery findings (Burp/ZAP/Nessus/CSV) → incydent → evidence-package z hashem i łańcuchem custody; szablon RoE do uzgodnienia zakresu. |
NIE: zlecenie ani zachęta do działań poza RoE, NIE narzędzie do testów bez pisemnych zasad, NIE zapewnienie pełnego pokrycia. |
Zobacz /dev i /roe-template, potem /pilot-intake. |
| Kancelaria / Compliance |
Trust Center + Regulatory Packs jako materiał wejściowy do własnej oceny; mapowanie obowiązków jako wsparcie, do weryfikacji przez radcę. |
NIE: porada prawna, NIE automatyczne domknięcie zgodności, NIE zastąpienie kwalifikacji prawnika/kancelarii. |
Zobacz /trust-center i /regulatory-packs. |
| Firma cyber |
Konektory i format evidence-package do integracji; wspólny PoC pokazujący przepływ import → dowód → retest na danych zanonimizowanych. |
NIE: gotowy konektor do każdego SIEM (część to ROADMAP), NIE wspólna oferta bez ustaleń, NIE dane produkcyjne bez DPA. |
Zobacz /connectors, potem /pilot-intake. |
3 · Materiały partnera
Onboarding partnera MVP
Jak wygląda wejście krok po kroku i kto jest właścicielem każdego etapu. Punkt startu dla nowej rozmowy.
→ /pilot-intake
Checklist PoC (NDA/DPA/RoE) ROADMAP
Lista kontrolna dokumentów i ustaleń wymaganych przed startem pilota. Bez kompletu — PoC nie rusza.
→ /roe-template (RoE)
Kryteria sukcesu pilota MVP
Mierzalne warunki „udało się", ustalane przed pilotem. Zmienne, nie hasła — czas, kompletność, czytelność.
→ zgłoś kryteria / feedback
Scorecard partnera ROADMAP
Podsumowanie przebiegu PoC względem uzgodnionych kryteriów. Szkielet — nie działający scoring.
→ granice / known-limitations
Roadmap voting ROADMAP
Partnerzy wskazują, które elementy ROADMAP są dla nich najważniejsze. Wejście przez feedback.
→ /feedback
Granice i uczciwy rejestr LIVE
Czego ipIII jeszcze NIE robi — jawnie, z ryzykiem i priorytetem. Czytaj przed pilotem.
→ /known-limitations
Skrót — tryb partnera w liczbach
4
Typy partnerów
Bank/CISO · Pentest · Kancelaria · Firma cyber
8
Kroków ścieżki
Kontakt → … → Raport końcowy
MVP
Status procesu
szkielet, nie działający backend
RoE
Warunek startu
bez pisemnych zasad brak testów
To szkielet procesu, nie działający system. Ta strona porządkuje rozmowę i materiały (MVP).
Elementy realnie działające — parsery findings, evidence-package, close-with-evidence, JWT+RBAC+audit —
są oznaczone
LIVE i mają dowody na
roadmapie dev. Onboarding, checklist, scorecard i voting jako
zautomatyzowane funkcje to
ROADMAP — mówimy o nich jako o planie, nie jako o gotowej funkcji.
Disclaimer. Tryb partnera to
decision support i porządek procesu — nie jest certyfikatem,
poświadczeniem ani poradą prawną. PoC prowadzimy wyłącznie na danych
syntetycznych lub zanonimizowanych;
dane produkcyjne partnera wymagają odrębnego DPA. Wszelkie działania o charakterze testu bezpieczeństwa
tylko w granicach pisemnych
Rules of Engagement — bez RoE nie startujemy.
Zgodnie z doktryną
claim ≤ proof deklarujemy dokładnie tyle, ile potrafimy pokazać kodem, testem i endpointem.
Powiązane: uczciwy rejestr granic → /known-limitations ·
roadmapa z dowodami → /roadmap-dev ·
wejście pilota → /pilot-intake.