K0NSULT // ai-truth/ipIII
k0nsult.cloud / ai-truth / ipIII / orchestrator / partner-guide

Partner Guide — jak wejść, jak prowadzić pilota, jak wygenerować paczkę dowodową

Ta strona to instrukcja HOW-TO dla partnera (pentester, MSSP, kancelaria, integrator, SOC), uzupełniająca strukturę programu opisaną na Partner Program. Odpowiada na trzy pytania: co dokładnie robię krok po kroku, gdzie kończy się moja odpowiedzialność a zaczyna platformy, i co muszę jawnie powiedzieć klientowi. Zgodnie z doktryną claim ≤ proof — działające elementy są oznaczone LIVE, planowane jako ROADMAP.

Czym jest ta strona. Instrukcja operacyjna typu HOW-TO — nie ofertą handlową, nie umową i nie poradą prawną. Kroki dotyczące NDA/RoE/DPA, mapowania obowiązków regulacyjnych i interpretacji wyników dla klienta wymagają przeglądu prawnika i/lub DPO partnera lub jego klienta. ipIII wspiera workflow dowodowy i decision-support — nie zastępuje pentestu, AppSec, SOC ani GRC, i nie wykonuje testów w imieniu partnera.
7 kroków od zgłoszenia partnera do paczki dowodowej u klienta.

Partner nie testuje „przez" ipIII — testuje własnymi narzędziami w ramach uzgodnionego z klientem zakresu, a ipIII przyjmuje gotowe wyniki, normalizuje je do incydentów i generuje paczkę dowodową z integralnością (manifest, sha256, chain-of-custody). Poniżej dokładna kolejność, z podziałem kto co robi.

ŚCIEŻKA: zgłoszenieRoE/NDA/DPAonboarding tech.import findingsevidence packageretest/closeraport dla klienta

Krok po kroku

Kolumna Status: LIVE = działa dziś na żywym API/DB · ROADMAP = planowane, nie oferuj tego klientowi jako działającego. Kolumna Human-only = wymaga człowieka (prawnik/DPO/partner), nie automatyzujemy.

#KrokCo robi partnerCo robi ipIIIStatus
1 Zgłoszenie i kwalifikacja Wypełnia formularz na /partner, wskazuje typ (pentester / MSSP / kancelaria / integrator / SOC). Przypisuje pakiet startowy dopasowany do typu partnera (dostęp, dokumentacja, sandbox). LIVE proces
2 Zakres z klientem: RoE / NDA / DPA Negocjuje i podpisuje z klientem zakres testu (Rules of Engagement), NDA i — jeśli dotyczy danych osobowych — DPA. human-only Brak roli. Platforma nie autoryzuje testów i nie zastępuje umowy między partnerem a klientem. poza platformą
3 Onboarding techniczny Zapoznaje się z dokumentacją /api/ip3/v1, testuje na sandboxie. Udostępnia dokumentację API, przykłady konektorów, sandbox importu. LIVE
4 Import wyników pilota klienta Uruchamia własne narzędzia skanujące w zakresie RoE, eksportuje wyniki (Burp/ZAP/Nessus/CSV). Parsery normalizują eksport do incydentów w jednym modelu danych. LIVE
5 Generowanie paczki dowodowej Po zebraniu findings żąda wygenerowania paczki dla danego zaangażowania. Buduje evidence-package (JSON/PDF) z manifestem, sha256 i chain-of-custody w bazie. LIVE
6 Retest i zamknięcie Potwierdza u klienta usunięcie podatności / wdrożenie mitygacji. Rejestruje retest, zamyka incydent z dowodem (close-with-evidence), zapisuje w audit-logu. LIVE
7 Raport dla klienta partnera Buduje własny raport końcowy na bazie evidence-package; odpowiada za interpretację wyników wobec klienta. human-only Dostarcza materiał źródłowy (dane, hash, chain-of-custody) — nie interpretuje wyniku za partnera. partner odpowiada

Zakres odpowiedzialności — kto za co odpowiada

Rozgraniczenie jest celowo ostre: ipIII to warstwa dowodowo-regulacyjna między pentestem/AppSec/SOC/GRC a zarządem i regulatorem — nie wykonuje testu ani nie zastępuje żadnego z tych elementów.

ObszarOdpowiadaRola ipIII
Autoryzacja testu u klienta (zakres, okno czasowe, RoE)Partner + klient (podpis)Brak roli — platforma nie autoryzuje testów
Wybór narzędzi i wykonanie testuPartnerBrak roli — przyjmuje gotowe wyniki eksportu
Import i normalizacja wynikówPartner uruchamia importParsery Burp/ZAP/Nessus/CSV → incydenty LIVE
Integralność paczki dowodowej (manifest, hash, chain-of-custody)Generowane automatycznie LIVE
Interpretacja wyników wobec klienta końcowegoPartnerBrak roli
Mapowanie na obowiązki regulacyjne (DORA/NIS2/RODO/AI Act)Prawnik / DPO partnera lub klientaLegal Trigger Engine — wsparcie decyzji, terminy orientacyjne
NDA / MSA / DPA z klientemPrawnik partnera/klientaBrak roli — poza platformą
Model hostingu i lokalizacja danych klientaUzgodnienie partner–klientDziś: SaaS EU, pojedyncza organizacja. Private tenant/VPC/on-prem: ROADMAP

Disclosure — co partner musi jawnie powiedzieć klientowi

Czym jest ipIII

Warstwa dowodowo-regulacyjna między pentestem/AppSec/SOC/GRC a zarządem, audytem i regulatorem. Nie zastępuje żadnego z tych elementów i nie jest ich zamiennikiem.

Legal Trigger Engine decision-support

Mapowanie obowiązków (DORA/NIS2/RODO/AI Act) jest orientacyjne. Wymaga przeglądu prawnika/DPO przed użyciem w postępowaniu przed organem.

Model hostingu

Dziś: SaaS w UE, jedna organizacja. Klient musi wiedzieć, że private tenant / VPC / on-prem to ROADMAP, nie stan dzisiejszy.

Znane ograniczenia

Auth bez OIDC, brak mTLS, brak PAdES/TSA na paczce dowodowej, jedna organizacja (multi-tenant w planie). Pełny rejestr → /known-limitations.

Zero testów przez platformę

ipIII nie wykonuje skanów ani testów bezpieczeństwa samodzielnie — przyjmuje wyłącznie wyniki przekazane przez partnera w ramach podpisanego RoE.

Dane syntetyczne vs realne

Jeśli klientowi pokazywane są przykłady (scorecard, demo, dashboard), partner musi jasno oznaczyć, które dane są syntetyczne, a które pochodzą z realnego pilota.

Czego partner NIE robi przez ipIII

Platforma nie skanuje i nie testuje za partnera. Cała autoryzacja i wykonanie testu leżą po stronie partnera i klienta, w granicach pisemnych Rules of Engagement. ipIII zaczyna działać dopiero od momentu importu gotowych wyników.
Partner nie udziela porady prawnej pod szyldem Legal Trigger Engine. Wyjścia silnika to materiał do przeglądu prawnika/DPO — nie gotowa opinia prawna do przekazania klientowi bez weryfikacji.
Partner nie przedstawia klientowi elementów ROADMAP jako działających dziś. Multi-tenant, konektor SIEM, PAdES/TSA, mTLS, OIDC — wszystkie oznaczone ROADMAP w rejestrze ograniczeń. Jeśli klient pyta o te funkcje, odpowiedź brzmi: „w planie, nie dziś".

Elementy human-only (poza automatyzacją ipIII)

NDA / MSA / DPA prawnik

Szkielet/checklist może być punktem wyjścia, ale finalny dokument wymaga prawnika partnera i/lub klienta. Decision-support, nie porada prawna.

Przegląd Legal Trigger Engine prawnik/DPO

Każdy draft pisma do organu (DORA/NIS2/RODO/AI Act) — przegląd przed wysyłką.

Rozliczenia z klientem partner

Model wyceny i rozliczenia partnera z jego klientem — poza zakresem platformy.

Przegląd bezpieczeństwa samego partnera zewnętrzny audytor

Jeśli klient partnera wymaga niezależnego przeglądu (np. SOC 2 / ISO 27001) samego partnera — to proces zewnętrzny, poza ipIII.

Skrót przewodnika

7
Kroków ścieżki
zgłoszenie → raport dla klienta
5
Kroków LIVE
onboarding · import · evidence · retest/close
2
Human-only
RoE/NDA/DPA · raport klienta
4
Elementy ROADMAP do ujawnienia
OIDC · mTLS · PAdES/TSA · multi-tenant
Granica etyczna i prawna. ipIII jest narzędziem obrony i zgodności (GRC/blue). Współpraca partnerska nie obejmuje nieautoryzowanych skanów, eksploitacji ani działań poza zakresem RoE. Legal Trigger Engine i wszelkie mapowania obowiązków to wsparcie decyzji, nie porada prawna — każdy draft pisma wymaga przeglądu prawnika lub DPO przed wysyłką. Wszystkie działania testowe wyłącznie w granicach pisemnych Rules of Engagement.

Powiązane: struktura programu partnerskiego → /partner-program · zgłoszenie partnera → /partner · zakres wspólnego pilota → /pilot-intake · ścieżka zakupowa → /procurement · znane ograniczenia → /known-limitations.