Ta strona to instrukcja HOW-TO dla partnera (pentester, MSSP, kancelaria, integrator, SOC), uzupełniająca strukturę programu opisaną na Partner Program. Odpowiada na trzy pytania: co dokładnie robię krok po kroku, gdzie kończy się moja odpowiedzialność a zaczyna platformy, i co muszę jawnie powiedzieć klientowi. Zgodnie z doktryną claim ≤ proof — działające elementy są oznaczone LIVE, planowane jako ROADMAP.
Partner nie testuje „przez" ipIII — testuje własnymi narzędziami w ramach uzgodnionego z klientem zakresu,
a ipIII przyjmuje gotowe wyniki, normalizuje je do incydentów i generuje paczkę dowodową z integralnością
(manifest, sha256, chain-of-custody). Poniżej dokładna kolejność, z podziałem kto co robi.
Kolumna Status: LIVE = działa dziś na żywym API/DB · ROADMAP = planowane, nie oferuj tego klientowi jako działającego. Kolumna Human-only = wymaga człowieka (prawnik/DPO/partner), nie automatyzujemy.
| # | Krok | Co robi partner | Co robi ipIII | Status |
|---|---|---|---|---|
| 1 | Zgłoszenie i kwalifikacja | Wypełnia formularz na /partner, wskazuje typ (pentester / MSSP / kancelaria / integrator / SOC). | Przypisuje pakiet startowy dopasowany do typu partnera (dostęp, dokumentacja, sandbox). | LIVE proces |
| 2 | Zakres z klientem: RoE / NDA / DPA | Negocjuje i podpisuje z klientem zakres testu (Rules of Engagement), NDA i — jeśli dotyczy danych osobowych — DPA. human-only | Brak roli. Platforma nie autoryzuje testów i nie zastępuje umowy między partnerem a klientem. | poza platformą |
| 3 | Onboarding techniczny | Zapoznaje się z dokumentacją /api/ip3/v1, testuje na sandboxie. |
Udostępnia dokumentację API, przykłady konektorów, sandbox importu. | LIVE |
| 4 | Import wyników pilota klienta | Uruchamia własne narzędzia skanujące w zakresie RoE, eksportuje wyniki (Burp/ZAP/Nessus/CSV). | Parsery normalizują eksport do incydentów w jednym modelu danych. | LIVE |
| 5 | Generowanie paczki dowodowej | Po zebraniu findings żąda wygenerowania paczki dla danego zaangażowania. | Buduje evidence-package (JSON/PDF) z manifestem, sha256 i chain-of-custody w bazie. |
LIVE |
| 6 | Retest i zamknięcie | Potwierdza u klienta usunięcie podatności / wdrożenie mitygacji. | Rejestruje retest, zamyka incydent z dowodem (close-with-evidence), zapisuje w audit-logu. | LIVE |
| 7 | Raport dla klienta partnera | Buduje własny raport końcowy na bazie evidence-package; odpowiada za interpretację wyników wobec klienta. human-only | Dostarcza materiał źródłowy (dane, hash, chain-of-custody) — nie interpretuje wyniku za partnera. | partner odpowiada |
Rozgraniczenie jest celowo ostre: ipIII to warstwa dowodowo-regulacyjna między pentestem/AppSec/SOC/GRC a zarządem i regulatorem — nie wykonuje testu ani nie zastępuje żadnego z tych elementów.
| Obszar | Odpowiada | Rola ipIII |
|---|---|---|
| Autoryzacja testu u klienta (zakres, okno czasowe, RoE) | Partner + klient (podpis) | Brak roli — platforma nie autoryzuje testów |
| Wybór narzędzi i wykonanie testu | Partner | Brak roli — przyjmuje gotowe wyniki eksportu |
| Import i normalizacja wyników | Partner uruchamia import | Parsery Burp/ZAP/Nessus/CSV → incydenty LIVE |
| Integralność paczki dowodowej (manifest, hash, chain-of-custody) | — | Generowane automatycznie LIVE |
| Interpretacja wyników wobec klienta końcowego | Partner | Brak roli |
| Mapowanie na obowiązki regulacyjne (DORA/NIS2/RODO/AI Act) | Prawnik / DPO partnera lub klienta | Legal Trigger Engine — wsparcie decyzji, terminy orientacyjne |
| NDA / MSA / DPA z klientem | Prawnik partnera/klienta | Brak roli — poza platformą |
| Model hostingu i lokalizacja danych klienta | Uzgodnienie partner–klient | Dziś: SaaS EU, pojedyncza organizacja. Private tenant/VPC/on-prem: ROADMAP |
Warstwa dowodowo-regulacyjna między pentestem/AppSec/SOC/GRC a zarządem, audytem i regulatorem. Nie zastępuje żadnego z tych elementów i nie jest ich zamiennikiem.
Mapowanie obowiązków (DORA/NIS2/RODO/AI Act) jest orientacyjne. Wymaga przeglądu prawnika/DPO przed użyciem w postępowaniu przed organem.
Dziś: SaaS w UE, jedna organizacja. Klient musi wiedzieć, że private tenant / VPC / on-prem to ROADMAP, nie stan dzisiejszy.
Auth bez OIDC, brak mTLS, brak PAdES/TSA na paczce dowodowej, jedna organizacja (multi-tenant w planie). Pełny rejestr → /known-limitations.
ipIII nie wykonuje skanów ani testów bezpieczeństwa samodzielnie — przyjmuje wyłącznie wyniki przekazane przez partnera w ramach podpisanego RoE.
Jeśli klientowi pokazywane są przykłady (scorecard, demo, dashboard), partner musi jasno oznaczyć, które dane są syntetyczne, a które pochodzą z realnego pilota.
Szkielet/checklist może być punktem wyjścia, ale finalny dokument wymaga prawnika partnera i/lub klienta. Decision-support, nie porada prawna.
Każdy draft pisma do organu (DORA/NIS2/RODO/AI Act) — przegląd przed wysyłką.
Model wyceny i rozliczenia partnera z jego klientem — poza zakresem platformy.
Jeśli klient partnera wymaga niezależnego przeglądu (np. SOC 2 / ISO 27001) samego partnera — to proces zewnętrzny, poza ipIII.
Powiązane: struktura programu partnerskiego → /partner-program · zgłoszenie partnera → /partner · zakres wspólnego pilota → /pilot-intake · ścieżka zakupowa → /procurement · znane ograniczenia → /known-limitations.