Ta strona nie wprowadza nowej funkcji — porządkuje istniejący produkt w jedną ścieżkę czytania: co to jest, dla kogo, dlaczego teraz, co zawiera, co jest techniczne, jak to zweryfikować i jak zacząć. Boczne menu prowadzi po kolei; każda sekcja odsyła do pełnej, samodzielnej strony ze szczegółami i dowodami.
To nie kolejny skaner ani kolejny SIEM. To Evidence Operating Layer, która przyjmuje wyniki narzędzi technicznych jako import i przekłada je na łańcuch: finding → dowód → właściciel → obowiązek regulacyjny → pakiet dla zarządu. Skanery, pentest, SOC i GRC pozostają potrzebne — ipIII pracuje na ich wyjściu, nie zamiast nich.
Pełny opis wartości produktu, dla kogo i dlaczego to działa → /wartosc-produktu.
Cztery grupy odbiorców, jeden model danych. Każda ma osobną stronę wejściową dopasowaną do własnego języka i obowiązków regulacyjnych.
Bank, fintech, ubezpieczyciel — incydent operacyjny/ICT trzeba połączyć z zegarem zgłoszeniowym DORA i pokazać dowód zamknięcia zarządowi.
SOC/CERT podmiotu objętego NIS2 — z alertu potrzebny jest dowód (evidence), nie tylko ticket zamknięty bez śladu.
Zespoły budujące/wdrażające systemy AI — potrzebują śladu decyzji, promptów i nadzoru dla obowiązków AI Act.
Zespoły AppSec, firmy pentestowe i MSSP — zamiast budować własną warstwę dowodową dla klientów, importują wynik do ipIII.
Wspólny mianownik: CISO, audyt wewnętrzny, compliance, DPO — to oni czytają wyjście (Board Pack, mapowanie kontroli, evidence-package), niezależnie od branży wejścia.
Trzy reżimy regulacyjne wchodzą w fazę egzekwowania niemal równocześnie: DORA (obowiązuje od 2025, operacyjna odporność ICT sektora finansowego), NIS2 (transpozycja krajowa, podmioty kluczowe/ważne) i AI Act (obowiązki dla systemów wysokiego ryzyka — harmonogram części przepisów przesunięty, część już obowiązuje). W każdym z nich wspólny mianownik to dowód: kto co wykrył, kto naprawił, kiedy, z jakim śladem. Dziś ten dowód najczęściej żyje rozproszony w ticketach, mailach i arkuszach — trudny do odtworzenia pod presją terminu regulatora.
Pełna analiza timingu regulacyjnego → /why-now.
Pięć warstw jednego przepływu: pentest/skan → evidence → remediation → regulatory → AI-agent security, spięte wspólnym modelem finding→evidence→owner→control.
| Warstwa | Co robi | Status |
|---|---|---|
| Connectors | Import z narzędzi technicznych: Burp, ZAP, Nessus, Qualys, generic CSV, DefectDojo, SARIF, SBOM, skanery sekretów, postura chmury, RE. | LIVE |
| Evidence | Evidence-package z sumą kontrolną (sha256), chain-of-custody, dedup cross-tool, wzbogacanie CVE (offline, seed). | LIVE |
| Remediation | Właściciel, SLA, cykl życia incydentu (open→triaged→assigned→fixing→retest→closed), buildery ticketów Jira/GitHub. | LIVE |
| Regulatory | Legal Trigger Engine (obowiązki + zegary DORA/NIS2/RODO/AI Act), mapowanie evidence→control (ISO27001/NIST-CSF/CIS), Board Pack (PDF). | LIVE decision-support |
| AI-security | Ślad narzędzi/agentów AI, mapa MITRE ATT&CK (podmapa kuratorowana). | LIVE zakres rośnie |
Pozycjonowanie kategorii, analiza rynku i porównanie ze skanerami:
Pełna referencja developerska pod /dev-api-reference opisuje kod repozytorium — nie architekturę docelową. Skrót liczb (weryfikowalny w tamtym dokumencie):
routes/ip3-*.jstests/ip3-*.js| Warstwa | Co robi | Stan dziś |
|---|---|---|
| F1 — OIDC | Walidacja tokenu OIDC (RS256+JWKS) obok JWT lokalnego. | shadow — staging |
| F2 — hash-chain + podpis | Tamper-evident log audytowy (modyfikacja wykrywalna) + opcjonalny podpis HMAC pakietu evidence. | shadow — prod |
| F3 — tenancy warstwa 1 | Scoping zapytań po org_id w warstwie aplikacji. RLS w PostgreSQL = warstwa 2, osobno. | off/on — staging |
| F4 — transport | Realna wysyłka ticketów (GitHub/Jira/webhook) za potrójną bramką flag. | off domyślnie |
/mcp (3 narzędzia:
k0nsult_status, list_agents, query_agents) na poziomie całego
węzła K0NSULT — czyta rejestr agentów, nie dane incydentów ipIII. Zestaw narzędzi
ipIII-scoped (list_incidents/stats/playbooks/doctrine)
jest zaplanowany, ale nie istnieje jeszcze w kodzie — to ROADMAP.
Deployment: dziś SaaS EU (jedna instancja, tenancy warstwa 1). Private tenant / VPC / on-prem to ROADMAP, nie oferta dostępna dziś.
Serwis dokumentuje własne granice zamiast je ukrywać — to część tego samego modelu dowodowego, który sprzedaje klientom.
Polityka bezpieczeństwa, security.txt, disclosure, zasady RoE dla ćwiczeń purple-team (serwis broni się w granicach pisemnych Rules of Engagement, bez ofensywy nieautoryzowanej).
Jeden rejestr tego, czego ipIII jeszcze nie robi (auth federacyjny, mTLS, PAdES/TSA, RLS, SIEM online) — z ryzykiem, mitigacją i priorytetem.
Narzędzie sprawdzające sumę kontrolną i strukturę evidence-package — bez logowania, na próbkach syntetycznych.
Trzy ścieżki wejścia — żadna nie zobowiązuje do zakupu.
Kontrolowany pilot na danych syntetycznych lub Twoim eksporcie ze skanera, po RoE/NDA/DPA.
Powiązane: pełny hub modułu → /ai-truth/ipIII/ · mapa wszystkich stron → /mapa-pro · rejestr maszynowy stron → /pages.json.