K0NSULT // ai-truth/ipIII
k0nsult.cloud / ai-truth / ipIII / orchestrator / prezentacja

ipIII w 7 sekcjach — jedno wejście dla zarządu, CISO i audytu

Ta strona nie wprowadza nowej funkcji — porządkuje istniejący produkt w jedną ścieżkę czytania: co to jest, dla kogo, dlaczego teraz, co zawiera, co jest techniczne, jak to zweryfikować i jak zacząć. Boczne menu prowadzi po kolei; każda sekcja odsyła do pełnej, samodzielnej strony ze szczegółami i dowodami.

Jak czytać tę stronę. Wszystkie liczby produktowe (strony, endpointy, moduły, testy) są policzalne w kodzie i na żywych rejestrach (/pages.json, /dev-api-reference) — nie są liczbami z prezentacji sprzedażowej. Status LIVE = kod + test + endpoint istnieją dziś. Status ROADMAP = zaplanowane, jeszcze nieuruchomione. Mapowania regulacyjne to decision-support, nie porada prawna — wymagają przeglądu prawnika/DPO klienta.

1. Co to jest ipIII

„ipIII = warstwa dowodowo-regulacyjna między pentest/AppSec/SOC/GRC a zarządem, audytem i regulatorem."

To nie kolejny skaner ani kolejny SIEM. To Evidence Operating Layer, która przyjmuje wyniki narzędzi technicznych jako import i przekłada je na łańcuch: finding → dowód → właściciel → obowiązek regulacyjny → pakiet dla zarządu. Skanery, pentest, SOC i GRC pozostają potrzebne — ipIII pracuje na ich wyjściu, nie zamiast nich.

finding (import)evidence-package (hash)owner + SLAretestBoard Pack / regulator

Pełny opis wartości produktu, dla kogo i dlaczego to działa → /wartosc-produktu.

2. Dla kogo

Cztery grupy odbiorców, jeden model danych. Każda ma osobną stronę wejściową dopasowaną do własnego języka i obowiązków regulacyjnych.

Instytucje finansowe DORA

Bank, fintech, ubezpieczyciel — incydent operacyjny/ICT trzeba połączyć z zegarem zgłoszeniowym DORA i pokazać dowód zamknięcia zarządowi.

/bank · /landing-fintech

Podmioty krytyczne NIS2

SOC/CERT podmiotu objętego NIS2 — z alertu potrzebny jest dowód (evidence), nie tylko ticket zamknięty bez śladu.

/landing-soc

Dostawcy AI AI Act

Zespoły budujące/wdrażające systemy AI — potrzebują śladu decyzji, promptów i nadzoru dla obowiązków AI Act.

/ai-agent-security

Firmy cyber / pentest / MSSP

Zespoły AppSec, firmy pentestowe i MSSP — zamiast budować własną warstwę dowodową dla klientów, importują wynik do ipIII.

/landing-appsec · /landing-mssp

Wspólny mianownik: CISO, audyt wewnętrzny, compliance, DPO — to oni czytają wyjście (Board Pack, mapowanie kontroli, evidence-package), niezależnie od branży wejścia.

3. Przeznaczenie / dlaczego teraz

Trzy reżimy regulacyjne wchodzą w fazę egzekwowania niemal równocześnie: DORA (obowiązuje od 2025, operacyjna odporność ICT sektora finansowego), NIS2 (transpozycja krajowa, podmioty kluczowe/ważne) i AI Act (obowiązki dla systemów wysokiego ryzyka — harmonogram części przepisów przesunięty, część już obowiązuje). W każdym z nich wspólny mianownik to dowód: kto co wykrył, kto naprawił, kiedy, z jakim śladem. Dziś ten dowód najczęściej żyje rozproszony w ticketach, mailach i arkuszach — trudny do odtworzenia pod presją terminu regulatora.

Pełna analiza timingu regulacyjnego → /why-now.

4. Opis produktu

Pięć warstw jednego przepływu: pentest/skan → evidence → remediation → regulatory → AI-agent security, spięte wspólnym modelem finding→evidence→owner→control.

WarstwaCo robiStatus
ConnectorsImport z narzędzi technicznych: Burp, ZAP, Nessus, Qualys, generic CSV, DefectDojo, SARIF, SBOM, skanery sekretów, postura chmury, RE.LIVE
EvidenceEvidence-package z sumą kontrolną (sha256), chain-of-custody, dedup cross-tool, wzbogacanie CVE (offline, seed).LIVE
RemediationWłaściciel, SLA, cykl życia incydentu (open→triaged→assigned→fixing→retest→closed), buildery ticketów Jira/GitHub.LIVE
RegulatoryLegal Trigger Engine (obowiązki + zegary DORA/NIS2/RODO/AI Act), mapowanie evidence→control (ISO27001/NIST-CSF/CIS), Board Pack (PDF).LIVE decision-support
AI-securityŚlad narzędzi/agentów AI, mapa MITRE ATT&CK (podmapa kuratorowana).LIVE zakres rośnie

Pozycjonowanie kategorii, analiza rynku i porównanie ze skanerami:

5. Dokument dev (techniczny)

Pełna referencja developerska pod /dev-api-reference opisuje kod repozytorium — nie architekturę docelową. Skrót liczb (weryfikowalny w tamtym dokumencie):

60
endpointów API opisanych
v1 + read-path + demo
24
moduły backendu
routes/ip3-*.js
12
parserów / konektorów
Burp/ZAP/Nessus/Qualys/SARIF/SBOM/secrets/cloud/RE/dedup
34
plików testów
tests/ip3-*.js
4
warstwy feature-flag
F1–F4, tryb off/shadow/on
WarstwaCo robiStan dziś
F1 — OIDCWalidacja tokenu OIDC (RS256+JWKS) obok JWT lokalnego.shadow — staging
F2 — hash-chain + podpisTamper-evident log audytowy (modyfikacja wykrywalna) + opcjonalny podpis HMAC pakietu evidence.shadow — prod
F3 — tenancy warstwa 1Scoping zapytań po org_id w warstwie aplikacji. RLS w PostgreSQL = warstwa 2, osobno.off/on — staging
F4 — transportRealna wysyłka ticketów (GitHub/Jira/webhook) za potrójną bramką flag.off domyślnie
MCP — uczciwie. Dziś działa jeden ogólny connector /mcp (3 narzędzia: k0nsult_status, list_agents, query_agents) na poziomie całego węzła K0NSULT — czyta rejestr agentów, nie dane incydentów ipIII. Zestaw narzędzi ipIII-scoped (list_incidents/stats/playbooks/doctrine) jest zaplanowany, ale nie istnieje jeszcze w kodzie — to ROADMAP.

Deployment: dziś SaaS EU (jedna instancja, tenancy warstwa 1). Private tenant / VPC / on-prem to ROADMAP, nie oferta dostępna dziś.

6. Zaufanie / dowód

Serwis dokumentuje własne granice zamiast je ukrywać — to część tego samego modelu dowodowego, który sprzedaje klientom.

Trust Center

Polityka bezpieczeństwa, security.txt, disclosure, zasady RoE dla ćwiczeń purple-team (serwis broni się w granicach pisemnych Rules of Engagement, bez ofensywy nieautoryzowanej).

/trust-center

Znane ograniczenia

Jeden rejestr tego, czego ipIII jeszcze nie robi (auth federacyjny, mTLS, PAdES/TSA, RLS, SIEM online) — z ryzykiem, mitigacją i priorytetem.

/known-limitations

Weryfikacja dowodu

Narzędzie sprawdzające sumę kontrolną i strukturę evidence-package — bez logowania, na próbkach syntetycznych.

/verify

7. Wejście / kontakt

Trzy ścieżki wejścia — żadna nie zobowiązuje do zakupu.

Pilot (PoC)

Kontrolowany pilot na danych syntetycznych lub Twoim eksporcie ze skanera, po RoE/NDA/DPA.

/pilot-intake

Partner

Model współpracy dla firm pentestowych, MSSP i integratorów.

/oferta-partnerska

Model współpracy

Propozycja poziomów wdrożenia — nie cennik zobowiązujący.

/pricing

Zanim napiszesz do prawnika/DPO. Umowy (NDA/MSA/DPA), zakres audytu SOC2/ISO czy model finansowy pilota to dokumenty wymagające człowieka — prawnika, audytora, DPO klienta. Strony tego portalu dają szkielet i checklisty (decision-support), nie gotowy dokument prawny ani poradę prawną.

Czego ta strona NIE oznacza

To nie jest oferta handlowa ani cennik zobowiązujący. To mapa nawigacyjna po istniejących, samodzielnych stronach — każda liczba i status jest tam opisana ze szczegółami i dowodem (kod, test, endpoint).
„100%" u nas znaczy pokrycie dowodowe, nie nieprzenikalność systemu. Deklarujemy dokładnie tyle, ile potrafimy pokazać kodem — reszta jest jawnie oznaczona jako ROADMAP.

Powiązane: pełny hub modułu → /ai-truth/ipIII/ · mapa wszystkich stron → /mapa-pro · rejestr maszynowy stron → /pages.json.