K0NSULT // ai-truth/ipIII
k0nsult.cloud / ai-truth / ipIII / orchestrator / procurement

Procurement Pack (MVP) — security questionnaire i vendor risk

Jedno miejsce, w którym dział zakupów, security review i risk otrzymują odpowiedzi na typowe pytania zakupowe: dane, retencja, region, dostęp, szyfrowanie. Format zbliżony do CAIQ / SIG-lite. Doktryna claim ≤ proof: przy każdej pozycji jawnie oznaczamy, co dziś działa LIVE, a co jest jeszcze ROADMAP (m.in. OIDC, mTLS, szyfrowanie at-rest zarządzane po naszej stronie). To wsparcie procesu zakupowego, nie oświadczenie o zgodności.

Po co ta strona. Zakup narzędzia bezpieczeństwa zwykle zaczyna się od kwestionariusza (CAIQ / SIG), listy pytań o dane i przeglądu ryzyka dostawcy. Ta strona zbiera te odpowiedzi w jednym miejscu, żeby zespół zakupowy i security review nie musiały odsyłać e-maili tam i z powrotem. Zgodnie z doktryną claim ≤ proof: elementy realnie działające oznaczamy LIVE (z dowodem na roadmapie dev), a elementy planowane — ROADMAP. To materiał wspierający decyzję (decision support), a nie oświadczenie prawne ani deklaracja o statusie formalnym.
Kwestionariusz + vendor risk pack w jednym — bez ukrywania luk.

ipIII jest dziś dowodliwym MVP warstwy evidence (import → incydent → evidence-package → retest → close, z JWT/RBAC/audit na żywej PostgreSQL). Poniższe odpowiedzi opisują obecny stan MVP, nie docelowy profil enterprise. Tam, gdzie kontrola jest zaplanowana lecz jeszcze niewdrożona — piszemy ROADMAP, nie LIVE.

ŚCIEŻKA ZAKUPOWA: questionnaire (CAIQ/SIG-lite)vendor risk packsecurity reviewRules of EngagementPoC / pilot

1. Security questionnaire (CAIQ / SIG-lite)

Skrócony kwestionariusz w układzie domen kontrolnych. Kolumna Stan: LIVE = działa i ma dowód · ROADMAP = zaplanowane, jeszcze niewdrożone · proces = kontrola organizacyjna/proceduralna. Data weryfikacji: 2026-07-05.

IDDomenaPytanieOdpowiedź (MVP)Stan
IAM-01 Tożsamość i dostęp Czy dostęp jest uwierzytelniany i autoryzowany rolami? JWT + RBAC (role/uprawnienia) na żywej PostgreSQL; audit-log operacji. LIVE
IAM-02 Tożsamość i dostęp Czy wspieracie SSO / federację tożsamości (OIDC)? Dziś konta seedowane lokalnie. OIDC / SSO (Keycloak / JWKS, authorization-code flow) w planie. ROADMAP
IAM-03 Tożsamość i dostęp Czy jest MFA i centralny provisioning/deprovisioning? Zależne od zewnętrznego IdP — wejdzie wraz z OIDC. Dziś: brak centralnego provisioningu. ROADMAP
CRY-01 Szyfrowanie — transport Czy dane w tranzycie są szyfrowane? TLS jednostronny na warstwie hostingu (styk klient–API). LIVE
CRY-02 Szyfrowanie — transport Czy wspieracie mTLS (wzajemne uwierzytelnianie TLS)? mTLS na bramie API + certyfikaty klienckie dla konektorów — zaplanowane, jeszcze niewdrożone. ROADMAP
CRY-03 Szyfrowanie — at-rest Czy dane w spoczynku są szyfrowane pod Waszą kontrolą kluczy? Dziś opieramy się o szyfrowanie dysku po stronie dostawcy hostingu. Zarządzane at-rest z własnym KMS/rotacją kluczy — w planie. ROADMAP
INT-01 Integralność dowodów Czy pakiety dowodowe mają kontrolę integralności? Evidence-package/board-pack z sha256 i chain-of-custody w DB (manifest + hash). LIVE
INT-02 Integralność dowodów Czy pakiety mają podpis kwalifikowany / znacznik czasu? Podpis PAdES + znacznik czasu TSA (RFC 3161) w planie; dziś tylko hash integralności. ROADMAP
LOG-01 Logi i audyt Czy operacje są logowane w sposób umożliwiający audyt? Audit-log operacji (kto/co/kiedy) na żywej PostgreSQL, część przepływu import→close. LIVE
TEN-01 Izolacja Czy instancja jest wielodostępna (multi-tenant) z izolacją danych? Dziś jedna organizacja. Tenant scoping + Row-Level Security (RLS) w PostgreSQL — w planie. ROADMAP
BCR-01 Ciągłość / backup Czy są kopie zapasowe i plan odtworzenia? Kopie zależne od dostawcy hostingu bazy. Udokumentowany RPO/RTO i testy odtworzenia — w planie. ROADMAP
VUL-01 Podatności Czy dane o podatnościach (CVE/CVSS/EPSS/KEV) są aktualne? Wzbogacanie offline (hinty z seedu przy imporcie). Online lookup NVD / CISA KEV / EPSS — w planie. ROADMAP
SEC-01 Testy bezpieczeństwa Jaki jest zakres testów AI-security / areny? Wyłącznie defensywnie, na danych syntetycznych, po pisemnych Rules of Engagement. Bez payloadów i instrukcji ataku. proces
LEG-01 Zgodność / prawo Czy narzędzie zastępuje ocenę prawną obowiązków? Nie. Legal Trigger Engine to wsparcie decyzji (decision support); terminy DORA/NIS2/RODO/AI Act orientacyjne, przegląd radcy przed wysyłką. proces

2. Odpowiedzi na typowe pytania zakupowe

Najczęstsze pytania działu zakupów i security review, zebrane w kartach. Wszystko opisuje bieżący stan MVP.

Jakie dane przetwarzacie?

Findings ze skanerów (Burp/ZAP/Nessus/CSV), metadane incydentów, pakiety dowodowe. W MVP demonstracyjnie na danych syntetycznych.

Szczegóły → /data-processing.

Retencja danych?

Rekordy incydentów i evidence trzymane w PostgreSQL na czas obsługi sprawy. Konfigurowalne okno retencji i automatyczne usuwanie — ROADMAP.

Region / lokalizacja danych?

Deployment w regionie ustalanym per wdrożenie. Umowne zobowiązania co do rezydencji danych i wybór regionu — ROADMAP.

Kto ma dostęp do danych?

Dostęp rolowy (RBAC) z audit-logiem — LIVE. SSO/OIDC i centralny provisioning — ROADMAP.

Szyfrowanie?

Transport: TLS jednostronny LIVE. mTLS i at-rest zarządzane po naszej stronie — ROADMAP.

Subprocessorzy / poddostawcy?

Hosting bazy i aplikacji u dostawcy chmurowego. Utrzymywana lista poddostawców (subprocessors) z powiadomieniem o zmianach — ROADMAP.

Zgłaszanie incydentów?

Kanał zgłoszeń przez /zglos. Umowne SLA na powiadomienie o incydencie — ROADMAP.

Certyfikaty / atesty?

Nie posiadamy formalnych atestów zewnętrznych. Publikujemy dowody techniczne (kod+test+endpoint) i jawny rejestr luk → /known-limitations.

3. Vendor risk pack

Skrócona ocena ryzyka dostawcy dla risk review. Każda pozycja z jawnym stanem i ścieżką domknięcia. P0 = wymagane przed wdrożeniem enterprise · P1 = wymagane dla banku/partnera, nie blokuje PoC/pilota.

Obszar ryzykaStan MVPWektor ryzykaŚcieżka domknięciaPriorytet
Tożsamość (SSO/OIDC) ROADMAP Brak federacji tożsamości i centralnego (de)provisioningu. Keycloak / JWKS + OIDC authorization-code flow. P0
Transport (mTLS) ROADMAP Brak wzajemnego uwierzytelniania TLS na styku integracji. mTLS na bramie API + certyfikaty klienckie konektorów. P0
Szyfrowanie at-rest ROADMAP Klucze at-rest nie są dziś zarządzane po naszej stronie. Własny KMS + rotacja kluczy + polityka szyfrowania. P1
Wielodostępność (tenancy) ROADMAP Jedna organizacja; brak izolacji danych per klient. Tenant scoping + Row-Level Security w PostgreSQL. P1
Formalny dowód (PAdES/TSA) ROADMAP Hash dowodzi niezmienności, ale nie jest podpisem kwalifikowanym. PAdES + znacznik czasu TSA (RFC 3161). P1
Rezydencja / retencja danych ROADMAP Brak umownego zobowiązania co do regionu i okna retencji. Konfigurowalna retencja + wybór regionu w umowie. P1
Ciągłość (backup/RPO/RTO) ROADMAP Brak udokumentowanych i testowanych parametrów odtworzenia. Polityka backupu + test odtworzenia + RPO/RTO. P1
Warstwa evidence (rdzeń) LIVE Ograniczona do MVP; nie profil enterprise. Import→incydent→evidence→retest→close z JWT/RBAC/audit. stabilne

Skrót dla security review

4
Kontrole LIVE (z dowodem)
JWT/RBAC · TLS transport · audit-log · evidence hash
2
P0 przed enterprise
OIDC/SSO · mTLS
5
P1 dla banku/partnera
at-rest · tenancy · PAdES · retencja · backup
0
Ukrytych luk
pełny rejestr → /known-limitations

Granice tej strony

To materiał wspierający zakup, nie oświadczenie o statusie formalnym. Procurement Pack jest w fazie MVP: odpowiedzi opisują bieżący stan narzędzia, a nie docelowy profil enterprise. Wszystko, co zaznaczono jako ROADMAP, jest zaplanowane, lecz jeszcze niewdrożone — nie należy tego czytać jako funkcji dostępnej dziś.
„100%" u nas znaczy pokrycie dowodowe, nie nieprzenikalność. Deklarujemy dokładnie tyle, ile potrafimy pokazać kodem, testem i endpointem. Dlatego brak dowodu na OIDC, mTLS czy at-rest opisujemy jako ROADMAP, a nie jako gotową kontrolę.
Granica etyczna i prawna. ipIII jest narzędziem obrony i zgodności (GRC/blue). Elementy AI-security / areny działają wyłącznie defensywnie, na danych syntetycznych i po pisemnych Rules of Engagement — bez payloadów i instrukcji ataku. Legal Trigger Engine oraz mapowania obowiązków to wsparcie decyzji, nie porada prawna.

Powiązane: przegląd zaufania i dowodów → /trust-center · jawny rejestr luk → /known-limitations · przetwarzanie danych → /data-processing · gotowość enterprise → /enterprise-readiness.