Wewnętrzna samoocena gotowości orchestratora w 7 wymiarach. To nie jest certyfikacja ani audyt zgodności — to jawny, samokrytyczny rachunek: gdzie jesteśmy silni, gdzie słabi i co konkretnie podnosi wynik. Score liczymy dwutorowo: jako PoC/narzędzie ćwiczeniowe oraz jako hipotetyczny system produkcyjny dla banku. Rozjazd między tymi liczbami jest celowy i uczciwy.
Dwie liczby, jedna prawda. Jako proof-of-concept i narzędzie ćwiczenia purple-team orchestrator dowozi realny, dowodliwy przepływ end-to-end (import→evidence→pack→retest→close, żywa baza, testy). Jako system produkcyjny dla instytucji SIFI brakuje mu twardych fundamentów: OIDC/mTLS, izolacji multi-tenant, podpisów PAdES/PQC, niezależnego audytu i certyfikacji. Ta strona pokazuje, dlaczego — wymiar po wymiarze — i co awansuje wynik.
Wynik zbiorczy = ważona intuicja zespołu, nie średnia arytmetyczna. Dowody dla wymiarów opartych na testach: Evidence Matrix. Statusy komponentów: Status Matrix.
Każdy wymiar: krótki opis · stan (wg Status Matrix) · orientacyjny wynik w dwóch kontekstach. Skala 0–10: 0 = brak, 5 = działający PoC, 8 = gotowe do pilota z audytem, 10 = certyfikowane produkcyjnie.
Uwierzytelnianie, autoryzacja i kontrola dostępu. Dziś: lokalny JWT + RBAC (role) egzekwowane w warstwie v1 na żywej PostgreSQL, z audytem zapisów. Brak: realnego IdP (OIDC/Keycloak/JWKS), mTLS, MFA wymuszanego, podpisu PQC. Dla banku to bramka wejścia — dopóki nie ma federacji tożsamości i mTLS, produkcyjnie = nie.
PoC 6/10 · prod-bank 3/10 — awans: OIDC IdP + mTLS + MFA.
Zbieranie, integralność i łańcuch dowodowy (chain-of-custody). Najsilniejszy wymiar. Import findings (Burp/ZAP/Nessus/Qualys/CSV) → normalizacja → incydent + evidence z sha256 i chain-of-custody w DB; evidence-package (JSON+PDF) z package_sha256; reguła close-with-evidence (import = MEDIA_SIGNAL, nie dowód naprawy). Dowód: testy integracyjne na żywej bazie — patrz Evidence Matrix. Brak do produkcji: podpis PAdES/PQC (dziś tylko hash integralności), timestamp TSA, WORM/retencja.
PoC 8/10 · prod-bank 5/10 — awans: podpis PAdES/PQC + TSA + retencja WORM.
Ślad audytowy operacji (kto / co / kiedy). Dziś: audit log zapisów w DB, egzekwowany także przy PATCH (bug obejścia reguły close — F4 — zamknięty, z testami regresyjnymi). Brak do produkcji: append-only/tamper-evident (hash-chain lub podpis wpisów), eksport do SIEM, rozdział obowiązków (SoD), niezależny przegląd logów.
PoC 6/10 · prod-bank 4/10 — awans: log append-only + eksport SIEM + SoD.
Mapowanie incydentu na obowiązki regulacyjne. Dziś: Legal Trigger Engine (MVP) — auto-mapowanie zdarzenia na DORA art.19 / NIS2 24h-72h / RODO art.33-34 / AI Act art.73 z zegarami (deadline ISO od created_at) i draftem powiadomienia. Doktryna DECISION-SUPPORT: to nie porada prawna, terminy orientacyjne, brak walidacji przez radcę/organ. Brak do produkcji: przegląd prawny, aktualizowany rejestr przepisów, integracja z kanałami zgłoszeń organów, wersjonowanie interpretacji.
PoC 5/10 · prod-bank 3/10 — awans: walidacja prawna + rejestr przepisów + kanały organów.
Izolacja wielu najemców (bank / urząd / partner) w jednej instancji. Najsłabszy wymiar. Dziś: jedna organizacja, brak twardej izolacji danych między najemcami. Brak do produkcji: tenant scoping w każdym zapytaniu, Row-Level Security (RLS) w PostgreSQL, izolacja kluczy/sekretów per tenant, testy szczelności. Dla banku to blocker — dane instytucji nie mogą współdzielić przestrzeni bez dowiedzionej izolacji.
PoC 3/10 · prod-bank 2/10 — awans: RLS + tenant scoping + testy izolacji.
Konektory do ekosystemu bezpieczeństwa. Dziś: realne parsery importu (Burp/ZAP/Nessus/Qualys/generic CSV-JSON), enrichment offline KEV/CVSS/EPSS z seedu, biblioteka MITRE ATT&CK (mapowanie TTP). Brak do produkcji: dwukierunkowa wymiana ze SIEM (webhook/API online), online lookup NVD/CISA, STIX/TAXII, MISP/OpenCTI, deduplikacja i idempotencja importu.
PoC 6/10 · prod-bank 3/10 — awans: SIEM webhook + online CTI + dedup/idempotencja.
Eksploatacja: monitoring, health, odtwarzalność, higiena wdrożeń. Dziś: smoke test stron (PASS), health endpoint /api/ip3/v1/_health (db:true), security.txt + kanał VDP, higiena treści (0 zakazanych fraz), deploy z klonu. Brak do produkcji: SLA/SLO z pomiarem, disaster recovery + testy odtworzenia, backup/retencja, on-call/runbooki, load/chaos testy, zarządzanie podatnościami zależności.
PoC 5/10 · prod-bank 3/10 — awans: SLA/SLO + DR + backup + runbooki.
| # | Wymiar | Stan (wg /status-matrix) | PoC | Prod-bank | Co podnosi wynik |
|---|---|---|---|---|---|
| 1 | Auth readiness | JWT+RBAC v1 | 6/10 | 3/10 | OIDC IdP · mTLS · MFA |
| 2 | Evidence readiness | LIVE v1 | 8/10 | 5/10 | PAdES/PQC · TSA · WORM |
| 3 | Audit readiness | LIVE v1 | 6/10 | 4/10 | append-only · SIEM export · SoD |
| 4 | Legal readiness | MVP | 5/10 | 3/10 | walidacja prawna · rejestr przepisów |
| 5 | Tenant readiness | jedna org | 3/10 | 2/10 | RLS · tenant scoping · testy izolacji |
| 6 | Integration readiness | parsery v1 | 6/10 | 3/10 | SIEM webhook · online CTI · dedup |
| 7 | Operational readiness | smoke+health | 5/10 | 3/10 | SLA/SLO · DR · backup · runbooki |
Wyniki orientacyjne, nadane wewnętrznie. Liczby testów potwierdzające wymiary 2/3/6 — Evidence Matrix (jedno źródło prawdy, NIE liczby przepisane tutaj). Definicja statusów komponentów — Status Matrix.
OIDC/mTLS/MFA (Auth) + RLS/tenant scoping (Tenant). Odblokowuje pilota z realnymi danymi. Największy skok prod-score.
Podpis PAdES/PQC + TSA dla evidence-package, audit append-only (hash-chain), eksport do SIEM.
Niezależny pen-test + przegląd prawny Legal Engine; SLA/SLO, DR, backup, runbooki. Zamienia samoocenę na dowód zewnętrzny.