k0nsult.cloud / ai-truth / ipIII / reviewer-program
Founding Reviewer Circle — program recenzentów ipIII
Zapraszamy wąskie grono doświadczonych pentesterów, audytorów GRC i architektów bezpieczeństwa do niezależnej recenzji ipIII — kodu, dowodów, doktryny claim ≤ proof. To program recognition + honorarium za review, nie za sprzedaż czy wprowadzenie klienta. Uczciwie: dziś to ROADMAP w fazie naboru — pierwsze recenzje jeszcze się nie odbyły, zasady poniżej są specyfikacją gotową do uruchomienia.
Status programu — uczciwie. Founding Reviewer Circle jest w fazie
ROADMAP:
zasady, workflow i szablony NDA/RoE poniżej są gotowym szkieletem (spec), nie potwierdzonym stanem z podpisanymi
recenzentami. Zero recenzji nie odbyło się jeszcze pod tym programem — nie udajemy inaczej. Zapisy przez
formularz zgłoszeniowy (bez JS,
method="post").
Recenzja jako produkt zaufania — nie jako kanał sprzedaży.
Founding Reviewer Circle to grupa zewnętrznych ekspertów, którzy dostają dostęp do repo, dowodów i doktryny
ipIII na zasadach NDA, i w zamian dają pisemny feedback: co jest LIVE naprawdę, co jest overclaim, co jest
dziurą w dowodzie. To wsparcie decyzji dla naszego zespołu — nie audyt zgodności ani żadna forma
zewnętrznej certyfikacji. Ostateczna ocena i wdrożenie poprawek pozostają po naszej stronie.
WORKFLOW:
WEJŚCIE (aplikacja)→NDA/RoE→REVIEW (sandbox/repo)→FEEDBACK LOG→DISCLOSURE (jawne podsumowanie)
1 · Workflow recenzenta ROADMAP
Pięć kroków od zgłoszenia do publicznego podsumowania. Każdy krok ma właściciela i artefakt — bez tego krok nie jest uznany za zamknięty.
Krok 1 — Wejście (aplikacja). Kandydat zgłasza się przez
formularz zgłoszeniowy z CV/portfolio (raporty pentest, publikacje, cert. branżowe typu OSCP/CISSP — jako informacja o doświadczeniu, nie warunek formalny). Zespół K0NSULT weryfikuje tożsamość i konflikt interesów (sekcja 3) przed dopuszczeniem dalej.
Krok 2 — NDA / Rules of Engagement. Podpisanie
NDA (poufność kodu/dowodów niepublicznych) oraz akceptacja
Rules of Engagement ipIII: zakres review, co wolno testować (repo, dokumentacja, demo-środowisko z danymi syntetycznymi), co jest poza zakresem (produkcyjne dane klientów, systemy bankowe partnerów — zawsze poza zakresem tego programu).
Krok 3 — Review. Recenzent dostaje dostęp do wskazanego zakresu (kod, evidence-package, status matrix, roadmapa dev) i ocenia zgodnie z doktryną claim ≤ proof: czy każde LIVE ma dowód (kod + test + endpoint), czy ROADMAP jest jawnie oznaczony, czy nie ma ukrytego overclaimu. Czas review i format ustalane indywidualnie per zakres.
Feedback log. Recenzent wypełnia ustrukturyzowany dziennik: obszar · twierdzenie sprawdzane · dowód znaleziony (tak/nie/częściowy) · rekomendacja. Log trafia do zespołu K0NSULT i jest podstawą do korekt na stronach ipIII (np. przesunięcie ze statusu LIVE na ROADMAP, jeśli dowód nie wytrzymał weryfikacji).
Krok 5 — Disclosure. Po zamknięciu review publikujemy jawne podsumowanie (bez danych poufnych objętych NDA): co zostało sprawdzone, ile znalezisk, ile skorygowanych statusów. Zasady pełnej
polityki transparentności w sekcji 4.
2 · Kto może dołączyć
Pentesterzy
Doświadczenie w testach bezpieczeństwa aplikacji/infrastruktury. Weryfikują dowody techniczne (parsery, evidence-package, JWT/RBAC).
Audytorzy GRC
Znajomość DORA/NIS2/AI Act/RODO. Weryfikują, czy Legal Trigger Engine i mapowania compliance są opisane jako decision-support, nie porada prawna.
Architekci bezpieczeństwa
Ocena architektury: tenancy, transport, auth — pod kątem realistycznej mapy drogowej enterprise, bez oceniania MVP jako gotowego produktu bankowego.
Redaktorzy techniczni
Weryfikacja spójności językowej stron ipIII — czy claim = proof jest czytelne dla odbiorcy zewnętrznego (bank, regulator, partner).
3 · Konflikt interesów — reguły twarde
Program istnieje po to, żeby recenzja była wiarygodna. Jeśli recenzent ma interes w wyniku recenzji inny niż jakość samej recenzji — to konflikt, który musi być ujawniony albo dyskwalifikuje z udziału w danym zakresie.
| Sytuacja | Zasada | Status |
| Recenzent jest jednocześnie pentesterem zatrudnionym przez bank / instytucję finansową |
Działa w tym programie wyłącznie prywatnie, poza relacją zatrudnienia. Nie reprezentuje pracodawcy, nie działa w jego imieniu, nie wnosi materiałów objętych NDA pracodawcy. |
wymagane ujawnienie przy wejściu |
| Honorarium / success-fee za review |
Wypłacane wyłącznie za jakość i kompletność recenzji (feedback log zamknięty, znaleziska udokumentowane). Nigdy za wprowadzenie K0NSULT do banku, instytucji czy innego klienta recenzenta. |
rozdzielone z założenia |
| Wprowadzenie / rekomendacja K0NSULT do potencjalnego klienta recenzenta |
Traktowane jako odrębna aktywność (np. partnerski program poleceń, jeśli i kiedy powstanie) — nie jest częścią Reviewer Program i nie wpływa na ocenę recenzji ani na wypłatę honorarium za review. |
poza zakresem tego programu |
| Recenzent ocenia moduł, w którego wdrożeniu u swojego pracodawcy ma udział finansowy |
Wyłączenie z review tego konkretnego modułu; przypisanie innemu recenzentowi z kręgu. |
wyłączenie obowiązkowe |
| Recenzent chce jednocześnie sprzedać własne usługi doradcze K0NSULT jako wynik review |
Dozwolone jako osobna, jawnie odrębna propozycja handlowa — nie może być warunkiem ani konsekwencją oceny recenzji. |
wymaga jawnego rozdzielenia |
Zasada w skrócie. Płacimy za prawdę o dowodach, nie za relacje biznesowe. Kto miesza te dwie role bez
ujawnienia — traci miejsce w kręgu recenzentów. Kto ujawnia z góry — może kontynuować, z wyłączeniem z ocenianego obszaru.
4 · Polityka transparentności
- Co publikujemy zawsze: liczbę aktywnych recenzentów w kręgu (bez nazwisk, jeśli recenzent nie zgodzi się na ujawnienie), liczbę zamkniętych review, skrócone podsumowanie znalezisk (ile statusów LIVE→ROADMAP skorygowano po review).
- Co pozostaje poufne (NDA): treść kodu i dowodów niepublicznych udostępnionych w ramach review przed ich oficjalną publikacją na ipIII; dane osobowe recenzenta, jeśli wybierze anonimowość.
- Co recenzent może upublicznić sam: fakt uczestnictwa w Founding Reviewer Circle, ogólny opis swojej roli — bez ujawniania szczegółów technicznych objętych NDA przed naszą publikacją.
- Jak korygujemy błędy wykryte przez recenzenta: każda korekta statusu (np. zdjęcie oznaczenia LIVE, gdy dowód nie wytrzymał weryfikacji) jest odnotowywana z datą na stronie status-matrix — nie chowamy poprawek.
- Czego program NIE jest: nie jest formą certyfikacji ani zewnętrznego poświadczenia zgodności ipIII. Recenzja podnosi jakość dowodów i doktryny — nie zastępuje niezależnego audytu zamawianego bezpośrednio przez bank czy regulatora.
5 · Honorarium i uznanie
0
recenzji zamkniętych dziś
program w fazie naboru, ROADMAP
5
kroków workflow
wejście → NDA/RoE → review → feedback log → disclosure
Honorarium
za jakość review
widełki i harmonogram: ROADMAP (finalizacja przy pierwszym naborze)
Do czasu ustalenia widełek honorarium program funkcjonuje jako recognition-first (podobnie jak
Bug Bounty): wpis do rejestru Founding Reviewers, jawne podziękowanie
za wkład, priorytetowy dostęp do przyszłych modułów przed publikacją. Kwoty honorarium pieniężnego ogłosimy tu
jawnie, gdy przestaną być planem.
Czego ten program NIE jest
To nie jest kanał sprzedaży ani rekomendacji. Recenzent nie jest wynagradzany za polecenie K0NSULT swojemu
pracodawcy ani żadnej instytucji. Jeśli recenzent chce zaproponować współpracę handlową — to osobna, jawnie
odrębna rozmowa, nie warunek ani skutek review.
To nie jest zewnętrzna certyfikacja ipIII. Founding Reviewer Circle podnosi jakość dowodów wewnętrznie —
nie wydaje świadectwa zgodności ani nie zastępuje audytu zamówionego bezpośrednio przez bank, partnera lub organ.
Wnioski z review trafiają do
status-matrix i
known-limitations jako korekty, nie jako pieczątka.
Granica etyczna i prawna. Zakres review nigdy nie obejmuje danych produkcyjnych klientów ani systemów
bankowych partnerów. Wszelkie testy bezpieczeństwa wykonywane przez recenzentów w ramach tego programu odbywają
się wyłącznie na repo/dokumentacji/środowisku demo z danymi syntetycznymi i w granicach pisemnych
Rules of Engagement. Legal Trigger Engine i wszelkie mapowania
compliance omawiane przy review to
wsparcie decyzji, nie porada prawna.
Powiązane: reguły ujawniania podatności → /disclosure ·
program nagród → /bug-bounty ·
zasady zaangażowania testów → /engagement ·
macierz statusów → /status-matrix.