K0NSULT // ai-truth/ipIII
k0nsult.cloud / ai-truth / ipIII / reviewer-program

Founding Reviewer Circle — program recenzentów ipIII

Zapraszamy wąskie grono doświadczonych pentesterów, audytorów GRC i architektów bezpieczeństwa do niezależnej recenzji ipIII — kodu, dowodów, doktryny claim ≤ proof. To program recognition + honorarium za review, nie za sprzedaż czy wprowadzenie klienta. Uczciwie: dziś to ROADMAP w fazie naboru — pierwsze recenzje jeszcze się nie odbyły, zasady poniżej są specyfikacją gotową do uruchomienia.

Status programu — uczciwie. Founding Reviewer Circle jest w fazie ROADMAP: zasady, workflow i szablony NDA/RoE poniżej są gotowym szkieletem (spec), nie potwierdzonym stanem z podpisanymi recenzentami. Zero recenzji nie odbyło się jeszcze pod tym programem — nie udajemy inaczej. Zapisy przez formularz zgłoszeniowy (bez JS, method="post").
Recenzja jako produkt zaufania — nie jako kanał sprzedaży.

Founding Reviewer Circle to grupa zewnętrznych ekspertów, którzy dostają dostęp do repo, dowodów i doktryny ipIII na zasadach NDA, i w zamian dają pisemny feedback: co jest LIVE naprawdę, co jest overclaim, co jest dziurą w dowodzie. To wsparcie decyzji dla naszego zespołu — nie audyt zgodności ani żadna forma zewnętrznej certyfikacji. Ostateczna ocena i wdrożenie poprawek pozostają po naszej stronie.

WORKFLOW: WEJŚCIE (aplikacja)NDA/RoEREVIEW (sandbox/repo)FEEDBACK LOGDISCLOSURE (jawne podsumowanie)

1 · Workflow recenzenta ROADMAP

Pięć kroków od zgłoszenia do publicznego podsumowania. Każdy krok ma właściciela i artefakt — bez tego krok nie jest uznany za zamknięty.

Krok 1 — Wejście (aplikacja). Kandydat zgłasza się przez formularz zgłoszeniowy z CV/portfolio (raporty pentest, publikacje, cert. branżowe typu OSCP/CISSP — jako informacja o doświadczeniu, nie warunek formalny). Zespół K0NSULT weryfikuje tożsamość i konflikt interesów (sekcja 3) przed dopuszczeniem dalej.
Krok 2 — NDA / Rules of Engagement. Podpisanie NDA (poufność kodu/dowodów niepublicznych) oraz akceptacja Rules of Engagement ipIII: zakres review, co wolno testować (repo, dokumentacja, demo-środowisko z danymi syntetycznymi), co jest poza zakresem (produkcyjne dane klientów, systemy bankowe partnerów — zawsze poza zakresem tego programu).
Krok 3 — Review. Recenzent dostaje dostęp do wskazanego zakresu (kod, evidence-package, status matrix, roadmapa dev) i ocenia zgodnie z doktryną claim ≤ proof: czy każde LIVE ma dowód (kod + test + endpoint), czy ROADMAP jest jawnie oznaczony, czy nie ma ukrytego overclaimu. Czas review i format ustalane indywidualnie per zakres.
Feedback log. Recenzent wypełnia ustrukturyzowany dziennik: obszar · twierdzenie sprawdzane · dowód znaleziony (tak/nie/częściowy) · rekomendacja. Log trafia do zespołu K0NSULT i jest podstawą do korekt na stronach ipIII (np. przesunięcie ze statusu LIVE na ROADMAP, jeśli dowód nie wytrzymał weryfikacji).
Krok 5 — Disclosure. Po zamknięciu review publikujemy jawne podsumowanie (bez danych poufnych objętych NDA): co zostało sprawdzone, ile znalezisk, ile skorygowanych statusów. Zasady pełnej polityki transparentności w sekcji 4.

2 · Kto może dołączyć

Pentesterzy

Doświadczenie w testach bezpieczeństwa aplikacji/infrastruktury. Weryfikują dowody techniczne (parsery, evidence-package, JWT/RBAC).

Audytorzy GRC

Znajomość DORA/NIS2/AI Act/RODO. Weryfikują, czy Legal Trigger Engine i mapowania compliance są opisane jako decision-support, nie porada prawna.

Architekci bezpieczeństwa

Ocena architektury: tenancy, transport, auth — pod kątem realistycznej mapy drogowej enterprise, bez oceniania MVP jako gotowego produktu bankowego.

Redaktorzy techniczni

Weryfikacja spójności językowej stron ipIII — czy claim = proof jest czytelne dla odbiorcy zewnętrznego (bank, regulator, partner).

3 · Konflikt interesów — reguły twarde

Program istnieje po to, żeby recenzja była wiarygodna. Jeśli recenzent ma interes w wyniku recenzji inny niż jakość samej recenzji — to konflikt, który musi być ujawniony albo dyskwalifikuje z udziału w danym zakresie.

SytuacjaZasadaStatus
Recenzent jest jednocześnie pentesterem zatrudnionym przez bank / instytucję finansową Działa w tym programie wyłącznie prywatnie, poza relacją zatrudnienia. Nie reprezentuje pracodawcy, nie działa w jego imieniu, nie wnosi materiałów objętych NDA pracodawcy. wymagane ujawnienie przy wejściu
Honorarium / success-fee za review Wypłacane wyłącznie za jakość i kompletność recenzji (feedback log zamknięty, znaleziska udokumentowane). Nigdy za wprowadzenie K0NSULT do banku, instytucji czy innego klienta recenzenta. rozdzielone z założenia
Wprowadzenie / rekomendacja K0NSULT do potencjalnego klienta recenzenta Traktowane jako odrębna aktywność (np. partnerski program poleceń, jeśli i kiedy powstanie) — nie jest częścią Reviewer Program i nie wpływa na ocenę recenzji ani na wypłatę honorarium za review. poza zakresem tego programu
Recenzent ocenia moduł, w którego wdrożeniu u swojego pracodawcy ma udział finansowy Wyłączenie z review tego konkretnego modułu; przypisanie innemu recenzentowi z kręgu. wyłączenie obowiązkowe
Recenzent chce jednocześnie sprzedać własne usługi doradcze K0NSULT jako wynik review Dozwolone jako osobna, jawnie odrębna propozycja handlowa — nie może być warunkiem ani konsekwencją oceny recenzji. wymaga jawnego rozdzielenia
Zasada w skrócie. Płacimy za prawdę o dowodach, nie za relacje biznesowe. Kto miesza te dwie role bez ujawnienia — traci miejsce w kręgu recenzentów. Kto ujawnia z góry — może kontynuować, z wyłączeniem z ocenianego obszaru.

4 · Polityka transparentności

5 · Honorarium i uznanie

0
recenzji zamkniętych dziś
program w fazie naboru, ROADMAP
5
kroków workflow
wejście → NDA/RoE → review → feedback log → disclosure
Honorarium
za jakość review
widełki i harmonogram: ROADMAP (finalizacja przy pierwszym naborze)

Do czasu ustalenia widełek honorarium program funkcjonuje jako recognition-first (podobnie jak Bug Bounty): wpis do rejestru Founding Reviewers, jawne podziękowanie za wkład, priorytetowy dostęp do przyszłych modułów przed publikacją. Kwoty honorarium pieniężnego ogłosimy tu jawnie, gdy przestaną być planem.

Czego ten program NIE jest

To nie jest kanał sprzedaży ani rekomendacji. Recenzent nie jest wynagradzany za polecenie K0NSULT swojemu pracodawcy ani żadnej instytucji. Jeśli recenzent chce zaproponować współpracę handlową — to osobna, jawnie odrębna rozmowa, nie warunek ani skutek review.
To nie jest zewnętrzna certyfikacja ipIII. Founding Reviewer Circle podnosi jakość dowodów wewnętrznie — nie wydaje świadectwa zgodności ani nie zastępuje audytu zamówionego bezpośrednio przez bank, partnera lub organ. Wnioski z review trafiają do status-matrix i known-limitations jako korekty, nie jako pieczątka.
Granica etyczna i prawna. Zakres review nigdy nie obejmuje danych produkcyjnych klientów ani systemów bankowych partnerów. Wszelkie testy bezpieczeństwa wykonywane przez recenzentów w ramach tego programu odbywają się wyłącznie na repo/dokumentacji/środowisku demo z danymi syntetycznymi i w granicach pisemnych Rules of Engagement. Legal Trigger Engine i wszelkie mapowania compliance omawiane przy review to wsparcie decyzji, nie porada prawna.

Powiązane: reguły ujawniania podatności → /disclosure · program nagród → /bug-bounty · zasady zaangażowania testów → /engagement · macierz statusów → /status-matrix.