K0NSULT // ai-truth/ipIII
k0nsult.cloud / ai-truth / ipIII / orchestrator / security-pack

Security Pack — kontrole bezpieczeństwa dla vendor risk i procurement

Jeden dokument dla zespołu vendor risk / procurement: zwięzły przegląd kontroli bezpieczeństwa ipIII z jawnym rozróżnieniem tego, co działa dziś (LIVE) od tego, co zaplanowane (ROADMAP). Bez marketingu — tabela kontrola/stan, żeby ocena dostawcy nie wymagała zgadywania. Dane operacyjne w przykładach są syntetyczne.

Po co ta strona. Zespół vendor risk potrzebuje jednego miejsca, w którym widać stan kontroli bezpieczeństwa dostawcy — bez czytania kodu i bez pytań do handlowca. Ten Security Pack to materiał wsparcia decyzji (decision-support) dla oceny dostawcy: dla każdej kontroli podajemy zwięzły opis i jej realny stan. Zgodnie z doktryną claim ≤ proof deklarujemy tylko to, co potrafimy pokazać. Elementy bez działającego kodu i testu oznaczamy ROADMAP, nie LIVE. To materiał orientacyjny, nie oświadczenie o zgodności — patrz też Znane ograniczenia.
Status: MVP. Kontrole podzielone uczciwie na LIVE i ROADMAP.

ipIII jest dziś dowodliwym MVP warstwy evidence (import → incydent → evidence-package → retest → close, z JWT/RBAC i audit-logiem na żywej PostgreSQL). Część kontroli bezpieczeństwa działa i można je pokazać; część jest zaplanowana i jawnie tak oznaczona. Ta strona nie twierdzi, że system jest gotowy do krytycznych zastosowań instytucji finansowej — pokazuje dokładnie, gdzie jest, a gdzie nie jest.

OŚ DOJRZAŁOŚCI KONTROLI: MVP (dziś)hardening auth/transportszyfrowanie at-rest + sekrety w vaultSBOM + skan zależności w CIgotowość na audyt zewnętrzny

Tabela kontroli — kontrola / stan

Kolumna Stan: LIVE = działa, jest kod+test/endpoint · ROADMAP = zaplanowane, jeszcze nie · policy = kontrola proceduralna/organizacyjna. Data weryfikacji: 2026-07-05. Dane w przykładach syntetyczne.

ObszarKontrolaOpisStan
IAM / RBAC Uwierzytelnianie i autoryzacja ról JWT wystawiany lokalnie + RBAC (role: viewer/analyst/admin) egzekwowane na endpointach API. Konta seedowane. Brak jeszcze OIDC/federacji IdP (SSO) — to hardening opisany w Znanych ograniczeniach. LIVE OIDC ROADMAP
Transport TLS jednostronny Ruch do API po TLS na warstwie hostingu (HTTPS). Certyfikat zarządzany przez platformę hostingową. LIVE
Transport mTLS (wzajemne uwierzytelnianie) Wzajemny TLS między klientem a API i między usługami — wymagany przy integracji z instytucją finansową. Dziś tylko TLS jednostronny. ROADMAP
Szyfrowanie Szyfrowanie w tranzycie Dane w ruchu chronione przez TLS (HTTPS) na całej ścieżce klient → API. LIVE
Szyfrowanie Szyfrowanie at-rest Szyfrowanie danych w spoczynku na poziomie aplikacji (pola wrażliwe) oraz zarządzane klucze. Dziś poleganie na szyfrowaniu wolumenu dostawcy hostingu; szyfrowanie na poziomie aplikacji planowane. ROADMAP
Sekrety Zarządzanie sekretami Sekrety (klucze API, connection string) trzymane w zmiennych środowiskowych platformy, poza repozytorium kodu. Docelowo dedykowany secrets manager / vault z rotacją. LIVE (env) vault ROADMAP
Audit Audit log (ślad zdarzeń) Zdarzenia (logowanie, zmiana statusu incydentu, generowanie evidence-package, close) zapisywane w audit-logu na PostgreSQL wraz z autorem i znacznikiem czasu. LIVE
Disclosure Zgłaszanie podatności (VDP) Kanał zgłaszania podatności i polityka odpowiedzialnego ujawniania — punkt kontaktowy i orientacyjny czas reakcji. Kontrola proceduralna. policy kanał LIVE
Zależności Dependency scanning Skanowanie zależności pod kątem znanych podatności (np. audyt menedżera pakietów). Uruchamiane ad-hoc; wpięcie do pipeline'u CI jako bramka planowane. CI gate ROADMAP
SBOM Software Bill of Materials Generowanie listy komponentów (SBOM, np. CycloneDX) na potrzeby oceny łańcucha dostaw. Dziś niegenerowane automatycznie. ROADMAP
Rate limit Ograniczanie liczby żądań Limit żądań na endpointach API chroniący przed nadużyciem i prostymi atakami wolumetrycznymi. LIVE (podstawowy)
CSP Content-Security-Policy Strony portalu bez inline <script> / onclick / onload — zgodne z polityką CSP ograniczającą wykonywanie skryptów. Nagłówek CSP na warstwie serwowania. LIVE (treść) nagłówek pełny ROADMAP
Nagłówki Security headers Zestaw nagłówków bezpieczeństwa (HSTS, X-Content-Type-Options, Referrer-Policy, X-Frame-Options). Część ustawiana przez warstwę hostingu; pełny, jawnie zarządzany zestaw planowany. ROADMAP (pełny zestaw)

Skrót stanu kontroli

7
Kontrole z elementem LIVE
IAM/RBAC · TLS · tranzyt · audit · sekrety(env) · rate limit · CSP(treść)
6
Pozycje ROADMAP
mTLS · at-rest · vault · SBOM · dep-scan CI · security headers
1
Kontrola proceduralna
Disclosure / VDP = policy
13
Kontroli w tabeli
status MVP · dane syntetyczne

Jak czytać ten pakiet

To materiał wsparcia decyzji, nie oświadczenie o zgodności. Security Pack pomaga zespołowi vendor risk zorientować się w stanie kontroli dostawcy. Nie jest oświadczeniem o zgodności z żadną normą ani ramą regulacyjną — takie oceny wymagają odrębnego, formalnego procesu i weryfikacji przez uprawniony podmiot.
„100%" u nas znaczy pokrycie dowodowe, nie nieprzenikalność. Deklarujemy tyle, ile potrafimy pokazać kodem, testem i endpointem. Pozycje bez dowodu są oznaczone ROADMAP — nie ukrywamy braków. Pełny rejestr granic dojrzałości: Znane ograniczenia.
Zakres i granice. ipIII jest narzędziem obrony i zgodności (GRC / blue). Kontrole opisane wyżej dotyczą samego systemu ipIII. Wartości i przykłady mają charakter orientacyjny, a dane operacyjne są syntetyczne. Do formalnej oceny dostawcy użyj także: Procurement · Trust Center · Znane ograniczenia.

Powiązane: pakiet dla zakupów → /procurement · centrum zaufania → /trust-center · granice dojrzałości → /known-limitations.