Jedna tabela decision-support zamiast rozproszonych ankiet i PDF-ów: dla każdego dostawcy pokazujemy, czy ma otwarte podatności, czy zgłosił incydent, czy przedstawił dowód naprawy, jaki jest jego SLA remediacji i jaki residual risk pozostaje po mitigacji. To wsparcie decyzji zakupowej — nie ocena zgodności ani zewnętrzna weryfikacja dostawcy. Dane w tabeli poniżej są syntetyczne (przykładowe).
sha256). Brak artefaktu = status brak dowodu,
nie domysł.
Third-Party Risk Evidence Pack to warstwa decyzyjna nad danymi ipIII: import findings z konektorów, powiązanie z incydentem, evidence-package z retestem i chain-of-custody. Zamiast pytać dostawcę „czy jesteście bezpieczni" (ankieta samodeklaracji), pytamy o artefakt: link do retestu, numer zgłoszenia, hash pakietu. Strona jest dziś MVP — logika oceny i tabela działają na danych przykładowych; zaciąganie na żywo z rejestru dostawców jest ROADMAP.
Czy dostawca ma otwarte findings? Liczba wg krytyczności (CVSS/EPSS/KEV, offline hint). Źródło: import z konektorów skanerów.
Czy dostawca zgłosił incydent (numer, data)? Brak zgłoszenia przy znanym zdarzeniu = sygnał ryzyka.
Czy istnieje evidence-package z retestem potwierdzającym domknięcie? Hash sha256 + chain-of-custody.
Deklarowany czas naprawy vs faktyczny czas domknięcia. Przekroczenie = flaga do renegocjacji.
Ryzyko pozostałe po mitigacji: co świadomie zaakceptowano, na jaki czas, kto jest właścicielem.
Wpisy poniżej są przykładowe — służą pokazaniu formatu decyzji, nie oceniają realnych podmiotów. Kolumna Decyzja = rekomendacja wsparcia decyzji: OK kontynuuj · warunkowo z remediacją/klauzulą · wstrzymaj do domknięcia. Data snapshotu: 2026-07-05.
| Dostawca (przykład) | Podatności | Incydent zgłoszony | Dowód naprawy | SLA remediacji | Residual risk | Decyzja |
|---|---|---|---|---|---|---|
| Vendor Alfa SaaS / hosting |
0 krytycznych 2 średnie (otwarte) |
TAK INC-2026-041, w terminie |
TAK retest + pkg sha256 |
7 dni dekl. / 5 dni fakt. dotrzymany |
niski 2 średnie zaakceptowane do Q3 |
OK |
| Vendor Beta integrator API |
1 wysokie +3 średnie (otwarte) |
TAK INC-2026-058, po terminie 3 dni |
częściowo retest tylko dla 1 z 4 |
14 dni dekl. / 21 dni fakt. przekroczony |
średni wysokie niedomknięte |
warunkowo |
| Vendor Gamma data processor |
2 krytyczne otwarte >30 dni |
NIE brak zgłoszenia mimo findingu |
brak dowodu brak evidence-package |
30 dni dekl. / brak domknięcia przekroczony |
wysoki krytyczne bez mitigacji |
wstrzymaj |
| Vendor Delta infra / on-prem |
0 otwartych historyczne domknięte |
TAK INC-2026-012, w terminie |
TAK retest + chain-of-custody |
7 dni dekl. / 4 dni fakt. dotrzymany |
minimalny | OK |
| Vendor Epsilon nowy dostawca |
brak danych skan nieprzeprowadzony |
n/d brak historii |
brak dowodu | nieustalony | nieznany wymaga baseline skanu |
warunkowo |
| Element | Co robi | Status |
|---|---|---|
| Tabela 5 sygnałów | format decyzji + reguła oceny na danych przykładowych | MVP |
| Powiązanie finding → incydent → evidence-package | istnieje w warstwie orchestratora ipIII | LIVE (rdzeń) |
| Zaciąganie na żywo z rejestru dostawców | auto-import statusów per vendor | ROADMAP |
| Konfigurowalne progi per polityka zakupowa | reguła OK/warunkowo/wstrzymaj jako parametr | ROADMAP |
| Eksport pakietu do decyzji zakupowej (PDF) | załącznik z sha256 do dokumentacji vendor-risk | ROADMAP |
Powiązane: sygnały zaufania i dowody warstwy → /trust-center · kontekst zakupowy i onboarding dostawcy → /procurement · mapowanie na obowiązki (DORA/NIS2) → /regulatory-packs · granice dojrzałości → /known-limitations.