K0NSULT // ai-truth/ipIII
k0nsult.cloud / ai-truth / ipIII / trust-center

Centrum zaufania — Trust Center

Jedno miejsce, w którym bank, instytucja finansowa lub partner PoC znajdzie wszystkie fakty potrzebne przed rozpoczęciem współpracy: co system robi z danymi, gdzie je trzyma, kto ma dostęp, jak zgłosić podatność i jakie są granice tego pilotażu. Doktryna portalu: claim ≤ proof — każda deklaracja niżej ma pokrycie w konfiguracji, dokumencie lub endpointcie.

Zaufanie budujemy dowodem, nie obietnicą.

Ten pilotaż (PoC) działa na danych syntetycznych lub zanonimizowanych, w regionie UE, z kontrolowanym dostępem na zaproszenie. Nie deklarujemy „nieprzenikalności" — deklarujemy pokrycie dowodowe, jawny rejestr ograniczeń i otwarty kanał zgłaszania podatności.

ZASADY PoC: dane syntetyczneregion UEdostęp na zaproszenieretencja krótkadisclosure otwarte

Status systemu

Aktualny stan komponentów (LIVE / MVP / ROADMAP), wyniki smoke i integracji oraz zdrowie bazy prezentuje żywa macierz statusów.

Status Matrix/ai-truth/ipIII/status-matrix · pojedyncze źródło prawdy o stanie systemu (co jest LIVE, co MVP, co ROADMAP). Zdrowie warstwy produkcyjnej: GET /api/ip3/v1/_health (zwraca m.in. db:true). LIVE

Jeśli dowolny komponent jest niedostępny lub w trakcie prac, będzie to widoczne w macierzy statusów — nie w tym akapicie. Trust Center nie duplikuje stanu, tylko do niego linkuje (jedno źródło prawdy).

Zakres PoC

Pilotaż służy demonstracji zdolności orchestratora (import findings → normalizacja → incydent + evidence → pakiet DORA/TIBER → mapowanie prawne) na bezpiecznych danych.

Reguła danych. Jeśli partner chce przetestować import na własnym raporcie (Burp/ZAP/Nessus/CSV), rekomendujemy uprzednią anonimizację. Trust Center zakłada, że dane wprowadzone do PoC są nieprodukcyjne, chyba że strony ustaliły inaczej DPA/NDA.

Retencja danych

Dane wprowadzone w ramach PoC mają krótki, jawny cykl życia.

Region infrastruktury

System działa na infrastrukturze Fly.io w regionie Unii Europejskiej. Baza danych (PostgreSQL) oraz warstwa aplikacyjna są zlokalizowane w UE.

Region infrastruktury jest istotny dla RODO (transfer danych) i DORA (lokalizacja krytycznych dostawców). Szczegóły podregionu i providerów podrzędnych udostępniamy w DPA na żądanie.

Kto ma dostęp

Dostęp do środowiska PoC jest kontrolowany i przyznawany na zaproszenie.

Polityka kont demonstracyjnych

Konta demo służą wyłącznie do pokazania ścieżek odczytu i zapisu w trakcie PoC.

Rate limit + audit log

Warstwa v1 chroni integralność i dostępność środowiska PoC.

Szczegóły limitów i retencji logów audytowych udostępniamy w ramach DPA. Stan implementacji: patrz status-matrix i roadmap-dev.

Responsible disclosure

Prowadzimy otwarty program zgłaszania podatności (VDP). Jeśli znajdziesz problem bezpieczeństwa — zgłoś go, nie publikuj.

Responsible disclosure/ai-truth/ipIII/disclosure · zasady zgłaszania, zakres, oczekiwane czasy odpowiedzi. Kanał techniczny: /.well-known/security.txt. Kontakt: security@k0nsult.cloud. LIVE

Brak testów ofensywnych bez RoE

Orchestrator jest narzędziem obrony i zgodności (GRC / blue-team). Nie wykonuje nieautoryzowanych skanów, exploitacji ani hack-back.

DPA / RODO art. 28

Jeżeli PoC obejmie przetwarzanie danych osobowych, zawieramy umowę powierzenia przetwarzania (DPA) zgodnie z art. 28 RODO przed rozpoczęciem takiego przetwarzania.

NDA

Współpracę PoC poprzedza umowa o zachowaniu poufności (NDA).

Znane ograniczenia

Prowadzimy jawny rejestr tego, czego system dziś nie robi lub robi w wersji MVP. Uczciwość co do granic jest częścią zaufania.

Known limitations/ai-truth/ipIII/known-limitations · pełna lista ograniczeń, założeń i elementów MVP/ROADMAP. LIVE

To skrót — kanon ograniczeń trzyma strona known-limitations, a stan implementacji: status-matrix.

Roadmap security hardening

Kolejność wzmacniania bezpieczeństwa środowiska po fazie PoC. Elementy poniżej mają status ROADMAP do czasu dostarczenia z dowodem (kod + test + endpoint).

ObszarDziśCel hardeninguStatus
Uwierzytelnianie / tożsamośćJWT lokalny + RBACOIDC (realny IdP, JWKS) + mTLSROADMAP
Podpis pakietów dowodowychsha256 (integralność)PAdES + timestamp TSA (opcjonalnie PQC)ROADMAP
Izolacja tenantówjedna org (PoC)RLS PostgreSQL + tenant scopingROADMAP
Audit / rate-limitaudit log + rate-limit v1 (DB)rozszerzony ślad + limity per-tenantMVP → hardening

Pełna sekwencja sprintów i kryteria akceptacji: roadmap-dev.

Kontakt

Bezpieczeństwo / VDP

security@k0nsult.cloud

Zgłoszenia podatności, responsible disclosure, pytania o RoE.

Zasady disclosure →

Współpraca / PoC

kontakt@k0nsult.cloud

Zapytania handlowe, DPA/NDA, dostęp na zaproszenie, zakres pilotażu.

Status systemu →

Zasada nadrzędna. Trust Center nie duplikuje stanu systemu — linkuje do jednego źródła prawdy (status-matrix, known-limitations, roadmap-dev). Każda deklaracja zaufania niżej jest weryfikowalna w konfiguracji, dokumencie umownym (DPA/NDA/RoE) lub endpointcie. Doktryna: claim ≤ proof.
Zastrzeżenie. Niniejsza strona ma charakter informacyjny i nie stanowi opinii prawnej ani certyfikacji zgodności. Odniesienia do RODO, DORA, NIS2 czy AI Act są orientacyjne (decision-support) i nie zastępują analizy prawnej ani audytu zgodności. Wiążące pozostają podpisane dokumenty (DPA, NDA, RoE). Deklaracja „region UE", „retencja" i „kontrola dostępu" opisuje konfigurację środowiska PoC; szczegóły techniczne i lista subprocessorów — w DPA na żądanie.