K0NSULT // ai-truth/ipIII
k0nsult.cloud / ai-truth / ipIII / orchestrator / wartość produktu

Wartość produktu — dlaczego ipIII jest ważny i dla kogo

ipIII (Evidence & Resilience Orchestrator) to warstwa dowodowo-regulacyjna — łącznik między technicznymi wynikami pentestu/AppSec/SOC a tym, czego potrzebują zarząd, audyt i regulator: uporządkowanym, weryfikowalnym dowodem, a nie kolejnym plikiem CSV. Ta strona pokazuje, co to jest, dlaczego wypełnia realną lukę i dla kogo jest przeznaczony — w oparciu o liczby, które można sprawdzić w kodzie.

Jak czytać tę stronę. Liczby o produkcie (strony, endpointy, parsery, moduły, testy) są realne i weryfikowalne w kodzie oraz na żywych rejestrach/pages.json i /dev-api-reference. Wszelkie wzmianki o rynku, wielkości popytu czy potencjalnym przychodzie są oznaczone osobno jako model szacunkowy — założenie do dyskusji, nie prognoza ani zobowiązanie. Regulacje (DORA/NIS2/RODO/AI Act) omawiamy w trybie decision-support: ostateczna kwalifikacja prawna należy do radcy prawnego/DPO klienta.

Czym jest ipIII — jedno zdanie

Warstwa dowodowo-regulacyjna między pentest/AppSec/SOC/GRC a zarządem, audytem i regulatorem.

Skanery (SAST/DAST/SCA), pentesty i SIEM produkują findingi. Systemy GRC produkują rejestry ryzyka i polityki. Między tymi dwoma światami jest luka: nikt domyślnie nie przekłada pojedynczego findingu na dowód zamknięty w czasie, powiązany z konkretnym obowiązkiem regulacyjnym, gotowy do pokazania audytorowi czy nadzorcy. ipIII spina ten przepływ: import → incydent → evidence-package → retest → close, z chain-of-custody i hash-em integralności na każdym kroku.

PRZEPŁYW: finding (skaner/pentest)incydent + kontekstevidence-packageretestclose + Board Pack

Dlaczego to ważne — luka, której nie domyka nic osobno

Żadne z istniejących narzędzi nie robi tego samo z siebie:

Skanery i pentest

Dają finding techniczny (CVE, podatność, exploit path). Nie mówią, który obowiązek regulacyjny naruszają ani czy dowód przetrwa kontrolę.

SIEM

Widzi zdarzenia w czasie rzeczywistym. Nie buduje spójnego pakietu dowodowego z chain-of-custody dla pojedynczego incydentu na potrzeby audytu.

GRC

Zarządza rejestrem ryzyka i politykami na poziomie organizacji. Zwykle nie sięga do granularnego dowodu technicznego (który konkretnie test, retest, hash pliku).

ipIII (ta warstwa)

Łączy finding z obowiązkiem i z dowodem: coverage score, evidence-package z hash-em i podpisem, mapowanie na DORA/NIS2/AI Act, gotowy Board Pack dla zarządu.

Innymi słowy: ipIII to komplementarna, nowa kategoria w łańcuchu bezpieczeństwo→zgodność, a nie konkurent Burp Suite, Nessusa, SIEM-u czy klasycznego GRC. Działa na wyjściu z tych narzędzi (import ich wyników) i na wejściu do zarządu/audytu/regulatora (evidence-package, Board Pack).

Dla kogo

SegmentKontekst regulacyjnyCo dostaje z ipIII
Korporacje finansoweDORA (operational resilience) Mapowanie incydentu na wymogi DORA, evidence-package na potrzeby testów odporności operacyjnej i TIBER-owych ćwiczeń — jako decision-support, nie jako zapewnienie zgodności.
Podmioty krytyczneNIS2 Rejestr incydentu z chain-of-custody spójny z obowiązkami zgłoszeniowymi NIS2; Legal Trigger Engine podpowiada terminy — do weryfikacji przez compliance/prawnika.
Dostawcy i użytkownicy AIAI Act AI-risk pack: rejestr agentów, ślad nadzoru człowieka, inwentarz ryzyka modeli — warstwa dowodowa pod klasyfikację i obowiązki AI Act (MVP, część modułów ROADMAP).
Firmy cyber / pentest / MSSPdostawa usługi klientowi Import wyników własnych narzędzi (Burp, Nessus, DefectDojo, SARIF, SBOM) i automatyczne złożenie ich w Board Pack — mniej ręcznej pracy przy raportowaniu do klienta.
CISO / audyt wewnętrzny / compliance / DPOnadzór i rozliczalność Jeden punkt prawdy o statusie dowodów (coverage score, verify hash+podpis) zamiast rozproszonych arkuszy i maili między zespołami.

Produkt w liczbach — dane z kodu, nie z prezentacji

Każda liczba poniżej jest policzalna w repozytorium i/lub na żywym rejestrze modułu. Kliknij, żeby zweryfikować.

202
strony modułu ipIII (PL)
rejestr /pages.json, plus warstwa EN
42
endpointy /api/ip3/v1
auth JWT/OIDC/RBAC, żywa PostgreSQL — /dev-api-reference
8
parsery importu
SARIF, SBOM, secrets, cloud posture, DefectDojo, Burp, Nessus, CSV
27
moduły backend
routes/ip3-*.js — parsery, transport, tenancy, MCP, legal, PDF
34
pakiety testów
unit + integracyjne + E2E, w repo tests/
6
MCP tools
podpięcie agentów AI (read-only) — ip3_list_incidents, ip3_stats i in.

Warstwy dojrzałości — co jest LIVE, co dopiero E2E na staging

Zgodnie z doktryną claim ≤ proof nie mówimy „gotowe do banku", dopóki nie mamy na to dowodu. Poniżej stan czterech kluczowych warstw fundamentowych (szczegóły i pełny status: znane ograniczenia i status matrix).

WarstwaCo robiStatus dziś
F1 — OIDC/JWKSFederacja tożsamości, walidacja podpisu tokenu z zewnętrznego IdP. E2E na staging — zweryfikowane testami end-to-end, jeszcze nie potwierdzone na produkcji banku.
F2 — hash-chain audytu + podpis HMACŁańcuch integralności zdarzeń audytowych z podpisem HMAC. shadow LIVE (prod) — działa równolegle na produkcji w trybie obserwacyjnym, przed pełnym cutover.
F3 — izolacja multi-tenantRozdzielenie danych między organizacjami; testy IDOR/BOLA. E2E na staging — próby przekroczenia granicy tenantu kończą się 404 w testach; brak jeszcze pełnego wdrożenia produkcyjnego wielu klientów.
F4 — realny transport (GitHub/Jira/webhook)Dwukierunkowa integracja z systemami ticketingowymi klienta. E2E na staging — połączenie z realnymi API działa w testach; produkcyjne wdrożenie u klienta wymaga jego konfiguracji.

Regulatory packs (DORA / NIS2 / RODO / AI Act) mają dziś status MVP: mapowanie obowiązek→dowód działa, ale to wsparcie decyzji, nie automatyczna certyfikacja zgodności — każdy pakiet wymaga przeglądu prawnika lub compliance przed użyciem w kontakcie z regulatorem.

Model rynkowy — założenie, nie prognoza

To jest model szacunkowy, nie prognoza ani gwarancja przychodu. Jeśli w rozmowach z partnerami pada liczba dotycząca wielkości rynku, liczby potencjalnych klientów albo przychodu z pilotów, to zawsze założenie modelu z jawnym źródłem (np. liczba podmiotów objętych DORA/NIS2 w danej jurysdykcji, typowa stawka pilotu z /pricing), a nie zweryfikowany wynik sprzedażowy. Realny przychód, cap table i model finansowy to dokumenty wymagające przeglądu przez księgowość/CFO i prawnika — poza zakresem tej strony. Wiążące warunki handlowe powstają wyłącznie w indywidualnej umowie.

Najczęstsze pytania

Czy ipIII konkuruje z Burp Suite, Nessusem, SIEM-em albo klasycznym GRC?

Nie. To komplementarna warstwa, która przyjmuje wyniki tych narzędzi jako import (Burp, Nessus, SARIF, SBOM i inne) i przekłada je na dowód powiązany z obowiązkiem regulacyjnym oraz gotowy pakiet dla zarządu. Skanery, pentest i SIEM pozostają potrzebne — ipIII działa na ich wyjściu.

Czy ipIII zapewnia zgodność z DORA, NIS2 czy AI Act?

Nie. ipIII wspiera workflow dowodowy i decision-support dla zgodności — pomaga zebrać, powiązać i pokazać dowód. Ostateczną ocenę i kwalifikację prawną zawsze wykonuje prawnik, DPO lub compliance klienta.

Czy liczby produktowe (strony, endpointy, testy) są prawdziwe, czy to marketing?

Są policzalne w kodzie i na żywych rejestrach: /pages.json zwraca pełną listę stron, /dev-api-reference pełną listę endpointów. Nie są to liczby z prezentacji sprzedażowej.

Czy mogę zobaczyć to na własnych, syntetycznych danych, zanim podejmę decyzję?

Tak — najniższy próg wejścia to PoC na danych syntetycznych opisany na /pricing, zgłoszenie przez /pilot-intake, pełny zakres zaufania i bezpieczeństwa dostawcy na /trust-center.

Zasada, od której nie odstępujemy. Deklarujemy tyle, ile potrafimy pokazać kodem, testem i endpointem. Elementy oznaczone ROADMAP nie są dziś dostępne jako gotowa funkcja — jeśli padają w rozmowie, to jako plan, nie jako stan bieżący.
Granica prawna. Ta strona to materiał informacyjno-marketingowy, nie oferta w rozumieniu Kodeksu cywilnego, nie porada prawna ani finansowa. Dokumenty prawne (NDA/MSA/DPA), audyt SOC2/ISO oraz materiały finansowe wymagają przygotowania i przeglądu przez prawnika, DPO lub audytora — poza zakresem tego dokumentu.

Powiązane: pełny rejestr stron → /pages.json · kontrakt API → /dev-api-reference · przykład dowodu z pentestu → /pentest-report-board-pack · zaufanie i bezpieczeństwo dostawcy → /trust-center · zgłoszenie pilota → /pilot-intake · modele współpracy → /pricing.