Trust Center
Security Management und ISO/IEC 27001 readiness
Attesto baut von Anfang an ein information security management system auf, damit security controls, risk decisions, evidence integrity und operating reviews nachvollziehbar sind, bevor ein formales Zertifizierungsprojekt beginnt.
Diese Seite beschreibt Attestos preparation model. Sie sagt nicht, dass Attesto ISO/IEC 27001 certified ist, und ersetzt kein accredited audit.
What Attesto manages
Die aktuelle ISMS boundary umfasst tenant dashboard, admin control panel, audit portal, public verify API, docs hub, Proofstream, witness plane, verifier tooling, SDKs, Local Vault, production release evidence und external service boundaries, die security, availability, billing, custody, package distribution oder evidence integrity beeinflussen.
Customer source systems, customer user assignment decisions, customer-operated witnesses, customer-operated Local Vault hosts und legal interpretation bleiben außerhalb von Attestos management boundary.
ISMS operating records
| Record | Zweck | Öffentliche Bedeutung |
|---|---|---|
| Scope | Definiert included services, excluded customer responsibilities und owner roles. | Zeigt, was Attesto zu managen beabsichtigt. |
| Risk register | Verfolgt security, evidence, supplier, documentation und cryptographic risks. | Zeigt, dass risks owned und reviewed sind. |
| Asset register | Verfolgt source, release evidence, Proofstream, witness, verifier, secrets, SDKs, docs, connectors, Local Vault und runtime assets. | Zeigt, dass control ownership an reale assets gebunden ist. |
| Supplier register | Verfolgt external service boundaries und review cadence. | Zeigt, dass supplier dependencies sichtbar sind. |
| Incident register | Definiert intake, classification, retention, escalation und current open-incident state. | Zeigt, dass security events einen record path haben. |
| Self-use evidence loop | Verbindet Attestos eigene release evidence mit security-management review decisions. | Zeigt, dass Attesto seine evidence discipline intern nutzt. |
| Internal audit plan | Definiert quarterly control review und release-evidence review scope. | Zeigt, dass audit preparation wiederholbar ist. |
| Management review cadence | Definiert monthly review topics und certification trigger conditions. | Zeigt, dass leadership review explizit ist. |
Review cadence
- Risk und asset records werden monatlich und nach material release-gate failures reviewed.
- Supplier records werden quarterly und vor neuen critical suppliers in production reviewed.
- Incident records sind kontinuierlich für intake verfügbar und werden monatlich reviewed.
- Internal control review läuft quarterly, bis ein accredited certification project startet.
- Management review läuft monatlich und nach critical security events.
Evidence model
Attesto nutzt seine eigene release evidence zur Unterstützung von security management: production audit, source secret scan, dependency security, release evidence contract, production readiness snapshot, docs hub contract, customer-visible dead-end contract, SDK registry readiness, Proofstream guarantees, witness/quorum evidence, fork-defense evidence, Local Vault assurance, connector assurance und Nova claim boundaries.
Das wichtige Prinzip ist dasselbe wie bei Proofstream selbst: records sollten verifiable, current, bounded und tied to evidence sein, statt sich auf informelle status claims zu verlassen.
Attesto pflegt außerdem eine breitere Certification Readiness Map für ISO/IEC 27001, SOC 2 Type II, ISO/IEC 27701, Cyber Essentials Plus, NEN 7510, ENSIA/BIO und eIDAS 2.0 alignment. Sie macht zukünftige audit preparation sichtbar, ohne certification vor externer Review zu claimen.
Boundaries
Attesto evidence kann audits und zukünftige certification preparation unterstützen. Sie beweist keine customer compliance, entscheidet keine legal obligations, ersetzt kein auditor judgment und zertifiziert Attesto nicht von selbst. Ein formales certification project benötigt weiterhin management approval, audit sampling, corrective-action records und ein accredited audit.
Public documentation vermeidet bewusst private operational details. Security reviewers können Attestos public trust model nutzen, um zu verstehen, wie evidence erzeugt und verifiziert wird, während private internal records unter Kontrolle des Attesto management bleiben.