Attesto

Trust Center

Verifier-first trust model

La salida de Attesto está diseñada para ser comprobada. Un receptor debe poder verificar receipts, stream order, checkpoint consistency, witness quorum, anchors, fork evidence y bundle manifests sin recibir acceso a un private tenant account.

Independent verification

Independent verification significa que el verifier recibe evidence objects y comprueba localmente las cryptographic y structural relationships. El verifier no necesita confiar en una captura de pantalla o dashboard status. 

attesto --json bundles verify \
  --file ./attesto-bundle.json > ./verification-report.json

Verification report shape

{
  "ok": true,
  "kind": "bundle",
  "checked": [
    "manifest_digest",
    "receipt_signatures",
    "stream_sequence",
    "window_inclusion",
    "checkpoint_consistency",
    "witness_quorum",
    "anchor_reference"
  ],
  "problems": []
}

Public service status

status.attesto.eu publica customer-facing service health, public incidents, latency, HTTP expectations, timezone metadata y 90-day per-service uptime bars. La status surface está separada intencionalmente de tenant data e internal control-plane diagnostics: solo expone public probe results, no logs, secrets, provider payloads, private tenant evidence ni admin control panel.

Recommended external workflow

  1. Recibir un bundle desde el workflow de tenant o auditor.
  2. Registrar el bundle digest antes de inspeccionarlo.
  3. Ejecutar offline verification localmente.
  4. Revisar las secciones witness/quorum y fork-evidence.
  5. Re-check opcionalmente anchor references online.
  6. Guardar el verification report junto al bundle recibido.

Trust boundaries

Verification prueba integrity relationships dentro del evidence pack. No prueba que el source system original fuera veraz, que las obligaciones legales estén completamente satisfechas ni que una AI decision fuera sustantivamente correcta. Eso sigue siendo responsabilidad del customer y del reviewer.

Attesto también mantiene security-management readiness records para scope, risk, assets, suppliers, incidents, internal review y management review. Consulte Security Management para la explicación pública de este ISMS preparation model.

Attesto también mantiene un mapa más amplio de Certification Readiness para ISO/IEC 27001, SOC 2 Type II, ISO/IEC 27701, Cyber Essentials Plus, NEN 7510, ENSIA/BIO y eIDAS 2.0 alignment. Es solo preparation evidence y no afirma un external audit, legal o qualification outcome.