Trust Center
Security management et ISO/IEC 27001 readiness
Attesto construit dès le départ un information security management system afin que security controls, risk decisions, evidence integrity et operating reviews soient traçables avant le début d'un projet de certification formel.
Cette page décrit le preparation model d'Attesto. Elle ne déclare pas qu'Attesto est ISO/IEC 27001 certified et ne remplace pas un accredited audit.
What Attesto manages
L'ISMS boundary actuelle couvre tenant dashboard, admin control panel, audit portal, public verify API, docs hub, Proofstream, witness plane, verifier tooling, SDKs, Local Vault, production release evidence et external service boundaries qui affectent security, availability, billing, custody, package distribution ou evidence integrity.
Customer source systems, customer user assignment decisions, customer-operated witnesses, customer-operated Local Vault hosts et legal interpretation restent hors de la management boundary d'Attesto.
ISMS operating records
| Record | Objectif | Sens public |
|---|---|---|
| Scope | Définit included services, excluded customer responsibilities et owner roles. | Montre ce qu'Attesto entend gérer. |
| Risk register | Suit security, evidence, supplier, documentation et cryptographic risks. | Montre que les risks sont owned et reviewed. |
| Asset register | Suit source, release evidence, Proofstream, witness, verifier, secrets, SDKs, docs, connectors, Local Vault et runtime assets. | Montre que control ownership est attaché à des assets réels. |
| Supplier register | Suit external service boundaries et review cadence. | Montre que supplier dependencies sont visibles. |
| Incident register | Définit intake, classification, retention, escalation et current open-incident state. | Montre que les security events ont un record path. |
| Self-use evidence loop | Relie la release evidence d'Attesto aux security-management review decisions. | Montre qu'Attesto utilise sa discipline d'evidence en interne. |
| Internal audit plan | Définit quarterly control review et release-evidence review scope. | Montre que audit preparation est répétable. |
| Management review cadence | Définit monthly review topics et certification trigger conditions. | Montre que leadership review est explicite. |
Review cadence
- Risk et asset records sont reviewed mensuellement et après material release-gate failures.
- Supplier records sont reviewed quarterly et avant que de nouveaux critical suppliers entrent en production.
- Incident records sont disponibles en continu pour intake et reviewed mensuellement.
- Internal control review tourne quarterly jusqu'au début d'un accredited certification project.
- Management review tourne mensuellement et après critical security events.
Evidence model
Attesto utilise sa propre release evidence pour soutenir security management: production audit, source secret scan, dependency security, release evidence contract, production readiness snapshot, docs hub contract, customer-visible dead-end contract, SDK registry readiness, Proofstream guarantees, witness/quorum evidence, fork-defense evidence, Local Vault assurance, connector assurance et Nova claim boundaries.
Le principe important est le même que Proofstream lui-même: les records doivent être verifiable, current, bounded et tied to evidence plutôt que dépendre de status claims informels.
Attesto maintient aussi une carte plus large de Certification Readiness pour ISO/IEC 27001, SOC 2 Type II, ISO/IEC 27701, Cyber Essentials Plus, NEN 7510, ENSIA/BIO et eIDAS 2.0 alignment. Elle rend visible la future audit preparation sans revendiquer certification avant une review externe.
Boundaries
Attesto evidence peut soutenir audits et future certification preparation. Elle ne prouve pas customer compliance, ne décide pas legal obligations, ne remplace pas auditor judgment et ne certifie pas Attesto par elle-même. Un projet de certification formel exige encore management approval, audit sampling, corrective-action records et un accredited audit.
Public documentation évite volontairement les private operational details. Les security reviewers peuvent utiliser le public trust model d'Attesto pour comprendre comment evidence est générée et vérifiée, tandis que les private internal records restent contrôlés par Attesto management.