Attesto

Trust Center

Verifier-first trust model

La sortie Attesto est conçue pour être vérifiée. Un destinataire doit pouvoir vérifier receipts, stream order, checkpoint consistency, witness quorum, anchors, fork evidence et bundle manifests sans obtenir d'accès à un private tenant account.

Independent verification

Independent verification signifie que le verifier reçoit des evidence objects et contrôle localement les cryptographic et structural relationships. Le verifier n'a pas besoin de faire confiance à une capture d'écran ou à un dashboard status. 

attesto --json bundles verify \
  --file ./attesto-bundle.json > ./verification-report.json

Verification report shape

{
  "ok": true,
  "kind": "bundle",
  "checked": [
    "manifest_digest",
    "receipt_signatures",
    "stream_sequence",
    "window_inclusion",
    "checkpoint_consistency",
    "witness_quorum",
    "anchor_reference"
  ],
  "problems": []
}

Public service status

status.attesto.eu publie la customer-facing service health, les public incidents, latency, HTTP expectations, timezone metadata et 90-day per-service uptime bars. La status surface est volontairement séparée des tenant data et internal control-plane diagnostics: elle expose uniquement des public probe results, pas de logs, secrets, provider payloads, private tenant evidence ni admin control panel.

Recommended external workflow

  1. Recevoir un bundle depuis le workflow tenant ou auditor.
  2. Enregistrer le bundle digest avant inspection.
  3. Exécuter offline verification localement.
  4. Examiner les sections witness/quorum et fork-evidence.
  5. Re-check optionnellement les anchor references online.
  6. Stocker le verification report avec le bundle reçu.

Trust boundaries

Verification prouve les integrity relationships dans l'evidence pack. Elle ne prouve pas que le source system original était véridique, que les obligations légales sont entièrement satisfaites, ni qu'une AI decision était substantiellement correcte. Cela reste la responsabilité du customer et du reviewer.

Attesto maintient aussi des security-management readiness records pour scope, risk, assets, suppliers, incidents, internal review et management review. Voir Security Management pour l'explication publique de ce modèle ISMS preparation.

Attesto conserve aussi une carte plus large de Certification Readiness pour ISO/IEC 27001, SOC 2 Type II, ISO/IEC 27701, Cyber Essentials Plus, NEN 7510, ENSIA/BIO et eIDAS 2.0 alignment. C'est uniquement de la preparation evidence et cela ne revendique pas d'external audit, legal ou qualification outcome.