Trust Center
Security management e ISO/IEC 27001 readiness
Attesto costruisce un information security management system fin dall'inizio, così security controls, risk decisions, evidence integrity e operating reviews sono tracciabili prima che inizi un progetto formale di certificazione.
Questa pagina descrive il preparation model di Attesto. Non afferma che Attesto sia ISO/IEC 27001 certified e non sostituisce un accredited audit.
What Attesto manages
L'attuale ISMS boundary copre tenant dashboard, admin control panel, audit portal, public verify API, docs hub, Proofstream, witness plane, verifier tooling, SDKs, Local Vault, production release evidence e external service boundaries che influenzano security, availability, billing, custody, package distribution o evidence integrity.
Customer source systems, customer user assignment decisions, customer-operated witnesses, customer-operated Local Vault hosts e legal interpretation restano fuori dalla management boundary di Attesto.
ISMS operating records
| Record | Scopo | Significato pubblico |
|---|---|---|
| Scope | Definisce included services, excluded customer responsibilities e owner roles. | Mostra cosa Attesto intende gestire. |
| Risk register | Traccia security, evidence, supplier, documentation e cryptographic risks. | Mostra che i risks hanno owner e review. |
| Asset register | Traccia source, release evidence, Proofstream, witness, verifier, secrets, SDKs, docs, connectors, Local Vault e runtime assets. | Mostra che control ownership è collegato ad assets reali. |
| Supplier register | Traccia external service boundaries e review cadence. | Mostra che supplier dependencies sono visibili. |
| Incident register | Definisce intake, classification, retention, escalation e current open-incident state. | Mostra che security events hanno un record path. |
| Self-use evidence loop | Collega la release evidence di Attesto alle security-management review decisions. | Mostra che Attesto usa internamente la propria evidence discipline. |
| Internal audit plan | Definisce quarterly control review e release-evidence review scope. | Mostra che audit preparation è ripetibile. |
| Management review cadence | Definisce monthly review topics e certification trigger conditions. | Mostra che leadership review è esplicita. |
Review cadence
- Risk e asset records sono reviewed mensilmente e dopo material release-gate failures.
- Supplier records sono reviewed quarterly e prima che nuovi critical suppliers entrino in production.
- Incident records sono continuamente disponibili per intake e reviewed mensilmente.
- Internal control review gira quarterly finché non inizia un accredited certification project.
- Management review gira mensilmente e dopo critical security events.
Evidence model
Attesto usa la propria release evidence per supportare security management: production audit, source secret scan, dependency security, release evidence contract, production readiness snapshot, docs hub contract, customer-visible dead-end contract, SDK registry readiness, Proofstream guarantees, witness/quorum evidence, fork-defense evidence, Local Vault assurance, connector assurance e Nova claim boundaries.
Il principio importante è lo stesso di Proofstream: records dovrebbero essere verifiable, current, bounded e tied to evidence invece di basarsi su status claims informali.
Attesto mantiene anche una mappa più ampia di Certification Readiness per ISO/IEC 27001, SOC 2 Type II, ISO/IEC 27701, Cyber Essentials Plus, NEN 7510, ENSIA/BIO ed eIDAS 2.0 alignment. Mantiene visibile la futura audit preparation senza rivendicare certification prima di una review esterna.
Boundaries
Attesto evidence può supportare audits e future certification preparation. Non prova customer compliance, non decide legal obligations, non sostituisce auditor judgment e non certifica Attesto da sola. Un formal certification project richiede ancora management approval, audit sampling, corrective-action records e un accredited audit.
Public documentation evita intenzionalmente private operational details. Security reviewers possono usare il public trust model di Attesto per capire come evidence viene generata e verificata, mentre i private internal records restano controllati da Attesto management.