Attesto

Trust Center

Verifier-first trust model

L'output Attesto è progettato per essere controllato. Un destinatario deve poter verificare receipts, stream order, checkpoint consistency, witness quorum, anchors, fork evidence e bundle manifests senza ottenere accesso a un private tenant account.

Independent verification

Independent verification significa che il verifier riceve evidence objects e controlla localmente le cryptographic e structural relationships. Il verifier non deve fidarsi di uno screenshot o di un dashboard status. 

attesto --json bundles verify \
  --file ./attesto-bundle.json > ./verification-report.json

Verification report shape

{
  "ok": true,
  "kind": "bundle",
  "checked": [
    "manifest_digest",
    "receipt_signatures",
    "stream_sequence",
    "window_inclusion",
    "checkpoint_consistency",
    "witness_quorum",
    "anchor_reference"
  ],
  "problems": []
}

Public service status

status.attesto.eu pubblica customer-facing service health, public incidents, latency, HTTP expectations, timezone metadata e 90-day per-service uptime bars. La status surface è intenzionalmente separata da tenant data e internal control-plane diagnostics: espone solo public probe results, non logs, secrets, provider payloads, private tenant evidence o admin control panel.

Recommended external workflow

  1. Ricevi un bundle dal tenant o auditor workflow.
  2. Registra il bundle digest prima dell'ispezione.
  3. Esegui offline verification localmente.
  4. Rivedi le sezioni witness/quorum e fork-evidence.
  5. Opzionalmente re-check online le anchor references.
  6. Conserva il verification report insieme al bundle ricevuto.

Trust boundaries

Verification prova integrity relationships dentro l'evidence pack. Non prova che l'original source system fosse veritiero, che gli obblighi legali siano pienamente soddisfatti o che una AI decision fosse sostanzialmente corretta. Queste restano responsabilità del customer e del reviewer.

Attesto mantiene anche security-management readiness records per scope, risk, assets, suppliers, incidents, internal review e management review. Vedi Security Management per la spiegazione pubblica di questo ISMS preparation model.

Attesto mantiene anche una mappa più ampia di Certification Readiness per ISO/IEC 27001, SOC 2 Type II, ISO/IEC 27701, Cyber Essentials Plus, NEN 7510, ENSIA/BIO ed eIDAS 2.0 alignment. È solo preparation evidence e non rivendica external audit, legal o qualification outcome.