Trust Center
Security management i ISO/IEC 27001 readiness
Attesto od początku buduje information security management system, aby security controls, risk decisions, evidence integrity i operating reviews były traceable zanim rozpocznie się formalny projekt certyfikacji.
Ta strona opisuje Attesto preparation model. Nie stwierdza, że Attesto jest ISO/IEC 27001 certified i nie zastępuje accredited audit.
What Attesto manages
Obecna ISMS boundary obejmuje tenant dashboard, admin control panel, audit portal, public verify API, docs hub, Proofstream, witness plane, verifier tooling, SDKs, Local Vault, production release evidence oraz external service boundaries wpływające na security, availability, billing, custody, package distribution lub evidence integrity.
Customer source systems, customer user assignment decisions, customer-operated witnesses, customer-operated Local Vault hosts i legal interpretation pozostają poza Attesto management boundary.
ISMS operating records
| Record | Cel | Znaczenie publiczne |
|---|---|---|
| Scope | Definiuje included services, excluded customer responsibilities i owner roles. | Pokazuje, co Attesto zamierza zarządzać. |
| Risk register | Śledzi security, evidence, supplier, documentation i cryptographic risks. | Pokazuje, że risks mają ownerów i review. |
| Asset register | Śledzi source, release evidence, Proofstream, witness, verifier, secrets, SDKs, docs, connectors, Local Vault i runtime assets. | Pokazuje, że control ownership jest przypisany do realnych assets. |
| Supplier register | Śledzi external service boundaries i review cadence. | Pokazuje, że supplier dependencies są widoczne. |
| Incident register | Definiuje intake, classification, retention, escalation i current open-incident state. | Pokazuje, że security events mają record path. |
| Self-use evidence loop | Łączy własną release evidence Attesto z security-management review decisions. | Pokazuje, że Attesto używa swojej evidence discipline wewnętrznie. |
| Internal audit plan | Definiuje quarterly control review i release-evidence review scope. | Pokazuje, że audit preparation jest powtarzalne. |
| Management review cadence | Definiuje monthly review topics i certification trigger conditions. | Pokazuje, że leadership review jest explicit. |
Review cadence
- Risk i asset records są reviewed miesięcznie oraz po material release-gate failures.
- Supplier records są reviewed quarterly i zanim nowi critical suppliers trafią do production.
- Incident records są stale dostępne dla intake i reviewed miesięcznie.
- Internal control review działa quarterly do rozpoczęcia accredited certification project.
- Management review działa miesięcznie i po critical security events.
Evidence model
Attesto używa własnej release evidence do wspierania security management: production audit, source secret scan, dependency security, release evidence contract, production readiness snapshot, docs hub contract, customer-visible dead-end contract, SDK registry readiness, Proofstream guarantees, witness/quorum evidence, fork-defense evidence, Local Vault assurance, connector assurance i Nova claim boundaries.
Ważna zasada jest taka sama jak w Proofstream: records powinny być verifiable, current, bounded i tied to evidence zamiast polegać na nieformalnych status claims.
Attesto utrzymuje także szerszą mapę Certification Readiness dla ISO/IEC 27001, SOC 2 Type II, ISO/IEC 27701, Cyber Essentials Plus, NEN 7510, ENSIA/BIO i eIDAS 2.0 alignment. Utrzymuje przyszłą audit preparation widoczną bez twierdzenia o certification przed external review.
Boundaries
Attesto evidence może wspierać audits i future certification preparation. Nie dowodzi customer compliance, nie decyduje o legal obligations, nie zastępuje auditor judgment i samo nie certyfikuje Attesto. Formalny certification project nadal wymaga management approval, audit sampling, corrective-action records i accredited audit.
Public documentation celowo unika private operational details. Security reviewers mogą używać public trust model Attesto, aby zrozumieć jak evidence jest generowana i verified, podczas gdy private internal records pozostają kontrolowane przez Attesto management.