K0NSULT // ai-truth/ipIII
k0nsult.cloud / ai-truth / ipIII / roe-template

Rules of Engagement — szablon + VDP intake

Formalny szablon zasad prowadzenia testów bezpieczeństwa (Rules of Engagement) oraz struktura przyjmowania zgłoszeń podatności (Vulnerability Disclosure). Dokument do wypełnienia i podpisania przed jakąkolwiek aktywnością testową. Bez podpisanego RoE nie ma autoryzacji, a bez autoryzacji nie ma testu.

Specyfikacja referencyjna. Nie stanowi certyfikacji ani opinii prawnej; implementacja produkcyjna ma status ROADMAP. Poniższy szablon jest wzorcem dokumentacyjnym — pola do wypełnienia oznaczono […]. Realne testy bezpieczeństwa są dopuszczalne wyłącznie po podpisaniu RoE przez umocowane strony i po pisemnej autoryzacji zakresu. Wypełnienie tej strony niczego nie autoryzuje.
Claim ≤ Proof. Autoryzacja jest dowodem — nie domniemaniem.

Każda aktywność ofensywna wymaga śladu: podpisany zakres, okno czasowe, kanał deconfliction. Brak podpisu = status GAP. Ten portal nie zawiera i nie udostępnia żadnych payloadów ofensywnych — dostarcza wyłącznie ramy proceduralne.

ŁAŃCUCH: ZAKRESRoE DRAFTSIGN-OFFAUTORYZACJAOKNOTESTRAPORTDISCLOSUREREMEDIACJA

Statusy dokumentu

Szablon LIVE

Treść wzorca RoE i pola intake są dostępne i kompletne jako referencja dokumentacyjna.

Podpis cyfrowy / workflow GAP

Elektroniczny sign-off, wersjonowanie i archiwizacja podpisanych RoE — brak żywej implementacji.

Intake API / triage ROADMAP

Przyjmowanie zgłoszeń VDP przez formularz/API, kolejka triage, nadawanie public_id — planowane.

Rejestr zakresów DANE

Docelowy magazyn autoryzowanych zakresów i okien czasowych; obecnie tylko model danych.

Część A — Rules of Engagement (szablon)

A.1 · Strony

Zleceniodawca (podmiot testowany): [nazwa spółki, NIP/KRS, adres, osoba umocowana, funkcja]
Wykonawca (zespół testujący): [nazwa, identyfikator zespołu, kierownik testu, dane kontaktowe]
Podmioty trzecie objęte świadomością: [dostawca hostingu, CSIRT sektorowy, operator SOC — jeśli dotyczy]
Numer i wersja dokumentu: [RoE-YYYY-NN, wersja x.y] · Data sporządzenia: [YYYY-MM-DD]

A.2 · Cel testu

[Zwięzły cel — np. weryfikacja odporności bankowości elektronicznej na phishing i przejęcie sesji; ocena segmentacji sieci; walidacja playbooków SOC. Cel określa, co jest przedmiotem dowodu, nie „ile luk znajdziemy".]

A.3 · Zakres — IN-SCOPE

Wyłącznie zasoby wymienione poniżej są autoryzowane. Cokolwiek nie jest wprost wpisane — jest poza zakresem.

ZasóbTypIdentyfikatorŚrodowiskoUwagi
[domena]WWW / API[app.przyklad.pl][staging / prod][okno, throttling]
[zakres IP]Sieć[203.0.113.0/28][DMZ][bez skanów agresywnych]
[aplikacja mobilna]Mobile[bundle id / wersja][test][tylko konta testowe]
[agent / model AI]AI / LLM[endpoint, wersja][sandbox][testy prompt-injection w izolacji]

A.4 · Zakres — OUT-OF-SCOPE

A.5 · Techniki ZABRONIONE

Poniższe są bezwzględnie wyłączone, niezależnie od zakresu. Naruszenie unieważnia safe harbor (A.7).

TechnikaStatusDoprecyzowanie
DoS / DDoS / stressZAKAZŻadnych działań degradujących dostępność, w tym flooding, resource exhaustion, testy wydajnościowe bez odrębnej zgody.
SocjotechnikaZAKAZPhishing pracowników, vishing, pretexting, przynęty fizyczne — chyba że objęte osobnym, wyraźnym aneksem.
Ataki fizyczneZAKAZWejście do obiektów, tailgating, manipulacja sprzętem, dostęp do okablowania.
Eksfiltracja danychZAKAZZakaz pobierania/kopiowania danych realnych. Dowód dostępu = zrzut metadanych/PoC, nie wynoszenie zawartości.
Naruszenie prywatnościZAKAZDostęp do danych osobowych klientów, korespondencji, treści prywatnych. Przy przypadkowym dostępie — natychmiastowy stop + zgłoszenie.
Ataki na third-partyZAKAZPivotowanie do dostawców, systemów partnerów, infrastruktury współdzielonej poza kontrolą zleceniodawcy.
Destrukcja / trwała zmianaZAKAZKasowanie, szyfrowanie, modyfikacja produkcyjnych danych i konfiguracji.

A.6 · Okno czasowe i deconfliction

Okno testów: [YYYY-MM-DD HH:MM] – [YYYY-MM-DD HH:MM], strefa [Europe/Warsaw]. Poza oknem — wszelka aktywność zabroniona.
Blackout / okna wykluczone: [np. zamknięcie miesiąca księgowego, okna maintenance]
Kontakt 24/7 (deconfliction): [imię i nazwisko], tel. [+48 …], e-mail [soc@…]. Rola: potwierdzanie, czy obserwowana aktywność pochodzi z testu.
Kanały komunikacji: [dedykowany kanał Signal/Matrix], most awaryjny [telefon], adres raportów [secure e-mail / PGP fingerprint]. Częstotliwość statusów: [codzienny sync o HH:MM].
Sygnał STOP: hasło [„…"] wstrzymuje wszystkie działania natychmiast. Wykonawca potwierdza stop w [≤15 min].

A.7 · Safe Harbor — dokładne brzmienie

Zleceniodawca zobowiązuje się nie inicjować postępowań cywilnych ani nie składać zawiadomień karnych wobec Wykonawcy z tytułu działań podjętych w ramach niniejszego RoE, wyłącznie i pod warunkiem, że działania te były:

Ochrona safe harbor nie obejmuje działań wykraczających poza którykolwiek z powyższych warunków. Przekroczenie zakresu, eksfiltracja danych lub wyrządzenie szkody powoduje automatyczne wygaśnięcie ochrony w odniesieniu do danego czynu. Safe harbor nie zwalnia z obowiązków wynikających z bezwzględnie obowiązujących przepisów prawa.

A.8 · Kryteria sukcesu (rubryka)

Sukces mierzony jest jakością dowodu i pokryciem, nie samą liczbą znalezisk.

KryteriumMiaraPróg akceptacji
Pokrycie zakresu% zasobów in-scope faktycznie przetestowanych[≥ 90%]
Jakość dowoduKażde znalezisko z repro + PoC + poziomem pewności[100% znalezisk P0/P1]
Brak szkodyIncydenty dostępności/integralności spowodowane testem[0]
DeconflictionCzas potwierdzenia aktywności na żądanie SOC[≤ 15 min]
Terminowość raportuDostarczenie raportu po zamknięciu okna[≤ 5 dni roboczych]

A.9 · Role — white / red / blue / purple

RolaKtoZakres odpowiedzialności
White team[koordynator, obie strony]Nadzór nad RoE, deconfliction, arbitraż STOP, kontrola zakresu i okna. Jedyna rola z pełną wiedzą o teście.
Red team[Wykonawca]Symulacja przeciwnika w granicach A.3–A.6. Dokumentacja każdego kroku. Zero payloadów niszczących.
Blue team[SOC zleceniodawcy]Detekcja i reakcja. W trybie double-blind może nie wiedzieć o teście — decyzja w A.1.
Purple team[wspólny]Iteracyjna wymiana: red pokazuje wektor, blue wzmacnia detekcję. Cel = odporność, nie punktacja.

A.10 · Raportowanie

A.11 · Sign-off

RolaImię i nazwiskoFunkcja / umocowaniePodpisData
Zleceniodawca[……][……][……][YYYY-MM-DD]
Wykonawca (kierownik testu)[……][……][……][YYYY-MM-DD]
White team (koordynator)[……][……][……][YYYY-MM-DD]

Dokument obowiązuje od chwili złożenia wszystkich wymaganych podpisów. Do tego momentu status autoryzacji: GAP — brak zgody na testy.

Część B — VDP intake (struktura zgłoszenia)

Struktura przyjmowania zgłoszeń podatności w ramach polityki Vulnerability Disclosure. Pola poniżej stanowią wzorzec formularza. Faktyczne przyjmowanie i triage zgłoszeń przez system: ROADMAP.

Tytuł zgłoszenia

Zwięzły opis podatności — [np. „Odbite XSS w wyszukiwarce panelu"].

Kroki reprodukcji

Numerowana lista odtworzenia. Deterministyczna. Bez tego zgłoszenie ma status GAP.

Wpływ (impact)

Konsekwencja biznesowa/techniczna: poufność, integralność, dostępność, dane osobowe.

CVSS

Wektor i wynik [np. CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N = 7.5]. Klasyfikacja wstępna zgłaszającego.

Proof of Concept

Minimalny, nieniszczący PoC dowodzący podatności. Zero eksfiltracji danych realnych.

Dane kontaktowe / handle

Kanał zwrotny do zgłaszającego, zgoda na politykę disclosure, opcjonalny klucz PGP.

Deterministyczny public_id. Po przyjęciu (ROADMAP) zgłoszenie otrzymuje identyfikator publiczny i status wejściowy — analogicznie do Incident Intake.
Zasada „nie ma szkody". Zgłaszający testuje tylko w granicach polityki VDP; naruszenie prywatności lub eksfiltracja danych wyłącza ochronę disclosure — analogicznie do safe harbor A.7.

Powiązane

Rules of Engagement (opis)

Kontekst i doktryna RoE.

→ Engagement

Disclosure / VDP

Polityka odpowiedzialnego ujawniania.

→ Disclosure

Bug bounty

Program nagród (jeśli aktywowany).

→ Bug bounty

Zasada nadrzędna. Autoryzacja jest walutą tej strony. Test bez podpisanego RoE to nie test — to incydent. Ten dokument istnieje po to, by granica między obroną a nadużyciem była pisemna, podpisana i weryfikowalna. Portal nie dostarcza narzędzi ani payloadów ofensywnych — tylko ramy proceduralne.