Trust layer per evidenze digitali

Prova crittografica per le tue evidenze digitali.

L’impronta SHA-256 è calcolata nel tuo ambiente; CertiSigma la attesta con marca temporale qualificata eIDAS e ancoraggio pubblico su Bitcoin. La prova è datata, portabile e verificabile da terzi — senza il tuo file e potenzialmente anche senza CertiSigma.

Attesta su ExistBefore · powered by CertiSigma · gratuita, senza registrazione

Dal contenuto alla prova
  1. Il tuo contenuto Resta nei tuoi sistemi
  2. Impronta SHA-256 Calcolata in locale, poi attestata
  3. Prova verificabile Da chiunque e nel tempo, anche senza CertiSigma eIDAS + ancoraggio Bitcoin
Privacy · Il contenuto non lascia il tuo perimetro — dettagli

Ogni prova CertiSigma parte da un digest calcolato localmente: nel browser con il Verificatore pubblico, via SDK/CLI Census o integrazione nel sistema del cliente. CertiSigma attesta l'impronta e produce un evidence bundle verificabile; non archivia né trasmette il contenuto originale nel modello standard.

Nel tuo ambiente
File, report, cartelle e dossier restano nei sistemi, repository o browser che controlli.
Cosa esce
Digest SHA-256 a 32 byte e metadati operativi scelti dal workflow.
Verificatore pubblico
Su /verify il file non viene caricato: l'hash è calcolato in-page e solo il digest viaggia all'API pubblica.
Limite
Metadati sensibili o input prevedibili vanno progettati con HMAC/cifratura lato client. SHA-256 non è privacy su dominio enumerabile.
Cosa non prova
Che il perimetro del cliente sia immune da esfiltrazione o accesso interno — solo che CertiSigma non riceve il file nel percorso standard.

Garanzie e conformità

Modello operativo

La prova fuori. Il contenuto dentro.

Il contenuto dentro

Il contenuto resta nel tuo ambiente

File, documenti, report, dataset e dossier non devono essere caricati su CertiSigma. Restano nei tuoi sistemi, nel browser o nei repository che controlli; CertiSigma lavora sull'impronta crittografica.

La prova fuori

La prova diventa verificabile

CertiSigma attesta digest SHA-256 e riferimenti operativi selezionati, così auditor, clienti o controparti possono ricontrollare datazione e integrità senza ricevere il contenuto originale.

Il problema

Log, screenshot e cartelle condivise non bastano quando devi dimostrare.

Molte organizzazioni conservano evidenze operative nei propri sistemi: log, export, screenshot, report, backup, ticket, cartelle condivise e allegati email. Sono materiali utili, ma spesso sono prodotti e custoditi dalla stessa parte che deve dimostrarne l’integrità.

Quando un cliente regolato, un auditor, un assicuratore, un revisore o una controparte chiede evidenza, non basta dire “ce l’abbiamo”: serve mostrare che un file, report o dossier esisteva in una certa forma a una certa data, con un riferimento verificabile fuori dai sistemi interni.

CertiSigma aggiunge quel riferimento esterno senza diventare un nuovo archivio documentale. Non sostituisce DMS, SIEM, GRC, SharePoint, repository software o sistemi di ticketing: si integra con ciò che usi già e aggiunge una prova crittografica verificabile.

Modello di prova

Tre livelli di prova. Un modello verificabile.

Dall’impronta SHA-256 del file ai tre testimoni della prova: ogni livello ne aggiunge uno indipendente, senza sostituire il precedente.

digest · Impronta SHA-256 locale — dettagli

Ogni prova CertiSigma parte da un digest SHA-256 calcolato localmente. Il contenuto originale non viene trasmesso, archiviato né reso disponibile a terzi da CertiSigma.

Primitiva
SHA-256 — impronta crittografica unidirezionale a 32 byte (256 bit).
Dove si calcola
Nel browser con il Verificatore pubblico, via SDK/CLI Census o integrazione nel sistema del cliente.
Cosa viaggia
Solo il digest e i metadati operativi che scegli di associare al workflow.
Cosa prova
L'uguaglianza bit-per-bit rispetto a una baseline: un file uguale produce lo stesso digest; una modifica anche minima ne cambia il valore.
Cosa non prova
Il significato, l'autore, la liceità, la completezza o la riservatezza del contenuto — solo l'impronta.
Limite
Input prevedibili (email, ID enumerabili) possono essere correlati offline. Per metadata sensibili usa pattern HMAC o cifratura lato client.
  1. Attestazione primaria

    <200 ms · sincrono

    Una chiave CertiSigma firma il payload canonico contenente il digest SHA-256.

    Testimone
    Chiave di firma CertiSigma
    Indipendenza
    Interna a CertiSigma
    Verifica
    API & SDK pubblici
    T0 · Attestazione primaria — dettagli

    T0 è la ricevuta crittografica immediata. Viene creata nel momento in cui il digest SHA-256 viene registrato su CertiSigma, prima di qualsiasi sigillatura esterna.

    Primitiva crittografica
    ECDSA su NIST P-256 con messaggio SHA-256 (FIPS 186-4).
    Payload firmato
    Il digest SHA-256 più metadata server: attestation id, timestamp UTC, versione formato.
    Firmatario
    Chiave di firma CertiSigma, la cui controparte pubblica è pubblicata via API per verifica offline.
    Cosa prova
    Che il digest è stato registrato su CertiSigma all'orario UTC indicato, firmato da una chiave sotto controllo CertiSigma.
    Come verificare
    Recupera l'evidence bundle dall'API e ri-verifica la firma ECDSA localmente con la chiave pubblica pubblicata.
    Limite
    La fiducia dipende dall'integrità della chiave CertiSigma. T1 e T2 aggiungono testimoni esterni a CertiSigma.
  2. Timestamping esterno

    <60 min · batch orario

    Una root Merkle viene marcata da una TSA qualificata eIDAS di terza parte.

    Testimone
    TSA qualificata eIDAS esterna
    Indipendenza
    Terza parte qualificata
    Verifica
    RFC 3161 + catena certificati TSA
    T1 · Timestamping esterno — dettagli

    T1 vincola l'attestazione a un timestamp qualificato eIDAS di terza parte, testimoniato da un'autorità esterna a CertiSigma.

    Primitiva crittografica
    Albero Merkle SHA-256 sul batch, token timestamp RFC 3161 sulla root Merkle.
    Cadenza
    Batch orario: tipicamente <60 min dalla registrazione T0, secondo finestra batch e TSA disponibili. Le attestazioni vengono sigillate in batch.
    Testimone
    TSA qualificata eIDAS di terza parte, con token verificabile tramite standard RFC 3161 e catena TSA applicabile.
    Cosa prova
    La root Merkle contenente l'attestazione esisteva prima del timestamp TSA, certificato da una terza parte qualificata.
    Come verificare
    L'evidence bundle restituisce il path di inclusione Merkle più il token RFC 3161. Verifica con qualsiasi verifier compliant e la root TSA.
    Limite
    La fiducia si estende alla catena di qualificazione TSA. T2 aggiunge un testimone indipendente senza assunzioni di fiducia condivise.
  3. Ancoraggio pubblico

    <6h · asincrono

    La stessa root viene ancorata su Bitcoin via protocollo OpenTimestamps.

    Testimone
    Bitcoin proof-of-work
    Indipendenza
    Pubblica, senza terzi fidati
    Verifica
    OpenTimestamps + qualsiasi nodo Bitcoin
    T2 · Ancoraggio pubblico — dettagli

    T2 eleva l'attestazione a un testimone blockchain pubblico, completamente indipendente da CertiSigma e da qualsiasi autorità qualificata.

    Primitiva crittografica
    Commitment SHA-256 piegato nel calendar OpenTimestamps e infine incluso in un block header Bitcoin.
    Ancoraggio
    La blockchain Bitcoin via protocollo OpenTimestamps; la prova OTS viene allegata all'evidence bundle una volta confermata.
    Cosa prova
    L'attestazione esisteva prima che un block Bitcoin specifico fosse minato — verificabile senza fiducia in CertiSigma o in alcuna TSA.
    Come verificare
    Esegui `ots verify` dal client OpenTimestamps contro un nodo Bitcoin, o usa qualsiasi verifier OTS terzo.
    Indipendenza
    Nessuna assunzione di fiducia condivisa con T0 o T1. Compromettere chiavi CertiSigma o la TSA non invalida questo livello.
    Limite
    T2 prova l'esistenza prima dell'ancoraggio pubblico, non il timing esatto di registrazione, la proprietà del contenuto o un effetto token/NFT. Combina con T0/T1 per timing più granulare.

Onestà forense

Cosa CertiSigma dimostra. E cosa no.

Proviamo esistenza e integrità di un’impronta nel tempo. Non interpretiamo, né rivendichiamo, il contenuto.

CertiSigma dimostra

  • Che un digest è stato osservato e attestato in un momento dato
  • Che un digest è stato incluso in una root Merkle
  • Che una root è stata marcata o ancorata pubblicamente
  • Che un file attuale corrisponde a una baseline precedente
  • Che un evidence bundle esisteva in una specifica forma

CertiSigma NON dimostra

  • Chi ha creato il file
  • Chi possiede il contenuto
  • Se il contenuto è vero, lecito o consensuale
  • Se l'esfiltrazione è avvenuta
  • Se un'organizzazione è automaticamente conforme

Leggi la trattazione completa →

Ecosistema

L’ecosistema CertiSigma.

Da dove parti

Devi dimostrare, verificare o integrare?

  • Devi dimostrare

    Trasforma documentazione, report e dossier in prove datate, portabili e verificabili da terzi.

    • PMI fornitrici
    • Compliance
    • Legal team
    Esplora le soluzioni
  • Devi verificare

    Ricontrolla datazione e integrità di un’evidenza — anche senza il file e senza CertiSigma.

    • Auditor
    • Security team
    • Forensic team
    Verifica una prova
  • Devi integrare

    Aggiungi attestazione e verifica ai tuoi workflow con API e SDK content-blind.

    • Consulenti
    • MSP / MSSP
    • DevSecOps
    Vai all’hub developer

Documenti e white paper

Materiali scaricabili per NIS2, DORA e legal review.

PDF pubblici con scheda condivisibile, link diretto e controllo di versione. Il contenuto resta il centro: checksum e attestazione servono solo a verificare quale PDF stai leggendo.

3 di 7 documenti

Apri la biblioteca completa

Soluzioni

Workflow operativi pronti.

Quattro famiglie operative per passare da documenti, eventi e manifest a riferimenti verificabili, mantenendo contenuti e inventari nei sistemi di origine.

Conformità & resilienza

Dossier per rispondere a richieste NIS2, DORA e audit regolatori.

Percorso evidenziale documentazione dossier verificabile

Sicurezza & forensics

Preserva evidenze e match controllati senza spostare il contenuto.

Percorso evidenziale evento autorizzato verifica terza

Integrità & audit

Rende report, contratti e pacchetti audit controllabili nel tempo.

Percorso evidenziale file o report controllo versione

Supply chain & AI

Collega manifest, SBOM e decision log a prove portabili.

Percorso evidenziale manifest evidence pack

Per sviluppatori

4 righe e hai una prova.

python
# Python — 4 righe e hai una prova
from certisigma import Client
import os

cs = Client(api_key=os.environ["CERTISIGMA_API_KEY"])
result = cs.attest_file("./contract.pdf")
print(result.evidence_url)

Dossier verificabili, non cartelle di screenshot.

Quando un cliente, un auditor, un'autorità, un assicuratore, una controparte o un investigatore chiede evidenze, CertiSigma aiuta l'organizzazione a produrre un dossier verificabile invece di una cartella di documenti non strutturati o di screenshot difficili da difendere.

Verifica un file