CertiSigma
Verify Console
CertiSigma

CertiSigma Trust layer for digital evidence

Infrastruttura di evidenze verificabili

Prova crittografica per le tue evidenze digitali.

Attesta l'impronta SHA-256 di file, report, cartelle e dossier: una prova datata, portabile e verificabile da terzi. I contenuti non lasciano i tuoi sistemi. Operato in Svizzera.

Verifica un file Prova CertiSigma in 30 secondi

In produzione Su ExistBefore — gratis, senza registrazione: il contenuto resta nel tuo browser, viene attestato solo il digest SHA-256. Una prova reale in produzione, costruita sulle API CertiSigma.

Scopri come funziona → Sei uno sviluppatore? Vai all'hub →

Il tuo sistema calcola localmente l'hash SHA-256. CertiSigma riceve solo il digest e i metadati che scegli di associare al workflow.

  1. Contenuto locale Sul tuo dispositivo Digest calcolato in locale
  2. Attestazione Firma CertiSigma < 200 ms
  3. Timestamp qualificato TSA eIDAS (Sectigo) Minuti
  4. Ancoraggio pubblico Bitcoin / OpenTimestamps ~6 h

Caratteristiche del servizio

  • Swiss-hosted
  • eIDAS qualified TSA
  • Bitcoin anchored
  • GDPR & LPD
  • No PII
  • Open source verifier

Modello operativo

La prova fuori. Il contenuto dentro.

Il contenuto resta nel tuo ambiente

File, documenti, report, dataset e dossier non devono essere caricati su CertiSigma. Restano nei tuoi sistemi, nel browser o nei repository che controlli; CertiSigma lavora sull'impronta crittografica.

La prova diventa verificabile

CertiSigma attesta digest SHA-256 e riferimenti operativi selezionati, così auditor, clienti o controparti possono ricontrollare datazione e integrità senza ricevere il contenuto originale.

Il problema

Log, screenshot e cartelle condivise non bastano quando devi dimostrare.

Molte organizzazioni conservano evidenze operative nei propri sistemi: log, export, screenshot, report, backup, ticket, cartelle condivise, fogli di calcolo e allegati email.

Questi materiali sono utili, ma hanno un limite: spesso sono prodotti e custoditi dalla stessa parte che dovrebbe dimostrarne l'integrità.

Quando un cliente regolato, un auditor, un consulente, un assicuratore, un revisore o una controparte chiede evidenza, non basta dire "ce l'abbiamo". Serve mostrare che un determinato file, report o dossier esisteva in una certa forma a una certa data, con un riferimento verificabile anche fuori dai sistemi interni.

CertiSigma aggiunge un livello di prova esterno ai tuoi sistemi senza diventare un nuovo archivio documentale. Non sostituisce DMS, SIEM, GRC, SharePoint, repository software o sistemi di ticketing: si integra con ciò che usi già e aggiunge un riferimento crittografico verificabile.

Trust model

Tre livelli di prova. Un modello verificabile.

  1. Attestazione primaria

    < 200 ms · sincrono

    Una chiave CertiSigma firma il payload canonico contenente il digest SHA-256.

    Latenza
    Sincrona (millisecondi)
    Testimone
    Chiave di firma CertiSigma
    Verifier
    API & SDK pubblici
    T0 · Attestazione primaria — dettagli

    T0 è la ricevuta crittografica immediata. Viene creata nel momento in cui il digest SHA-256 viene registrato su CertiSigma, prima di qualsiasi sigillatura esterna.

    Primitiva crittografica
    ECDSA su NIST P-256 con messaggio SHA-256 (FIPS 186-4).
    Payload firmato
    Il digest SHA-256 più metadata server: attestation id, timestamp UTC, versione formato.
    Firmatario
    Chiave di firma CertiSigma, la cui controparte pubblica è pubblicata via API per verifica offline.
    Cosa prova
    Che il digest è stato registrato su CertiSigma all'orario UTC indicato, firmato da una chiave sotto controllo CertiSigma.
    Come verificare
    Recupera l'evidence bundle dall'API e ri-verifica la firma ECDSA localmente con la chiave pubblica pubblicata.
    Limite
    La fiducia dipende dall'integrità della chiave CertiSigma. T1 e T2 aggiungono testimoni esterni a CertiSigma.

  2. Timestamping esterno

    minuti · prossima finestra

    Una root Merkle viene marcata da una TSA qualificata eIDAS (Sectigo).

    Latenza
    Allineata alla prossima finestra di sigillatura
    Testimone
    Sectigo Qualified TSA (eIDAS)
    Verifier
    RFC 3161 + catena certificati TSA
    T1 · Timestamping esterno — dettagli

    T1 vincola l'attestazione a un timestamp qualificato eIDAS di terza parte, testimoniato da un'autorità esterna a CertiSigma.

    Primitiva crittografica
    Albero Merkle SHA-256 sul batch, token timestamp RFC 3161 sulla root Merkle.
    Cadenza
    Periodica, attualmente allineata al confine del minuto; le attestazioni vengono sigillate in batch.
    Testimone
    Sectigo Qualified Time Stamping Authority — qualificata eIDAS, catena certificati pubblicamente affidabile.
    Cosa prova
    La root Merkle contenente l'attestazione esisteva prima del timestamp TSA, certificato da una terza parte qualificata.
    Come verificare
    L'evidence bundle restituisce il path di inclusione Merkle più il token RFC 3161. Verifica con qualsiasi verifier compliant e la root TSA.
    Limite
    La fiducia si estende alla catena di qualificazione TSA. T2 aggiunge un testimone indipendente senza assunzioni di fiducia condivise.

  3. Ancoraggio pubblico

    ~6h media · asincrono

    La stessa root viene ancorata su Bitcoin via protocollo OpenTimestamps.

    Latenza
    Ore (calendar OTS + conferma Bitcoin)
    Testimone
    Bitcoin proof-of-work
    Verifier
    OpenTimestamps + qualsiasi nodo Bitcoin
    T2 · Ancoraggio pubblico — dettagli

    T2 eleva l'attestazione a un testimone blockchain pubblico, completamente indipendente da CertiSigma e da qualsiasi autorità qualificata.

    Primitiva crittografica
    Commitment SHA-256 piegato nel calendar OpenTimestamps e infine incluso in un block header Bitcoin.
    Ancoraggio
    La blockchain Bitcoin via protocollo OpenTimestamps; la prova OTS viene allegata all'evidence bundle una volta confermata.
    Cosa prova
    L'attestazione esisteva prima che un block Bitcoin specifico fosse minato — verificabile senza fiducia in CertiSigma o in alcuna TSA.
    Come verificare
    Esegui `ots verify` dal client OpenTimestamps contro un nodo Bitcoin, o usa qualsiasi verifier OTS terzo.
    Indipendenza
    Nessuna assunzione di fiducia condivisa con T0 o T1. Compromettere chiavi CertiSigma o la TSA non invalida questo livello.
    Limite
    T2 prova l'esistenza al momento dell'ancoraggio, non il timing esatto di registrazione. Combina con T0 / T1 per timing sub-minuto.

Onestà forense

Cosa CertiSigma dimostra. E cosa no.

CertiSigma dimostra

  • Che un digest è stato osservato e attestato in un momento dato
  • Che un digest è stato incluso in una root Merkle
  • Che una root è stata marcata o ancorata pubblicamente
  • Che un file attuale corrisponde a una baseline precedente
  • Che un evidence bundle esisteva in una specifica forma

CertiSigma NON dimostra

  • Chi ha creato il file
  • Chi possiede il contenuto
  • Se il contenuto è vero, lecito o consensuale
  • Se l'esfiltrazione è avvenuta
  • Se un'organizzazione è automaticamente conforme

Leggi la trattazione completa →

Ecosistema

L'ecosistema CertiSigma.

API · SDK

CertiSigma API

Core REST + SDK Python/JS per integrare hash locale, attestazione digest ed evidence bundle in workflow B2B content-blind.

Esplora →
CLI · Forensic

CertiSigma Census

CLI per trasformare cartelle, inventari, baseline e report locali in dossier operativi verificabili, senza spostare i contenuti originali.

Esplora →
Free · No login

Public Verifier

Verifica un file o un hash SHA-256: il contenuto resta locale, verso la API pubblica viaggia solo il digest.

Verifica →
ExistBefore

Made on CertiSigma

Prova di esistenza pubblica e gratuita costruita sulle API CertiSigma: SHA-256 locale, attestazione T0/T1/T2 e ricevuta PDF, senza registrazione.

Visita ExistBefore →

Solutions

Workflow operativi pronti.

NIS2 Supplier Evidence Kit

Documentazione fornitori → dossier verificabile.

Esplora →

Incident Response Evidence Kit

Preserva evidenze incidente content-blind.

Esplora →

Audit Evidence Dossier

Pacchetto verificabile da terzi per audit.

Esplora →

DORA Data Integrity Evidence

Riferimenti verificabili per resilienza digitale.

Esplora →

Software Release Evidence Pack

SBOM, provenance, scan report con hash durevole.

Esplora →

AI Dataset Governance

Manifest, decision log, exclusion senza esporre dataset.

Esplora →

Contract & Document Evidence

Anteriorità + integrità per documenti digitali.

Esplora →

Third-party Forensic Coop

Match controllato senza esporre inventario.

Esplora →

Developer

4 righe e hai una prova.

python 
# Python — 4 righe e hai una prova
from certisigma import Client
import os

cs = Client(api_key=os.environ["CERTISIGMA_API_KEY"])
result = cs.attest_file("./contract.pdf")
print(result.evidence_url)

Per chi è pensato

  • PMI fornitrici
  • Consulenti
  • MSP / MSSP
  • Security team
  • Auditor
  • Cyber insurer
  • DevSecOps
  • Compliance
  • Incident responder
  • Software vendor
  • AI governance team
  • Legal team
  • GRC team
  • Forensic team

Quando un cliente, un auditor, un'autorità, un assicuratore, una controparte o un investigatore chiede evidenze, CertiSigma aiuta l'organizzazione a produrre un dossier verificabile invece di una cartella di documenti non strutturati o di screenshot difficili da difendere.

Verifica un file Apri la documentazione Parla con noi