FAQ
Domande frequenti
Risposte concise alle domande più comuni su CertiSigma. Per la trattazione completa di privacy, modello probatorio, posizionamento legale e architettura, segui i link al Trust Center.
Elenco domande frequenti
CertiSigma riceve i miei file?
No. Il modello standard prevede hashing locale e invio del digest, non del contenuto originale.
CertiSigma prova che un documento è vero?
No. CertiSigma può aiutare a provare che un determinato digest è stato attestato e collegato a un percorso di evidenza. Non prova la verità del contenuto.
CertiSigma è una firma elettronica qualificata?
No. CertiSigma non deve essere presentato come servizio di firma elettronica qualificata. Può però integrare livelli esterni di timestamping, dove configurati.
CertiSigma rende la mia organizzazione conforme a NIS2?
No. CertiSigma supporta la raccolta, preservazione e verifica di evidenze che possono essere utili in un percorso di compliance, audit o customer due diligence. Non certifica automaticamente la conformità.
Perché usare Merkle root e batching?
Per rendere scalabile il collegamento di molti digest a un riferimento temporale esterno. La Merkle proof collega il singolo digest alla root timestamped o anchored.
T2 significa blockchain o NFT?
No. Il linguaggio corretto è evidenza temporale pubblica e verificabile in modo indipendente. CertiSigma non vende token, NFT o proprietà digitale.
Posso verificare senza accedere al contenuto originale?
Sì. La verifica può essere basata su digest, attestazioni, prove di inclusione e bundle, senza richiedere il caricamento del file originale a CertiSigma.
Che cosa succede se l'attestazione non viene trovata?
Un risultato "not found" non prova che il file non sia mai esistito. Significa solo che non è stata trovata una corrispondenza secondo il metodo di verifica utilizzato.
Posso usare CertiSigma per documenti sensibili?
Sì, se il workflow è progettato correttamente. Il contenuto non deve essere caricato. Occorre però prestare attenzione a metadati, nomi file, identificativi prevedibili e informazioni sensibili eventualmente incluse nelle richieste.
CertiSigma sostituisce il mio DMS o SIEM?
No. CertiSigma è un layer di evidenza. Si integra con sistemi esistenti e conserva riferimenti verificabili, non contenuti operativi originali.
Qual è il set minimo di evidenza da conservare?
Per uso audit, legale o forense è opportuno conservare almeno attestation ID, hash SHA-256, timestamp, firma, livello di evidenza, payload canonico, public key/fingerprint e materiali T1/T2 dove disponibili. Un manifest locale o un file .CertiSigma.json aiuta a collegare l'evidenza al workflow originario.
I metadati sono pubblici?
No, non nel modello corretto. La prova crittografica può essere pubblicamente verificabile, ma metadati operativi, source, extra_data e tag devono restare visibili solo al proprietario autenticato o ai soggetti con cui il cliente sceglie di condividere accesso limitato.
Posso cifrare i metadati prima di inviarli?
Sì. Quando i metadati contengono informazioni sensibili, il workflow può prevedere cifratura lato cliente. In quel caso CertiSigma conserva un blob opaco e la responsabilità della chiave resta al cliente.
Census rileva automaticamente una violazione o un'esfiltrazione?
No. Census può confrontare file sospetti, baseline e inventari attestati, aiutando a individuare corrispondenze di hash. Il significato investigativo di un match dipende dal contesto, dalla catena di custodia e dall'analisi forense.