GLOSSARIO
Termini chiave
Vocabolario CertiSigma per developer, auditor, security team e consulenti forensi. Indice alfabetico A-Z, anchor deep-link per condividere singole definizioni, cross-link al Trust Center per i termini con trattazione estesa.
Elenco termini
.
- .CertiSigma.json
Manifest locale o file sidecar che può conservare riferimenti all'attestazione, hash, timestamp, firma, livello di evidenza e materiali T1/T2 associati a un file o dossier.
A
- Attestation ID
Identificativo dell'attestazione creata da CertiSigma.
C
- Chain of custody
Insieme di informazioni e procedure che documentano raccolta, gestione, conservazione e trasferimento di evidenze.
- Claim metadata
Metadati operativi collegati a una specifica attestazione e visibili al proprietario autenticato. Possono includere source, extra_data o informazioni di workflow. Non devono essere trattati come contenuto pubblico.
- Client-side encryption
Cifratura dei metadati lato cliente prima dell'invio a CertiSigma. Il server conserva dati opachi e non può ricostruire il contenuto cifrato senza la chiave del cliente.
- Content-blind
Modello in cui CertiSigma non riceve il contenuto originale, ma solo digest e materiali di evidenza selezionati.
D
- Derived list
Lista derivata tramite HMAC o pattern simili per consentire matching controllato senza esporre inventari grezzi.
- Digest
Rappresentazione crittografica di un contenuto calcolata tramite funzione hash. In CertiSigma il digest principale è SHA-256.
E
- eIDAS
Regolamento UE 910/2014 sui servizi fiduciari elettronici. Definisce il quadro per firme elettroniche qualificate, sigilli elettronici, timestamp qualificati e altri trust services riconosciuti negli Stati membri.
- Evidence bundle
Pacchetto contenente materiali di evidenza e verifica associati a una o più attestazioni.
- Evidence dossier
Dossier leggibile dall'uomo e verificabile dalla macchina, costruito per audit, incident response, supply chain o altri workflow.
- Evidence viewer
Interfaccia che rende leggibile un evidence bundle anche a destinatari non tecnici.
H
- Hashing locale
Calcolo dell'hash nell'ambiente del cliente, prima di inviare a CertiSigma il digest.
- HMAC
Metodo di derivazione con chiave utile quando gli input sono prevedibili o enumerabili.
M
- Merkle proof
Percorso crittografico che collega un digest alla Merkle root.
- Merkle root
Digest radice di una struttura Merkle che aggrega molti digest in un'unica struttura verificabile.
O
- OpenTimestamps
Protocollo per collegare dati a evidenza temporale pubblica verificabile.
P
- Public verifier
Strumento pubblico per verificare hash, attestazioni o evidenze senza accedere al contenuto originale.
R
- RFC 3161
Time-Stamp Protocol (TSP). Formal specification IETF per richiedere e verificare TimeStampToken firmati da una Time Stamping Authority. In CertiSigma usato per T1 (timestamping su root Merkle).
S
- SARIF
Formato standard per risultati di analisi statica o security scanning, utile per integrazione con strumenti DevSecOps e piattaforme come GitHub Security.
- SBOM
Software Bill of Materials: elenco strutturato dei componenti software associati a una release o a un artifact.
- Scoped API key
Chiave API limitata a uno o più permessi specifici, ad esempio attestazione, batch, metadata, tag, share, scan, Census o webhook.
- Sectigo
Trust Service Provider riconosciuto come qualificato eIDAS. Provider della TSA qualificata usata da CertiSigma per il livello T1 di evidenza temporale esterna.
- SHA-256
Funzione hash crittografica usata per calcolare un'impronta digitale del contenuto.
Token temporaneo e revocabile che consente a una terza parte di accedere a informazioni selezionate su specifiche attestazioni, senza aprire l'intero inventario del cliente.
- SLSA provenance
Dichiarazione di provenance relativa al processo di build software. CertiSigma può attestare hash e manifest collegati a questi materiali senza sostituire i framework di sicurezza software esistenti.
- Source
Etichetta operativa associata a un'attestazione, utile per identificare pipeline, applicazione, reparto o workflow. Non deve contenere dati personali, segreti o informazioni sensibili.
T
- T0
Attestazione primaria firmata da CertiSigma su un payload canonico.
- T1
Livello di evidenza temporale esterna tramite timestamping di una root Merkle.
- T2
Livello di anchoring pubblico verificabile, ad esempio tramite OpenTimestamps e Bitcoin.
- Tag strutturati
Coppie chiave-valore usate per classificare, filtrare o interrogare attestazioni all'interno del perimetro del cliente. I tag sensibili vanno evitati o cifrati lato cliente dove supportato.
- Tamper-evident
Caratteristica di un sistema o pacchetto che rende rilevabili modifiche non autorizzate.
Servizio esterno che attesta temporalmente un dato o una root secondo uno specifico protocollo.
- TSA qualificata
Time-Stamp Authority qualificata secondo eIDAS. Il TimeStampToken emesso ha valore legale come riferimento temporale qualificato in tutti gli Stati membri UE. CertiSigma usa Sectigo come TSA qualificata per T1.