CertiSigma
Verify Console
CertiSigma

Enterprise Reference Architecture

Un layer di evidenza, non un nuovo repository di contenuti.

CertiSigma non sostituisce file server, SharePoint, DMS, GRC, SIEM, SOAR, CI/CD, ticketing o sistemi documentali. Li affianca come layer di evidenza. Il contenuto originale rimane nei sistemi del cliente. CertiSigma riceve digest, metadati selezionati e riferimenti di evidenza, secondo il workflow configurato.

Flusso di riferimento

1. Un file, una cartella, un report, un release artifact o un evidence package viene selezionato nell'ambiente del cliente.

2. Census, SDK o un'integrazione locale calcola gli hash e crea un manifest.

3. Solo digest e metadati selezionati vengono inviati a CertiSigma.

4. CertiSigma crea l'attestazione T0 e, dove configurato, livelli T1 (Sectigo TSA qualificata eIDAS) e T2 (OpenTimestamps su Bitcoin).

5. Il cliente riceve o conserva un Evidence Dossier.

6. Sistemi GRC, SIEM, SOAR, DMS, CI/CD o ticketing mantengono riferimenti al dossier o agli evidence ID.

7. Terze parti verificano tramite Public Verifier, evidence viewer o istruzioni offline (vedi Key Management & Verifica offline).

Schema testuale del flusso

Sistemi del cliente (file server / SharePoint / DMS / SIEM / SOAR / CI/CD)
        │
        ▼  [hash locale]
  SDK · Census · Integrazione locale
        │
        ▼  [digest + metadata selezionati]
  CertiSigma — T0 attestazione (ECDSA P-256)
        │                          │
        ▼                          ▼
  T1 Sectigo TSA            T2 OpenTimestamps
  qualificata eIDAS         su Bitcoin
        │                          │
        └───────────┬──────────────┘
                    ▼
  Evidence Dossier  →  riferimenti in GRC/SIEM/DMS del cliente
                    │
                    ▼
  Verifica indipendente: Public Verifier · offline · explorer pubblico

Sistemi integrabili

CertiSigma è progettato per affiancare i sistemi esistenti del cliente, non per sostituirli. I sistemi tipicamente integrabili includono:

• File server, NAS, archivi locali.

• SharePoint e OneDrive.

• DMS (Document Management Systems).

• GRC (Governance, Risk & Compliance) platforms.

• SIEM (Security Information & Event Management).

• SOAR (Security Orchestration, Automation & Response).

• Ticketing e workflow management.

• CI/CD pipelines e build systems.

• Artifact repository.

• SBOM tools.

• Vulnerability scanner.

• Audit management platform.

Punti di integrazione

CertiSigma può essere integrato in diversi punti del workflow digitale. Il principio è sempre lo stesso: calcolare localmente il digest, attestare solo ciò che serve, conservare il riferimento di evidenza nel sistema operativo del cliente.

• SDK integration — per applicazioni che vogliono attestare file, report o eventi direttamente nel proprio workflow.

• Census scan — per cartelle, repository, inventari, baseline e dossier locali.

• Folder watcher — per monitorare cartelle rilevanti e creare evidenza in modo automatizzato.

• CI/CD job — per release software, SBOM, vulnerability report e provenance.

• SIEM/SOAR enrichment — per collegare hash, incident package, remediation evidence e match report a workflow security.

• GRC evidence link — per associare evidence bundle a controlli, policy, finding e remediation action.

• GitHub Action e pipeline software — per team software che vogliono attestare artifact, SBOM, vulnerability report, provenance e manifest di build.

Evidence sharing controllato

Quando una terza parte deve esaminare un set limitato di evidenze, il riferimento operativo può essere condiviso tramite link, vista bundle, dossier o token con accesso circoscritto. L'architettura evita accessi generici agli inventari e privilegia pacchetti o claim selezionati.

Il boundary resta deliberato: condividere una prova non significa condividere l'intero contenuto, l'intero inventario o l'intero contesto operativo del cliente.

Messaggio essenziale

CertiSigma si adatta al workflow. Non obbliga il workflow ad adattarsi a CertiSigma.

CertiSigma non sposta il centro operativo del cliente. Aggiunge un livello di evidenza verificabile ai sistemi che il cliente già usa.

Cosa CertiSigma NON è e NON sostituisce

  • Non è un repository documentale: i file restano nei sistemi del cliente, CertiSigma riceve solo digest e metadati selezionati.
  • Non sostituisce SharePoint, DMS, GRC, SIEM, SOAR o ticketing: si affianca come layer di evidenza, non come centro operativo.
  • Non sostituisce il signing dei release software o l'identità del firmatario: lavora sui digest, non sull'identità.
  • Non sostituisce backup, disaster recovery o business continuity: attesta la consistenza di backup e baseline, ma non li produce.
  • Non sostituisce un audit, una valutazione di conformità o un parere legale: fornisce materiale evidenziale che supporta la review umana.
  • Non garantisce la disponibilità o l'integrità dei sistemi del cliente integrati: la governance dei sistemi sorgenti resta lato cliente.
Privacy & Security → Key Management & Verifica offline → Parla con noi →