Vai al contenuto

Sicurezza · Fiducia

Verificate , non fidatevi.

Ogni versione pubblica viene distribuita firmata, attestata e con un inventario dei componenti software — verificate provenienza e integrità con strumenti pubblici invece di fidarvi di noi. La pipeline è costruita e viene esercitata in CI oggi; le sue prove diventano pubbliche con la prima versione.

Catena di fornitura

Cosa accompagna ogni versione

La pipeline di rilascio genera questi artefatti automaticamente. Non esiste ancora alcuna versione pubblica — gli elementi contrassegnati "prima versione" diventano verificabili nel momento in cui viene pubblicata la prima versione taggata; security.txt è attivo oggi.

Prima versione

SLSA Build Level 3

Ogni binario di versione è costruito da GitHub Actions con attestazione di provenienza SLSA tramite slsa-github-generator. L'attestazione dimostra che il binario è stato costruito dal codice sorgente confermato, in un ambiente di build rinforzato, senza intervento manuale.

Come funziona la verifica
Prima versione

Firme cosign senza chiave

Gli artefatti di versione sono firmati con Sigstore cosign (modalità senza chiave via Fulcio + Rekor). Potete verificare le firme senza che distribuiamo una chiave pubblica — il registro di trasparenza è la radice di fiducia.

Guida alla verifica
Prima versione

Inventario dei componenti software

Ogni versione include SBOM nei formati CycloneDX e SPDX, con l'elenco di ogni dipendenza con versione e licenza. Leggibile da macchina, verificabile.

Come verificare il SBOM
Prima versione

Avvisi OpenVEX

Le vulnerabilità note e la loro applicabilità a ogni versione sono pubblicate come documenti OpenVEX. Le dichiarazioni VEX distinguono tra "interessato", "non interessato" e "in indagine".

Come vengono verificati gli avvisi
Attivo

security.txt (RFC 9116)

Una politica di divulgazione delle vulnerabilità leggibile da macchina in /.well-known/security.txt, conforme alla RFC 9116. Include contatto, link alla politica e data di scadenza.

Visualizza security.txt

Architettura

Sicurezza by design

Deny-closed

Lo stato sconosciuto viene negato, non consentito. Ogni decisione di politica usa il rifiuto come default — un motore che non può raggiungere il suo archivio di politiche rifiuta tutte le richieste anziché funzionare in modalità aperta.

Audit solo in aggiunta

Il registro di audit è solo in aggiunta con concatenamento crittografico. Gli eventi non possono essere modificati o eliminati silenziosamente — la manomissione spezza la catena ed è rilevabile.

Nessuna chiamata esterna

Il motore funziona interamente nel vostro ambiente. La verifica della licenza è offline (controllo firma Ed25519). Nessuna telemetria, nessuna chiamata di rete obbligatoria, nessun server di attivazione.

Minimo privilegio

RBAC e ABAC basati su Cedar con concessioni limitate. Ruoli personalizzati, tetti di delega e accesso di emergenza con doppio controllo. L'insieme dei permessi predefiniti è vuoto.

Conformità

Stato di conformità

Pubblichiamo ciò che è attivo, ciò che è costruito e in attesa della prima versione pubblica, e ciò che non è ancora iniziato. Non rivendichiamo certificazioni che non abbiamo ottenuto.

Attivo oggi

  • RFC 9116 security.txt

    Politica di divulgazione delle vulnerabilità leggibile da macchina, attiva in /.well-known/security.txt.

Costruito — pubblico con la prima versione

  • SLSA Build Level 3

    Attestazione di provenienza tramite slsa-github-generator — costruita ed esercitata in CI; viene pubblicata con ogni versione taggata.

  • SBOM (CycloneDX + SPDX)

    Inventario dei componenti software generato per ogni build di versione.

  • Firme cosign senza chiave

    Firma di artefatti basata su Sigstore via Fulcio + Rekor.

  • Avvisi OpenVEX

    Dichiarazioni di applicabilità delle vulnerabilità per versione.

Pianificato

  • SOC 2 Type II

    Pianificato. Necessario per il cloud gestito, non per il self-hosting.

  • ISO 27001

    Pianificato. Cronologia non impegnata.

  • Test di penetrazione indipendente

    Pianificato. Sarà pubblicato al completamento.

Preparazione per framework

Postura di conformità

Il prodotto mappa le capacità su 25 cataloghi di framework di conformità. Di seguito la postura di preparazione per i framework più richiesti dagli acquirenti enterprise. Ogni elemento è una mappatura di preparazione — non una certificazione.

Preparazione mappata

ISO/IEC 27001:2022

Mappatura dei controlli dell'Allegato A con puntatori di evidenza. Non certificato.

Preparazione mappata

ISO/IEC 42001:2023

Mappatura di preparazione AIMS — il prodotto genera le evidenze richieste da un AIMS. Non certificato.

Preparazione mappata

SOC 2 Type II

Mappatura dei Trust Services Criteria (Security / Common Criteria). Non attestato.

Preparazione mappata

EU AI Act

Modello di documentazione tecnica Allegato IV. Il prodotto è tooling di governance, non esso stesso un sistema dell'Allegato III.

Preparazione mappata

CSA STAR / AICM

Autovalutazioni CAIQ v4 e AI-CAIQ (AICM v1.0) preparate. Non inviate allo STAR Registry.

Preparazione mappata

GDPR

Runbook RTBF con crypto-shred, attestazione di residenza, conservazione e blocco legale. Self-hosted: il cliente è titolare e responsabile del trattamento.

Preparazione mappata

NIST AI RMF 1.0

Mappatura delle sottocategorie incluso il Profilo IA Generativa (AI 600-1).

Parziale

DORA

Esportazione della vista rischio ICT; il generatore del Registro delle Informazioni è un add-on enterprise.

Preparazione mappata

Direttiva NIS 2

Mappatura degli obblighi con postura della catena di fornitura ICT ed evidenza di notifica degli incidenti.

Pacchetto di fiducia

Documenti di due-diligence

Il pacchetto di fiducia è pubblicato nel repository del codice sorgente. Gli acquirenti enterprise possono richiedere il pacchetto completo — inclusi questionari precompilati e la guida di valutazione — tramite enterprise@olivares.ai.

I file disponibili sono snapshot Markdown pubblici con provenienza della fonte. Gli elementi senza una fonte condivisibile restano disponibili su richiesta.

Questionario

Autovalutazione CAIQ v4

CSA Cloud Controls Matrix v4 — 17 domini con puntatori di evidenza.

Scarica (Markdown)
Questionario

Autovalutazione AI-CAIQ / AICM

CSA AI Controls Matrix v1.0 — 18 domini incluso Model Security.

Scarica (Markdown)
Questionario

Banca risposte ai questionari di sicurezza

33 risposte pre-verificate allineate a SIG 2026, CSA AI-CAIQ e questionari comuni degli acquirenti.

Scarica (Markdown)
Architettura

Architettura di riferimento

Architettura orientata all'acquirente: tre zone di fiducia, topologie di deployment, HA/DR, dimensionamento.

Scarica (Markdown)
Valutazione

Guida di valutazione

Prova di valore in 10 giorni lavorativi — criteri pass/fail contro il vero binario.

Scarica (Markdown)
Commerciale

Matrice delle funzionalità

Confronto completo Community (AGPL) vs Enterprise — tutti i 26 add-on.

Scarica (Markdown)
Sicurezza

Guida al rafforzamento

Verifica del modello di minacce con evidenza file:line — pronto per il pentest.

Disponibile su richiesta
Accessibilità

VPAT

Voluntary Product Accessibility Template per la console di amministrazione.

Scarica (Markdown)

Trattamento dei dati

Sub-responsabili del trattamento

Olivares AI è software self-hosted. Il prodotto funziona interamente nella vostra infrastruttura — i dati non lasciano mai il vostro perimetro. Non ci sono sub-responsabili del trattamento dei dati dei clienti. I fornitori di LLM sono i vostri fornitori, non i nostri; il prodotto li inventaria per la vostra gestione del rischio di terze parti.

Se viene introdotta un'offerta di cloud gestito, i sub-responsabili verranno elencati qui prima dell'inizio di qualsiasi trattamento dati.

Servizi del fornitore

Il nostro sito, le licenze e le comunicazioni si basano su:

Cloudflare

Attivo

Hosting del sito, DNS e protezione anti-bot.

Resend

Dal lancio

Email transazionali e consegna della newsletter.

Polar

Dalla disponibilità commerciale

Merchant of record per le licenze commerciali.

GitHub

Attivo

Hosting del codice sorgente e community.

Non usiamo alcun provider di analytics lato client e non eseguiamo analytics nel browser.

Verificate voi stessi

Non fidatevi della nostra parola

Dalla prima versione pubblica in poi, ogni affermazione sugli artefatti in questa pagina è verificabile con strumenti pubblici — lo script incluso percorre firme, attestazioni e integrità del SBOM. Scaricate prima gli artefatti; non inviate mai un installer a una shell tramite pipe.

# Disponibile con la prima versione pubblica — scaricate gli artefatti
# della versione, poi eseguite il verificatore incluso da quella directory:
scripts/verify-release.sh                              # senza chiave (Sigstore)
scripts/verify-release.sh --key cosign.pub --offline   # air-gapped, senza rete

Lo script controlla le firme cosign, la provenienza SLSA e le attestazioni SBOM e OpenVEX. La catena completa di comandi manuali è documentata nella guida verify-a-release nella documentazione.

Valutazione enterprise

Distribuite l'ambiente demo in cinque minuti, poi eseguite la prova di valore completa in 10 giorni lavorativi. La guida di valutazione include criteri pass/fail contro il vero binario — niente slide, niente sandbox, nessun ambiente demo diverso dalla produzione.

Domande sulla fiducia

Avete SOC 2 o ISO 27001?

Non ancora. SOC 2 Type II è pianificato per il livello cloud gestito. Siamo onesti sulla nostra postura: la pipeline della catena di fornitura (SLSA L3, SBOM, cosign, OpenVEX) è costruita, e le sue prove verranno pubblicate con la prima versione pubblica.

Il prodotto ha avuto un test di penetrazione?

Non ancora. Un test di penetrazione indipendente è pianificato e sarà pubblicato al completamento.

Come verifico che una versione è autentica?

Quando la prima versione pubblica sarà disponibile: eseguite lo script di verifica incluso (scripts/verify-release.sh) o verificate manualmente con cosign — ogni versione ha un'attestazione di provenienza SLSA e firme cosign, nessuna fiducia in noi richiesta. Fino ad allora non esiste alcun artefatto pubblico da verificare, e questa pagina lo dice invece di fingere il contrario.

Dove vengono archiviati i miei dati?

Olivares AI è self-hosted — i vostri dati restano nella vostra infrastruttura. Il fornitore non vede, non archivia e non elabora mai i vostri dati. Il cloud gestito (quando disponibile) offrirà impegni di residenza dei dati.

È disponibile un DPA?

Il DPA è sottoposto a revisione legale. È disponibile su richiesta tramite enterprise@olivares.ai prima di qualsiasi rapporto che comporti il trattamento di dati personali.

Quali framework di conformità supporta il prodotto?

Il prodotto mappa 25 cataloghi di framework tra cui EU AI Act, NIST AI RMF, ISO 42001, SOC 2, ISO 27001, GDPR, NIS 2, DORA, OWASP Agentic, CSA AICM e leggi statali statunitensi sull'IA. Ogni framework è costituito da dati con evidenze per controllo — non un'affermazione di certificazione.

Come valuto il prodotto?

Compilate dal codice sorgente, avviate l'ambiente demo in cinque minuti e seguite la guida di valutazione di 10 giorni. Ogni criterio è pass/fail contro il vero binario. Contattate enterprise@olivares.ai per una licenza di valutazione enterprise che sblocca i 26 add-on durante il POV.

Qual è la differenza tra Community ed Enterprise?

Il build AGPL è la piattaforma completa — nulla viene rimosso. Enterprise aggiunge 26 capacità di mitigazione del rischio e operatività su scala (multi-IdP, firewall dei contenuti, conservazione WORM, registro DORA, e altro) più un'eccezione legale al copyleft AGPL e supporto con SLA. La matrice completa delle funzionalità è nel pacchetto di fiducia.

La sicurezza inizia con la trasparenza

Ogni versione pubblica viene distribuita firmata, attestata e documentata — verificate l'integrità voi stessi. Le prove sono pubbliche dalla prima versione.