Monitoraggio, audit e qualificazione del livello crittografico#
Il livello crittografico deve essere esercitato come un servizio operativo, non mostrato soltanto durante una demo. Monitoraggio, metriche, incidenti e prove periodiche devono coprire CertiSigma, RPC, signer, contratti e riconciliazioni.
Metriche CertiSigma#
Controllare almeno:
- richieste di attestazione riuscite e fallite;
- latenza T0;
- coda e tempo di avanzamento T1;
- tempo di consolidamento T2;
- webhook falliti o duplicati;
- verifiche con chiave sconosciuta;
- evidence bundle incompleti;
- rate limit e timeout;
- differenza tra attestazioni richieste e ricevute acquisite.
Metriche rail#
- head e blocco finalized;
- ritardo del provider;
- transazioni pending;
- nonce bloccati;
- log rigettati;
- incidenti per contratto o chain ID errato;
- supply attesa e osservata;
- hold aperti oltre SLA;
- errori del signer;
- divergenze fra provider RPC.
Audit periodico#
Esercitazioni negative#
Il test deve includere: hash alterato, firma T0 errata, Merkle path manomesso, TSA non verificabile, prova OTS incompleta, chain ID errato, contract address non autorizzato, log removed, evento ABI sconosciuto, transaction hash malformato, signer offline, nonce duplicato e supply divergente.
Profilo pilot e profilo completo#
Nel pilot una stessa organizzazione può coprire più funzioni, purché gli atti critici mantengano separazione di identità e approvazione. Nel profilo completo, custodia delle chiavi, controllo del registro, gestione rail, sicurezza e audit sono assegnati a funzioni distinte. Il software supporta entrambi; il manuale non presume dodici persone diverse per ogni operazione.
Criterio di uscita dal simulatore#
Il provider reale è pronto quando contratto, autenticazione, errori, idempotenza, retry, finalità, rotazione chiavi, continuità e osservabilità sono stati collaudati con evidenze. Il fatto che una transazione appaia su un explorer non costituisce da solo la qualificazione.
Fonti tecniche#
Le procedure vanno mantenute allineate alla specifica CertiSigma pubblicata su https://developers.certisigma.ch/ e alla documentazione ufficiale Polygon su https://docs.polygon.technology/. Le versioni operative effettive devono essere registrate nella configurazione e nei rapporti di qualifica.
