YinkoShield
Briefing

[ policy pack de référence ]

Nous signons ce qui s'est exécuté.
L'opérateur décide quoi en faire.

Cinq décisions que seule la preuve signée et souveraine rend possibles — sur mobile, POS, SST, multi-parcs, et opérations.

ce que c'est

Ce que c'est : cinq décisions de référence que seul le substrat permet — preuve rejouable, vérification souveraine, continuité hash-chaînée, vérification multi-parties sans vendor, et récupération asynchrone de ledger signé.

Ce que ce n'est pas : un emballage de ce que d'autres outils font déjà. Chaque décision ci-dessous n'est atteignable qu'avec une preuve cryptographiquement signée et vérifiable de manière souveraine. Pas une liste d'entrées génériques pour moteur de risque — le step-up générique, la mise en hold, et la composition de scoring de fraude appartiennent à RASP, à l'attestation, au fingerprinting, à la télémétrie, et à la stack de fraude existante.

cinq décisions travaillées

Mobile, POS, SST, multi-parcs, et opérations.

décision 01 · Mobile

Défense cryptographique de litige, des mois après les faits

Cadre
Un client conteste une transaction 90 jours après — « je n'ai jamais confirmé ça ».
Propriétés du substrat
evidence_token.signature: es256_tee_anchored
evidence_token.payload_hash: amount_payee
predecessor.hash: links_session
verification.path: operator_pubkey
Décision
L'émetteur ou le scheme vérifie l'Evidence Token contre la clé publique stockée chez l'opérateur. La preuve de ce qui s'est exécuté sur l'appareil est reproductible 90 jours plus tard — sans appel vendor, sans SaaS dans le chemin.
Note de frontière
N'arbitre pas le litige — fournit la preuve cryptographique sur laquelle le processus de litige peut s'appuyer.
EEI seulement parce que
Signé à l'exécution + vérification souveraine → rejouable indéfiniment sans verrouillage vendor. RASP et télémétrie comportementale produisent des verdicts qui se dégradent avec la relation vendor.

décision 02 · POS / SoftPOS

Replay hors-ligne de flotte pour audit de conformité

Cadre
Un reviewer MPoC ou auditeur de scheme vérifie les claims de monitoring sur une flotte de 12 000 terminaux.
Propriétés du substrat
local_evidence_ledger: hash_chained_signed
verification.path: offline_bulk
vendor_in_path: none
Décision
L'auditeur vérifie l'archive entière hors-ligne contre le matériel de clé publique stocké chez l'opérateur. Aucun appel SaaS par terminal. Les chaînes signées sont l'audit.
Note de frontière
Ne produit pas la certification — fournit la preuve cryptographiquement vérifiable sur laquelle la conclusion de l'audit repose.
EEI seulement parce que
L'attestation SaaS exige un appel vendor par événement — ne passe pas à l'échelle d'une revue de conformité en masse. Seules les chaînes signées stockées chez l'opérateur supportent le replay hors-ligne de flotte.

décision 03 · SST / kiosque

Forensics de chronologie continue pour parcours contestés

Cadre
Un parcours citoyen multi-étapes se termine sur une issue contestée. L'utilisateur affirme ne pas avoir vu ou confirmé ce que dit le reçu.
Propriétés du substrat
local_evidence_ledger: hash_chained_signed
binding.status: continuous_since_bootstrap
predecessor.hash: no_gap
surface.signals: per_step_captured
Décision
L'opérateur reconstruit une chronologie vérifiable de ce que le kiosque a affiché et de ce que l'utilisateur a confirmé à chaque étape, avec preuve cryptographique d'absence de gap. Cour ou régulateur vérifie indépendamment.
Note de frontière
N'établit pas l'intention de l'utilisateur — établit ce que l'appareil a affiché et ce qui a été signé en séquence continue.
EEI seulement parce que
Local Evidence Ledger hash-chaîné → preuve de chronologie continue. L'attestation point-in-time ne peut pas prouver l'absence de gap ; la télémétrie comportementale n'est pas signée.

décision 04 · Multi-parcs

Arbitrage de scheme avec preuves vendor-neutres

Cadre
Litige transfrontalier entre acquéreur et émetteur. Vendors de télémétrie différents. Aucun SaaS partagé.
Propriétés du substrat
evidence_token.signature: es256_operator_pubkey
verification.path: independent_per_party
vendor_in_path: none
Décision
Acquéreur, émetteur, et arbitre du scheme vérifient chacun le même Evidence Token contre la clé publique du marchand stockée chez l'opérateur. Le protocole de vérification est identique ; la conclusion est partagée.
Note de frontière
Ne remplace pas les règles d'arbitrage du scheme — fournit une preuve cryptographiquement uniforme sur laquelle toutes les parties peuvent s'accorder.
EEI seulement parce que
Signé contre une clé publique que toutes les parties peuvent détenir → vérification uniforme entre vendors. La télémétrie spécifique à un vendor produit des conclusions verrouillées au vendor.

décision 05 · Opérations

Investigation asynchrone de flotte avec récupération de ledger signé

Cadre
Une cohorte d'appareils produisant des transactions anormales — un sous-ensemble n'est pas en ligne pour l'instant. La stabilisation doit commencer avant que chaque appareil ne se reconnecte selon son propre calendrier.
Propriétés du substrat
commander.channel: end_to_end_encrypted
device.response.signature: es256_ztbp_anchored
ledger.retrieval: on_demand
Décision
L'opérateur émet une commande cohorte (récupérer une fenêtre du ledger, exécuter un self-test d'intégrité) via le Commander. Les appareils prennent la commande à la prochaine connectivité, exécutent, retournent des réponses signées. Les actions de stabilisation suivent une preuve cryptographiquement attestée.
Note de frontière
Ne remplace pas la gestion d'appareils MDM ou EMM — opère à côté, axé sur la récupération d'evidence signée et l'exécution de tests cryptographiquement attestée, pas sur l'enforcement de policy d'appareil.
EEI seulement parce que
Canal PGP-analogue du Commander (clé de vérification possédée par l'opérateur) + réponses signées → investigation asynchrone de qualité forensique. Les réponses MDM et EMM passent par le SaaS du vendor, pas par la clé de signature ancrée ZTBP de l'appareil.
souveraineté

L'opérateur possède la policy. Nous produisons des inputs signés.

Chaque décision ci-dessus repose sur une propriété que seul le substrat fournit — signature à l'exécution, vérification souveraine, continuité hash-chaînée, vérification multi-parties sans vendor, et récupération asynchrone de ledger signé. L'opérateur possède la policy ; le substrat possède la cryptographie. Voir sovereign verification pour la propriété complète.

Faites passer ces quatre formes dans votre stack fraude, risque, et auth.

Soixante minutes avec l'engineering. Nous mappons chaque forme de décision aux inputs que votre moteur de policy consomme déjà ; vous gardez les règles, la policy, et le vérificateur.

Demander un walkthrough du policy pack