ForgeTrack speichert das Rohmaterial für R&D tax filings, Investor-Due-Diligence-Unterlagen und technische Substantiierung. Diese Daten müssen mehrjährige Aufbewahrung, adversarielle Audits und die spätere Prüfung durch Dritte, die ihre Entstehung nicht miterlebt haben, überstehen. Die nachfolgende Architektur beschreibt das Vorgehen.
Jede Schicht ist unabhängig. Ein Kompromiss in einer Schicht führt nicht zu einer Kaskade in andere.
Multi-Tenant-Isolation ist architektonisch, nicht konfigurationsbasiert. Jede Zeile in jeder Tabelle trägt eine Tenant-Kennung, jede Abfrage enthält ein Scoped Predicate, und jeder Export ist auf SQL-Ebene — nicht auf Anwendungsebene — begrenzt. Ein Klassifizierungsfehler in einem Tenant kann keine Daten in einen anderen leaken.
Rollenbasierter Zugriff mit vier definierten Rollen: Owner, Admin, Member, Viewer. Die Enterprise-Stufe ergänzt SSO/SAML mit Azure AD, Okta und Google Workspace. Session-Tokens sind kurzlebig, das Refresh-Verfahren wird auditiert, und Berechtigungsänderungen werden als Events im selben append-only Store protokolliert, der auch für Evidence verwendet wird.
Das GAAIM Event-Log ist konstruktionsbedingt append-only. Das Löschen eines Events ist nicht vorgesehen; eine Korrektur erfolgt durch das Schreiben eines neuen Events, das auf das korrigierte verweist. Jeder Log-Eintrag ist mit einem SHA-256-Content-Hash signiert. Nachträgliche Manipulationen sind anhand der Hash-Chain nachweisbar.
Jeder AI-Provider arbeitet unter einer tenant-spezifischen Berechtigung. Keine geteilten Schlüssel, kein Connection-Pooling über Tenants hinweg, kein Prompt-Leakage zwischen Kontexten. Provider-Antworten werden gehasht und als eigenständige Events gespeichert – nicht als Logs von API-Calls, sondern als Evidence-Artefakte.
Standard-Tenancy ist Azure US. Enterprise-Kunden können bei Onboarding EU (Frankfurt, Dublin) oder UK South anfordern. Alle ruhenden Daten werden in der Enterprise-Stufe mit kundengemanagten Schlüsseln verschlüsselt; niedrigere Stufen verwenden von Microsoft verwaltete Schlüssel mit per-tenant envelope encryption.
Sicherheitsmeldungen werden an security@forgetrack.io weitergeleitet und innerhalb von 24 Stunden triagiert. Für jede Schwachstelle, die die Integrität von Reports, Datenisolation oder Authentifizierung betrifft, veröffentlichen wir eine Advisory. Zeitpläne für koordinierte Offenlegung werden fallweise vereinbart.
ForgeTrack befindet sich in der Public Beta. SOC 2 Type I wird derzeit mit einer etablierten Wirtschaftsprüfungsgesellschaft durchgeführt; SOC 2 Type II und ISO 27001 stehen auf der Compliance-Roadmap für das erste volle Jahr der allgemeinen Verfügbarkeit.
HIPAA ist für das Produkt zur allgemeinen Verfügbarkeit nicht im Geltungsbereich; Kunden aus dem Gesundheitswesen sollten ForgeTrack als Non-PHI-Tool betrachten. Enterprise-Kunden mit spezifischen regulatorischen Anforderungen können im Rahmen des Vertrags eine individuelle Compliance-Position festlegen – einschließlich BAAs, Residenzanforderungen und dedizierter Infrastruktur.