ForgeTrack almacena la materia prima de declaraciones fiscales de R&D, paquetes de due diligence para inversores y la substantiation de ingeniería. Estos datos deben sobrevivir a la retención multi-anual, auditorías adversariales y al eventual escrutinio de terceros que no presenciaron su creación. La arquitectura a continuación describe cómo.
Cada capa es independiente. Un compromiso en una capa no se propaga a las demás.
El aislamiento multi-tenant es arquitectónico, no configuracional. Cada fila en cada tabla lleva un identificador de tenant, cada consulta lleva un predicado delimitado, y cada exportación está delimitada a nivel SQL — no a nivel de aplicación. Un error de clasificación en un tenant no puede filtrar datos a otro.
Acceso basado en roles con cuatro roles definidos: propietario, administrador, miembro, observador. El nivel Enterprise incorpora SSO/SAML con Azure AD, Okta y Google Workspace. Los tokens de sesión tienen corta duración, la renovación es auditada y los cambios de permisos se registran como eventos en el mismo almacén append-only utilizado para Evidence.
El registro de eventos GAAIM es append-only por diseño. Eliminar un evento no es una operación permitida; corregir uno implica registrar un nuevo evento que referencia el evento corregido. Cada entrada del registro está firmada con un hash de contenido SHA-256. La manipulación posterior es detectable mediante la cadena de hashes.
Cada proveedor de IA opera bajo credenciales por tenant. No hay claves compartidas, ni agrupación de conexiones entre tenants, ni filtración de prompts entre contextos. Las respuestas de los proveedores se hashean y almacenan como eventos de primera clase — no como registros de llamadas API, sino como artefactos de Evidence independientes.
La tenancy predeterminada es Azure US. Los clientes Enterprise pueden solicitar EU (Frankfurt, Dublín) o UK South durante el onboarding. Todos los datos en reposo se cifran con claves gestionadas por el cliente en el nivel Enterprise; los niveles inferiores utilizan claves gestionadas por Microsoft con cifrado por tenant mediante envelopes.
Los informes de seguridad se envían a security@forgetrack.io y se clasifican en un plazo de 24 horas. Publicamos avisos para cualquier incidencia que afecte la integridad de los informes, el aislamiento de datos o la autenticación. Los plazos de divulgación coordinada se negocian caso por caso.
ForgeTrack se encuentra en beta pública. SOC 2 Type I está en proceso con una firma de auditoría reconocida; SOC 2 Type II e ISO 27001 están en la compliance roadmap para el primer año completo de disponibilidad general.
HIPAA no está incluido en el alcance del producto de disponibilidad general; los clientes del sector salud deben considerar ForgeTrack como una herramienta no-PHI. Los clientes Enterprise con requisitos regulatorios específicos pueden definir una postura personalizada en el contrato — incluyendo BAAs, restricciones de residencia y infraestructura dedicada.