ForgeTrack tallentaa R&D-veroilmoitusten, sijoittajatilintarkastusten ja insinöörinäytön raaka-aineen. Tämän datan on kestettävä monivuotinen säilytys, vastapuolen auditoinnit ja lopulta sellaisten kolmansien osapuolten tarkastelu, jotka eivät olleet läsnä sen syntyhetkellä. Alla oleva arkkitehtuuri kuvaa, miten tämä toteutetaan.
Jokainen kerros on itsenäinen. Yhden kerroksen kompromissi ei leviä muihin.
Multi-tenant isolation on arkkitehtoninen, ei konfiguraatiotason ratkaisu. Jokaisella taulun rivillä on tenant-tunniste, jokaisessa kyselyssä on rajattu predikaatti ja jokainen vienti rajataan SQL-tasolla — ei sovellustasolla. Luokittelijan virhe yhdessä tenantissa ei voi vuotaa dataa toiseen.
Roolipohjainen käyttöoikeuksien hallinta neljällä määritellyllä roolilla: owner, admin, member, viewer. Enterprise-tasolla lisätään SSO/SAML Azure AD:n, Okta:n ja Google Workspace:n kanssa. Session-tunnisteet ovat lyhytkestoisia, päivitykset auditoidaan ja käyttöoikeusmuutokset kirjataan tapahtumina samaan append-only-tietovarastoon, jota käytetään evidence-tallenteille.
GAAIM-tapahtumaloki on rakenteeltaan append-only. Tapahtuman poistaminen ei ole tuettu toiminto; korjaaminen edellyttää uuden tapahtuman kirjaamista, joka viittaa korjattuun tapahtumaan. Jokainen lokimerkintä allekirjoitetaan SHA-256-sisältötiivisteellä. Jälkikäteinen manipulointi on havaittavissa tiivisteketjun avulla.
Jokainen AI provider toimii per-tenant credentials -periaatteella. Ei jaettuja avaimia, ei yhteyspoolia tenantien välillä, ei prompt-vuotoja kontekstien kesken. Provider-vastaukset tiivistetään ja tallennetaan ensiluokkaisina tapahtumina — ei API-kutsulokeina, vaan evidence-artefakteina itsessään.
Default tenancy on Azure US. Enterprise-asiakkaat voivat pyytää EU (Frankfurt, Dublin) tai UK South -sijaintia onboarding-vaiheessa. Kaikki levossa oleva data salataan customer-managed keys -periaatteella Enterprise-tasolla; alemmilla tasoilla käytetään Microsoft-managed keys -periaatetta ja per-tenant envelope encryptionia.
Turvaraportit ohjataan osoitteeseen security@forgetrack.io ja priorisoidaan 24 tunnin kuluessa. Julkaisemme tiedotteet kaikista ongelmista, jotka vaikuttavat raporttien eheyteen, datan eristykseen tai todennukseen. Yhteistyössä tapahtuvien ilmoitusten aikataulut sovitaan tapauskohtaisesti.
ForgeTrack on public beta -vaiheessa. SOC 2 Type I on käynnissä vakiintuneen auditointiyrityksen kanssa; SOC 2 Type II ja ISO 27001 ovat compliance roadmapilla ensimmäisen täyden yleisen saatavuusvuoden aikana.
HIPAA ei kuulu general-availability-tuotteen piiriin; terveydenhuollon asiakkaiden tulee käsitellä ForgeTrackia non-PHI-työkaluna. Enterprise-asiakkaat, joilla on erityisiä sääntelyvaatimuksia, voivat määritellä räätälöidyn compliance posture -tilan sopimuksen yhteydessä — mukaan lukien BAAs, residency constraints ja dedikoitu infrastruktuuri.