ForgeTrack R&D tax filings, निवेशक diligence packets, और engineering substantiation की कच्ची सामग्री संग्रहीत करता है। इन डेटा को बहु-वर्षीय प्रतिधारण, प्रतिकूल ऑडिट, और उन तृतीय पक्षों की अंतिम जांच को सहना चाहिए जिन्होंने इसे बनते हुए नहीं देखा। नीचे दी गई वास्तुकला इसका विवरण देती है।
प्रत्येक स्तर स्वतंत्र है। एक स्तर में समझौता अन्य स्तरों में नहीं फैलता।
Multi-tenant isolation वास्तुशिल्प है, न कि विन्यासात्मक। प्रत्येक तालिका की प्रत्येक पंक्ति में tenant पहचानकर्ता होता है, प्रत्येक क्वेरी में एक scoped predicate होता है, और प्रत्येक निर्यात SQL स्तर पर scoped होता है — न कि एप्लिकेशन स्तर पर। एक tenant में classifier की गलती से डेटा दूसरे tenant में लीक नहीं हो सकता।
चार परिभाषित भूमिकाओं के साथ भूमिका-आधारित पहुँच: owner, admin, member, viewer। Enterprise tier में Azure AD, Okta, और Google Workspace के साथ SSO/SAML जोड़ा गया है। Session tokens अल्पकालिक हैं, refresh का ऑडिट किया जाता है, और अनुमति परिवर्तन उसी append-only store में events के रूप में लॉग किए जाते हैं जिसका उपयोग evidence के लिए किया जाता है।
GAAIM event log संरचना के अनुसार append-only है। किसी event को हटाना समर्थित क्रिया नहीं है; सुधार करने के लिए एक नया event लिखा जाता है जो सुधारित event को संदर्भित करता है। प्रत्येक log प्रविष्टि SHA-256 content hash के साथ हस्ताक्षरित होती है। पश्चातवर्ती छेड़छाड़ hash chain के विरुद्ध पता लगाई जा सकती है।
प्रत्येक AI provider per-tenant credential के अंतर्गत संचालित होता है। कोई shared keys नहीं, tenants के बीच connection pooling नहीं, contexts के बीच prompt leakage नहीं। Provider responses को hashed किया जाता है और first-class events के रूप में संग्रहित किया जाता है — API calls के logs के रूप में नहीं, बल्कि स्वतंत्र evidence artifacts के रूप में।
डिफ़ॉल्ट tenancy Azure US है। Enterprise ग्राहकों के लिए onboarding पर EU (Frankfurt, Dublin) या UK South का अनुरोध किया जा सकता है। Enterprise tier पर सभी स्थिर डेटा customer-managed keys से encrypted है; निम्न tiers पर Microsoft-managed keys के साथ per-tenant envelope encryption उपयोग होता है।
Security रिपोर्टें security@forgetrack.io पर भेजी जाती हैं और 24 घंटे के भीतर triage की जाती हैं। हम ऐसी किसी भी समस्या के लिए advisories प्रकाशित करते हैं जो report integrity, data isolation, या authentication को प्रभावित करती है। Coordinated disclosure timelines प्रत्येक मामले के अनुसार वार्ता द्वारा निर्धारित किए जाते हैं।
ForgeTrack सार्वजनिक बीटा में है। SOC 2 Type I एक स्थापित audit firm के साथ प्रगति पर है; SOC 2 Type II और ISO 27001 पहले पूर्ण वर्ष की सामान्य उपलब्धता के compliance roadmap में हैं।
HIPAA सामान्य-उपलब्धता उत्पाद के लिए दायरे में नहीं है; स्वास्थ्य सेवा ग्राहक ForgeTrack को non-PHI tool के रूप में मानें। Enterprise ग्राहक जिनकी विशिष्ट नियामक आवश्यकताएँ हैं, वे contract पर custom posture निर्धारित कर सकते हैं — जिसमें BAAs, residency constraints, और dedicated infrastructure शामिल हैं।