ForgeTrack conserva la materia prima delle dichiarazioni R&D, dei dossier di due diligence per investitori e della substantiation ingegneristica. Questi dati devono resistere a conservazione pluriennale, audit avversari e al successivo esame di terzi che non hanno assistito alla loro creazione. L’architettura sottostante ne descrive le modalità.
Ogni livello è indipendente. Una compromissione a un livello non si propaga agli altri.
L’isolamento multi-tenant è architetturale, non configurativo. Ogni riga in ogni tabella contiene un identificatore di tenant, ogni query include un predicato con ambito definito e ogni esportazione è delimitata a livello SQL — non a livello applicativo. Un errore di classificazione in un tenant non può causare una fuga di dati verso un altro.
Accesso basato sui ruoli con quattro ruoli definiti: owner, admin, member, viewer. Il livello Enterprise aggiunge SSO/SAML con Azure AD, Okta e Google Workspace. I token di sessione hanno durata breve, il refresh è sottoposto ad audit e le modifiche alle autorizzazioni sono registrate come eventi nello stesso archivio append-only utilizzato per Evidence.
L’event log GAAIM è, per progettazione, append-only. L’eliminazione di un evento non è un’operazione supportata; la correzione avviene tramite la scrittura di un nuovo evento che fa riferimento a quello corretto. Ogni voce del log è firmata con un hash SHA-256 del contenuto. La manomissione post-facto è rilevabile tramite la catena di hash.
Ogni AI provider opera con una credenziale per-tenant. Nessuna chiave condivisa, nessun connection pooling tra tenant, nessuna fuoriuscita di prompt tra contesti. Le risposte dei provider sono sottoposte a hash e archiviate come eventi di primo livello — non come log di chiamate API, ma come artefatti Evidence autonomi.
La tenancy predefinita è Azure US. I clienti Enterprise possono richiedere EU (Francoforte, Dublino) o UK South in fase di onboarding. Tutti i dati a riposo sono cifrati con chiavi gestite dal cliente nel livello Enterprise; i livelli inferiori utilizzano chiavi gestite da Microsoft con envelope encryption per-tenant.
I report di sicurezza sono indirizzati a security@forgetrack.io e valutati entro 24 ore. Pubblicheremo avvisi per qualsiasi problematica che incida sull’integrità dei report, sull’isolamento dei dati o sull’autenticazione. Le tempistiche di disclosure coordinata sono negoziate caso per caso.
ForgeTrack è in public beta. SOC 2 Type I è in corso con una società di revisione accreditata; SOC 2 Type II e ISO 27001 sono inclusi nella compliance roadmap per il primo anno di disponibilità generale.
HIPAA non è incluso nell’ambito del prodotto in general availability; i clienti del settore sanitario devono considerare ForgeTrack come uno strumento non-PHI. I clienti Enterprise con requisiti regolamentari specifici possono definire una compliance posture personalizzata in sede contrattuale — inclusi BAAs, vincoli di residenza e infrastruttura dedicata.