ForgeTrack bewaart het basismateriaal van R&D tax filings, investor diligence packets en engineering substantiation. Die gegevens moeten multi-jaar retentie, vijandige audits en de uiteindelijke toetsing door derden die niet bij de creatie aanwezig waren, doorstaan. De onderstaande architectuur beschrijft hoe.
Elke laag is onafhankelijk. Een compromis in één laag heeft geen gevolgen voor de andere lagen.
Multi-tenant isolation is architectonisch, niet configuratief. Elke rij in elke tabel bevat een tenant-identificatie, elke query bevat een gescopeerd predicaat en elke export is gescopeerd op SQL-niveau — niet op applicatieniveau. Een fout in de classificatie bij één tenant kan geen datalek naar een andere veroorzaken.
Toegangsbeheer op basis van rollen met vier gedefinieerde rollen: eigenaar, beheerder, lid, kijker. De Enterprise-tier voegt SSO/SAML toe met Azure AD, Okta en Google Workspace. Sessie-tokens zijn van korte duur, verversing wordt geaudit en permissiewijzigingen worden als events gelogd in dezelfde append-only opslag die voor Evidence wordt gebruikt.
Het GAAIM event log is append-only van opzet. Het verwijderen van een event is geen ondersteunde handeling; corrigeren betekent het schrijven van een nieuw event dat naar het gecorrigeerde verwijst. Elke logregel wordt ondertekend met een SHA-256 inhoudshash. Manipulatie achteraf is detecteerbaar aan de hash chain.
Elke AI provider opereert onder een per-tenant credential. Geen gedeelde sleutels, geen connection pooling tussen tenants, geen prompt leakage tussen contexten. Provider-antwoorden worden gehasht en opgeslagen als volwaardige events — niet als logs van API calls, maar als evidence artifacts op zichzelf.
Standaard tenancy is Azure US. Enterprise-klanten kunnen bij onboarding EU (Frankfurt, Dublin) of UK South aanvragen. Alle data in rust wordt versleuteld met door de klant beheerde sleutels op de Enterprise-tier; lagere tiers gebruiken door Microsoft beheerde sleutels met per-tenant envelope-encryptie.
Beveiligingsmeldingen worden doorgestuurd naar security@forgetrack.io en binnen 24 uur beoordeeld. Wij publiceren adviezen voor elk issue dat de integriteit van rapportages, data-isolatie of authenticatie beïnvloedt. Geharmoniseerde disclosure-tijdlijnen worden per geval overeengekomen.
ForgeTrack bevindt zich in publieke bèta. SOC 2 Type I is in behandeling bij een erkend auditkantoor; SOC 2 Type II en ISO 27001 staan op de compliance roadmap voor het eerste volledige jaar van algemene beschikbaarheid.
HIPAA valt niet binnen de scope van het general-availability product; zorgklanten dienen ForgeTrack als een non-PHI tool te behandelen. Enterprise-klanten met specifieke wettelijke vereisten kunnen bij contract een aangepaste compliance posture bepalen — inclusief BAAs, residency constraints en dedicated infrastructuur.