ForgeTrack lagrar råmaterialet för R&D tax filings, investerar-due diligence-paket och engineering substantiation. Dessa data måste överleva flerårig retention, adversarial audits och den slutliga granskningen av tredje parter som inte bevittnade dess skapande. Arkitekturen nedan beskriver hur.
Varje lager är oberoende. Ett intrång i ett lager påverkar inte de andra.
Multi-tenant isolation är arkitektonisk, inte konfigurationsbaserad. Varje rad i varje tabell har en tenant-identifierare, varje fråga har ett avgränsat villkor, och varje export är avgränsad på SQL-nivå — inte på applikationsnivå. Ett klassificeringsfel i en tenant kan inte läcka data till en annan.
Rollbaserad åtkomst med fyra definierade roller: ägare, administratör, medlem, betraktare. Enterprise-nivån tillför SSO/SAML med Azure AD, Okta och Google Workspace. Sessionstoken är kortlivade, förnyelse granskas och behörighetsändringar loggas som händelser i samma append-only-lagring som används för Evidence.
GAAIM event log är append-only till sin konstruktion. Radering av en event är inte en stödd operation; korrigering innebär att skriva en ny event som refererar till den korrigerade. Varje loggpost signeras med en SHA-256 content hash. Manipulation i efterhand är detekterbar mot hash chain.
Varje AI provider körs under en per-tenant credential. Inga delade keys, ingen connection pooling mellan tenants, ingen prompt leakage mellan contexts. Provider responses hashas och lagras som first-class events — inte som logs av API calls, utan som evidence artifacts i sig.
Default tenancy är Azure US. Enterprise customers kan begära EU (Frankfurt, Dublin) eller UK South vid onboarding. All data at rest krypteras med customer-managed keys på Enterprise tier; lägre tiers använder Microsoft-managed keys med per-tenant envelope encryption.
Security reports skickas till security@forgetrack.io och triaged inom 24 timmar. Vi publicerar advisories för varje issue som påverkar report integrity, data isolation eller authentication. Coordinated disclosure timelines förhandlas case-by-case.
ForgeTrack är i public beta. SOC 2 Type I är in progress med etablerad audit firm; SOC 2 Type II och ISO 27001 är på compliance roadmap för det första fulla året av general availability.
HIPAA är inte in scope för general-availability product; healthcare customers bör behandla ForgeTrack som ett non-PHI tool. Enterprise customers med specifika regulatory requirements kan scope a custom posture vid contract — inklusive BAAs, residency constraints och dedicated infrastructure.