ForgeTrack, R&D vergi beyannamelerinin, yatırımcı inceleme dosyalarının ve mühendislik substantiation'ının ham verisini depolar. Bu verinin, çok yıllık saklama, adversarial denetimler ve oluşturulmasına tanık olmayan üçüncü tarafların nihai incelemesi gibi süreçlere dayanması gerekir. Aşağıdaki mimari, bunun nasıl sağlandığını açıklar.
Her katman bağımsızdır. Bir katmandaki bir ihlal diğerlerine yayılmaz.
Multi-tenant isolation mimariseldir, konfigürasyonel değildir. Her tablodaki her satırda bir tenant identifier bulunur, her sorgu scoped predicate içerir ve her dışa aktarım SQL düzeyinde scope edilir — uygulama düzeyinde değil. Bir tenant'ta yapılan classifier hatası, başka bir tenant'a veri sızdırmaz.
Role-based access ile dört tanımlı rol: owner, admin, member, viewer. Enterprise tier, Azure AD, Okta ve Google Workspace ile SSO/SAML ekler. Session tokens kısa ömürlüdür, refresh denetlenir ve permission değişiklikleri, evidence için kullanılan aynı append-only store'da event olarak kaydedilir.
GAAIM event log, yapısı gereği append-only olarak tasarlanmıştır. Bir event'ın silinmesi desteklenen bir işlem değildir; bir event'ı düzeltmek, düzeltilen event'a referans veren yeni bir event yazmak anlamına gelir. Her log entry, SHA-256 content hash ile imzalanır. Post-facto tampering, hash chain'e karşı tespit edilebilir.
Her AI provider, per-tenant credential ile çalışır. Shared keys yoktur, tenant'lar arasında connection pooling yapılmaz, contexts arasında prompt leakage olmaz. Provider responses hash'lenir ve first-class event olarak saklanır — API calls'ın log'u olarak değil, kendi başına evidence artifact olarak tutulur.
Default tenancy Azure US'tur. Enterprise customers onboarding sırasında EU (Frankfurt, Dublin) veya UK South talep edebilir. Enterprise tier'da, beklemedeki tüm veriler customer-managed keys ile şifrelenir; lower tiers ise Microsoft-managed keys ve per-tenant envelope encryption kullanır.
Security reports security@forgetrack.io adresine yönlendirilir ve 24 saat içinde triage edilir. Report integrity, data isolation veya authentication'ı etkileyen herhangi bir issue için advisory yayımlarız. Coordinated disclosure timelines, case-by-case müzakere edilir.
ForgeTrack public beta'dadır. SOC 2 Type I, established audit firm ile süreçtedir; SOC 2 Type II ve ISO 27001, compliance roadmap'te genel erişimin ilk tam yılı için yer almaktadır.
HIPAA, general-availability product kapsamında değildir; healthcare customers ForgeTrack'i non-PHI tool olarak değerlendirmelidir. Enterprise customers with specific regulatory requirements, contract aşamasında custom posture scope edebilir — buna BAAs, residency constraints ve dedicated infrastructure dahildir.