ForgeTrack зберігає вихідні матеріали для R&D tax filings, інвестиційних diligence packets та інженерної substantiation. Ці дані мають зберігатися протягом багатьох років, витримувати аудити з боку опонентів і майбутню перевірку третіми сторонами, які не були свідками їх створення. Архітектура нижче описує, як це забезпечується.
Кожен рівень є незалежним. Компрометація одного рівня не призводить до каскадного впливу на інші.
Multi-tenant ізоляція є архітектурною, а не конфігураційною. Кожен рядок у кожній таблиці містить ідентифікатор tenant, кожен запит має обмежувальний предикат, а кожен експорт обмежується на рівні SQL — не на рівні застосунку. Класифікаційна помилка в одному tenant не може призвести до витоку даних в інший.
Розмежування доступу за ролями з чотирма визначеними ролями: власник, адміністратор, учасник, спостерігач. Рівень Enterprise додає SSO/SAML з Azure AD, Okta та Google Workspace. Токени сесій мають короткий термін дії, оновлення підлягає аудиту, а зміни дозволів фіксуються як події у тому ж append-only сховищі, що використовується для Evidence.
Event log у GAAIM є append-only за своєю архітектурою. Видалення події не підтримується; для виправлення необхідно створити нову подію з посиланням на виправлену. Кожен запис у журналі підписується хешем вмісту за алгоритмом SHA-256. Післяфактне втручання виявляється через перевірку ланцюга хешів.
Кожен AI provider працює під окремими обліковими даними для кожного tenant. Відсутні спільні ключі, немає пулінгу з'єднань між tenants, відсутній витік prompt між контекстами. Відповіді provider хешуються та зберігаються як повноцінні події — не як журнали API викликів, а як артефакти Evidence.
Типова tenancy — Azure US. Клієнти Enterprise можуть замовити розміщення в EU (Frankfurt, Dublin) або UK South під час onboarding. Всі дані у стані спокою шифруються ключами, керованими клієнтом, на рівні Enterprise; нижчі рівні використовують ключі, керовані Microsoft, із шифруванням per-tenant envelope.
Звіти з безпеки надсилаються на security@forgetrack.io та проходять первинний розгляд протягом 24 годин. Ми публікуємо повідомлення щодо будь-яких питань, що впливають на цілісність звітів, ізоляцію даних або автентифікацію. Терміни координованого розкриття погоджуються індивідуально.
ForgeTrack перебуває у публічній бета-версії. SOC 2 Type I впроваджується у співпраці з акредитованою аудиторською фірмою; SOC 2 Type II та ISO 27001 заплановані на roadmap відповідності протягом першого повного року загальної доступності.
HIPAA не охоплюється для продукту загальної доступності; клієнти з галузі охорони здоров'я повинні розглядати ForgeTrack як інструмент, що не працює з PHI. Клієнти Enterprise зі специфічними регуляторними вимогами можуть визначити індивідуальний стан відповідності у договорі — включаючи BAAs, обмеження резиденції та виділену інфраструктуру.