ForgeTrack lưu trữ dữ liệu gốc của hồ sơ thuế R&D, hồ sơ thẩm định nhà đầu tư và tài liệu substantiation kỹ thuật. Dữ liệu này phải đáp ứng yêu cầu lưu trữ nhiều năm, kiểm toán đối kháng và sự xem xét cuối cùng từ các bên thứ ba không trực tiếp chứng kiến quá trình tạo lập. Kiến trúc dưới đây mô tả cách thức thực hiện.
Mỗi lớp là độc lập. Sự xâm phạm tại một lớp sẽ không lan sang các lớp khác.
Multi-tenant isolation là thuộc kiến trúc, không phải cấu hình. Mỗi dòng trong mọi bảng đều mang định danh tenant, mỗi truy vấn đều có điều kiện phạm vi, và mọi xuất dữ liệu đều được giới hạn ở cấp độ SQL — không phải ở cấp ứng dụng. Sai sót của bộ phân loại tại một tenant không thể làm rò rỉ dữ liệu sang tenant khác.
Kiểm soát truy cập dựa trên vai trò với bốn vai trò xác định: owner, admin, member, viewer. Gói Enterprise bổ sung SSO/SAML với Azure AD, Okta và Google Workspace. Session token có thời hạn ngắn, quá trình làm mới được kiểm toán và mọi thay đổi quyền truy cập đều được ghi nhận dưới dạng sự kiện trong cùng kho lưu trữ append-only dùng cho evidence.
Event log của GAAIM được thiết kế theo mô hình append-only. Việc xóa sự kiện không được hỗ trợ; hiệu chỉnh một sự kiện nghĩa là ghi một sự kiện mới tham chiếu đến sự kiện đã hiệu chỉnh. Mỗi mục log đều được ký bằng hàm băm nội dung SHA-256. Việc can thiệp sau này có thể bị phát hiện thông qua chuỗi băm.
Mỗi AI provider vận hành dưới một per-tenant credential. Không có shared key, không connection pooling giữa các tenant, không rò rỉ prompt giữa các ngữ cảnh. Phản hồi từ provider được băm và lưu trữ dưới dạng event độc lập — không phải log của API call, mà là evidence artifact với giá trị độc lập.
Mặc định, tenancy đặt tại Azure US. Khách hàng Enterprise có thể yêu cầu đặt tại EU (Frankfurt, Dublin) hoặc UK South khi onboarding. Toàn bộ dữ liệu lưu trữ được mã hóa bằng khóa do khách hàng quản lý trên gói Enterprise; các gói thấp hơn sử dụng khóa do Microsoft quản lý với mã hóa per-tenant envelope.
Báo cáo bảo mật được chuyển đến security@forgetrack.io và được phân loại trong vòng 24 giờ. Chúng tôi công bố khuyến nghị cho mọi vấn đề ảnh hưởng đến tính toàn vẹn báo cáo, cách ly dữ liệu hoặc xác thực. Thời gian công bố phối hợp được thương lượng theo từng trường hợp.
ForgeTrack đang ở giai đoạn public beta. SOC 2 Type I đang được triển khai với một công ty kiểm toán uy tín; SOC 2 Type II và ISO 27001 nằm trong roadmap tuân thủ cho năm đầu tiên sản phẩm chính thức ra mắt.
HIPAA không nằm trong phạm vi sản phẩm general-availability; khách hàng ngành y tế cần xem ForgeTrack là công cụ không xử lý PHI. Khách hàng Enterprise có yêu cầu tuân thủ riêng có thể xác định tư thế tuân thủ tùy chỉnh tại hợp đồng — bao gồm BAAs, giới hạn vị trí lưu trữ và hạ tầng chuyên biệt.