Seguridad en sSystm

Zero trust no es nuestra política.
Es nuestra arquitectura.

La mayoría de plataformas protegen una gran base de datos y esperan que los muros aguanten. sSystm nunca construyó la gran base de datos: los registros de cada organización viven en su propia D1, en su propia cuenta de Cloudflare. El radio de impacto de cualquier incidente es un inquilino — por diseño.

La arquitectura

Seis muros,
todos portantes.

Nada de esto es una casilla de cumplimiento añadida después. Cada uno es cómo está construida la plataforma — y cada afirmación de abajo es verificable en el producto.

Tus datos no tienen vecinos.

Cada organización obtiene su propia base de datos D1 en su propia cuenta de Cloudflare. El incidente de un inquilino se queda en un inquilino — y si se rompe una conexión, la API falla cerrada.

getByocDb(org) → your D1, on your account

UE significa UE. Aplicado.

Elige la UE al registrarte y tu base de datos se crea con la garantía de jurisdicción de D1 — infraestructura, no una promesa en una política de privacidad. Verificada tras la creación, inmutable para siempre.

create { jurisdiction: "eu" } · verified after creation

21 claves. Nunca una clave maestra.

Sin clave API amplia — la concesión OAuth pide 21 ámbitos granulares, cada uno etiquetado honestamente por riesgo: seguro, arriesgado o destructivo. Lee la tabla completa antes de conceder nada.

21 scopes · 8 groups · risk-labelled in the docs

Tokens que una base de datos no puede filtrar.

Tus tokens de Cloudflare están cifrados con AES-256-GCM con un IV nuevo cada vez, bajo una clave que solo vive como secreto del servidor. Se descifran en el momento en que se ejecuta una acción — nunca antes.

AES-256-GCM · random 96-bit IV per token

Sin contraseñas. Nada que phishear.

Una sola entrada: Iniciar sesión con Cloudflare. Sin formulario de contraseña, sin base de datos de credenciales que volcar — tu MFA y passkeys se quedan donde ya viven. Revoca la concesión, y sSystm queda fuera.

one way in: Cloudflare OAuth

La IA pregunta primero.

Las operaciones de infraestructura propuestas por la IA se clasifican por riesgo — y todo lo que no sea demostrablemente de solo lectura espera como pendiente hasta que un humano lo aprueba. Quién, cuándo y cada llamada API: registrada.

risky | destructive → pending_approval, always
Aislamiento estructural

Sin base de datos compartida.
Sin radio de impacto cruzado.

Cada organización se ejecuta en su propia base de datos en su propia cuenta de Cloudflare. No hay almacén central que comprometer — ni camino de un inquilino a otro.

Aislamiento en profundidad

Cuatro capas entre
tú y todos los demás.

El aislamiento de inquilinos no es un muro — es el mismo principio repetido en cada capa del stack: base de datos, consultas, búsqueda vectorial y tiempo real.

Con alcance en cada capa.

Un límite de inquilino puede fallar. sSystm traza el mismo límite cuatro veces, en cuatro sistemas distintos — directamente del código:

  1. 1Una base de datos por inquilinoLa API resuelve la propia base de datos D1 de tu organización en tu propia cuenta de Cloudflare para cada petición que toca tus registros — y falla cerrada si no puede.
  2. 2Alcance por org por diseñoCada token MCP corresponde a un usuario en una organización, y cada consulta tiene alcance en el servidor. Tu IA estructuralmente no puede alcanzar los datos de otra organización con tu token.
  3. 3Búsqueda vectorial en particiones realesLos embeddings de componentes viven en un namespace de Vectorize por organización — una partición real, no un filtro de metadatos. Una búsqueda en tu namespace físicamente no puede devolver los vectores de nadie más.
  4. 4Salas en tiempo real, una por orgDurable Objects — el runtime del agente, las salas de chat — se dirigen por el id de tu organización. La misma org siempre llega a la misma instancia aislada; nadie más puede.

El aislamiento de inquilinos no es un muro — es el mismo principio repetido en cada capa del stack: — org acme

  • Databaseacme's own D1, on acme's account · jurisdiction: eu
  • Vector searchnamespace: acme — a real partition, only acme's vectors
  • Real-time roomidFromName("acme") — the same isolated instance, every time
  • ✗ Reach another org's dataNo path exists. The isolation is structural, not a WHERE clause.

El suelo sobre el que se apoya

  • Todo se ejecuta en la red edge de Cloudflare — Workers para cómputo, D1 para datos, Vectorize para embeddings, Durable Objects para tiempo real. Sin servidores nuestros que parchear, sin discos nuestros que perder.
  • Tu proveedor de infraestructura es Cloudflare — la misma plataforma en la que probablemente ya confían tus propios sitios — y tus recursos de sSystm están en tu propia cuenta de Cloudflare, visibles en tu propio panel.
  • BYOC significa que la salida está integrada: revoca la concesión OAuth en tu panel de Cloudflare y sSystm queda fuera. Tu base de datos, y tus datos, se quedan contigo.

Una nota honesta: no mostramos insignias de cumplimiento que no nos hemos ganado. Lo que afirmamos es arquitectura — y cada afirmación de esta página se puede comprobar contra el producto. Para el lado contractual, consulta nuestro Acuerdo de tratamiento de datos.

FAQ

Common questions.

Where does my data live?
In a database on your own Cloudflare account — your own D1, in the jurisdiction you pin. There is no central sSystm database holding your data. See Enterprise.
Is there a central database to breach?
No. Each customer runs on their own D1, so the isolation is structural, not a WHERE clause you have to trust. There is no shared store to break into.
How is data residency enforced?
It is pinned at the Cloudflare D1 layer — the database itself is created in the region you choose, so residency is where the data physically sits, not a policy setting.
How are tokens and secrets stored?
Encrypted with AES-256-GCM, each token sealed with its own random IV. Plaintext secrets are never written to disk.
Can I revoke access, and is the AI gated?
Yes. Revoke the OAuth grant and access is cut instantly. Every AI write is human-gated — nothing changes your data without approval. See Your AI, over MCP.
Architectural space with translucent orange frame
Seguridad · BYOC por diseño

Sé dueño de tu stack.
Duerme tranquilo.

El acceso anticipado se abre en cohortes semanales, primero los registros más tempranos. Únete ahora y tu workspace se aprovisiona en tu propia cuenta de Cloudflare, en la región que elijas — con todos los muros de esta página ya levantados.

Inicio de sesión con Cloudflare · workspace principal gratis