Sécurité chez sSystm

Le zero trust n'est pas notre politique.
C'est notre architecture.

La plupart des plateformes protègent une grande base et espèrent que les murs tiennent. sSystm n'a jamais construit la grande base : les dossiers de chaque organisation vivent dans leur propre D1, sur leur propre compte Cloudflare. Le rayon d'impact de tout incident est un seul locataire — par construction.

L'architecture

Six murs,
tous porteurs.

Rien de tout cela n'est une case de conformité ajoutée après coup. Chaque élément est la façon dont la plateforme est construite — et chaque affirmation ci-dessous est vérifiable dans le produit.

Vos données n'ont pas de voisins.

Chaque organisation obtient sa propre base D1 sur son propre compte Cloudflare. L'incident d'un locataire reste l'incident d'un locataire — et si une connexion échoue, l'API échoue en mode fermé.

getByocDb(org) → your D1, on your account

UE signifie UE. Appliqué.

Choisissez l'UE à la connexion et votre base est créée avec la garantie de juridiction de D1 — infrastructure, pas une promesse dans une politique de confidentialité. Vérifié après création, immuable pour toujours.

create { jurisdiction: "eu" } · verified after creation

21 clés. Jamais de clé maîtresse.

Pas de clé API large — l'autorisation OAuth demande 21 scopes granulaires, chacun étiqueté honnêtement : sûr, risqué ou destructif. Lisez le tableau complet avant d'accorder quoi que ce soit.

21 scopes · 8 groups · risk-labelled in the docs

Des tokens qu'une base ne peut pas faire fuiter.

Vos tokens Cloudflare sont chiffrés AES-256-GCM avec un IV frais à chaque fois, sous une clé qui n'existe que comme secret serveur. Déchiffrés au moment où une action s'exécute — jamais avant.

AES-256-GCM · random 96-bit IV per token

Pas de mots de passe. Rien à hameçonner.

Une seule entrée : Se connecter avec Cloudflare. Pas de formulaire de mot de passe, pas de base de credentials à vider — votre MFA et vos passkeys restent là où ils sont déjà. Révoquez l'autorisation, et sSystm est exclu.

one way in: Cloudflare OAuth

L'IA demande d'abord.

Les opérations d'infrastructure proposées par l'IA sont classées par risque — et tout ce qui n'est pas prouvablement en lecture seule attend en attente jusqu'à validation humaine. Qui, quand et chaque appel API : enregistré.

risky | destructive → pending_approval, always
Isolation structurelle

Aucune base partagée.
Aucun rayon d'impact.

Chaque organisation tourne dans sa propre base de données sur son propre compte Cloudflare. Il n'y a pas de stockage central à compromettre — et aucun chemin d'un locataire à un autre.

Isolation en profondeur

Quatre couches entre
vous et les autres.

L'isolation des locataires n'est pas un seul mur — c'est le même principe répété à chaque couche de la stack : base de données, requêtes, recherche vectorielle et temps réel.

Scopé à chaque couche.

Une seule frontière de locataire peut échouer. sSystm trace la même frontière quatre fois, dans quatre systèmes différents — directement depuis le code :

  1. 1Une base par locataireL'API résout la propre base D1 de votre organisation sur votre propre compte Cloudflare pour chaque requête qui touche vos enregistrements — et échoue en mode fermé si elle ne peut pas.
  2. 2Scopé par organisation par constructionChaque token MCP correspond à un utilisateur dans une organisation, et chaque requête est scopée côté serveur. Votre IA ne peut structurellement pas atteindre les données d'une autre organisation avec votre token.
  3. 3Recherche vectorielle en vraies partitionsLes embeddings de composants vivent dans un namespace Vectorize par organisation — une vraie partition, pas un filtre de métadonnées. Une recherche dans votre namespace ne peut physiquement pas retourner les vecteurs de quelqu'un d'autre.
  4. 4Salles temps réel, une par orgLes Durable Objects — le runtime agent, les salles de chat — sont adressés par l'id de votre organisation. La même org atteint toujours la même instance isolée ; personne d'autre ne le peut.

L'isolation des locataires n'est pas un seul mur — c'est le même principe répété à chaque couche de la stack : — org acme

  • Databaseacme's own D1, on acme's account · jurisdiction: eu
  • Vector searchnamespace: acme — a real partition, only acme's vectors
  • Real-time roomidFromName("acme") — the same isolated instance, every time
  • ✗ Reach another org's dataNo path exists. The isolation is structural, not a WHERE clause.

Le socle sur lequel tout repose

  • Tout tourne sur le réseau edge de Cloudflare — Workers pour le calcul, D1 pour les données, Vectorize pour les embeddings, Durable Objects pour le temps réel. Pas de serveurs à patcher de notre côté, pas de disques à perdre de notre côté.
  • Votre fournisseur d'infrastructure est Cloudflare — la même plateforme que vos propres sites font probablement déjà confiance — et vos ressources sSystm se trouvent dans votre propre compte Cloudflare, visibles dans votre propre tableau de bord.
  • BYOC signifie que la sortie est intégrée : révoquez l'autorisation OAuth dans votre tableau de bord Cloudflare et sSystm est verrouillé. Votre base de données, et vos données, restent avec vous.

Une note honnête : nous n'affichons pas de badges de conformité que nous n'avons pas mérités. Ce que nous affirmons, c'est l'architecture — et chaque affirmation sur cette page peut être vérifiée dans le produit. Pour le volet contractuel, consultez notre Data Processing Agreement.

FAQ

Common questions.

Where does my data live?
In a database on your own Cloudflare account — your own D1, in the jurisdiction you pin. There is no central sSystm database holding your data. See Enterprise.
Is there a central database to breach?
No. Each customer runs on their own D1, so the isolation is structural, not a WHERE clause you have to trust. There is no shared store to break into.
How is data residency enforced?
It is pinned at the Cloudflare D1 layer — the database itself is created in the region you choose, so residency is where the data physically sits, not a policy setting.
How are tokens and secrets stored?
Encrypted with AES-256-GCM, each token sealed with its own random IV. Plaintext secrets are never written to disk.
Can I revoke access, and is the AI gated?
Yes. Revoke the OAuth grant and access is cut instantly. Every AI write is human-gated — nothing changes your data without approval. See Your AI, over MCP.
Architectural space with translucent orange frame
Sécurité · BYOC par conception

Possédez votre stack.
Dormez tranquille.

L'accès anticipé s'ouvre par cohortes hebdomadaires, les premiers inscrits en premier. Rejoignez maintenant et votre workspace est provisionné sur votre propre compte Cloudflare, dans la région de votre choix — avec chaque mur de cette page déjà en place.

Connexion Cloudflare · workspace de base gratuit