Sicurezza in sSystm

Zero trust non è la nostra policy.
È la nostra architettura.

La maggior parte delle piattaforme protegge un grande database e spera che i muri reggano. sSystm non ha mai costruito il grande database: i record di ogni organizzazione vivono nella propria D1, sul proprio account Cloudflare. Il raggio d'azione di qualsiasi incidente è un tenant — per costruzione.

L'architettura

Sei muri,
tutti portanti.

Niente di tutto questo è una casella di conformità aggiunta dopo. Ognuno è come la piattaforma è costruita — e ogni affermazione qui sotto è verificabile nel prodotto.

I tuoi dati non hanno vicini.

Ogni organizzazione ottiene il proprio database D1 sul proprio account Cloudflare. L'incidente di un tenant resta l'incidente di un tenant — e se una connessione si interrompe, l'API fallisce in modo chiuso.

getByocDb(org) → your D1, on your account

UE significa UE. Applicato.

Scegli l'UE all'accesso e il tuo database viene creato con la garanzia di giurisdizione di D1 — infrastruttura, non una promessa in un'informativa sulla privacy. Verificata dopo la creazione, immutabile per sempre.

create { jurisdiction: "eu" } · verified after creation

21 chiavi. Mai una chiave master.

Nessuna API key ampia — la concessione OAuth chiede 21 scope granulari, ciascuno etichettato onestamente per rischio: safe, risky o destructive. Leggi la tabella completa prima di concedere qualsiasi cosa.

21 scopes · 8 groups · risk-labelled in the docs

Token che un database non può far trapelare.

I tuoi token Cloudflare sono crittografati con AES-256-GCM con un IV nuovo ogni volta, sotto una chiave che vive solo come segreto del server. Decrittografati nel momento in cui un'azione viene eseguita — mai prima.

AES-256-GCM · random 96-bit IV per token

Niente password. Niente da phishare.

Un solo ingresso: Accedi con Cloudflare. Nessun modulo password, nessun database di credenziali da scaricare — il tuo MFA e le passkey restano dove già vivono. Revoca la concessione, e sSystm resta fuori.

one way in: Cloudflare OAuth

L'AI chiede prima.

Le operazioni infrastrutturali proposte dall'AI sono classificate per rischio — e tutto ciò che non è dimostrabilmente in sola lettura resta in sospeso finché un umano non approva. Chi, quando e ogni chiamata API: registrata.

risky | destructive → pending_approval, always
Isolamento strutturale

Nessun database condiviso.
Nessun raggio d'azione incrociato.

Ogni organizzazione gira nel proprio database sul proprio account Cloudflare. Non c'è un archivio centrale da compromettere — e nessun percorso da un tenant all'altro.

Isolamento in profondità

Quattro strati tra
te e tutti gli altri.

L'isolamento dei tenant non è un solo muro — è lo stesso principio ripetuto a ogni livello dello stack: database, query, ricerca vettoriale e real-time.

Con scope a ogni livello.

Un singolo confine tenant può fallire. sSystm traccia lo stesso confine quattro volte, in quattro sistemi diversi — direttamente dal codice:

  1. 1Un database per tenantL'API risolve il database D1 della tua organizzazione sul tuo account Cloudflare per ogni richiesta che tocca i tuoi record — e fallisce in modo chiuso se non ci riesce.
  2. 2Scope per org per costruzioneOgni token MCP corrisponde a un utente in un'organizzazione, e ogni query ha scope lato server. La tua AI non può strutturalmente raggiungere i dati di un'altra organizzazione con il tuo token.
  3. 3Ricerca vettoriale in partizioni realiGli embedding dei componenti vivono in un namespace Vectorize per organizzazione — una partizione reale, non un filtro metadata. Una ricerca nel tuo namespace non può fisicamente restituire i vettori di altri.
  4. 4Stanze real-time, una per orgI Durable Objects — il runtime dell'agente, le stanze chat — sono indirizzati dall'id della tua organizzazione. La stessa org raggiunge sempre la stessa istanza isolata; nessun altro può.

L'isolamento dei tenant non è un solo muro — è lo stesso principio ripetuto a ogni livello dello stack: — org acme

  • Databaseacme's own D1, on acme's account · jurisdiction: eu
  • Vector searchnamespace: acme — a real partition, only acme's vectors
  • Real-time roomidFromName("acme") — the same isolated instance, every time
  • ✗ Reach another org's dataNo path exists. The isolation is structural, not a WHERE clause.

Il terreno su cui poggia

  • Tutto gira sulla rete edge di Cloudflare — Workers per il compute, D1 per i dati, Vectorize per gli embedding, Durable Objects per il real-time. Nessun server nostro da patchare, nessun disco nostro da perdere.
  • Il tuo provider infrastrutturale è Cloudflare — la stessa piattaforma in cui probabilmente già ti fidi per i tuoi siti — e le tue risorse sSystm stanno nel tuo account Cloudflare, visibili nella tua dashboard.
  • BYOC significa che l'uscita è integrata: revoca la concessione OAuth nella dashboard Cloudflare e sSystm resta fuori. Il tuo database, e i tuoi dati, restano con te.

Una nota onesta: non mostriamo badge di conformità che non abbiamo guadagnato. Ciò che affermiamo è architettura — e ogni affermazione in questa pagina può essere verificata nel prodotto. Per il lato contrattuale, vedi il nostro Accordo sul trattamento dei dati.

FAQ

Common questions.

Where does my data live?
In a database on your own Cloudflare account — your own D1, in the jurisdiction you pin. There is no central sSystm database holding your data. See Enterprise.
Is there a central database to breach?
No. Each customer runs on their own D1, so the isolation is structural, not a WHERE clause you have to trust. There is no shared store to break into.
How is data residency enforced?
It is pinned at the Cloudflare D1 layer — the database itself is created in the region you choose, so residency is where the data physically sits, not a policy setting.
How are tokens and secrets stored?
Encrypted with AES-256-GCM, each token sealed with its own random IV. Plaintext secrets are never written to disk.
Can I revoke access, and is the AI gated?
Yes. Revoke the OAuth grant and access is cut instantly. Every AI write is human-gated — nothing changes your data without approval. See Your AI, over MCP.
Architectural space with translucent orange frame
Sicurezza · BYOC by design

Possiedi il tuo stack.
Dormi tranquillo.

L'accesso anticipato si apre in cohort settimanali, i primi iscritti per primi. Iscriviti ora e il tuo workspace viene provisionato sul tuo account Cloudflare, nella regione che scegli — con ogni muro di questa pagina già in piedi.

Accesso con Cloudflare · workspace di base gratuito