Beveiliging bij sSystm

Zero trust is niet ons beleid.
Het is onze architectuur.

De meeste platformen beschermen één grote database en hopen dat de muren standhouden. sSystm heeft die grote database nooit gebouwd: de gegevens van elke organisatie staan in hun eigen D1, op hun eigen Cloudflare-account. De blast radius van elk incident is één tenant — by design.

De architectuur

Zes muren,
alle dragend.

Geen van dit is een compliance-vinkje dat achteraf is vastgeschroefd. Elk onderdeel is hoe het platform is gebouwd — en elke claim hieronder is verifieerbaar in het product.

Je data heeft geen buren.

Elke organisatie krijgt zijn eigen D1-database op zijn eigen Cloudflare-account. Het incident van één tenant blijft het incident van één tenant — en als een verbinding wegvalt, faalt de API veilig.

getByocDb(org) → your D1, on your account

EU betekent EU. Afgedwongen.

Kies de EU bij aanmelding en je database wordt aangemaakt met D1s jurisdictiegarantie — infrastructuur, geen belofte in een privacybeleid. Geverifieerd na aanmaak, voor altijd onveranderlijk.

create { jurisdiction: "eu" } · verified after creation

21 sleutels. Nooit een mastersleutel.

Geen brede API-sleutel — de OAuth-toestemming vraagt om 21 fijnmazige scopes, elk eerlijk risicolabel: safe, risky of destructive. Lees de volledige tabel voordat je iets toestaat.

21 scopes · 8 groups · risk-labelled in the docs

Tokens die een database niet kan lekken.

Je Cloudflare-tokens zijn AES-256-GCM-versleuteld met telkens een verse IV, onder een sleutel die alleen als server secret bestaat. Ontsleuteld op het moment dat een actie draait — nooit eerder.

AES-256-GCM · random 96-bit IV per token

Geen wachtwoorden. Niets om te phishen.

Eén weg naar binnen: Inloggen met Cloudflare. Geen wachtwoordformulier, geen inlogdatabase om te dumpen — je MFA en passkeys blijven waar ze al zitten. Trek de toestemming in en sSystm is eruit.

one way in: Cloudflare OAuth

De AI vraagt eerst.

Door AI voorgestelde infrastructuuracties worden risicogeclassificeerd — en alles wat niet aantoonbaar read-only is, wacht als pending tot een mens goedkeurt. Wie, wanneer en elke API-call: vastgelegd.

risky | destructive → pending_approval, always
Structurele isolatie

Geen gedeelde database.
Geen blast radius.

Elke organisatie draait in zijn eigen database op zijn eigen Cloudflare-account. Er is geen centrale opslag om te hacken — en geen pad van de ene tenant naar de andere.

Isolatie in de diepte

Vier lagen tussen
jou en alle anderen.

Tenant-isolatie is niet één muur — het is hetzelfde principe herhaald op elke laag van de stack: database, queries, vector search en real-time.

Gescoped op elke laag.

Eén tenantgrens kan falen. sSystm trekt dezelfde grens vier keer, in vier verschillende systemen — rechtstreeks uit de code:

  1. 1Eén database per tenantDe API resolved de eigen D1-database van je organisatie op je eigen Cloudflare-account voor elke request die je records raakt — en faalt veilig als dat niet kan.
  2. 2Org-scoped by designElke MCP-token koppelt aan één gebruiker in één organisatie, en elke query wordt server-side gescoped. Je AI kan structureel niet bij de data van een andere organisatie met jouw token.
  3. 3Vector search in echte partitiesComponent-embeddings staan in een Vectorize-namespace per organisatie — een echte partitie, geen metadatafilter. Een zoekopdracht in jouw namespace kan fysiek niet iemand anders vectoren teruggeven.
  4. 4Real-time rooms, één per orgDurable Objects — de agent-runtime, de chatrooms — worden aangesproken via het id van je organisatie. Dezelfde org bereikt altijd dezelfde geïsoleerde instantie; niemand anders kan dat.

Tenant-isolatie is niet één muur — het is hetzelfde principe herhaald op elke laag van de stack: — org acme

  • Databaseacme's own D1, on acme's account · jurisdiction: eu
  • Vector searchnamespace: acme — a real partition, only acme's vectors
  • Real-time roomidFromName("acme") — the same isolated instance, every time
  • ✗ Reach another org's dataNo path exists. The isolation is structural, not a WHERE clause.

De basis waarop het staat

  • Alles draait op Cloudflares edge-netwerk — Workers voor compute, D1 voor data, Vectorize voor embeddings, Durable Objects voor real-time. Geen servers van ons om te patchen, geen schijven van ons om te verliezen.
  • Je infrastructuuraanbieder is Cloudflare — hetzelfde platform waar je eigen sites waarschijnlijk al op vertrouwen — en je sSystm-resources staan in je eigen Cloudflare-account, zichtbaar in je eigen dashboard.
  • BYOC betekent dat de uitgang ingebouwd is: trek de OAuth-toestemming in je Cloudflare-dashboard in en sSystm is buitengesloten. Je database en je data blijven bij jou.

Eén eerlijke noot: we zwaaien niet met compliance-badges die we niet verdiend hebben. Wat we claimen is architectuur — en elke claim op deze pagina is te controleren tegen het product. Voor het contractuele deel, zie onze verwerkersovereenkomst.

FAQ

Common questions.

Where does my data live?
In a database on your own Cloudflare account — your own D1, in the jurisdiction you pin. There is no central sSystm database holding your data. See Enterprise.
Is there a central database to breach?
No. Each customer runs on their own D1, so the isolation is structural, not a WHERE clause you have to trust. There is no shared store to break into.
How is data residency enforced?
It is pinned at the Cloudflare D1 layer — the database itself is created in the region you choose, so residency is where the data physically sits, not a policy setting.
How are tokens and secrets stored?
Encrypted with AES-256-GCM, each token sealed with its own random IV. Plaintext secrets are never written to disk.
Can I revoke access, and is the AI gated?
Yes. Revoke the OAuth grant and access is cut instantly. Every AI write is human-gated — nothing changes your data without approval. See Your AI, over MCP.
Architectural space with translucent orange frame
Beveiliging · BYOC by design

Eigenaar van je stack.
Slaap rustig.

Early access opent in wekelijkse cohorten, vroegste aanmeldingen eerst. Meld je nu aan en je workspace wordt ingericht op je eigen Cloudflare-account, in de regio die jij kiest — met elke muur op deze pagina al staand.

Cloudflare-login · kern-workspace gratis