Sikkerhet på sSystm

Zero trust er ikke policyen vår.
Det er arkitekturen vår.

De fleste plattformer beskytter én stor database og håper veggene holder. sSystm bygde aldri den store databasen: hver organisasjons poster ligger i sin egen D1, på sin egen Cloudflare-konto. Blast radius for enhver hendelse er én leietaker — by design.

Arkitekturen

Seks vegger,
alle bærende.

Ingenting av dette er en compliance-kryssboks boltet på i etterkant. Hver enkelt er slik plattformen er bygget — og hvert påstand nedenfor kan verifiseres i produktet.

Dataen din har ingen naboer.

Hver organisasjon får sin egen D1-database på sin egen Cloudflare-konto. Én leietakers hendelse forblir én leietakers hendelse — og hvis en tilkobling brytes, feiler API-et lukket.

getByocDb(org) → your D1, on your account

EU betyr EU. Håndhevet.

Velg EU ved innlogging, så opprettes databasen din med D1s jurisdiksjonsgaranti — infrastruktur, ikke et løfte i en personvernerklæring. Verifisert etter opprettelse, uforanderlig for alltid.

create { jurisdiction: "eu" } · verified after creation

21 nøkler. Aldri en masternøkkel.

Ingen bred API-nøkkel — OAuth-tildelingen ber om 21 finmaskede scopes, hver ærlig risikomerking: safe, risky eller destructive. Les hele tabellen før du gir noe.

21 scopes · 8 groups · risk-labelled in the docs

Tokens en database ikke kan lekke.

Cloudflare-tokenene dine er AES-256-GCM-kryptert med en fersk IV hver gang, under en nøkkel som bare finnes som en server-hemmelighet. Dekryptert i det øyeblikket en handling kjører — aldri før.

AES-256-GCM · random 96-bit IV per token

Ingen passord. Ingenting å phishe.

Én vei inn: Logg inn med Cloudflare. Intet passordskjema, ingen innloggingsdatabase å dumpe — MFA-en og passkey-ene dine blir der de allerede ligger. Tilbakekall tildelingen, og sSystm er ute.

one way in: Cloudflare OAuth

AI-en spør først.

AI-foreslåtte infrastrukturoperasjoner risikoklassifiseres — og alt som ikke er beviselig skrivebeskyttet, venter som pending til et menneske godkjenner. Hvem, når og hvert API-kall: logget.

risky | destructive → pending_approval, always
Strukturell isolasjon

Ingen delt database.
Ingen blast radius.

Hver organisasjon kjører i sin egen database på sin egen Cloudflare-konto. Det finnes ingen sentral lagring å bryte seg inn i — og ingen vei fra én leietaker til en annen.

Isolasjon i dybden

Fire lag mellom
deg og alle andre.

Leietakerisolasjon er ikke én vegg — det er samme prinsipp gjentatt på hvert lag i stacken: database, spørringer, vektorsøk og sanntid.

Scoped på hvert lag.

Én leietakergrense kan feile. sSystm tegner samme grense fire ganger, i fire forskjellige systemer — rett fra koden:

  1. 1Én database per leietakerAPI-et løser opp organisasjonens egen D1-database på din egen Cloudflare-konto for hver forespørsel som berører postene dine — og feiler lukket hvis det ikke kan.
  2. 2Org-scoped by designHver MCP-token mapper til én bruker i én organisasjon, og hver spørring scopes server-side. AI-en din kan strukturelt ikke nå en annen organisasjons data med tokenet ditt.
  3. 3Vektorsøk i ekte partisjonerKomponent-embeddings ligger i et Vectorize-namespace per organisasjon — en ekte partisjon, ikke et metadata-filter. Et søk i namespace-et ditt kan fysisk ikke returnere andres vektorer.
  4. 4Sanntidsrom, ett per orgDurable Objects — agent-runtime, chatterom — adresseres med organisasjonens id. Samme org når alltid samme isolerte instans; ingen andre kan.

Leietakerisolasjon er ikke én vegg — det er samme prinsipp gjentatt på hvert lag i stacken: — org acme

  • Databaseacme's own D1, on acme's account · jurisdiction: eu
  • Vector searchnamespace: acme — a real partition, only acme's vectors
  • Real-time roomidFromName("acme") — the same isolated instance, every time
  • ✗ Reach another org's dataNo path exists. The isolation is structural, not a WHERE clause.

Grunnen det står på

  • Alt kjører på Cloudflares edge-nettverk — Workers for compute, D1 for data, Vectorize for embeddings, Durable Objects for sanntid. Ingen servere hos oss å patche, ingen disker hos oss å miste.
  • Infrastrukturleverandøren din er Cloudflare — samme plattform som dine egne nettsteder sannsynligvis allerede stoler på — og sSystm-ressursene dine ligger i din egen Cloudflare-konto, synlige i ditt eget dashbord.
  • BYOC betyr at utgangen er innebygd: tilbakekall OAuth-tildelingen i Cloudflare-dashbordet ditt, og sSystm er utelåst. Databasen din, og dataen din, blir hos deg.

Én ærlig merknad: vi vifter ikke med compliance-merker vi ikke har fortjent. Det vi hevder, er arkitektur — og hvert påstand på denne siden kan sjekkes mot produktet. For den avtalemessige siden, se vår databehandleravtale.

FAQ

Common questions.

Where does my data live?
In a database on your own Cloudflare account — your own D1, in the jurisdiction you pin. There is no central sSystm database holding your data. See Enterprise.
Is there a central database to breach?
No. Each customer runs on their own D1, so the isolation is structural, not a WHERE clause you have to trust. There is no shared store to break into.
How is data residency enforced?
It is pinned at the Cloudflare D1 layer — the database itself is created in the region you choose, so residency is where the data physically sits, not a policy setting.
How are tokens and secrets stored?
Encrypted with AES-256-GCM, each token sealed with its own random IV. Plaintext secrets are never written to disk.
Can I revoke access, and is the AI gated?
Yes. Revoke the OAuth grant and access is cut instantly. Every AI write is human-gated — nothing changes your data without approval. See Your AI, over MCP.
Architectural space with translucent orange frame
Sikkerhet · BYOC by design

Ei stacken din.
Sov godt om natten.

Early access åpner i ukentlige kohorter, tidligste påmeldinger først. Meld deg på nå, så opprettes workspace-et ditt på din egen Cloudflare-konto, i regionen du velger — med hver vegg på denne siden allerede på plass.

Cloudflare-innlogging · kjerne-workspace gratis