Bezpieczeństwo w sSystm

Zero trust to nie nasza polityka.
To nasza architektura.

Większość platform chroni jedną wielką bazę i ma nadzieję, że mury wytrzymają. sSystm nigdy nie zbudował wielkiej bazy: rekordy każdej organizacji żyją we własnej D1, na własnym koncie Cloudflare. Promieniowanie każdego incydentu to jeden tenant — z definicji.

Architektura

Sześć murów,
wszystkie nośne.

Nic z tego nie jest checkboxem compliance dokręconym później. Każdy element to sposób, w jaki zbudowana jest platforma — a każde twierdzenie poniżej da się zweryfikować w produkcie.

Twoje dane nie mają sąsiadów.

Każda organizacja dostaje własną bazę D1 na własnym koncie Cloudflare. Incydent jednego tenanta zostaje incydentem jednego tenanta — a gdy połączenie się urwie, API zawodzi zamknięte.

getByocDb(org) → your D1, on your account

UE znaczy UE. Wymuszone.

Wybierz UE przy logowaniu, a baza powstaje z gwarancją jurysdykcji D1 — infrastruktura, nie obietnica w polityce prywatności. Zweryfikowane po utworzeniu, niezmienne na zawsze.

create { jurisdiction: "eu" } · verified after creation

21 kluczy. Nigdy master key.

Bez szerokiego klucza API — grant OAuth prosi o 21 drobnych zakresów, każdy uczciwie oznaczony ryzykiem: safe, risky lub destructive. Przeczytaj pełną tabelę, zanim cokolwiek przyznasz.

21 scopes · 8 groups · risk-labelled in the docs

Tokeny, których baza nie wycieknie.

Twoje tokeny Cloudflare są szyfrowane AES-256-GCM z nowym IV za każdym razem, pod kluczem, który żyje tylko jako sekret serwera. Odszyfrowane w momencie działania — nigdy wcześniej.

AES-256-GCM · random 96-bit IV per token

Bez haseł. Nic do phishingu.

Jedna droga: Zaloguj się przez Cloudflare. Bez formularza hasła, bez bazy poświadczeń do wycieku — Twoje MFA i passkeys zostają tam, gdzie już są. Cofnij grant, a sSystm jest poza.

one way in: Cloudflare OAuth

AI pyta najpierw.

Operacje infrastrukturalne proponowane przez AI są klasyfikowane ryzykiem — i wszystko, co nie jest udowodnionym odczytem, czeka jako oczekujące, dopóki człowiek nie zatwierdzi. Kto, kiedy i każde wywołanie API: zapisane.

risky | destructive → pending_approval, always
Izolacja strukturalna

Bez współdzielonej bazy.
Bez promieniowania.

Każda organizacja działa we własnej bazie na własnym koncie Cloudflare. Nie ma centralnego magazynu do włamania — i nie ma ścieżki od jednego tenanta do drugiego.

Izolacja w głąb

Cztery warstwy między
Tobą a wszystkimi innymi.

Izolacja tenantów to nie jeden mur — to ta sama zasada powtórzona na każdej warstwie stacku: baza, zapytania, wyszukiwanie wektorowe i real-time.

Zakres na każdej warstwie.

Jedna granica tenanta może zawieść. sSystm rysuje tę samą granicę cztery razy, w czterech różnych systemach — prosto z kodu:

  1. 1Baza na tenantaAPI rozwiązuje własną bazę D1 Twojej organizacji na Twoim koncie Cloudflare przy każdym żądaniu dotykającym Twoich rekordów — i zawodzi zamknięte, gdy nie może.
  2. 2W zakresie organizacji z definicjiKażdy token MCP mapuje się na jednego użytkownika w jednej organizacji, a każde zapytanie jest ograniczone po stronie serwera. Twoje AI strukturalnie nie może dotrzeć do danych innej organizacji Twoim tokenem.
  3. 3Wyszukiwanie wektorowe w prawdziwych partycjachEmbeddingi komponentów żyją w przestrzeni nazw Vectorize na organizację — prawdziwa partycja, nie filtr metadanych. Wyszukiwanie w Twojej przestrzeni fizycznie nie może zwrócić cudzych wektorów.
  4. 4Pokoje real-time, jeden na organizacjęDurable Objects — runtime agenta, pokoje czatu — są adresowane po id Twojej organizacji. Ta sama organizacja zawsze trafia do tej samej izolowanej instancji; nikt inny nie może.

Izolacja tenantów to nie jeden mur — to ta sama zasada powtórzona na każdej warstwie stacku: — org acme

  • Databaseacme's own D1, on acme's account · jurisdiction: eu
  • Vector searchnamespace: acme — a real partition, only acme's vectors
  • Real-time roomidFromName("acme") — the same isolated instance, every time
  • ✗ Reach another org's dataNo path exists. The isolation is structural, not a WHERE clause.

Grunt, na którym stoi

  • Wszystko działa na edge network Cloudflare — Workers do obliczeń, D1 do danych, Vectorize do embeddingów, Durable Objects do real-time. Bez naszych serwerów do łatania, bez naszych dysków do zgubienia.
  • Twoim dostawcą infrastruktury jest Cloudflare — ta sama platforma, której prawdopodobnie już ufasz — a zasoby sSystm siedzą na Twoim własnym koncie Cloudflare, widoczne w Twoim panelu.
  • BYOC oznacza, że wyjście jest wbudowane: cofnij grant OAuth w panelu Cloudflare, a sSystm jest zablokowany. Twoja baza i Twoje dane zostają z Tobą.

Jedna uczciwa uwaga: nie machamy odznakami compliance, których nie zdobyliśmy. To, co twierdzimy, to architektura — i każde twierdzenie na tej stronie da się sprawdzić w produkcie. Po stronie umownej zobacz naszą Umowę powierzenia przetwarzania danych.

FAQ

Common questions.

Where does my data live?
In a database on your own Cloudflare account — your own D1, in the jurisdiction you pin. There is no central sSystm database holding your data. See Enterprise.
Is there a central database to breach?
No. Each customer runs on their own D1, so the isolation is structural, not a WHERE clause you have to trust. There is no shared store to break into.
How is data residency enforced?
It is pinned at the Cloudflare D1 layer — the database itself is created in the region you choose, so residency is where the data physically sits, not a policy setting.
How are tokens and secrets stored?
Encrypted with AES-256-GCM, each token sealed with its own random IV. Plaintext secrets are never written to disk.
Can I revoke access, and is the AI gated?
Yes. Revoke the OAuth grant and access is cut instantly. Every AI write is human-gated — nothing changes your data without approval. See Your AI, over MCP.
Architectural space with translucent orange frame
Bezpieczeństwo · BYOC z definicji

Posiadaj swój stack.
Śpij spokojnie.

Wczesny dostęp otwiera się w cotygodniowych kohortach, najwcześniejsze zapisy pierwsze. Dołącz teraz, a Twój workspace provisionuje się na Twoim własnym koncie Cloudflare, w regionie, który wybierzesz — z każdym murem z tej strony już stojącym.

Logowanie Cloudflare · rdzeń Workspace za darmo