Segurança no sSystm

Zero trust não é a nossa política.
É a nossa arquitetura.

A maioria das plataformas protege uma grande base de dados e espera que os muros aguentem. O sSystm nunca construiu a grande base de dados: os registos de cada organização vivem na sua própria D1, na sua própria conta Cloudflare. O raio de impacto de qualquer incidente é um inquilino — por construção.

A arquitetura

Seis muros,
todos portantes.

Nada disto é uma caixa de conformidade adicionada depois. Cada um é a forma como a plataforma é construída — e cada afirmação abaixo é verificável no produto.

Os seus dados não têm vizinhos.

Cada organização obtém a sua própria base de dados D1 na sua própria conta Cloudflare. O incidente de um inquilino fica no inquilino — e se uma ligação falhar, a API falha em modo fechado.

getByocDb(org) → your D1, on your account

UE significa UE. Aplicado.

Escolha a UE ao registar-se e a sua base de dados é criada com a garantia de jurisdição da D1 — infraestrutura, não uma promessa numa política de privacidade. Verificada após a criação, imutável para sempre.

create { jurisdiction: "eu" } · verified after creation

21 chaves. Nunca uma chave mestra.

Sem chave API ampla — a concessão OAuth pede 21 âmbitos granulares, cada um etiquetado honestamente por risco: seguro, arriscado ou destrutivo. Leia a tabela completa antes de conceder qualquer coisa.

21 scopes · 8 groups · risk-labelled in the docs

Tokens que uma base de dados não pode expor.

Os seus tokens Cloudflare estão encriptados com AES-256-GCM com um IV novo de cada vez, sob uma chave que só existe como segredo do servidor. Desencriptados no momento em que uma ação corre — nunca antes.

AES-256-GCM · random 96-bit IV per token

Sem palavras-passe. Nada para phishing.

Uma única entrada: Iniciar sessão com Cloudflare. Sem formulário de palavra-passe, sem base de dados de credenciais para extrair — o seu MFA e passkeys ficam onde já estão. Revogue a concessão, e o sSystm fica fora.

one way in: Cloudflare OAuth

A IA pergunta primeiro.

As operações de infraestrutura propostas pela IA são classificadas por risco — e tudo o que não seja comprovadamente só de leitura aguarda como pendente até um humano aprovar. Quem, quando e cada chamada API: registada.

risky | destructive → pending_approval, always
Isolamento estrutural

Sem base de dados partilhada.
Sem raio de impacto cruzado.

Cada organização corre na sua própria base de dados na sua própria conta Cloudflare. Não há armazenamento central para comprometer — nem caminho de um inquilino para outro.

Isolamento em profundidade

Quatro camadas entre
si e todos os outros.

O isolamento de inquilinos não é um muro — é o mesmo princípio repetido em cada camada da stack: base de dados, consultas, pesquisa vetorial e tempo real.

Com âmbito em cada camada.

Uma fronteira de inquilino pode falhar. O sSystm traça a mesma fronteira quatro vezes, em quatro sistemas diferentes — diretamente do código:

  1. 1Uma base de dados por inquilinoA API resolve a própria base de dados D1 da sua organização na sua própria conta Cloudflare para cada pedido que toca nos seus registos — e falha em modo fechado se não conseguir.
  2. 2Âmbito por org por construçãoCada token MCP corresponde a um utilizador numa organização, e cada consulta tem âmbito no servidor. A sua IA estruturalmente não consegue alcançar os dados de outra organização com o seu token.
  3. 3Pesquisa vetorial em partições reaisOs embeddings de componentes vivem num namespace Vectorize por organização — uma partição real, não um filtro de metadados. Uma pesquisa no seu namespace fisicamente não pode devolver os vetores de mais ninguém.
  4. 4Salas em tempo real, uma por orgDurable Objects — o runtime do agente, as salas de chat — são endereçados pelo id da sua organização. A mesma org chega sempre à mesma instância isolada; mais ninguém consegue.

O isolamento de inquilinos não é um muro — é o mesmo princípio repetido em cada camada da stack: — org acme

  • Databaseacme's own D1, on acme's account · jurisdiction: eu
  • Vector searchnamespace: acme — a real partition, only acme's vectors
  • Real-time roomidFromName("acme") — the same isolated instance, every time
  • ✗ Reach another org's dataNo path exists. The isolation is structural, not a WHERE clause.

O alicerce sobre o qual se apoia

  • Tudo corre na rede edge da Cloudflare — Workers para computação, D1 para dados, Vectorize para embeddings, Durable Objects para tempo real. Sem servidores nossos para atualizar, sem discos nossos para perder.
  • O seu fornecedor de infraestrutura é a Cloudflare — a mesma plataforma em que os seus próprios sites provavelmente já confiam — e os seus recursos sSystm estão na sua própria conta Cloudflare, visíveis no seu próprio painel.
  • BYOC significa que a saída está integrada: revogue a concessão OAuth no seu painel Cloudflare e o sSystm fica bloqueado. A sua base de dados, e os seus dados, ficam consigo.

Uma nota honesta: não exibimos distintivos de conformidade que não conquistámos. O que afirmamos é arquitetura — e cada afirmação nesta página pode ser verificada no produto. Para o lado contratual, consulte o nosso Acordo de Tratamento de Dados.

FAQ

Common questions.

Where does my data live?
In a database on your own Cloudflare account — your own D1, in the jurisdiction you pin. There is no central sSystm database holding your data. See Enterprise.
Is there a central database to breach?
No. Each customer runs on their own D1, so the isolation is structural, not a WHERE clause you have to trust. There is no shared store to break into.
How is data residency enforced?
It is pinned at the Cloudflare D1 layer — the database itself is created in the region you choose, so residency is where the data physically sits, not a policy setting.
How are tokens and secrets stored?
Encrypted with AES-256-GCM, each token sealed with its own random IV. Plaintext secrets are never written to disk.
Can I revoke access, and is the AI gated?
Yes. Revoke the OAuth grant and access is cut instantly. Every AI write is human-gated — nothing changes your data without approval. See Your AI, over MCP.
Architectural space with translucent orange frame
Segurança · BYOC por conceção

Seja dono da sua stack.
Durma descansado.

O acesso antecipado abre em coortes semanais, os registos mais antigos primeiro. Junte-se agora e o seu workspace é provisionado na sua própria conta Cloudflare, na região que escolher — com todos os muros desta página já de pé.

Início de sessão com Cloudflare · workspace principal gratuito