Säkerhet på sSystm

Zero trust är inte vår policy.
Det är vår arkitektur.

De flesta plattformar skyddar en stor databas och hoppas att väggarna håller. sSystm byggde aldrig den stora databasen: varje organisations poster bor i sin egen D1, på sitt eget Cloudflare-konto. Skadeområdet för varje incident är en enda hyresgäst — genom konstruktion.

everyone.dbEn databas. Allas skadeområde.Org Aeget Cloudflare-kontoD1 · sstm-a7f2c1jurisdiction: euOrg Beget Cloudflare-kontoD1 · sstm-b31e9djurisdiction: euOrg Ceget Cloudflare-kontoD1 · sstm-c58a44jurisdiction: euIsolerade valv. Skadeområde: en hyresgäst.

Den faktiska provisioneringsmodellen: en dedikerad D1 per organisation, på den organisationens eget Cloudflare-konto — verifierat mot koden.

Arkitekturen

Sex väggar,
alla bärande.

Inget av detta är en efterhandspåskruvad compliance-kryssruta. Var och en är hur plattformen är byggd —och varje påstående nedan går att verifiera i produkten.

01

Din data har inga grannar.

Varje organisation får sin egen D1-databas på sitt eget Cloudflare-konto. En hyresgästs incident förblir en hyresgästs incident — och om en anslutning bryts felar API:et stängt.

getByocDb(org) → your D1, on your account
02

EU betyder EU. Framtvingat.

Välj EU vid inloggning så skapas din databas med D1:s jurisdiktionsgaranti — infrastruktur, inte ett löfte i en integritetspolicy. Verifierat efter skapande, oföränderligt för alltid.

create { jurisdiction: "eu" } · verified after creation
03

21 nycklar. Aldrig en huvudnyckel.

Ingen bred API-nyckel — OAuth-tilldelningen ber om 21 finkorniga scopes, var och en ärligt riskmärkt: säker, riskabel eller destruktiv. Läs hela tabellen innan du beviljar något.

21 scopes · 8 groups · risk-labelled in the docs
04

Tokens en databas inte kan läcka.

Dina Cloudflare-tokens är AES-256-GCM-krypterade med en färsk IV var, under en nyckel som bara finns som en server-hemlighet. Dekrypterade i samma stund en åtgärd körs — aldrig innan.

AES-256-GCM · random 96-bit IV per token
05

Inga lösenord. Inget att nätfiska.

En väg in: Logga in med Cloudflare. Inget lösenordsformulär, ingen inloggningsdatabas att dumpa — din MFA och dina passkeys stannar där de redan bor. Återkalla tilldelningen, och sSystm är ute.

one way in: Cloudflare OAuth
06

AI:n frågar först.

AI-föreslagna infrastrukturoperationer riskklassas — och allt som inte bevisligen är enbart läsande väntar som pending tills en människa godkänner. Vem, när och varje API-anrop: loggat.

risky | destructive → pending_approval, always
Isolering i djupled

Fyra lager mellan
dig och alla andra.

Hyresgäst-isolering är inte en vägg — det är samma princip upprepad på varje lager av stacken:databas, frågor, vektorsökning och realtid.

Scopat på varje lager.

En enda hyresgäst-gräns kan fela. sSystm drar samma gräns fyra gånger, i fyra olika system — direkt ur koden:

  1. 1En databas per hyresgästAPI:et löser upp din organisations egna D1-databas på ditt eget Cloudflare-konto för varje request som rör dina poster — och felar stängt om det inte kan.
  2. 2Org-scopat genom konstruktionVarje MCP-token mappar till en användare i en organisation, och varje fråga scopas server-side. Din AI kan strukturellt inte nå en annan organisations data med din token.
  3. 3Vektorsökning i äkta partitionerKomponent-embeddings bor i en Vectorize-namespace per organisation — en äkta partition, inte ett metadata-filter. En sökning i din namespace kan fysiskt inte returnera någon annans vektorer.
  4. 4Realtidsrum, ett per orgDurable Objects — agent-runtimen, chattrummen — adresseras med din organisations id. Samma org når alltid samma isolerade instans; ingen annan kan.
one request · four boundaries
request from: org acme · token maps to exactly one org
resolve database
→ acme's own D1, on acme's account · jurisdiction: eu
vector search "pricing card"
namespace: acme — a real partition, only acme's vectors
real-time room
idFromName("acme") — the same isolated instance, every time
✗ reach another org's data
No path exists. The isolation is structural, not a WHERE clause.

Marken det står på

  • Allt körs på Cloudflares edge-nätverk — Workers för compute, D1 för data, Vectorize för embeddings, Durable Objects för realtid. Inga servrar av vårt att patcha, inga diskar av vårt att förlora.
  • Din infrastrukturleverantör är Cloudflare — samma plattform som dina egna sajter troligen redan litar på — och dina sSystm-resurser ligger i ditt eget Cloudflare-konto, synliga i din egen instrumentpanel.
  • BYOC betyder att utgången är inbyggd: återkalla OAuth-tilldelningen i din Cloudflare-instrumentpanel så är sSystm utelåst. Din databas, och din data, stannar hos dig.

En ärlig anmärkning: vi viftar inte med compliance-märken vi inte förtjänat. Det vi hävdar är arkitektur — och varje påstående på den här sidan går att kontrollera mot produkten. För den avtalsmässiga sidan, se vårt personuppgiftsbiträdesavtal.

Vad vi bygger härnäst

Säkerhet är en riktning, inte en kryssruta.

Grunden ovan är live. På vägen framåt, i det öppna: härda sessionshanteringen och utöka revisionsspåret som redan täcker agent-operationer — vem som körde vad, när, med varje API-anrop loggat — till en revisionsyta över hela workspacet.

Följ ändringsloggen
Säkerhet · BYOC by design

Äg din stack.
Sov om natten.

Early access öppnar i veckovisa omgångar, tidigaste anmälningarna först. Anmäl dig nu så provisioneras ditt workspace på ditt eget Cloudflare-konto, i regionen du väljer — med varje vägg på den här sidan redan på plats.

När du är inne: ingen e-post, inget lösenord — en Cloudflare-tilldelning · kärn-workspace gratis · din data bor i ditt eget konto