Obsigen AI — Sicherheit & Compliance

Tiefenverteidigung

Sicherheitskontrollen

Obsigen ist mit geschichteten Kontrollen konzipiert — von Transportverschlüsselung über Inhaltssicherungen bis zu Sandboxed Code-Ausführung.

Kundenseitige Datenhaltung

Konversationen, Dateien, Embeddings und Audit-Logs persistieren in Ihrem Tenant — Ihrer Datenbank, Ihrem Object Store, Ihrem SIEM, unter Ihren Schlüsseln. Wir halten ausschließlich Service-Konfiguration und betriebliche Telemetrie. Minimal-Retention by design.

Authentifizierung

JWT-basierte Authentifizierung mit RS256 / ES256 (asymmetrisch). Signaturschlüssel in KMS / HSM gehalten, konfigurierbare Session-Gültigkeit.

Identity & SSO

Enterprise-SSO über SAML 2.0 und OIDC. SCIM-Provisionierung für Benutzer-Lifecycle. MFA für Admin-Zugang erzwungen.

Auditierbar by design

Jeder Prompt, Tool-Aufruf, Retrieval und jede Policy-Entscheidung wird im SIEM-freundlichen Format (JSON / OTLP) geloggt — geschrieben in Ihren Storage, unter Ihrer Retention. EU AI Act Article 12 ready. Wir liefern die Audit-Primitive; Sie halten die Daten.

Inhaltssicherungen

Prompt-Injection- und Jailbreak-Erkennung, Output-Sicherheitsfilter und Policy-Durchsetzung bei sensiblen Operationen.

Code-Ausführung

Ephemere Container gehärtet mit gVisor / Firecracker. Kein Netzwerk-Egress, erzwungene Timeouts, Per-Run-Abbau. Keine Daten zwischen Ausführungen.

Schicht	Kontrolle
Customer-held data	Conversations, files, embeddings & logs persist to your tenant — your DB / object store / SIEM, your keys, your retention. We hold service config and operational telemetry only.
Authentication	JWT (RS256 / ES256, asymmetric). Signing keys held in KMS / HSM, configurable session expiry.
Identity & SSO	SAML 2.0 / OIDC, SCIM provisioning, MFA enforced for admin access
Authorization	RBAC with scoped roles, IDP group mapping
Audit logging	Every prompt, tool call, retrieval & policy decision logged in SIEM-friendly format (JSON / OTLP), written to your storage. EU AI Act Article 12 ready.
Content safeguards	Prompt-injection & jailbreak detection, output safety filters, policy enforcement on sensitive operations
Code execution	Ephemeral containers hardened with gVisor / Firecracker — no network egress, enforced timeouts, per-run teardown. No data persists between executions.
File handling	MIME checks, size limits, controlled retention under customer policy
Transport	TLS 1.2+ (HTTPS), HSTS enforced
CORS	Strict origin policy
Rate limiting	Redis-based throttling, per-tenant & per-endpoint
Secrets	Vault / KMS-managed, rotation enforced, no keys in code or images

Datenresidenz

EEA-First-Architektur

Obsigen hält persistente Daten unter Ihrer Kontrolle, EEA-first.

Kernprinzipien

Gesamte persistente Speicherung in EWR-Rechenzentren
Inferenz-Prompts sind transient
Hochgeladene Dateien mit kontrollierten Aufbewahrungsrichtlinien
Vereinfacht DSGVO-Audits

Datentyp	Speicherort	Hinweise
Chat history	MySQL (EEA)	Full control & retention
Sessions / rate limits	Redis (EEA)	Fast + configurable TTL
Uploaded files	Temp storage (EEA)	Controlled retention
Generated artifacts	Local output (EEA)	PPTX, images, code outputs
Inference prompts	Transient (EEA inference)	No PII/secrets forwarded

Sicherheit & Compliance