Contrôles en couches pour l'IA avec outils. Résidence des données EEA-first.
Obsigen est conçu avec des contrôles en couches — du chiffrement du transport au sandboxing du code.
Conversations, fichiers, embeddings et journaux d'audit persistent dans votre tenant — votre base de données, votre object store, votre SIEM, sous vos clés. Nous gardons uniquement la configuration du service et la télémétrie opérationnelle. Minimal-retention by design.
Authentification basée sur JWT avec RS256 / ES256 (asymétrique). Clés de signature dans KMS / HSM, expiration de session configurable.
SSO entreprise via SAML 2.0 et OIDC. Provisioning SCIM pour le cycle de vie utilisateur. MFA forcé pour les accès admin.
Chaque prompt, appel d'outil, retrieval et décision de policy est loggé au format SIEM-friendly (JSON / OTLP) — écrit dans votre storage, sous votre rétention. EU AI Act Article 12 ready. Nous fournissons les primitives d'audit ; vous détenez les données.
Détection de prompt-injection et de jailbreak, filtres de sécurité output et application de policy sur les opérations sensibles.
Conteneurs éphémères durcis avec gVisor / Firecracker. Pas d'egress réseau, timeouts forcés, démontage par run. Aucune donnée ne persiste entre exécutions.
| Couche | Contrôle |
|---|---|
| Customer-held data | Conversations, files, embeddings & logs persist to your tenant — your DB / object store / SIEM, your keys, your retention. We hold service config and operational telemetry only. |
| Authentication | JWT (RS256 / ES256, asymmetric). Signing keys held in KMS / HSM, configurable session expiry. |
| Identity & SSO | SAML 2.0 / OIDC, SCIM provisioning, MFA enforced for admin access |
| Authorization | RBAC with scoped roles, IDP group mapping |
| Audit logging | Every prompt, tool call, retrieval & policy decision logged in SIEM-friendly format (JSON / OTLP), written to your storage. EU AI Act Article 12 ready. |
| Content safeguards | Prompt-injection & jailbreak detection, output safety filters, policy enforcement on sensitive operations |
| Code execution | Ephemeral containers hardened with gVisor / Firecracker — no network egress, enforced timeouts, per-run teardown. No data persists between executions. |
| File handling | MIME checks, size limits, controlled retention under customer policy |
| Transport | TLS 1.2+ (HTTPS), HSTS enforced |
| CORS | Strict origin policy |
| Rate limiting | Redis-based throttling, per-tenant & per-endpoint |
| Secrets | Vault / KMS-managed, rotation enforced, no keys in code or images |
Obsigen garde les données persistantes sous votre contrôle, EEA-first.
| Type de données | Stockage | Notes |
|---|---|---|
| Chat history | MySQL (EEA) | Full control & retention |
| Sessions / rate limits | Redis (EEA) | Fast + configurable TTL |
| Uploaded files | Temp storage (EEA) | Controlled retention |
| Generated artifacts | Local output (EEA) | PPTX, images, code outputs |
| Inference prompts | Transient (EEA inference) | No PII/secrets forwarded |
Notre équipe peut fournir une documentation détaillée.