Kontrole warstwowe dla AI z narzędziami. Rezydencja danych EEA-first — domyślnie.
Obsigen został zaprojektowany z wielowarstwową ochroną — od szyfrowania transportu, przez zabezpieczenia treści, po izolowane wykonanie kodu.
Konwersacje, pliki, embeddings i logi audytu zapisywane do Twojego tenantu — Twoja baza, Twój object store, Twój SIEM, pod Twoimi kluczami. My trzymamy wyłącznie konfigurację usługi i telemetrię operacyjną. Minimalna retencja z założenia.
Uwierzytelnianie oparte na JWT z RS256 / ES256 (asymetryczne). Klucze podpisujące w KMS / HSM, konfigurowalny czas ważności sesji.
Enterprise SSO przez SAML 2.0 i OIDC. Provisioning użytkowników przez SCIM. MFA wymuszone dla kont administracyjnych.
Każdy prompt, wywołanie narzędzia, retrieval i decyzja polityki logowane w formacie SIEM-friendly (JSON / OTLP) — zapisywane do Twojego storage, pod Twoją retencją. EU AI Act Article 12 ready. My dostarczamy prymitywy audytu; Ty trzymasz dane.
Wykrywanie prompt-injection i jailbreak, filtry bezpieczeństwa output oraz wymuszanie polityk na operacjach wrażliwych.
Efemeryczne kontenery utwardzone (gVisor / Firecracker). Brak ruchu wychodzącego (egress), wymuszone timeouty, teardown po każdym uruchomieniu. Brak persistencji między wykonaniami.
| Warstwa | Kontrola |
|---|---|
| Customer-held data | Conversations, files, embeddings & logs persist to your tenant — your DB / object store / SIEM, your keys, your retention. We hold service config and operational telemetry only. |
| Authentication | JWT (RS256 / ES256, asymmetric). Signing keys held in KMS / HSM, configurable session expiry. |
| Identity & SSO | SAML 2.0 / OIDC, SCIM provisioning, MFA enforced for admin access |
| Authorization | RBAC with scoped roles, IDP group mapping |
| Audit logging | Every prompt, tool call, retrieval & policy decision logged in SIEM-friendly format (JSON / OTLP), written to your storage. EU AI Act Article 12 ready. |
| Content safeguards | Prompt-injection & jailbreak detection, output safety filters, policy enforcement on sensitive operations |
| Code execution | Ephemeral containers hardened with gVisor / Firecracker — no network egress, enforced timeouts, per-run teardown. No data persists between executions. |
| File handling | MIME checks, size limits, controlled retention under customer policy |
| Transport | TLS 1.2+ (HTTPS), HSTS enforced |
| CORS | Strict origin policy |
| Rate limiting | Redis-based throttling, per-tenant & per-endpoint |
| Secrets | Vault / KMS-managed, rotation enforced, no keys in code or images |
Obsigen został zaprojektowany, aby utrzymywać trwałe dane pod kontrolą organizacji, w modelu EEA-first. Dane nie opuszczają EOG bez jawnej konfiguracji.
| Typ danych | Gdzie przechowywane | Uwagi |
|---|---|---|
| Chat history | MySQL (EEA) | Full control & retention |
| Sessions / rate limits | Redis (EEA) | Fast + configurable TTL |
| Uploaded files | Temp storage (EEA) | Controlled retention |
| Generated artifacts | Local output (EEA) | PPTX, images, code outputs |
| Inference prompts | Transient (EEA inference) | No PII/secrets forwarded |
Nasz zespół może przekazać dokumentację oraz omówić wymagania organizacji.